如果國內安全廠商在平時不能對工控做構建等準備，一旦出現安全事故再進場，必然十分茫然。

　　今年8月有一件事讓筆者感到遺憾——在(zai)高(gao)鐵(tie)事(shi)故(gu)調(tiao)查(zha)組(zu)中(zhong)沒(mei)有(you)見(jian)到(dao)信(xin)息(xi)安(an)全(quan)專(zhuan)家(jia)的(de)身(shen)影(ying)。雖(sui)然(ran)狹(xia)義(yi)上(shang)看(kan)這(zhe)並(bing)非(fei)一(yi)起(qi)信(xin)息(xi)安(an)全(quan)事(shi)故(gu)，但(dan)我(wo)們(men)應(ying)該(gai)看(kan)到(dao)，由(you)物(wu)理(li)安(an)全(quan)和(he)電(dian)氣(qi)安(an)全(quan)組(zu)成(cheng)的(de)現(xian)有(you)工(gong)業(ye)係(xi)統(tong)安(an)全(quan)觀(guan)已(yi)經(jing)陳(chen)舊(jiu)，麵(mian)對(dui)複(fu)雜(za)的(de)國(guo)際(ji)形(xing)勢(shi)和(he)國(guo)內(nei)情(qing)況(kuang)，中(zhong)國(guo)高(gao)鐵(tie)的(de)安(an)全(quan)以(yi)至(zhi)整(zheng)個(ge)工(gong)業(ye)體(ti)係(xi)的(de)安(an)全(quan)都(dou)需(xu)要(yao)經(jing)得(de)起(qi)國(guo)土(tu)安(an)全(quan)角(jiao)度(du)的(de)考(kao)察(cha)和(he)推(tui)敲(qiao)。

　　這種檢視不但要基於常態運營，更要基於突發事件、自然災害、恐怖襲擊等。潛在的威脅不僅來自物理層麵上，還可能來自信號層麵和信息層麵
，此時就需要信息安全專家的出場了。

　　在動車事故發生前
，高鐵係統已經發生了3起電氣事故。網上曾出現傳言稱這幾起事故是某些國家釋放出蠕蟲所致。我對此做了搜索對比，發現這一傳言是由此前在《新京報》的一篇報道中的部分文字與一些所謂“蠕蟲”的(de)消(xiao)息(xi)拚(pin)接(jie)而(er)成(cheng)。從(cong)內(nei)容(rong)上(shang)看(kan)
，漏(lou)洞(dong)百(bai)出(chu)，質(zhi)量(liang)極(ji)低(di)。但(dan)就(jiu)是(shi)這(zhe)樣(yang)一(yi)條(tiao)假(jia)新(xin)聞(wen)，卻(que)被(bei)國(guo)內(nei)網(wang)站(zhan)大(da)量(liang)轉(zhuan)載(zai)，其(qi)中(zhong)不(bu)乏(fa)專(zhuan)業(ye)的(de)電(dian)氣(qi)技(ji)術(shu)協(xie)會(hui)組(zu)織(zhi)。

　　全球工業係統的安全形勢已經是危機四伏。該領域代表性企業西門子公司的產品必然是攻防雙方的一個重點戰場。在8月6日的Black Hat USA大會上，安全專家Dillon Beresford介紹了在西門子公司工業控製係統中發現更多漏洞的情況，這些漏洞包括複活節彩蛋
、可用於發起遠程拒絕服務攻擊的漏洞
，甚至是管理賬號和密碼硬編碼漏洞。

　　應當指出，在2010年的震網（Stuxnet）蠕蟲事件中，將用戶名和口令硬編碼到應用程序中的問題已經出現在了西門子公司的WinCC產(chan)品(pin)中(zhong)，並(bing)成(cheng)為(wei)震(zhen)網(wang)蠕(ru)蟲(chong)攻(gong)擊(ji)的(de)重(zhong)要(yao)環(huan)節(jie)。這(zhe)種(zhong)不(bu)符(fu)合(he)基(ji)本(ben)開(kai)發(fa)規(gui)範(fan)的(de)編(bian)碼(ma)實(shi)現(xian)，也(ye)意(yi)味(wei)著(zhe)攻(gong)擊(ji)者(zhe)一(yi)旦(dan)發(fa)現(xian)並(bing)利(li)用(yong)，就(jiu)可(ke)以(yi)通(tong)吃(chi)通(tong)殺(sha)，而(er)防(fang)守(shou)方(fang)卻(que)無(wu)法(fa)徹(che)底(di)解(jie)決(jue)問(wen)題(ti)。

