中国电子信息产业集团有限公司第六研究所 总工程师 徐新国

控制网：您如何看待当前倍受关注的工业控制系统信息安全问题？

    徐新国：工业控制系统信息安全问题其实一直存在，只是因为原来的工控系统相对封闭，这方面暴露出的问题较少，没有得到相应的重视。但是随着近年来信息技术的快速发展，工控系统越来越开放，更多的采用通用操作系统、通讯协议和标准，与信息化系统结合也越来越紧密，信息安全的问题也就显得尤为突出，“震网”病毒事件为我们敲响了警钟。早在2010年我们就向工信部信息安全协调司提交了“关于工业控制系统信息安全应当引起高度重视的情况报告和相关管理建议”，工控系统在我国已经广泛应用于国民经济的各主要行业和领域，成为国家关键基础设施的重要组成，但是绝大部分采用国外产品，一旦出现问题往往是灾难性的，造成的损失也是巨大的，因此工控系统的安全问题是关系国家经济安全和战略安全的重要问题。

控制网：工业控制系统的安全漏洞有哪些？

    徐新国：工控系统包括的种类很多，根据不同的应用环境，大致可以分为设备级、现场级和系统级。设备级和现场级系统大多采用嵌入式的结构，使用专用实时操作系统和实时数据库。由于其计算资源有限，为了保证实时性和可用性，系统在设计时往往无法过多考虑信息安全的需求，从关键芯片到文件系统、进程调度、内存分配等都可能存在安全漏洞。随着设备和现场级系统越来越智能化和网络化，它已经成为重点攻击目标。类似“震网”病毒入侵PLC这种具有很强目的性和专业性的入侵攻击，一旦掌握了系统的安全漏洞，其后果和损失往往是巨大的。在系统级，由于考虑人机交互以及与其它生产管理系统、信息系统的互联，越来越多的采用通用操作系统，例如操作员站一般采用的都是WINDOWS平台，但为了系统的稳定运行，通常现场工程师在系统投入运行后不会对系统平台安装任何补丁，从而使通用操作系统的安全漏洞暴露无遗。

    在网络方面，随着TCP/IP 协议和OPC 协议等通用协议越来越广泛地应用在工业控制网络中，通信协议漏洞问题也日益突出。例如：OPC通讯采用不固定的端口号，导致目前几乎无法使用传统的IT防火墙来确保其安全性。

    对于应用软件，一方面随着越来越多的功能要求，工业软件的规模和复杂度不断增大，再加上普遍使用中断和优先级来满足系统实时性需求，带来了软件流程不确定性问题，这些都加大了对软件进行测试的难度。另一方面由于缺少统一的安全防护规范，工业软件普遍存在安全设计缺陷，而应用软件产生的漏洞是最容易被攻击者利用，取得被控设备的控制权，从而造成严重后果。

控制网：工业控制系统信息安全问题的发生有何特点？在哪些应用领域中易于发生？

    徐新国：工控系统面临的威胁可以来自多种来源，既包括来自外部的对抗性威胁，如敌对政府、恐怖组织、工业间谍、恶意入侵者等，也包括内部问题引起的威胁，如系统的复杂性或设计缺陷、人为错误和意外事故、设备故障等等。无论哪种威胁，最终都是通过工控系统本身的错误动作、故障甚至崩溃引起被控设备的意外停机、严重损坏来体现的。伊朗布什尔核电站事件就是一个典型的例子，“震网”病毒通过传统的传播方式感染了大量的计算机，但只有当其被带入核电站控制系统后才发作，它取得了系统的控制权，使控制系统发出错误的运行指令，同时发布欺骗信息，最终导致被控的关键设备超负荷运行直至损毁。由此可见，来自外部的威胁，通过内部的安全漏洞，取得控制系统的合法权限并发生作用，往往更难防范，造成的损失也更巨大。

    随着类似事件的不断发生，我们应该意识到，此类事件的目的性、隐蔽性和专业性越来越强，它已不再是企业层面的问题，而是涉及国家战略安全的问题。在我国重要基础设施中的工控系统都可能面临着严重的安全威胁，越是应用环境复杂，性能要求和安全要求都很高的领域，例如电力、石化、轨道交通等，越是需要重点防范。

控制网：信息安全不是一个新的话题，您认为工业控制系统的信息安全与传统IT领域的信息安全有何不同？

    徐新国：工控系统与一般IT系统在性能需求、可用性需求等方面都存在很大差异。工控系统首先要求实时性、低延迟，它可用的计算资源往往非常有限，尤其是在嵌入式系统中，都要求最大限度地控制系统资源，很少甚至没有额外容量给第三方的网络安全解决方案。在可用性方面，工控系统一般都要求长时间连续运行，不定期杀毒、升级、打补丁，以及意外重启或停机都是不能允许的。另外，在工控系统的应用部门中，与信息系统的管理人员和管理模式也往往是不同的。这些因素都导致目前商用的信息安全解决方案不可能直接用于工控系统，靠牺牲实时性和可用性来达到安全的目的在工控系统中是不可取的。

