2015-09-06 陳英明 決策資訊

訪力控華康董事長馬國華

文/《決策資訊》陳英明

隨著物聯(lián)網(wǎng)時(shí)代的來臨，信息安全漏洞導(dǎo)致的結(jié)果已經(jīng)不再是接收幾條垃圾短信、電腦宕機(jī)、銀行卡盜刷這樣的常見問題，而是可能導(dǎo)致工廠上億元的經(jīng)濟(jì)損失甚至消費(fèi)者的生命安全，“安全”已經(jīng)是擺到我們桌面上需要直接面對的問題。本刊此次采訪了多年從事工業(yè)控制和物聯(lián)網(wǎng)安全領(lǐng)域的力控華康董事長馬國華先生。

《決策資訊》：與互聯(lián)網(wǎng)相比，物聯(lián)網(wǎng)的信息安全需要面對哪些新問題。

物聯(lián)網(wǎng)與互聯(lián)網(wǎng)相比，面對的問題主要是數(shù)據(jù)屬性和使用方式的差異，還有數(shù)據(jù)的收集方式不太一樣。物聯(lián)網(wǎng)好多數(shù)據(jù)都屬私有數(shù)據(jù)，放在云上來說就是私有云，比如說水表、電表、氣表的數(shù)據(jù)，還有云健康，比如血壓、心律等的數(shù)據(jù)，這些和老百姓生活密切相關(guān)的同時(shí)又帶有隱私性的數(shù)據(jù)，是需要保密的。在傳統(tǒng)互聯(lián)網(wǎng)是沒有這些數(shù)據(jù)的?；ヂ?lián)網(wǎng)上像門戶的數(shù)據(jù)信息都是面向大眾的，但物聯(lián)網(wǎng)都是給有限的人看的，如果超出這個(gè)范圍，就涉及到使用安全問題，這個(gè)最為突出。除此之外就是聯(lián)網(wǎng)的標(biāo)準(zhǔn)有區(qū)別，互聯(lián)網(wǎng)是按統(tǒng)一的協(xié)議標(biāo)準(zhǔn)比如TCP/IP來構(gòu)建的，大家共同遵守這個(gè)標(biāo)準(zhǔn)；而物聯(lián)網(wǎng)的細(xì)分領(lǐng)域太多，出了各種各樣的協(xié)議，而且好多標(biāo)準(zhǔn)在制定時(shí)也不是很完善，沒有考慮到聯(lián)網(wǎng)后的信息安全風(fēng)險(xiǎn)。

《決策資訊》：您如何評價(jià)目前工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)信息安全方面的現(xiàn)狀。

據(jù)我做工控安全所遇到的情況來看，目前工控系統(tǒng)幾乎可以說是沒有安全防護(hù)，基本都是“裸奔”的。早期的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運(yùn)行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，很少接到公網(wǎng)，所以安全問題相對會很少被關(guān)注。但隨著“互聯(lián)網(wǎng)+”時(shí)代的到來，工廠里的機(jī)器設(shè)備接入公網(wǎng)已是必然趨勢，這就會面臨著大量安全隱患。因此我們觀察到物聯(lián)網(wǎng)領(lǐng)域的安全需求也在逐步體現(xiàn)，就像是金融領(lǐng)域的安全一樣，銀行原來也是相對封閉的系統(tǒng)，但隨著移動支付、互聯(lián)網(wǎng)支付等新的支付方式的出現(xiàn)，安全需求也逐漸凸顯。工業(yè)領(lǐng)域和物聯(lián)網(wǎng)領(lǐng)域的安全也一樣，我們不是為了安全而安全，而是有實(shí)際的市場需求在里面的，有了需求市場自然就會向前發(fā)展。

《決策資訊》：您對未來的“工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)信息安全市場”有哪些判斷。

我國經(jīng)濟(jì)發(fā)展水平和綜合環(huán)境各地參差不齊，行業(yè)市場相對比較復(fù)雜，同時(shí)國內(nèi)企業(yè)有跟風(fēng)的習(xí)慣，看別人在做或國家鼓勵就一窩蜂擠過去，就像之前的風(fēng)電和光伏行業(yè)，行業(yè)快速發(fā)展起來了，信息安全保障等配套卻沒有跟上。目前我國的工控安全領(lǐng)域發(fā)展與歐美發(fā)達(dá)國家比尚有一定差距，但我國的市場有其特殊性和不可替代性，若有政府或相關(guān)機(jī)構(gòu)組織站出來對行業(yè)適當(dāng)引導(dǎo)，避免無序發(fā)展，最終以行業(yè)應(yīng)用推動市場發(fā)展，將催生更加龐大完善的市場。

《決策資訊》：您認(rèn)為保障物聯(lián)網(wǎng)信息安全的核心環(huán)節(jié)（或：根本方式）是什么。

我覺得在信息安全方面體系化的防護(hù)很重要，信息安全就像保護(hù)你家里的財(cái)物，我們會門窗緊鎖，但也許有人會在墻上鑿個(gè)洞，所以還是要有一個(gè)防護(hù)體系，針對不同的內(nèi)容做針對性的安全防護(hù)。比如生產(chǎn)倉庫面臨的安全需求可能包括防火防盜，防可燃性氣體等等，如果采取全方位的防護(hù)，成本會提到很高，對企業(yè)產(chǎn)生較大負(fù)擔(dān)，所以我覺得首先還是首先進(jìn)行風(fēng)險(xiǎn)評估，根據(jù)資產(chǎn)的重要程度、安全問題出現(xiàn)的概率、影響程度來采取適當(dāng)措施加以防護(hù)比較權(quán)宜。

《決策資訊》：消費(fèi)者（或：客戶方），在信息安全方面扮演什么樣的角色。

消費(fèi)者往往處在最弱的一方，常常是最終的受害者，幾乎沒有選擇的權(quán)利。比如跟居民生活較貼近的水電氣，醫(yī)療系統(tǒng)的個(gè)人健康數(shù)據(jù)，不論是泄露還是被篡改，都會對消費(fèi)者生活造成很大影響，甚至影響到生命安全。當(dāng)然不論個(gè)人用戶還是企業(yè)、政府用戶的安全意識，也是亟待加強(qiáng)和提高的，目前信息安全遠(yuǎn)不僅是傳統(tǒng)的辦公系統(tǒng)、操作系統(tǒng)和數(shù)據(jù)庫的安全，各種資產(chǎn)都可以成為黑客入侵的跳板和渠道，就像前陣海康威視監(jiān)控設(shè)備被黑客入侵事件。其實(shí)各大設(shè)備廠商，包括三星、蘋果、IBM、華為等的產(chǎn)品，可能或多或少產(chǎn)品都會涉及BUG，當(dāng)BUG被別有用心的人利用就可能造成損失，這里我覺得使用用戶的安全意識和使用習(xí)慣等也有莫大關(guān)系。

力控華康是國內(nèi)最早從事工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)的廠商之一，是中國領(lǐng)先的工業(yè)控制系統(tǒng)信息安全產(chǎn)品及服務(wù)供應(yīng)商。自公司成立以來，先后推出多款工業(yè)控制系統(tǒng)信息安全產(chǎn)品，并在石油、石化、燃?xì)?、鋼鐵等諸多行業(yè)獲得規(guī)模應(yīng)用。公司參與了包括GB/T30976在內(nèi)的多個(gè)信息安全國家標(biāo)準(zhǔn)的制訂工作，并于2014年參與發(fā)起成立“工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟”，以期在更大的舞臺上為中國的工業(yè)控制系統(tǒng)信息安全做出貢獻(xiàn)。