聚焦信息技術(shù)領(lǐng)域? 為產(chǎn)業(yè)發(fā)聲

導(dǎo)讀

9月20日，“2017山西網(wǎng)絡(luò)信息安全高峰論壇暨第二屆工控安全高峰論壇” 在中國(guó)（太原）煤炭交易中心舉行，會(huì)議主題延續(xù)了去年的“網(wǎng)絡(luò)安全為人民 網(wǎng)絡(luò)安全靠人民”。在下午舉辦的“依法構(gòu)建工業(yè)信息安全保障體系”高峰對(duì)話上，山西工控安全聯(lián)盟專家、山西百信信息技術(shù)有限公司技術(shù)中心主任陸希在大會(huì)上發(fā)表了講話。會(huì)后，陸希老師接受了黃河連線的專訪，以下為專訪實(shí)錄：

1.黃河連線：網(wǎng)絡(luò)安全、關(guān)鍵信息基礎(chǔ)設(shè)施、工控安全之間的關(guān)系是怎樣的？

陸希：兩化融合以來(lái)網(wǎng)絡(luò)安全的定義和內(nèi)涵正在伴隨技術(shù)發(fā)展和深度融合發(fā)生著深刻演變，已經(jīng)從IT領(lǐng)域的network?security演變成為跨IT和自動(dòng)化領(lǐng)域的cyber?security，其內(nèi)涵也從數(shù)據(jù)資產(chǎn)安全演變?yōu)楦采w到數(shù)據(jù)和物理資產(chǎn)的安全。

自身已經(jīng)網(wǎng)絡(luò)化的工控系統(tǒng)是基礎(chǔ)設(shè)施發(fā)揮其社會(huì)服務(wù)功能的核心，如交通、水電氣暖供應(yīng)等，并且已經(jīng)通過(guò)和互聯(lián)網(wǎng)與工廠網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)各層級(jí)的管理深度融合，如企業(yè)資源計(jì)劃、制造執(zhí)行系統(tǒng)等。

工控系統(tǒng)的信息安全對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全已經(jīng)構(gòu)成重大影響。所以國(guó)家把工控安全作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分納入網(wǎng)絡(luò)安全法，并在國(guó)家安全的框架下統(tǒng)一治理。

2.黃河連線：中央網(wǎng)信辦、國(guó)家質(zhì)檢總局、國(guó)家標(biāo)準(zhǔn)委聯(lián)合印發(fā)的《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》上有一條，網(wǎng)絡(luò)安全將有統(tǒng)一國(guó)標(biāo)標(biāo)準(zhǔn)，原則上不制定地方標(biāo)準(zhǔn)。但您在工控安全峰會(huì)上提到，山西組織編制了兩個(gè)地方標(biāo)準(zhǔn)：一個(gè)涉及信息化工程安全，另一個(gè)涉及服務(wù)外包安全。這兩個(gè)之間是否矛盾？

陸希：這之間并不矛盾。既然國(guó)家層面相關(guān)部門要在國(guó)家安全的框架下實(shí)施安全治理，當(dāng)然有其頂層設(shè)計(jì)、標(biāo)準(zhǔn)和行動(dòng)計(jì)劃，地方政府責(zé)無(wú)旁貸，必須嚴(yán)格落實(shí)。但這并不影響地方政府、行業(yè)甚至企業(yè)在國(guó)家治理框架內(nèi)制定符合各自特點(diǎn)、規(guī)律和需求且更加精準(zhǔn)的個(gè)性化治理框架，包括制定地方、行業(yè)、聯(lián)盟或團(tuán)體、以及企業(yè)等各層面的標(biāo)準(zhǔn)。實(shí)際上自上而下的治理也要求這樣去做。同時(shí)，國(guó)家也要求大力發(fā)展這樣的標(biāo)準(zhǔn)。

3.黃河連線：我省工控安全較其他地區(qū)工控安全有何特色？應(yīng)對(duì)措施有哪些？有什么優(yōu)勢(shì)？

陸希：我省工控安全的特色實(shí)際上是我省工業(yè)和信息化特色的寫(xiě)照。煤焦冶電化、重型制造是我省工業(yè)的傳統(tǒng)特色，自主可信計(jì)算機(jī)、生物信息技術(shù)、新能源汽車等反映了我省新興產(chǎn)業(yè)的特色。

