中國電子信息產(chǎn)業(yè)集團有限公司第六研究所 總工程師 徐新國

控制網(wǎng)：您如何看待當前倍受關(guān)注的工業(yè)控制系統信息安全問(wèn)題？

    徐新國：工業(yè)控制系統信息安全問(wèn)題其實(shí)一直存在，只是因為原來(lái)的工控系統相對封閉，這方面暴露出的問(wèn)題較少，沒(méi)有得到相應的重視。但是隨著(zhù)近年來(lái)信息技術(shù)的快速發(fā)展，工控系統越來(lái)越開(kāi)放，更多的采用通用操作系統、通訊協(xié)議和標準，與信息化系統結合也越來(lái)越緊密，信息安全的問(wèn)題也就顯得尤為突出，“震網(wǎng)”病毒事件為我們敲響了警鐘。早在2010年我們就向工信部信息安全協(xié)調司提交了“關(guān)于工業(yè)控制系統信息安全應當引起高度重視的情況報告和相關(guān)管理建議”，工控系統在我國已經(jīng)廣泛應用于國民經(jīng)濟的各主要行業(yè)和領(lǐng)域，成為國家關(guān)鍵基礎設施的重要組成，但是絕大部分采用國外產(chǎn)品，一旦出現問(wèn)題往往是災難性的，造成的損失也是巨大的，因此工控系統的安全問(wèn)題是關(guān)系國家經(jīng)濟安全和戰略安全的重要問(wèn)題。

控制網(wǎng)：工業(yè)控制系統的安全漏洞有哪些？

    徐新國：工控系統包括的種類(lèi)很多，根據不同的應用環(huán)境，大致可以分為設備級、現場(chǎng)級和系統級。設備級和現場(chǎng)級系統大多采用嵌入式的結構，使用專(zhuān)用實(shí)時(shí)操作系統和實(shí)時(shí)數據庫。由于其計算資源有限，為了保證實(shí)時(shí)性和可用性，系統在設計時(shí)往往無(wú)法過(guò)多考慮信息安全的需求，從關(guān)鍵芯片到文件系統、進(jìn)程調度、內存分配等都可能存在安全漏洞。隨著(zhù)設備和現場(chǎng)級系統越來(lái)越智能化和網(wǎng)絡(luò )化，它已經(jīng)成為重點(diǎn)攻擊目標。類(lèi)似“震網(wǎng)”病毒入侵PLC這種具有很強目的性和專(zhuān)業(yè)性的入侵攻擊，一旦掌握了系統的安全漏洞，其后果和損失往往是巨大的。在系統級，由于考慮人機交互以及與其它生產(chǎn)管理系統、信息系統的互聯(lián)，越來(lái)越多的采用通用操作系統，例如操作員站一般采用的都是WINDOWS平臺，但為了系統的穩定運行，通?，F場(chǎng)工程師在系統投入運行后不會(huì )對系統平臺安裝任何補丁，從而使通用操作系統的安全漏洞暴露無(wú)遺。

    在網(wǎng)絡(luò )方面，隨著(zhù)TCP/IP 協(xié)議和OPC 協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，通信協(xié)議漏洞問(wèn)題也日益突出。例如：OPC通訊采用不固定的端口號，導致目前幾乎無(wú)法使用傳統的IT防火墻來(lái)確保其安全性。

    對于應用軟件，一方面隨著(zhù)越來(lái)越多的功能要求，工業(yè)軟件的規模和復雜度不斷增大，再加上普遍使用中斷和優(yōu)先級來(lái)滿(mǎn)足系統實(shí)時(shí)性需求，帶來(lái)了軟件流程不確定性問(wèn)題，這些都加大了對軟件進(jìn)行測試的難度。另一方面由于缺少統一的安全防護規范，工業(yè)軟件普遍存在安全設計缺陷，而應用軟件產(chǎn)生的漏洞是最容易被攻擊者利用，取得被控設備的控制權，從而造成嚴重后果。