    在安全性要求方面，由于工控系统与物理设备紧密相连，不仅要求信息安全，更要求功能安全，一旦信息安全的问题导致系统功能安全的破坏，其后果将是灾难性的，因此，将功能安全与信息安全完全的割裂开来，只采用传统的信息安全防护手段，即便这些防护手段已经过适用性和兼容性的改造和测试，也远远不能满足工控系统安全的需求。只有将两者融合成一个无缝的安全体系，充分发挥不同的安全技术协作优势，才能达到1+1>2的效果，保障工业系统的安全运行。

    总的来说，工控系统安全漏洞存在于多层次和多环节中，在资源受限的条件下，传统信息安全防护手段固有的被动性和滞后性，无法满足工控系统本质安全的需要。特别是我国工控系统缺乏自主可控技术，主要软硬件依赖进口，安全问题受制于人。只有将安全设计的理念融入系统设计中，在研究统一的贯穿整个系统的安全设计框架基础上，研发自主安全的核心芯片、实时操作系统和数据库、工业应用软件等，才能真正做到自主可信、安全可控。

控制网：当前针对工业控制系统信息安全问题有哪些应对策略？能否满足应对危机的需求？

    徐新国：从国家层面上看，工信部在去年发布了《关于加强工业控制系统信息安全管理的通知》（451号文），并将风险评估列入2012年的工作重点。今年6月在《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》中，也特别强调要加强重要领域工业控制系统的安全防护和管理，定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评，实行安全风险和漏洞通报制度。目前，工信部正在开展对我国关键基础设施中的工控系统信息安全问题的大规模调查工作。国家发改委也在今年的信息安全专项中支持工控系统信息安全产品产业化和专业服务方面的项目。电力、石化等重点行业和领域，正在开展相关行业标准和国家标准的制定。

    从技术的角度看，我国的研究工作刚刚起步，关键的技术和工控系统对国外产品的依赖程度很高，对于巨大的存量市场，短期内很难做到自主可控。对于增量市场，尚未形成一套切实可行的统一安全架构和安全体系。

    在管理体制方面，目前还缺乏对工控系统产品的信息安全检测、评估、认证手段和机制，这必须是国家和政府行为，仅靠企业是无法推动的。可以借鉴美国的做法，依托模拟仿真平台、综合采用现场检查测评与实验室测评相结合的测评方法。以模拟仿真平台为基础，开展验证服务和自主可控测评服务。

控制网：您认为面对越来越频繁发生的工业控制系统信息安全问题，当前最紧迫的事情是什么？应该从哪些方面着手？

    徐新国：在国家层面，应尽快加强对工业控制系统信息安全防护工作的组织领导和宏观规划；深入研究设计工业控制系统信息安全防护体系架构，制定工业控制系统信息安全防护策略；打破各自为战的格局，推进工业控制系统信息安全防护体系建设，开展工业控制系统信息安全漏洞分析、风险评估、准入认证工作，加快建立相关行业及国家标准。

    加大技术研究投资的力度。工控系统信息安全的特殊性和重要性，决定了它不能按照传统信息安全的解决路线来走，更不能只依靠现有的信息安全技术和产品。国家应重点支持对自主可控的一体化安全框架的研究，包括其相关的关键、共性和支撑技术；鼓励对控制技术、信息技术、电力电子技术等相关技术和信息安全技术融合的研究；落实针对不同行业特点的仿真验证测试平台的搭建。

    在产业层面，要打破行业界限，加强联合，产生一批跨信息安全、自动控制等领域的企业，一方面根据不同行业的特点，针对巨大的存量市场，在研究资源受限条件下轻量级、可裁剪的信息安全技术的同时，按照功能安全与信息安全融合的思路，研究具有主动防御功能的工控信息安全产品，例如目前我们正在研究适用于终端设备、控制现场和上层监控系统的“防危”机制和“防危”产品。它的作用是保护关键、重要设备不被非法操作，既防止取得控制系统合法权限的外部恶意攻击对设备的破坏性操作，也防止由于系统复杂性和设计缺陷、以及内部误操作等带来的安全隐患，保证相关联设备处于安全状态，预见和避免灾难性后果的发生。另一方面，面向未来的增量市场，在安全设计框架基础上，掌握实时操作系统、实时数据库等核心技术，研究融合控制技术、信息技术、信息安全技术的新一代自主可信工业控制系统。

    总之，工控系统的信息安全要靠政府和行业、企业共同建立和完善一整套安全防护体系，更重要的是必须改变被动防御的思路，才能实现自主、可控、本质安全的目标。