侯瑞

隨著我國工業(yè)化和信息化的深度融合以及物聯(lián)網的快

速發(fā)展，工控系統(tǒng)獲得了前所未有的飛速發(fā)展。與此同時，工控系統(tǒng)面臨的安全威脅也越來越嚴峻。建立全面的信息安全保障體系，減少工控系統(tǒng)面臨的內外部的威脅，為推動兩化深度融合、工業(yè)轉型升級提供支持，是當前信息安全領域面臨的重大挑戰(zhàn)。

在杭州舉辦的全國首期“工業(yè)控制系統(tǒng)信息安全保障能力建設高級研修班”上，本刊記者就此話題采訪了工業(yè)和信息化部信息安全協(xié)調司歐陽武副司長。

記者：工控系統(tǒng)的信息安全究竟有多重要？目前該領域的總體安全形勢如何？

歐陽武：眾所周知，關鍵基礎設施是國民經濟的重要支撐。關鍵基礎設施涉及交通、能源、通信、水利、交通等多個部門，包括政府公共服務、應急服務、通信和信息服務、供電供水供熱、運輸、金融、食品、醫(yī)療保健等多個領域的服務。這些部門的服務與我們每個人、每個行業(yè)、每個企業(yè)密切相關，對國家經濟發(fā)展、社會穩(wěn)定而言更是關系重大，是國家軍事防御和國防保衛(wèi)的重點對象。隨著信息技術的普及和深化應用，工控系統(tǒng)已經成為關鍵基礎設施的重要組成部分。目前，大多數(shù)基礎設施的安全運行生產都離不開工控系統(tǒng)，工控系統(tǒng)已經成為關鍵基礎設施不可分割的部分。因此，這些工控系統(tǒng)一旦遭受信息安全威脅，其后果的嚴重性不堪想象。

目前，我國工控系統(tǒng)的安全形勢非常嚴峻。調查發(fā)現(xiàn)，約80%的企業(yè)從來不對工控系統(tǒng)進行升級和漏洞修補，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內網甚至互聯(lián)網連接；此外，一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。更為嚴重的問題還在于，我們對于發(fā)現(xiàn)風險源頭缺乏手段，對控制風險的技術與方法缺乏必要的研究。

記者：如此事關國家命脈的工控系統(tǒng)信息安全問題，為何先前人們較少提及，而在近期突然成為一個新的關注點？造成這方面主要威脅的根源是什么？

歐陽武：發(fā)生于2010年7月伊朗的“震網”病毒事件，是全球首個以破壞現(xiàn)實世界的工業(yè)基礎設施為目標的蠕蟲病毒，為此伊朗核電站不得不推遲運行。2012年5月，伊朗、敘利亞等中東國家的計算機網絡又出現(xiàn)了比“震網”病毒更加復雜的“火焰”病毒，它直接竊取了伊朗石油網絡系統(tǒng)的信息，導致伊朗切斷石油部、石油出口數(shù)據中心等機構與互聯(lián)網的連接。該病毒被定性為“網絡重武器”，能夠對存儲有特定信息，比如石油工業(yè)相關信息的計算機實施監(jiān)控、截取信息乃至毀傷。

這些事件有其深刻的國際政治方面的原因，同時也讓世人猛然意識到，網絡已不再是一個單純的信息交流平臺，已經演變成政治斗爭的工具，我們不得不對工控系統(tǒng)的信息安全提高警惕。

當然，工控系統(tǒng)信息安全成為新的關注點主要有兩個方面的原因：一方面，過去的工業(yè)控制系統(tǒng)是使用專業(yè)的系統(tǒng)、專業(yè)的隊伍、專業(yè)的設備，只有小范圍人群了解和掌握。隨著計算機技術的發(fā)展，很多專業(yè)的系統(tǒng)實現(xiàn)了通用化，現(xiàn)在的工控系統(tǒng)開始在通用技術的基礎上做專業(yè)的系統(tǒng)設計，如操作系統(tǒng)、數(shù)據庫軟件、通訊協(xié)議等計算機通用產品和協(xié)議，這樣一來，存在于計算機信息系統(tǒng)中的漏洞被帶到了工控系統(tǒng)里。另一方面，長期以來工控系統(tǒng)并沒有因為信息安全問題發(fā)生大的事故，人們普遍存在“病毒很少能對工業(yè)控制系統(tǒng)造成危害”的意識。但是，伊朗的“震網”事件，給了全世界一個警示，計算機病毒不僅可以感染到工控系統(tǒng)，而且可以對控制對象進行物質破壞。

最近一個時期，人們對于網絡戰(zhàn)討論較多。此前，人們并沒有真正認識和重視網絡戰(zhàn)，認為網絡戰(zhàn)只是個概念，并不能造成物理破壞，“震網”事件徹底改變了人們的觀念。特別是近幾年一些國家開始建立網絡戰(zhàn)部隊，研制網絡戰(zhàn)武器，這也提醒我們：網絡戰(zhàn)不再是科幻小說，而是一種實實在在的戰(zhàn)爭形式。