控制網(wǎng)：工業(yè)控制系統信息安全問(wèn)題的發(fā)生有何特點(diǎn)？在哪些應用領(lǐng)域中易于發(fā)生？

    徐新國：工控系統面臨的威脅可以來(lái)自多種來(lái)源，既包括來(lái)自外部的對抗性威脅，如敵對政府、恐怖組織、工業(yè)間諜、惡意入侵者等，也包括內部問(wèn)題引起的威脅，如系統的復雜性或設計缺陷、人為錯誤和意外事故、設備故障等等。無(wú)論哪種威脅，最終都是通過(guò)工控系統本身的錯誤動(dòng)作、故障甚至崩潰引起被控設備的意外停機、嚴重損壞來(lái)體現的。伊朗布什爾核電站事件就是一個(gè)典型的例子，“震網(wǎng)”病毒通過(guò)傳統的傳播方式感染了大量的計算機，但只有當其被帶入核電站控制系統后才發(fā)作，它取得了系統的控制權，使控制系統發(fā)出錯誤的運行指令，同時(shí)發(fā)布欺騙信息，最終導致被控的關(guān)鍵設備超負荷運行直至損毀。由此可見(jiàn)，來(lái)自外部的威脅，通過(guò)內部的安全漏洞，取得控制系統的合法權限并發(fā)生作用，往往更難防范，造成的損失也更巨大。

    隨著(zhù)類(lèi)似事件的不斷發(fā)生，我們應該意識到，此類(lèi)事件的目的性、隱蔽性和專(zhuān)業(yè)性越來(lái)越強，它已不再是企業(yè)層面的問(wèn)題，而是涉及國家戰略安全的問(wèn)題。在我國重要基礎設施中的工控系統都可能面臨著(zhù)嚴重的安全威脅，越是應用環(huán)境復雜，性能要求和安全要求都很高的領(lǐng)域，例如電力、石化、軌道交通等，越是需要重點(diǎn)防范。

控制網(wǎng)：信息安全不是一個(gè)新的話(huà)題，您認為工業(yè)控制系統的信息安全與傳統IT領(lǐng)域的信息安全有何不同？

    徐新國：工控系統與一般IT系統在性能需求、可用性需求等方面都存在很大差異。工控系統首先要求實(shí)時(shí)性、低延遲，它可用的計算資源往往非常有限，尤其是在嵌入式系統中，都要求最大限度地控制系統資源，很少甚至沒(méi)有額外容量給第三方的網(wǎng)絡(luò )安全解決方案。在可用性方面，工控系統一般都要求長(cháng)時(shí)間連續運行，不定期殺毒、升級、打補丁，以及意外重啟或停機都是不能允許的。另外，在工控系統的應用部門(mén)中，與信息系統的管理人員和管理模式也往往是不同的。這些因素都導致目前商用的信息安全解決方案不可能直接用于工控系統，靠犧牲實(shí)時(shí)性和可用性來(lái)達到安全的目的在工控系統中是不可取的。

    在安全性要求方面，由于工控系統與物理設備緊密相連，不僅要求信息安全，更要求功能安全，一旦信息安全的問(wèn)題導致系統功能安全的破壞，其后果將是災難性的，因此，將功能安全與信息安全完全的割裂開(kāi)來(lái)，只采用傳統的信息安全防護手段，即便這些防護手段已經(jīng)過(guò)適用性和兼容性的改造和測試，也遠遠不能滿(mǎn)足工控系統安全的需求。只有將兩者融合成一個(gè)無(wú)縫的安全體系，充分發(fā)揮不同的安全技術(shù)協(xié)作優(yōu)勢，才能達到1+1>2的效果，保障工業(yè)系統的安全運行。

    總的來(lái)說(shuō)，工控系統安全漏洞存在于多層次和多環(huán)節中，在資源受限的條件下，傳統信息安全防護手段固有的被動(dòng)性和滯后性，無(wú)法滿(mǎn)足工控系統本質(zhì)安全的需要。特別是我國工控系統缺乏自主可控技術(shù)，主要軟硬件依賴(lài)進(jìn)口，安全問(wèn)題受制于人。只有將安全設計的理念融入系統設計中，在研究統一的貫穿整個(gè)系統的安全設計框架基礎上，研發(fā)自主安全的核心芯片、實(shí)時(shí)操作系統和數據庫、工業(yè)應用軟件等，才能真正做到自主可信、安全可控。

控制網(wǎng)：當前針對工業(yè)控制系統信息安全問(wèn)題有哪些應對策略？能否滿(mǎn)足應對危機的需求？

    徐新國：從國家層面上看，工信部在去年發(fā)布了《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（451號文），并將風(fēng)險評估列入2012年的工作重點(diǎn)。今年6月在《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》中，也特別強調要加強重要領(lǐng)域工業(yè)控制系統的安全防護和管理，定期開(kāi)展安全檢查和風(fēng)險評估。重點(diǎn)對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統加強監管。對重點(diǎn)領(lǐng)域使用的關(guān)鍵產(chǎn)品開(kāi)展安全測評，實(shí)行安全風(fēng)險和漏洞通報制度。目前，工信部正在開(kāi)展對我國關(guān)鍵基礎設施中的工控系統信息安全問(wèn)題的大規模調查工作。國家發(fā)改委也在今年的信息安全專(zhuān)項中支持工控系統信息安全產(chǎn)品產(chǎn)業(yè)化和專(zhuān)業(yè)服務(wù)方面的項目。電力、石化等重點(diǎn)行業(yè)和領(lǐng)域，正在開(kāi)展相關(guān)行業(yè)標準和國家標準的制定。

