工业信息安全潜在误区初探

发布时间：2014-05-27 作者：www.cechina.cn

        工业信息安全无疑是当前工控领域热点中的热点。从震网病毒肆虐伊朗核材料生产基地开始，信息安全这个话题引起工控人的真正关注。但有关专家指出，震网病毒并非始作俑者，只是其重大影响令全球工业信息安全话题走到台前。近期国家领导人发起成立国家网络安全与信息化小组的新闻，以及今年工业信息安全相关标准将出台的传闻，都明确地释放出这样的信号：即国家层面对信息网络安全重大挑战的高度重视，而围绕工业信息安全将有前所未有的达标式的推进工作将随之展开。在此，我归纳了工控界对此话题的一些争议，并把自己基于采访、交流所获得的了解、认识与您在此分享、探讨。
        1.工业信息安全风险是炒作吗？
        肯定不是。随着工业领域生产系统网络化，系统化，高度自动化的发展，信息安全问题在工业中一下子凸显起来了，尤其是国家当前大力推进的借助互联网基础构建物联网，企业可因此远程监控自身生产数据，甚至执行远程操作，这同时也给黑客远程攻击、操控生产网络提供了理论上的可能。虽然当前国内未听说企业因网络安全造成重大生产安全事故，但因控制系统漏洞遭病毒攻击，造成危险设备的状态数据采集失效的情况当然存在。
        2.生产遭遇网络攻击，引发重大安全事故，责任在谁？
        这个疑问的提出显然是以如棱镜门、伊朗核生产设施遭网络攻击等典型事件为背景的。信息安全挑战本身就是敏感话题，升级到国家安全层面的现实令问题更加敏感。国家互联网应急中心安全运行处王明华处长介绍，生产企业信息安全工作本着谁拥有、谁运营、谁负责的基本原则，是否涉及到国家力量的介入，有相应的“对等原则”。从受威胁对象上划分：如网络攻击针对政府、整个行业，或攻击实施者有组织有预谋，再或确认是国家行为的针对我国任何个体单位的攻击，这都是我国政府调动力量对等介入的依据。国家响应级别又将和安全受威胁程度相关，王明华处长把这类比为是个体感冒，或是流感爆发，还是SARS爆发的应对级别，非常形象易懂。
        3.工业信息安全只是个技术问题吗？
        信息安全防护问题是技术问题，更是涉及人因的系统问题。如果系统有身份认证，工程师却嫌麻烦而不设密码，或设置极其简单的密码，那这一环节的“门”就是敞开的。西门子中国研究院信息安全部负责人唐文博士说，如果给PLC的操作设置好密码，那你就已经有了一道工业信息安全的重要屏障了，这没有任何附加投资，但工程师往往嫌它麻烦。
        4.工业信息安全只是个IT问题吗？
        工业安全在工业生产中自然是最基本的前提条件，但信息安全却是由于生产网络化、信息化、高集成自动化后形成的新问题。由于现场控制系统设备如PLC的计算能力有限，控制网络的传输速率也参差不齐，生产控制在功能上还要确保实时性的硬性指标，所以套用传统IT方法显然不太现实。工控厂商的介入也是形势所逼。
        5.工业信息安全投入是只见投资、不见收益的纯消耗吗？
        不出事就是好事，这也许是安全议题的一贯衡量标准。而艾默生过程管理公司全球石油石化业务负责人Larry先生对此的新近观点让人耳目一新。他说，衡量工业信息安全的ROI（投入产出比）要从大处着眼。企业要实现的是生产、商业一体化，构建面向未来的物联网、大数据的智能决策平台，此愿景价值不可限量。作为实现这一目标必需的投资细节组成部分，工业信息安全投资量非常有限。
        6.解决工业信息安全问题是否亲疏有别？
        工业信息安全既然已经上升到国家安全层面，好像上阵还需父子兵的思路才是可靠的解决问题之道。这貌似给本土拥有技术实力，但缺乏品牌影响力的相关企业提供了国内良好的市场氛围，但事实仍有出入，本土专业服务商也同样会面对用户不愿让其了解控制组网细节，甚至更相信自己非专业人员的意见的情况。
        嫡系就一定可靠吗？微软出于自身商业考虑停止了对Windows XP系统的支持，国内各信息安全厂商对其一边倒地谴责，同时向国内XP系统用户郑重承诺将代为提供信息安全保障。然而，有专家透露，病毒攻击还好对付，只是需持续更新的系统漏洞补丁涉及微软平台开发细节，安全厂商相关资源不足，恐难有效解决。这令国内厂商有瘸腿之嫌的保障能力凸显尴尬。所以在工业信息安全解决方案上英雄不较实力只较出身，那很可能为问题埋下不必要的隐患。