中國電子信息產(chǎn)業(yè)集團有限公司第六研究所 總工程師 徐新國

控制網(wǎng)：您如何看待當(dāng)前倍受關(guān)注的工業(yè)控制系統(tǒng)信息安全問題？

    徐新國：工業(yè)控制系統(tǒng)信息安全問題其實一直存在，只是因為原來的工控系統(tǒng)相對封閉，這方面暴露出的問題較少，沒有得到相應(yīng)的重視。但是隨著近年來信息技術(shù)的快速發(fā)展，工控系統(tǒng)越來越開放，更多的采用通用操作系統(tǒng)、通訊協(xié)議和標(biāo)準(zhǔn)，與信息化系統(tǒng)結(jié)合也越來越緊密，信息安全的問題也就顯得尤為突出，“震網(wǎng)”病毒事件為我們敲響了警鐘。早在2010年我們就向工信部信息安全協(xié)調(diào)司提交了“關(guān)于工業(yè)控制系統(tǒng)信息安全應(yīng)當(dāng)引起高度重視的情況報告和相關(guān)管理建議”，工控系統(tǒng)在我國已經(jīng)廣泛應(yīng)用于國民經(jīng)濟的各主要行業(yè)和領(lǐng)域，成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成，但是絕大部分采用國外產(chǎn)品，一旦出現(xiàn)問題往往是災(zāi)難性的，造成的損失也是巨大的，因此工控系統(tǒng)的安全問題是關(guān)系國家經(jīng)濟安全和戰(zhàn)略安全的重要問題。

控制網(wǎng)：工業(yè)控制系統(tǒng)的安全漏洞有哪些？

    徐新國：工控系統(tǒng)包括的種類很多，根據(jù)不同的應(yīng)用環(huán)境，大致可以分為設(shè)備級、現(xiàn)場級和系統(tǒng)級。設(shè)備級和現(xiàn)場級系統(tǒng)大多采用嵌入式的結(jié)構(gòu)，使用專用實時操作系統(tǒng)和實時數(shù)據(jù)庫。由于其計算資源有限，為了保證實時性和可用性，系統(tǒng)在設(shè)計時往往無法過多考慮信息安全的需求，從關(guān)鍵芯片到文件系統(tǒng)、進程調(diào)度、內(nèi)存分配等都可能存在安全漏洞。隨著設(shè)備和現(xiàn)場級系統(tǒng)越來越智能化和網(wǎng)絡(luò)化，它已經(jīng)成為重點攻擊目標(biāo)。類似“震網(wǎng)”病毒入侵PLC這種具有很強目的性和專業(yè)性的入侵攻擊，一旦掌握了系統(tǒng)的安全漏洞，其后果和損失往往是巨大的。在系統(tǒng)級，由于考慮人機交互以及與其它生產(chǎn)管理系統(tǒng)、信息系統(tǒng)的互聯(lián)，越來越多的采用通用操作系統(tǒng)，例如操作員站一般采用的都是WINDOWS平臺，但為了系統(tǒng)的穩(wěn)定運行，通常現(xiàn)場工程師在系統(tǒng)投入運行后不會對系統(tǒng)平臺安裝任何補丁，從而使通用操作系統(tǒng)的安全漏洞暴露無遺。

    在網(wǎng)絡(luò)方面，隨著TCP/IP 協(xié)議和OPC 協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，通信協(xié)議漏洞問題也日益突出。例如：OPC通訊采用不固定的端口號，導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。

    對于應(yīng)用軟件，一方面隨著越來越多的功能要求，工業(yè)軟件的規(guī)模和復(fù)雜度不斷增大，再加上普遍使用中斷和優(yōu)先級來滿足系統(tǒng)實時性需求，帶來了軟件流程不確定性問題，這些都加大了對軟件進行測試的難度。另一方面由于缺少統(tǒng)一的安全防護規(guī)范，工業(yè)軟件普遍存在安全設(shè)計缺陷，而應(yīng)用軟件產(chǎn)生的漏洞是最容易被攻擊者利用，取得被控設(shè)備的控制權(quán)，從而造成嚴重后果。

