本篇文章3143字，读完约8分钟

目前中国工业控制领域的基本格局是什么？中国基础工业设施面临哪些威胁和挑战？如何打破外资企业产品在工控系统关键产品中的垄断优势？

随着工业化和信息化的深度融合，公共基础设施也通过工业控制系统分享了工业化和信息化融合带来的提高管理水平的成果，并将互联网虚拟世界的破坏带入了真实的物理空房间。

目前中国工业控制领域的基本格局是什么？中国基础工业设施面临哪些威胁和挑战？如何打破外资企业产品在工控系统关键产品中的垄断优势？本报记者采访了华北计算机系统工程学院总工程师许国鑫。他认为，只有整合国家层面的资源，推进国外产品进入国内市场的准入制度建设，创新和发展国内工业控制系统的防御理念，才能缓解当前工业控制安全领域的危机。

中国工业控制安全的现状如何？这些问题是如何产生的？

许:工控系统的信息安全问题一直存在，其安全风险主要来自两个方面。首先，在传统工业控制系统的设计之初，计算资源和存储资源非常有限，首要考虑的是实时性和功能性，而安全性往往缺乏完整的设计。

其次，随着信息技术的飞速发展，工业控制系统变得越来越开放，特别是近年来，国家推动了工业化和信息化的深度融合，这也是一个信息技术和控制技术融合的过程。工业控制系统与其他信息系统的集成越来越紧密，使用了大量的信息技术，如通用操作系统平台、数据库系统、通信协议和标准。信息技术本身具有潜在的安全隐患，其引入不可避免地会扩大控制系统的安全问题。

工业控制系统本身的重要性和环境的复杂性决定了其安全问题不仅仅是信息泄露和安全问题，更重要的是，一旦其安全遭到破坏，可能会导致与之相关的生产系统和生活系统遭到破坏，从而导致重大安全事故、人员和财产损失以及生态环境破坏。工业控制安全中最重要的是系统的本质安全。

#page#

cei:关键基础设施工业控制安全的主要领域是什么？

许:传统的信息安全注重虚拟网络的安全，而工业控制系统的安全与现实世界密切相关。工业控制系统在整个国民经济的各个领域都是不可或缺的，尤其是在电力(包括核电)、石油石化和轨道交通等关键基础设施中。这不仅是企业层面的问题，也是关系到国家基本经济和战略安全的重要问题，是我们首要关注的领域。

cei:目前中国有没有工业控制产品可以解决本质安全问题？

许:事实上，中国工业控制产品的市场结构是我们最关心的。目前，中国关键基础设施的控制系统很大一部分是由外国公司提供的，如西门子、施耐德和西屋电气。当关键系统由外国企业的产品运行时，存在一些不可控制的风险。如果所使用的系统和数据库内核是别人的，那么别人只需要简单的逻辑刺激就可以瘫痪你的系统。

目前，国内工业控制产品，尤其是高端工业控制系统的实力仍然很弱，确实无法完全替代国外产品。与城市铁路系统的信号控制部分一样，工业和信息化部批准的9家具有投标资格的企业所采用的核心技术都依赖于国外。

你认为工业控制安全问题应该如何解决？

许:多年来，我们一直在研究工业控制领域的相关技术和产品，很早就开始关注工业控制安全。就具体措施而言，首先，我认为我们应该从立法入手，改变安全问题受制于人的现状。美国在这方面的做法值得借鉴。他颁布了《国土安全总统令》、《联邦信息安全管理法》、《国家基础设施保护计划》和其他相关法律法规，以及支持标准和指南，要求产品制造商充分披露相关信息。另一方面，俄罗斯实施了审查制度，外国产品必须通过特殊测试、评估、认证和白盒考试才能进入市场。

在我国软硬件系统主要依赖进口的现状下，国家应该实施准入制度，对进入中国市场的外国产品进行监管。所谓的准入制度意味着制造商必须记录在案，并声明产品没有安全问题。一旦发现问题，就必须进行检查，并且有一个追溯机制。在产品使用过程中，我们也可以要求对国外产品进行白盒检验。在之前的黑盒测试中，不管产品的具体设计如何，只要功能符合输入输出标准。然而，现在我们要求制造商进一步披露信息，知道问题出在哪里，并负责任地改进出错的环节。当然，这需要进一步研究和设计工业控制安全的基本原则。只有提出明确的技术检测指标和方法，我们才有资格和别人玩游戏。