記者：針對這種現(xiàn)狀，我們現(xiàn)在最迫切要做的是什么？政府管理部門下一步將會做哪些相關工作，采取哪些措施？

歐陽武：首先要樹立信息安全意識?，F(xiàn)在很多人對工控系統(tǒng)沒有信息安全意識，認為自己從來沒出過問題，或者認為自己是物理隔離。伊朗“震網”事件使大家認識到，物理隔離并不是完全安全的“金鐘罩”，病毒不僅可以通過廣泛使用的無線聯(lián)網方式，還可以通過介質的交叉使用等不良習慣滲透到工控系統(tǒng)中。

其次要加強安全管理。在建立安全意識之后，要把病毒可能傳播的渠道切斷，這主要分為技術手段和管理手段兩種。我們必須承認，在工控高端產品上我們還必須使用國外的產品，軟件開發(fā)中存在邏輯沖突和錯誤不可避免，徹底消除信息安全漏洞是不現(xiàn)實的，在這種現(xiàn)實情況下，就必須加強管理。當然，加強管理之前，必須搞清楚“管什么”和“怎么管”，而這也正是我們政府相關部門當前迫切要做的工作。

2011年9月29日，經國務院同意，工信部下發(fā)了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號），標志著我國工業(yè)系統(tǒng)信息安全工作的啟動?！锻ㄖ肥紫葟倪B接管理、組網管理、配置管理、設備選擇與升級管理、數(shù)據管理和應急管理等六個方面明確了工控信息安全管理的要求；同時明確了工控系統(tǒng)信息安全的主要制度，主要包括加強重點領域工業(yè)控制系統(tǒng)關鍵設備的信息安全測評工作、建立工業(yè)控制系統(tǒng)信息安全檢查制度、建立信息安全漏洞信息發(fā)布制度；最后明確了工業(yè)控制系統(tǒng)信息安全的責任，即誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，確保領導到位、機構到位、人員到位、措施到位、資金到位。

圍繞著451號文件的落實，我們還正開展一系列的工作：

安排開展了重要工業(yè)控制系統(tǒng)的摸底調查。2011年12月工信部通過向各省、自治區(qū)、直轄市的工控信息化主管部門下發(fā)了《關于開展重要工業(yè)控制系統(tǒng)基本情況調查的通知》，對重要工業(yè)控制系統(tǒng)及其應用單位、中央企業(yè)有了基本的了解，并對所有中央企業(yè)在本集團內部進行摸底調查。

建立工業(yè)控制系統(tǒng)漏洞風險通報制度。2012年8月3日，工信部辦公廳印發(fā)了《關于開展工業(yè)控制系統(tǒng)信息安全風險信息發(fā)布工作的通知》（廳函[2012]629號），對工業(yè)控制系統(tǒng)信息安全風險信息發(fā)布工作做出了安排。通知明確了信息發(fā)布的概念和形式，其中發(fā)布的范圍是希望根據漏洞信息涉及的行業(yè)定點發(fā)布，目前國內已經發(fā)布200多個漏洞。下一步，我們將定期編制風險發(fā)布的通告，并對其定點投放到相關單位；同時將致力于將漏洞的風險提示和解決漏洞的消控方案一并發(fā)布。

組織開展典型工業(yè)控制系統(tǒng)信息安全風險評估工作。工控系統(tǒng)風險評估不同于一般信息系統(tǒng)，不能直接對生產系統(tǒng)進行檢測，因此我們必須先在實驗室里針對廣泛使用的、典型的工業(yè)控制系統(tǒng)先行開展工作，進行風險分析和風險評估，然后再到生產一線去核實。這項工作技術性強，組織協(xié)調難度大，還有許多基礎性的工作需要準備。

加強宣傳培訓、提高工業(yè)控制系統(tǒng)信息安全意識和信息安全保障能力等工作。這正是今天我們舉辦這次培訓的目的。我們希望為工控系統(tǒng)的一線工作人員能夠建立信息安全的意識。由于歷史原因，工業(yè)控制系統(tǒng)在設計、部署實施、建設、運營的過程當中很少考慮到外來的、人為的破壞因素，我們在調查當中發(fā)現(xiàn)，很多人受到病毒攻擊時，就會使用隔離這一種處理手段。這些都需要我們通過宣傳和培訓去改變、解決。

記者：目前很多系統(tǒng)和關鍵信息技術都以國外為主，許多人認為解決信息安全這一難點問題要通過實現(xiàn)國產可控技術。您如何看這個問題？

歐陽武：我們曾對全國的重要工業(yè)控制系統(tǒng)進行過一次摸底調查。大量使用國外產品和系統(tǒng)是客觀現(xiàn)實，重要裝置、大型設備往往使用的都是國外產品，這種情況短期內還難以改變。因此，推進工控系統(tǒng)信息安全工作要樹立兩個意識。（1）必須堅定不移、毫不動搖地發(fā)展自己的技術。我們只有在技術上達到了先進水平甚至處于領先地位，才能從根本上保障安全。這是一個目標，而且要貫徹到我們的各項工作當中去。（2）必須正視現(xiàn)實，立足于在使用國外先進技術和產品的同時，保障工控系統(tǒng)信息安全。實際情況表明，目前國內工控產品和技術并不處于世界領先水平，經濟發(fā)展不可能讓我們等到自主技術成熟的那天再部署工控系統(tǒng)，因此，在使用國外產品和技術的同時，通過完善管理措施和保障要求保障安全，是我們必須做出的選擇。