工控安全方案出臺遙遙無期 工控系統(tǒng)何時不“裸奔”

相比互聯(lián)網(wǎng)信息安全領域的熱絡，工控安全作為信息安全的重要領域卻一直“備受冷落”。周四參加工控安全與測試自動化服務高峰論壇的多位專家都認為，工控安全問題遠未解決且目前狀況尷尬。

“抓一把，一把都是漏洞。”國際領先的工控安全測試公司科諾康中國區(qū)首席代表張威表示。張威提供的數(shù)據(jù)顯示，記錄到的工控領域共計2010年有幾十起，而到2013年已呈現(xiàn)幾何數(shù)量上升。

政策層面，多個相關文件早已出爐，其中最主要的工控系統(tǒng)信息安全的政策來自工信部2011年451號文(《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》)，而近期工信部信息安全專項中也專門提及到工控領域安全問題。

451號文明確，重點加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、鐵路、民航、城市供水供氣供熱等領域的工業(yè)控制系統(tǒng)信息安全管理，落實安全管理要求。

張威(科諾康)認為，國內(nèi)工業(yè)控制領域使用了很多國外產(chǎn)品，“我們也不知道會不會有問題，下一步國家在此領域會加強”。而上海信息安全協(xié)會副秘書長王懷賓表示，核心工業(yè)領域很多部分使用西門子等國外產(chǎn)品，還是有非常大的隱患。

工控安全問題明顯，但解決卻很困難。信息安全領域咨詢公司安言咨詢技術總監(jiān)張威表示，“有很好的解決方案么，我認為無解，風險通過技術控制能到什么程度，也很難講”。

由于工業(yè)控制領域不同于普通IT設備，操作系統(tǒng)升級、漏洞補丁添加都是很困難的，“工控系統(tǒng)一上線就是10至20幾年持續(xù)使用，沒有升級，也沒法升級，其中補丁問題絕對是一個痛”，張威(安言咨詢)表示。

由于停擺對工業(yè)生產(chǎn)領域影響極大，所以工業(yè)控制領域對于持續(xù)運作要求很高，這就直接導致了無法對系統(tǒng)漏洞進行修補，“裸奔”被一位專家用來形容工控系統(tǒng)的現(xiàn)狀。與此同時，傳統(tǒng)的物理隔離方法也正日益失去效力，“工控網(wǎng)絡和管理網(wǎng)絡等完全脫離已經(jīng)不現(xiàn)實了”。

周四的論壇中，多名來自航天航空、煙草、電力等企業(yè)代表參加，與會多方都表示國內(nèi)工控安全落后歐美十余年，目前也沒有較好的總體解決方案，大家都在各自嘗試，但“摸石頭過河”，前景仍不明朗。