#page#

其次，各部和各委员会有必要团结和聚集全国的力量来推动这一事项。总体而言，我国相关研究工作相对滞后，各方面的建设才刚刚起步。目前，与工业控制安全相关的企业有两类，一类是传统的信息安全技术和产品提供商。他们普遍认为工业控制系统的安全是传统it安全的延伸，并希望将传统的信息安全防护技术应用到工业控制系统中，实现对工业控制系统的全面监控。然而，在资源有限的情况下，过度监控的概念与工业控制系统的实时性和功能性要求相冲突，在复杂的应用环境下，传统的信息安全手段无法解决工业控制系统的内在安全问题。

另一类是工业控制产品供应商。由于成本考虑和技术限制，制造商通常在改进自己的系统安全性和相关保护产品方面缺乏主动性，并且很少主动检测和公布自己产品的安全漏洞。工业控制安全不是一个单一学科或技术可以解决的问题。信息安全技术、工业控制技术和功能安全技术的整合是实现研究突破的必要条件。这就要求不同的政府部门打破壁垒，深入合作，充分发挥大政府的优势，从顶层设计入手，带动相关行业和企业，进行深刻的思维变革和高度的资源整合，从而实现工业控制安全研究的突破。

具体而言，可组织相关技术和行业专家组成专家组，重点关注电力、石化和轨道交通等关键领域，深入研究工业控制系统安全问题，进行脆弱性分析和风险评估，制定行业安全标准，搭建测试和评估平台。在试点经验的基础上，推广应用，逐步形成我国工业控制信息安全保护的长效机制。

cei:刚才您主要谈到了从国家立法和资源整合方面推动问题的解决。从技术应用的角度来看，有什么新的想法吗？

许:目前，我们使用的操作系统最大的安全问题就是超级用户问题。在操作系统架构设计之初，超级用户是按照人类的思维模式设计的，这在当时是有历史局限性的。如今，拥有无限权力的超级用户经常被病毒和入侵所利用。一旦被控制，他们就可以发送破坏性的指令来控制对象，并向系统发送虚假的数据信息，欺骗操作人员，造成事故和损失。

2010年的“地震台网”事件就是一个典型的例子。一些工业控制系统使用双工热备用进行安全保护，即两个系统同时工作，一旦一个系统出现故障，它会切换到另一个系统继续工作。但是对于恶意入侵，因为两个系统的原理是一样的，一个系统被破坏，另一个不安全。

#page#

基于多年在工业控制领域的技术积累和应用实践，我们正在对工业控制系统的安全实时数据库、实时操作系统和危机预防系统进行研究。与一般的信息系统相比，工业控制系统有两个特点:一是工业控制系统的运行状态是有限的；其次，允许在每个状态下执行的指令也是有限的。这不同于信息系统，信息系统有许多指令可以处于中间状态，而工业控制系统由于其应用特性必须是详尽的，并且可以用规则来表示。

基于这一思想，根据不同工业控制系统的功能需求，我们细化了设计原则，并进一步生成了规则库。将规则库加载到一套危机预防系统中，并与控制系统保持通信。如果工业控制系统运行正常，危机预防系统将不会干预。一旦发现控制系统的异常状态，将进行相应的处理。从工业控制安全的基本要求来看，这套风险防范系统可能不符合系统的高效率要求，但由于它完全独立于工业控制系统，它至少可以保证在系统运行异常时发出警告，从而避免系统在异常情况下崩溃。目前，该系统已在某地方电力系统中得到应用。

实际的工业控制系统往往是一个复杂的网络，各种设备之间存在着相互依赖的关系。一台设备的运行必然会影响到其他设备，独立设备的风险防范不能完全满足整体风险防范的要求。目前，我们正在深入研究具有主动、全局和实时特性的工业控制系统的危机预防系统。