控制網(wǎng)：工業(yè)控制系統(tǒng)信息安全問題的發(fā)生有何特點？在哪些應(yīng)用領(lǐng)域中易于發(fā)生？

    徐新國：工控系統(tǒng)面臨的威脅可以來自多種來源，既包括來自外部的對抗性威脅，如敵對政府、恐怖組織、工業(yè)間諜、惡意入侵者等，也包括內(nèi)部問題引起的威脅，如系統(tǒng)的復(fù)雜性或設(shè)計缺陷、人為錯誤和意外事故、設(shè)備故障等等。無論哪種威脅，最終都是通過工控系統(tǒng)本身的錯誤動作、故障甚至崩潰引起被控設(shè)備的意外停機、嚴重損壞來體現(xiàn)的。伊朗布什爾核電站事件就是一個典型的例子，“震網(wǎng)”病毒通過傳統(tǒng)的傳播方式感染了大量的計算機，但只有當(dāng)其被帶入核電站控制系統(tǒng)后才發(fā)作，它取得了系統(tǒng)的控制權(quán)，使控制系統(tǒng)發(fā)出錯誤的運行指令，同時發(fā)布欺騙信息，最終導(dǎo)致被控的關(guān)鍵設(shè)備超負荷運行直至損毀。由此可見，來自外部的威脅，通過內(nèi)部的安全漏洞，取得控制系統(tǒng)的合法權(quán)限并發(fā)生作用，往往更難防范，造成的損失也更巨大。

    隨著類似事件的不斷發(fā)生，我們應(yīng)該意識到，此類事件的目的性、隱蔽性和專業(yè)性越來越強，它已不再是企業(yè)層面的問題，而是涉及國家戰(zhàn)略安全的問題。在我國重要基礎(chǔ)設(shè)施中的工控系統(tǒng)都可能面臨著嚴重的安全威脅，越是應(yīng)用環(huán)境復(fù)雜，性能要求和安全要求都很高的領(lǐng)域，例如電力、石化、軌道交通等，越是需要重點防范。

控制網(wǎng)：信息安全不是一個新的話題，您認為工業(yè)控制系統(tǒng)的信息安全與傳統(tǒng)IT領(lǐng)域的信息安全有何不同？

    徐新國：工控系統(tǒng)與一般IT系統(tǒng)在性能需求、可用性需求等方面都存在很大差異。工控系統(tǒng)首先要求實時性、低延遲，它可用的計算資源往往非常有限，尤其是在嵌入式系統(tǒng)中，都要求最大限度地控制系統(tǒng)資源，很少甚至沒有額外容量給第三方的網(wǎng)絡(luò)安全解決方案。在可用性方面，工控系統(tǒng)一般都要求長時間連續(xù)運行，不定期殺毒、升級、打補丁，以及意外重啟或停機都是不能允許的。另外，在工控系統(tǒng)的應(yīng)用部門中，與信息系統(tǒng)的管理人員和管理模式也往往是不同的。這些因素都導(dǎo)致目前商用的信息安全解決方案不可能直接用于工控系統(tǒng)，靠犧牲實時性和可用性來達到安全的目的在工控系統(tǒng)中是不可取的。

    在安全性要求方面，由于工控系統(tǒng)與物理設(shè)備緊密相連，不僅要求信息安全，更要求功能安全，一旦信息安全的問題導(dǎo)致系統(tǒng)功能安全的破壞，其后果將是災(zāi)難性的，因此，將功能安全與信息安全完全的割裂開來，只采用傳統(tǒng)的信息安全防護手段，即便這些防護手段已經(jīng)過適用性和兼容性的改造和測試，也遠遠不能滿足工控系統(tǒng)安全的需求。只有將兩者融合成一個無縫的安全體系，充分發(fā)揮不同的安全技術(shù)協(xié)作優(yōu)勢，才能達到1+1>2的效果，保障工業(yè)系統(tǒng)的安全運行。

    總的來說，工控系統(tǒng)安全漏洞存在于多層次和多環(huán)節(jié)中，在資源受限的條件下，傳統(tǒng)信息安全防護手段固有的被動性和滯后性，無法滿足工控系統(tǒng)本質(zhì)安全的需要。特別是我國工控系統(tǒng)缺乏自主可控技術(shù)，主要軟硬件依賴進口，安全問題受制于人。只有將安全設(shè)計的理念融入系統(tǒng)設(shè)計中，在研究統(tǒng)一的貫穿整個系統(tǒng)的安全設(shè)計框架基礎(chǔ)上，研發(fā)自主安全的核心芯片、實時操作系統(tǒng)和數(shù)據(jù)庫、工業(yè)應(yīng)用軟件等，才能真正做到自主可信、安全可控。

控制網(wǎng)：當(dāng)前針對工業(yè)控制系統(tǒng)信息安全問題有哪些應(yīng)對策略？能否滿足應(yīng)對危機的需求？

    徐新國：從國家層面上看，工信部在去年發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（451號文），并將風(fēng)險評估列入2012年的工作重點。今年6月在《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》中，也特別強調(diào)要加強重要領(lǐng)域工業(yè)控制系統(tǒng)的安全防護和管理，定期開展安全檢查和風(fēng)險評估。重點對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)加強監(jiān)管。對重點領(lǐng)域使用的關(guān)鍵產(chǎn)品開展安全測評，實行安全風(fēng)險和漏洞通報制度。目前，工信部正在開展對我國關(guān)鍵基礎(chǔ)設(shè)施中的工控系統(tǒng)信息安全問題的大規(guī)模調(diào)查工作。國家發(fā)改委也在今年的信息安全專項中支持工控系統(tǒng)信息安全產(chǎn)品產(chǎn)業(yè)化和專業(yè)服務(wù)方面的項目。電力、石化等重點行業(yè)和領(lǐng)域，正在開展相關(guān)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的制定。