　　震網蠕蟲事件時，我們曾指出數據、配置、daimasanfenkaiyeshigongkongxitongkaifadejibenyuanze。dankeyikandao，ximenzigongsibingweiduixiangguanwentizuochutiaozheng。zhesihubiaomingximenzigongsirengranyongchanpinsimixinglaibaozhangqitixideanquan。tamenshifouhaiyiwei
，jianggengduoquanxiankaifanggeiyonghubingbushiyingduianquanwentideyouxiaofangfa，erzhihuigeizijidailaigengduomafan？ruguoximenzigongsimeiyouqitacengmiandexuyi，womenzhinengrenweiqianquanguanshiluohoude。

　　在8yuezhaokaidezhongguojisuanjiwangluoanquannianhuishang，zuzhizhechuyuduigongkongwentidezhongshi，wulunshizaigaofengluntanhaishizaizhuantijishubaogaojunanpaileximenzigongsifayan。danximenzigongsiquejiangcishiweiweijigongguandejihui。

　　概括其主旨觀點，就是“微軟的漏洞太多，震網蠕蟲作者手段太高超，我們已經做出了響應，所以我們沒有任何責任”。至(zhi)於(yu)西(xi)門(men)子(zi)公(gong)司(si)工(gong)控(kong)係(xi)統(tong)的(de)漏(lou)洞(dong)問(wen)題(ti)
，以(yi)及(ji)對(dui)全(quan)局(ju)問(wen)題(ti)的(de)總(zong)結(jie)和(he)反(fan)思(si)
，則(ze)絲(si)毫(hao)未(wei)談(tan)。這(zhe)種(zhong)推(tui)卸(xie)責(ze)任(ren)的(de)態(tai)度(du)讓(rang)很(hen)多(duo)在(zai)場(chang)的(de)安(an)全(quan)界(jie)同(tong)行(xing)憤(fen)憤(fen)不(bu)平(ping)。

　　從(cong)全(quan)球(qiu)範(fan)圍(wei)看(kan)，目(mu)前(qian)對(dui)工(gong)控(kong)安(an)全(quan)的(de)研(yan)究(jiu)已(yi)經(jing)從(cong)最(zui)初(chu)對(dui)終(zhong)端(duan)係(xi)統(tong)和(he)應(ying)用(yong)軟(ruan)件(jian)的(de)漏(lou)洞(dong)挖(wa)掘(jue)開(kai)始(shi)向(xiang)軟(ruan)硬(ying)件(jian)結(jie)合(he)和(he)工(gong)控(kong)體(ti)係(xi)安(an)全(quan)的(de)方(fang)向(xiang)擴(kuo)展(zhan)。今(jin)年(nian)3月，Ruben Santamarta在RootedCon作了題為SCADA Trojans: Attacking the Grid的de技ji術shu報bao告gao
，他ta對dui電dian力li體ti係xi的de理li解jie之zhi深shen刻ke

，讓rang筆bi者zhe一yi位wei多duo年nian從cong事shi硬ying件jian研yan發fa的de同tong事shi讚zan歎tan不bu已yi。工gong業ye控kong製zhi係xi統tong的de基ji礎chu設she施shi依yi然ran是shi複fu雜za而er昂ang貴gui的de，如ru果guo國guo內nei安an全quan廠chang商shang在zai平ping時shi不bu能neng對dui這zhe些xie場chang景jing做zuo構gou建jian等deng準zhun備bei，一yi旦dan出chu現xian安an全quan事shi故gu再zai進jin場chang，必bi然ran十shi分fen茫mang然ran。

　　在這一領域，我們需要感謝US-CERT的de工gong業ye控kong製zhi係xi統tong安an全quan小xiao組zu，他ta們men分fen析xi整zheng理li了le大da量liang相xiang關guan漏lou洞dong信xin息xi，其qi簡jian報bao也ye是shi該gai領ling域yu最zui為wei係xi統tong的de聚ju合he信xin息xi之zhi一yi。美mei國guo國guo家jia標biao準zhun和he技ji術shu研yan究jiu所suo發fa布bu的de《工業控製係統安全指南》和《工業控製係統反病毒軟件指南》等也是值得研究參考的文獻。美國能源局、特情局、國家實驗室等也紛紛開通專題網站、發布研究報告，對此問題的重視程度可見一斑。

　　在國內，CNVD（國家信息安全漏洞共享平台）對工控係統漏洞的及時通報、電力科學研究院的相關標準研究
、國內安全企業對震網蠕蟲的跟進分析等，也讓我國的工控安全事業有了一個自己的起點。

　　作者肖新光，網名江海客，安天實驗室首席技術架構師，研究方向為反病毒和計算機犯罪取證等。微博：weibo.com/seak