如果國內(nèi)安全廠商在平時不能對工控做構(gòu)建等準(zhǔn)備，一旦出現(xiàn)安全事故再進場，必然十分茫然。

　　今年8月有一件事讓筆者感到遺憾——在高鐵事故調(diào)查組中沒有見到信息安全專家的身影。雖然狹義上看這并非一起信息安全事故，但我們應(yīng)該看到，由物理安全和電氣安全組成的現(xiàn)有工業(yè)系統(tǒng)安全觀已經(jīng)陳舊，面對復(fù)雜的國際形勢和國內(nèi)情況，中國高鐵的安全以至整個工業(yè)體系的安全都需要經(jīng)得起國土安全角度的考察和推敲。

　　這種檢視不但要基于常態(tài)運營，更要基于突發(fā)事件、自然災(zāi)害、恐怖襲擊等。潛在的威脅不僅來自物理層面上，還可能來自信號層面和信息層面，此時就需要信息安全專家的出場了。

　　在動車事故發(fā)生前，高鐵系統(tǒng)已經(jīng)發(fā)生了3起電氣事故。網(wǎng)上曾出現(xiàn)傳言稱這幾起事故是某些國家釋放出蠕蟲所致。我對此做了搜索對比，發(fā)現(xiàn)這一傳言是由此前在《新京報》的一篇報道中的部分文字與一些所謂“蠕蟲”的消息拼接而成。從內(nèi)容上看，漏洞百出，質(zhì)量極低。但就是這樣一條假新聞，卻被國內(nèi)網(wǎng)站大量轉(zhuǎn)載，其中不乏專業(yè)的電氣技術(shù)協(xié)會組織。

　　全球工業(yè)系統(tǒng)的安全形勢已經(jīng)是危機四伏。該領(lǐng)域代表性企業(yè)西門子公司的產(chǎn)品必然是攻防雙方的一個重點戰(zhàn)場。在8月6日的Black Hat USA大會上，安全專家Dillon Beresford介紹了在西門子公司工業(yè)控制系統(tǒng)中發(fā)現(xiàn)更多漏洞的情況，這些漏洞包括復(fù)活節(jié)彩蛋、可用于發(fā)起遠(yuǎn)程拒絕服務(wù)攻擊的漏洞，甚至是管理賬號和密碼硬編碼漏洞。

　　應(yīng)當(dāng)指出，在2010年的震網(wǎng)（Stuxnet）蠕蟲事件中，將用戶名和口令硬編碼到應(yīng)用程序中的問題已經(jīng)出現(xiàn)在了西門子公司的WinCC產(chǎn)品中，并成為震網(wǎng)蠕蟲攻擊的重要環(huán)節(jié)。這種不符合基本開發(fā)規(guī)范的編碼實現(xiàn)，也意味著攻擊者一旦發(fā)現(xiàn)并利用，就可以通吃通殺，而防守方卻無法徹底解決問題。

　　震網(wǎng)蠕蟲事件時，我們曾指出數(shù)據(jù)、配置、代碼三分開也是工控系統(tǒng)開發(fā)的基本原則。但可以看到，西門子公司并未對相關(guān)問題做出調(diào)整。這似乎表明西門子公司仍然用產(chǎn)品私密性來保障其體系的安全。他們是否還以為，將更多權(quán)限開放給用戶并不是應(yīng)對安全問題的有效方法，而只會給自己帶來更多麻煩？如果西門子公司沒有其他層面的蓄意，我們只能認(rèn)為其安全觀是落后的。

　　在8月召開的中國計算機網(wǎng)絡(luò)安全年會上，組織者出于對工控問題的重視，無論是在高峰論壇還是在專題技術(shù)報告均安排了西門子公司發(fā)言。但西門子公司卻將此視為危機公關(guān)的機會。

　　概括其主旨觀點，就是“微軟的漏洞太多，震網(wǎng)蠕蟲作者手段太高超，我們已經(jīng)做出了響應(yīng)，所以我們沒有任何責(zé)任”。至于西門子公司工控系統(tǒng)的漏洞問題，以及對全局問題的總結(jié)和反思，則絲毫未談。這種推卸責(zé)任的態(tài)度讓很多在場的安全界同行憤憤不平。

　　從全球范圍看，目前對工控安全的研究已經(jīng)從最初對終端系統(tǒng)和應(yīng)用軟件的漏洞挖掘開始向軟硬件結(jié)合和工控體系安全的方向擴展。今年3月，Ruben Santamarta在RootedCon作了題為SCADA Trojans: Attacking the Grid的技術(shù)報告，他對電力體系的理解之深刻，讓筆者一位多年從事硬件研發(fā)的同事贊嘆不已。工業(yè)控制系統(tǒng)的基礎(chǔ)設(shè)施依然是復(fù)雜而昂貴的，如果國內(nèi)安全廠商在平時不能對這些場景做構(gòu)建等準(zhǔn)備，一旦出現(xiàn)安全事故再進場，必然十分茫然。

　　在這一領(lǐng)域，我們需要感謝US-CERT的工業(yè)控制系統(tǒng)安全小組，他們分析整理了大量相關(guān)漏洞信息，其簡報也是該領(lǐng)域最為系統(tǒng)的聚合信息之一。美國國家標(biāo)準(zhǔn)和技術(shù)研究所發(fā)布的《工業(yè)控制系統(tǒng)安全指南》和《工業(yè)控制系統(tǒng)反病毒軟件指南》等也是值得研究參考的文獻(xiàn)。美國能源局、特情局、國家實驗室等也紛紛開通專題網(wǎng)站、發(fā)布研究報告，對此問題的重視程度可見一斑。

　　在國內(nèi)，CNVD（國家信息安全漏洞共享平臺）對工控系統(tǒng)漏洞的及時通報、電力科學(xué)研究院的相關(guān)標(biāo)準(zhǔn)研究、國內(nèi)安全企業(yè)對震網(wǎng)蠕蟲的跟進分析等，也讓我國的工控安全事業(yè)有了一個自己的起點。

　　作者肖新光，網(wǎng)名江海客，安天實驗室首席技術(shù)架構(gòu)師，研究方向為反病毒和計算機犯罪取證等。微博：weibo.com/seak