    從技術(shù)的角度看，我國的研究工作剛剛起步，關(guān)鍵的技術(shù)和工控系統(tǒng)對國外產(chǎn)品的依賴程度很高，對于巨大的存量市場，短期內(nèi)很難做到自主可控。對于增量市場，尚未形成一套切實可行的統(tǒng)一安全架構(gòu)和安全體系。

    在管理體制方面，目前還缺乏對工控系統(tǒng)產(chǎn)品的信息安全檢測、評估、認證手段和機制，這必須是國家和政府行為，僅靠企業(yè)是無法推動的。可以借鑒美國的做法，依托模擬仿真平臺、綜合采用現(xiàn)場檢查測評與實驗室測評相結(jié)合的測評方法。以模擬仿真平臺為基礎(chǔ)，開展驗證服務(wù)和自主可控測評服務(wù)。

控制網(wǎng)：您認為面對越來越頻繁發(fā)生的工業(yè)控制系統(tǒng)信息安全問題，當(dāng)前最緊迫的事情是什么？應(yīng)該從哪些方面著手？

    徐新國：在國家層面，應(yīng)盡快加強對工業(yè)控制系統(tǒng)信息安全防護工作的組織領(lǐng)導(dǎo)和宏觀規(guī)劃；深入研究設(shè)計工業(yè)控制系統(tǒng)信息安全防護體系架構(gòu)，制定工業(yè)控制系統(tǒng)信息安全防護策略；打破各自為戰(zhàn)的格局，推進工業(yè)控制系統(tǒng)信息安全防護體系建設(shè)，開展工業(yè)控制系統(tǒng)信息安全漏洞分析、風(fēng)險評估、準(zhǔn)入認證工作，加快建立相關(guān)行業(yè)及國家標(biāo)準(zhǔn)。

    加大技術(shù)研究投資的力度。工控系統(tǒng)信息安全的特殊性和重要性，決定了它不能按照傳統(tǒng)信息安全的解決路線來走，更不能只依靠現(xiàn)有的信息安全技術(shù)和產(chǎn)品。國家應(yīng)重點支持對自主可控的一體化安全框架的研究，包括其相關(guān)的關(guān)鍵、共性和支撐技術(shù)；鼓勵對控制技術(shù)、信息技術(shù)、電力電子技術(shù)等相關(guān)技術(shù)和信息安全技術(shù)融合的研究；落實針對不同行業(yè)特點的仿真驗證測試平臺的搭建。

    在產(chǎn)業(yè)層面，要打破行業(yè)界限，加強聯(lián)合，產(chǎn)生一批跨信息安全、自動控制等領(lǐng)域的企業(yè)，一方面根據(jù)不同行業(yè)的特點，針對巨大的存量市場，在研究資源受限條件下輕量級、可裁剪的信息安全技術(shù)的同時，按照功能安全與信息安全融合的思路，研究具有主動防御功能的工控信息安全產(chǎn)品，例如目前我們正在研究適用于終端設(shè)備、控制現(xiàn)場和上層監(jiān)控系統(tǒng)的“防危”機制和“防危”產(chǎn)品。它的作用是保護關(guān)鍵、重要設(shè)備不被非法操作，既防止取得控制系統(tǒng)合法權(quán)限的外部惡意攻擊對設(shè)備的破壞性操作，也防止由于系統(tǒng)復(fù)雜性和設(shè)計缺陷、以及內(nèi)部誤操作等帶來的安全隱患，保證相關(guān)聯(lián)設(shè)備處于安全狀態(tài)，預(yù)見和避免災(zāi)難性后果的發(fā)生。另一方面，面向未來的增量市場，在安全設(shè)計框架基礎(chǔ)上，掌握實時操作系統(tǒng)、實時數(shù)據(jù)庫等核心技術(shù)，研究融合控制技術(shù)、信息技術(shù)、信息安全技術(shù)的新一代自主可信工業(yè)控制系統(tǒng)。

    總之，工控系統(tǒng)的信息安全要靠政府和行業(yè)、企業(yè)共同建立和完善一整套安全防護體系，更重要的是必須改變被動防御的思路，才能實現(xiàn)自主、可控、本質(zhì)安全的目標(biāo)。