黃河連線專訪丨陸希:如何面對(duì)工控安全的威脅?

聚焦信息技術(shù)領(lǐng)域? 為產(chǎn)業(yè)發(fā)

導(dǎo)讀

9月20日,“2017山西網(wǎng)絡(luò)信息安全高峰論壇暨第二屆工控安全高峰論壇” 在中國(guó)(太原)煤炭交易中心舉行,會(huì)議主題延續(xù)了去年的“網(wǎng)絡(luò)安全為人民 網(wǎng)絡(luò)安全靠人民”。在下午舉辦的“依法構(gòu)建工業(yè)信息安全保障體系”高峰對(duì)話上,山西工控安全聯(lián)盟專家、山西百信信息技術(shù)有限公司技術(shù)中心主任陸希在大會(huì)上發(fā)表了講話。會(huì)后,陸希老師接受了黃河連線的專訪,以下為專訪實(shí)錄:

1.黃河連線:網(wǎng)絡(luò)安全、關(guān)鍵信息基礎(chǔ)設(shè)施、工控安全之間的關(guān)系是怎樣的?

陸希:兩化融合以來(lái)網(wǎng)絡(luò)安全的定義和內(nèi)涵正在伴隨技術(shù)發(fā)展和深度融合發(fā)生著深刻演變,已經(jīng)從IT領(lǐng)域的network?security演變成為跨IT和自動(dòng)化領(lǐng)域的cyber?security,其內(nèi)涵也從數(shù)據(jù)資產(chǎn)安全演變?yōu)楦采w到數(shù)據(jù)和物理資產(chǎn)的安全。

自身已經(jīng)網(wǎng)絡(luò)化的工控系統(tǒng)是基礎(chǔ)設(shè)施發(fā)揮其社會(huì)服務(wù)功能的核心,如交通、水電氣暖供應(yīng)等,并且已經(jīng)通過(guò)和互聯(lián)網(wǎng)與工廠網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)各層級(jí)的管理深度融合,如企業(yè)資源計(jì)劃、制造執(zhí)行系統(tǒng)等。

工控系統(tǒng)的信息安全對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全已經(jīng)構(gòu)成重大影響。所以國(guó)家把工控安全作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分納入網(wǎng)絡(luò)安全法,并在國(guó)家安全的框架下統(tǒng)一治理。

2.黃河連線:中央網(wǎng)信辦、國(guó)家質(zhì)檢總局、國(guó)家標(biāo)準(zhǔn)委聯(lián)合印發(fā)的《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》上有一條,網(wǎng)絡(luò)安全將有統(tǒng)一國(guó)標(biāo)標(biāo)準(zhǔn),原則上不制定地方標(biāo)準(zhǔn)。但您在工控安全峰會(huì)上提到,山西組織編制了兩個(gè)地方標(biāo)準(zhǔn):一個(gè)涉及信息化工程安全,另一個(gè)涉及服務(wù)外包安全。這兩個(gè)之間是否矛盾?

陸希:這之間并不矛盾。既然國(guó)家層面相關(guān)部門要在國(guó)家安全的框架下實(shí)施安全治理,當(dāng)然有其頂層設(shè)計(jì)、標(biāo)準(zhǔn)和行動(dòng)計(jì)劃,地方政府責(zé)無(wú)旁貸,必須嚴(yán)格落實(shí)。但這并不影響地方政府、行業(yè)甚至企業(yè)在國(guó)家治理框架內(nèi)制定符合各自特點(diǎn)、規(guī)律和需求且更加精準(zhǔn)的個(gè)性化治理框架,包括制定地方、行業(yè)、聯(lián)盟或團(tuán)體、以及企業(yè)等各層面的標(biāo)準(zhǔn)。實(shí)際上自上而下的治理也要求這樣去做。同時(shí),國(guó)家也要求大力發(fā)展這樣的標(biāo)準(zhǔn)。

3.黃河連線:我省工控安全較其他地區(qū)工控安全有何特色?應(yīng)對(duì)措施有哪些?有什么優(yōu)勢(shì)?

陸希:我省工控安全的特色實(shí)際上是我省工業(yè)和信息化特色的寫(xiě)照。煤焦冶電化、重型制造是我省工業(yè)的傳統(tǒng)特色,自主可信計(jì)算機(jī)、生物信息技術(shù)、新能源汽車等反映了我省新興產(chǎn)業(yè)的特色。

我省工控安全與其他工業(yè)大省一樣都還在剛起步階段,都存在人才、技術(shù)、以及軟裝備高度匱乏,以及信息安全標(biāo)準(zhǔn)建設(shè)與合規(guī)性實(shí)施能力建設(shè)嚴(yán)重不足的問(wèn)題?;谶@些問(wèn)題,我省在國(guó)內(nèi)率先提出了《山西省工業(yè)控制系統(tǒng)信息安全發(fā)展規(guī)劃2017-2020》,明確提出了工作任務(wù):建設(shè)兩個(gè)體系(工控安全的管理體系和技術(shù)體系)、提升三種能力(態(tài)勢(shì)感知、安全防護(hù)、危機(jī)應(yīng)對(duì))、實(shí)施五大工程(產(chǎn)業(yè)基地、標(biāo)準(zhǔn)、試點(diǎn)示范、自主可控替代、以及數(shù)據(jù)平臺(tái))。

