工业信息安全无疑是当前工控领域热点中的热点。从震网病毒肆虐伊朗核材料生产基地开始,信息安全这个话题引起工控人的真正关注,但有关专家指出,震网病毒并非始作俑者,只是它的重大影响令全球工业信息安全话题走到台前。近期国家领导人发起成立国家网络安全与信息化小组的新闻,或是2014年工业信息安全相关标准将出台的传闻,都明确地释放出这样的信号,即国家层面对信息网络安全重大挑战的高度重视,而围绕工业信息安全将有前所未有的达标式的推进工作随之展开。
那么,国内用户对这一话题的理解中存在哪些可能的误区呢?我们试着剖析以下与之相关的几个问题:
(1)工业信息安全风险是炒作吗?
答:肯定不是。随着工业领域生产系统网络化、系统化、高度自动化的发展,信息安全问题在工业中一下子凸显起来,尤其是国家当前大力推进借助互联网基础构建物联网,企业可因此远程监控自身生产数据,甚至执行远程操作。这同时也给黑客远程攻击、操控生产网络,提供了理论上的可能。虽然当前国内未听说企业因网络安全造成重大生产安全事故,但因控制系统漏洞遭病毒攻击而造成危险设备的状态数据采集失效的情况当然存在。企业领导对此是否有深刻认识,还要画个问号。显然,人们更习惯于亡羊补牢,而不是防微杜渐。生产系统遭遇网络攻击的损失或大或小,而若置之不理,一旦造成无法挽回的重大人员财产损失,那么负责人是否会因此获罪也就不得而知了。
(2)生产遭遇网络攻击,引发重大安全事故,责任在谁?
答:这个疑问的提出显然是以棱镜门,伊朗核生产设施遭网络攻击等典型事件为背景的。信息安全挑战本身就是敏感话题,而升级到国家安全层面的现实令问题更加敏感。国家互联网应急中心安全运行处王明华处长介绍,生产企业信息安全工作本着谁拥有、谁运营、谁负责的基本原则,是否涉及国家力量的介入,有相应的“对等原则”。从受威胁对象上划分:如网络攻击针对政府,整个行业,或攻击实施者有组织、有预谋,再或确认是国家行为的针对我国任何个体单位的攻击,都是我国政府调动力量对等介入的依据。国家响应级别又将和安全受威胁程度相关。王明华处长把这类比喻成个体感冒,或是流感爆发,还是SARS爆发的应对级别,非常形象易懂。
(3)工业信息安全只是一个技术问题吗?
答:信息安全防护问题是技术问题,更是涉及人为因素的系统问题。如果系统有身份认证,工程师却嫌麻烦而不设密码,或设置极其简单的密码,那这一环节的“门”就是敞开的。西门子中国研究院信息安全部负责人唐文博士说,如果给PLC的操作设置好密码,那你就已经有了一道工业信息安全的重要屏障了。这没有任何附加投资,但工程师往往嫌它麻烦。
(4)工业信息安全只是个IT问题吗?
答:工业安全在工业生产中自然是最基本的前提条件,但信息安全是由于生产网络化、信息化、高集成自动化后形成的新问题。由于现场控制系统设备,如PLC的计算能力有限,控制网络的传输速率也参差不齐,生产控制在功能上还要确保实时性的硬性指标,所以套用传统IT方法显然不太现实。工控厂商的介入也是形势所逼。
(5)工业信息安全投入是只见投资、不见受益的纯消耗吗?
答:不出事就是好事。这也许是安全议题的一贯衡量标准。艾默生过程管理公司全球石油石化业务负责人Larry先生对此的新近观点让人耳目一新。他说,衡量工业信息安全的ROI(投入产出比)要从大处着眼。企业要实现的是生产、商业一体化,构建面向未来的物联网、大数据的智能决策平台。此愿景价值不可限量。作为实现这一目标所必需的投资细节组成部分,工业信息安全投资量非常有限。
(6)解决工业信息安全问题是否亲疏有别?
答:工业信息安全既然已经上升到国家安全层面,好像只有上阵还需父子兵的思路才是可靠的解决问题之道。这貌似给本土拥有技术实力,但缺乏品牌影响力的相关企业提供了国内良好的市场氛围,但事实仍有出入。本土专业服务商同样也会面对这样的情况,即用户不愿让其了解控制组网细节,甚至更相信自己非专业人员的意见。
嫡系就一定可靠吗?微软出于自身商业考虑停止了对Windows XP系统的支持。对此,国内各信息安全厂商一边倒地边谴责边向国内XP系统用户郑重承诺将代为提供信息安全保障。然而,有专家透露,病毒攻击还好对付,只是需持续更新的系统漏洞补丁涉及微软平台开发细节,安全厂商相关资源不足,恐难有效解决。这令国内厂商有瘸腿之嫌的保障能力凸显尴尬。所以,在工业信息安全解决方案上英雄不较实力只较出身,那很可能为问题埋下不必要的隐患。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。