我省工控安全與其他工業(yè)大省一樣都還在剛起步階段，都存在人才、技術(shù)、以及軟裝備高度匱乏，以及信息安全標(biāo)準(zhǔn)建設(shè)與合規(guī)性實(shí)施能力建設(shè)嚴(yán)重不足的問(wèn)題?；谶@些問(wèn)題，我省在國(guó)內(nèi)率先提出了《山西省工業(yè)控制系統(tǒng)信息安全發(fā)展規(guī)劃2017-2020》，明確提出了工作任務(wù)：建設(shè)兩個(gè)體系（工控安全的管理體系和技術(shù)體系）、提升三種能力（態(tài)勢(shì)感知、安全防護(hù)、危機(jī)應(yīng)對(duì)）、實(shí)施五大工程（產(chǎn)業(yè)基地、標(biāo)準(zhǔn)、試點(diǎn)示范、自主可控替代、以及數(shù)據(jù)平臺(tái)）。

此外，我省的工控安全產(chǎn)業(yè)聯(lián)盟、信息安全研究院、工控安全實(shí)驗(yàn)室等官促民營(yíng)的組織機(jī)構(gòu)在國(guó)內(nèi)并不多見(jiàn)。據(jù)此大致可以說(shuō)我省在推進(jìn)工控安全工作方面應(yīng)該說(shuō)還是走在其他工業(yè)大省的前面。

4.黃河連線：今年五月份的勒索病毒對(duì)我國(guó)的石油行業(yè)造成了尤為嚴(yán)重的影響，很多相關(guān)的企業(yè)都在此次事件中受到了波及。從這個(gè)事件中，我們可以總結(jié)出哪些工控安全方面的經(jīng)驗(yàn)教訓(xùn)？

陸希：毫無(wú)疑問(wèn)這顯然是相關(guān)企業(yè)安全防護(hù)不到位的后果。反思后果的成因我覺(jué)得還不能簡(jiǎn)單的把它歸于老生常談的那些：信息安全方面意識(shí)不足、人才匱乏等；信息安全技術(shù)方面：網(wǎng)絡(luò)安全架構(gòu)不合理、邊界防護(hù)缺失等。因?yàn)槭茄肫髩艛嗟男袠I(yè)，在工控安全方面有相對(duì)完善成熟的套路和足夠的資金投入。個(gè)人感覺(jué)后果的成因有可能是兩化融合后，雖然系統(tǒng)和技術(shù)等快速融合了，但IT和自動(dòng)化領(lǐng)域的信息安全意識(shí)還遠(yuǎn)未融合。

5.面對(duì)工控安全的威脅，政府、企業(yè)、普通網(wǎng)民，應(yīng)該怎么做才能避免受到侵害？

陸希：這類問(wèn)題在各種媒體、報(bào)章雜志、以及技術(shù)資料等上的宣傳可以說(shuō)是鋪天蓋地了。技術(shù)創(chuàng)新帶來(lái)效率和便捷的同時(shí)也帶來(lái)了威脅和風(fēng)險(xiǎn)，這是進(jìn)步的代價(jià)。究其本源，關(guān)鍵的不是能否采取什么萬(wàn)全的措施來(lái)避免風(fēng)險(xiǎn)，而是在獲取便捷上能否理性或者能否克制任性，因?yàn)轱L(fēng)險(xiǎn)永遠(yuǎn)存在。既然所謂風(fēng)險(xiǎn)是威脅透過(guò)漏洞造成可能后果的價(jià)值，那么在已知的已知和未知的未知風(fēng)險(xiǎn)并存的情況下，盡快掌握安全技能、充實(shí)安全能力、安全與彈性并重、精準(zhǔn)權(quán)衡利弊、謹(jǐn)慎決策或許是網(wǎng)民、企業(yè)或政府避免侵害的最好辦法。

換句通俗的話說(shuō)，越是敏感的事情，越是要有安全能力并能證明的確有這個(gè)能力，再去考慮便捷。或者反過(guò)來(lái)，若一定要某種便捷，那就先掌握那種便捷的安全能力。實(shí)際上這也是網(wǎng)絡(luò)安全法中三同步原則的基本原理。既然明知防不勝防，那就在防的同時(shí)把恢復(fù)做好。

聲明：

黃河連線系太原九州連線文化傳媒有限公司旗下品牌

本平臺(tái)法律顧問(wèn)為山西晉商律師事務(wù)所

黃河連線原創(chuàng)文章，轉(zhuǎn)載請(qǐng)注明出處