    從技術(shù)的角度看，我國的研究工作剛剛起步，關(guān)鍵的技術(shù)和工控系統對國外產(chǎn)品的依賴(lài)程度很高，對于巨大的存量市場(chǎng)，短期內很難做到自主可控。對于增量市場(chǎng)，尚未形成一套切實(shí)可行的統一安全架構和安全體系。

    在管理體制方面，目前還缺乏對工控系統產(chǎn)品的信息安全檢測、評估、認證手段和機制，這必須是國家和政府行為，僅靠企業(yè)是無(wú)法推動(dòng)的?？梢越梃b美國的做法，依托模擬仿真平臺、綜合采用現場(chǎng)檢查測評與實(shí)驗室測評相結合的測評方法。以模擬仿真平臺為基礎，開(kāi)展驗證服務(wù)和自主可控測評服務(wù)。

控制網(wǎng)：您認為面對越來(lái)越頻繁發(fā)生的工業(yè)控制系統信息安全問(wèn)題，當前最緊迫的事情是什么？應該從哪些方面著(zhù)手？

    徐新國：在國家層面，應盡快加強對工業(yè)控制系統信息安全防護工作的組織領(lǐng)導和宏觀(guān)規劃；深入研究設計工業(yè)控制系統信息安全防護體系架構，制定工業(yè)控制系統信息安全防護策略；打破各自為戰的格局，推進(jìn)工業(yè)控制系統信息安全防護體系建設，開(kāi)展工業(yè)控制系統信息安全漏洞分析、風(fēng)險評估、準入認證工作，加快建立相關(guān)行業(yè)及國家標準。

    加大技術(shù)研究投資的力度。工控系統信息安全的特殊性和重要性，決定了它不能按照傳統信息安全的解決路線(xiàn)來(lái)走，更不能只依靠現有的信息安全技術(shù)和產(chǎn)品。國家應重點(diǎn)支持對自主可控的一體化安全框架的研究，包括其相關(guān)的關(guān)鍵、共性和支撐技術(shù)；鼓勵對控制技術(shù)、信息技術(shù)、電力電子技術(shù)等相關(guān)技術(shù)和信息安全技術(shù)融合的研究；落實(shí)針對不同行業(yè)特點(diǎn)的仿真驗證測試平臺的搭建。

    在產(chǎn)業(yè)層面，要打破行業(yè)界限，加強聯(lián)合，產(chǎn)生一批跨信息安全、自動(dòng)控制等領(lǐng)域的企業(yè)，一方面根據不同行業(yè)的特點(diǎn)，針對巨大的存量市場(chǎng)，在研究資源受限條件下輕量級、可裁剪的信息安全技術(shù)的同時(shí)，按照功能安全與信息安全融合的思路，研究具有主動(dòng)防御功能的工控信息安全產(chǎn)品，例如目前我們正在研究適用于終端設備、控制現場(chǎng)和上層監控系統的“防危”機制和“防危”產(chǎn)品。它的作用是保護關(guān)鍵、重要設備不被非法操作，既防止取得控制系統合法權限的外部惡意攻擊對設備的破壞性操作，也防止由于系統復雜性和設計缺陷、以及內部誤操作等帶來(lái)的安全隱患，保證相關(guān)聯(lián)設備處于安全狀態(tài)，預見(jiàn)和避免災難性后果的發(fā)生。另一方面，面向未來(lái)的增量市場(chǎng)，在安全設計框架基礎上，掌握實(shí)時(shí)操作系統、實(shí)時(shí)數據庫等核心技術(shù)，研究融合控制技術(shù)、信息技術(shù)、信息安全技術(shù)的新一代自主可信工業(yè)控制系統。

    總之，工控系統的信息安全要靠政府和行業(yè)、企業(yè)共同建立和完善一整套安全防護體系，更重要的是必須改變被動(dòng)防御的思路，才能實(shí)現自主、可控、本質(zhì)安全的目標。