此外,我省的工控安全產(chǎn)業(yè)聯(lián)盟、信息安全研究院、工控安全實(shí)驗(yàn)室等官促民營(yíng)的組織機(jī)構(gòu)在國(guó)內(nèi)并不多見(jiàn)。據(jù)此大致可以說(shuō)我省在推進(jìn)工控安全工作方面應(yīng)該說(shuō)還是走在其他工業(yè)大省的前面。

4.黃河連線:今年五月份的勒索病毒對(duì)我國(guó)的石油行業(yè)造成了尤為嚴(yán)重的影響,很多相關(guān)的企業(yè)都在此次事件中受到了波及。從這個(gè)事件中,我們可以總結(jié)出哪些工控安全方面的經(jīng)驗(yàn)教訓(xùn)?

陸希:毫無(wú)疑問(wèn)這顯然是相關(guān)企業(yè)安全防護(hù)不到位的后果。反思后果的成因我覺(jué)得還不能簡(jiǎn)單的把它歸于老生常談的那些:信息安全方面意識(shí)不足、人才匱乏等;信息安全技術(shù)方面:網(wǎng)絡(luò)安全架構(gòu)不合理、邊界防護(hù)缺失等。因?yàn)槭茄肫髩艛嗟男袠I(yè),在工控安全方面有相對(duì)完善成熟的套路和足夠的資金投入。個(gè)人感覺(jué)后果的成因有可能是兩化融合后,雖然系統(tǒng)和技術(shù)等快速融合了,但IT和自動(dòng)化領(lǐng)域的信息安全意識(shí)還遠(yuǎn)未融合

5.面對(duì)工控安全的威脅,政府、企業(yè)、普通網(wǎng)民,應(yīng)該怎么做才能避免受到侵害?

陸希:這類問(wèn)題在各種媒體、報(bào)章雜志、以及技術(shù)資料等上的宣傳可以說(shuō)是鋪天蓋地了。技術(shù)創(chuàng)新帶來(lái)效率和便捷的同時(shí)也帶來(lái)了威脅和風(fēng)險(xiǎn),這是進(jìn)步的代價(jià)。究其本源,關(guān)鍵的不是能否采取什么萬(wàn)全的措施來(lái)避免風(fēng)險(xiǎn),而是在獲取便捷上能否理性或者能否克制任性,因?yàn)轱L(fēng)險(xiǎn)永遠(yuǎn)存在。既然所謂風(fēng)險(xiǎn)是威脅透過(guò)漏洞造成可能后果的價(jià)值,那么在已知的已知和未知的未知風(fēng)險(xiǎn)并存的情況下,盡快掌握安全技能、充實(shí)安全能力、安全與彈性并重、精準(zhǔn)權(quán)衡利弊、謹(jǐn)慎決策或許是網(wǎng)民、企業(yè)或政府避免侵害的最好辦法。

換句通俗的話說(shuō),越是敏感的事情,越是要有安全能力并能證明的確有這個(gè)能力,再去考慮便捷。或者反過(guò)來(lái),若一定要某種便捷,那就先掌握那種便捷的安全能力。實(shí)際上這也是網(wǎng)絡(luò)安全法中三同步原則的基本原理。既然明知防不勝防,那就在防的同時(shí)把恢復(fù)做好。

聲明:

黃河連線系太原九州連線文化傳媒有限公司旗下品牌

本平臺(tái)法律顧問(wèn)為山西晉商律師事務(wù)所

黃河連線原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明出處

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 每天記錄一些小細(xì)節(jié), 念想一下?tīng)繏斓娜耍?漸漸地, 嘴角上揚(yáng)。 給自己一份鼓勵(lì)和力量, 是對(duì)生活必不可少的承諾。
    如心初歌閱讀 192評(píng)論 0 0
  • 打坐其實(shí)一直有玩鬧性的在玩,有時(shí)候?yàn)榱搜bB,有時(shí)候?yàn)榱嗽囋囎约旱娜犴g度,從來(lái)不知道原來(lái)打坐可以這樣美...... ...
    林妖閱讀 814評(píng)論 0 4
  • 文/溢出來(lái)的草 你有沒(méi)有過(guò)這樣的經(jīng)歷?就是想做的事情很多,感興趣的事情也很多,內(nèi)心對(duì)它們無(wú)限渴望,但卻很少行動(dòng),事...
    溢出來(lái)的草閱讀 1,608評(píng)論 6 6

友情鏈接更多精彩內(nèi)容