目前,我国工业控制系统信息安全问题其实一直存在,它的安全隐患主要来自两方面。第一是在安全性方面往往缺乏完整的设计;第二是信息技术的引入放了大控制系统的安全问题。工控安全最重要的就是系统的本质安全问题。
工业控制系统信息安全问题其实一直存在,如何解决这个问题?华北计算机系统工程研究所总工程师徐新国表示,在具体措施方面,首先,应该先从立法入手,改变安全问题受制于人的现状。其次,就是需要各部委联合,集整个国家之力来推动这件事。
规范国外产品进入中国市场,国家应该推行准入制。
随着工业化和信息化的深度融合,公共基础设施通过工业控制系统也分享了"两化"融合所带来的管理水平提升的成果,同时也把互联网虚拟世界的破坏带进了真实的物理空间。
当前中国工业控制领域的基本格局如何?中国的基础工业设施面临哪些威胁和挑战?如何打破外国企业产品在工控系统关键产品的市场垄断优势?记者专访了华北计算机系统工程研究所总工程师徐新国。他认为,只有从国家层面整合资源,推动国外产品进入国内市场的准入制度建设,创新发展国内工控系统防御思路,才能缓解目前工控安全领域的危机。
CEI:目前我国的工控安全现状如何?面临的问题是怎么形成的?
徐新国:工业控制系统信息安全问题其实一直存在,它的安全隐患主要来自两方面。首先,传统工控系统在设计之初,计算资源和存储资源都非常有限,首要考虑的是实时性和功能性,在安全性方面往往缺乏完整的设计。
其次,随着信息技术的快速发展,工控系统变得越来越开放,特别是近年来国家推进工业化和信息化的深度融合,也是信息技术与控制技术融合的一个过程。工控系统与其他信息化系统结合越来越紧密,大量采用通用的操作系统平台、数据库系统、通讯协议和标准等信息技术,信息技术本身就存在安全隐患,它的引入势必放大控制系统的安全问题。
工控系统本身的重要性和应用环境的复杂性决定了它的安全问题并不仅仅是信息的泄露和安全,更重要的是它的安全性一旦遭到破坏可能引起与之相连的生产系统、生活系统也遭到破坏,造成重大安全事故、人员财产损失以及生态环境破坏。工控安全最重要的就是系统的本质安全问题。
CEI:关键基础设施的工控安全主要体现在哪些领域?
徐新国:传统信息安全关注的是虚拟网络的安全,工控系统安全则与现实世界紧密联系,整个国民经济的各个领域都离不开工控系统,尤其是在电力(包括核电)、石油石化以及轨道交通等关键基础设施中的工控系统。它不仅是企业层面的问题,还是涉及国家基础经济和战略安全的重要问题,这些领域都是我们首要关注的领域。
CEI:国内目前有没有可以解决本质安全问题的工控产品?
徐新国:事实上,中国工控产品的市场格局正是我们最担忧的问题。中国关键基础设施的控制系统现在有相当大的比例是国外公司供应的,比如西门子、施耐德和西屋电气等。关键系统由国外企业的产品运行就存在一些不可控的风险,如果采用的系统和数据库内核是别人的,别人只需要简单的逻辑激发就可以使你的系统瘫痪。
目前国内的工控产品,特别是高端工控系统方面实力还很弱,确实无法完全替代国外产品。像城铁系统的信号控制部分,目前工业和信息化部批准的9家有竞标资格的企业所采用的核心技术都依赖于国外。
CEI:那你认为工控安全的问题应该如何解决?
徐新国:多年来我们一直在工业控制领域进行相关技术和产品的研究,工控安全问题我们很早就开始关注。在具体措施方面,首先,我认为应该先从立法入手,改变安全问题受制于人的现状。美国在这方面的做法值得参考,他颁布了国土安全总统令、联邦信息安全管理法、国家基础设施保护计划等相关法规战略以及配套的标准和指南,要求产品生产企业充分披露相关信息。而俄罗斯则推行了审查制,国外的产品要进入市场必须经过专门的测试、考评、认证和白盒审查。