如果國內安全廠商在平時不能對工控做構建等準備，一旦出現安全事故再進場，必然十分茫然。

　　今年8月有一件事讓筆者感到遺憾——在高鐵事故調查組中沒有見到信息安全專家的身影。雖然狹義上看這并非一起信息安全事故，但我們應該看到，由物理安全和電氣安全組成的現有工業系統安全觀已經陳舊，面對復雜的國際形勢和國內情況，中國高鐵的安全以至整個工業體系的安全都需要經得起國土安全角度的考察和推敲。

　　這種檢視不但要基于常態運營，更要基于突發事件、自然災害、恐怖襲擊等。潛在的威脅不僅來自物理層面上，還可能來自信號層面和信息層面，此時就需要信息安全專家的出場了。

　　在動車事故發生前，高鐵系統已經發生了3起電氣事故。網上曾出現傳言稱這幾起事故是某些國家釋放出蠕蟲所致。我對此做了搜索對比，發現這一傳言是由此前在《新京報》的一篇報道中的部分文字與一些所謂“蠕蟲”的消息拼接而成。從內容上看，漏洞百出，質量極低。但就是這樣一條假新聞，卻被國內網站大量轉載，其中不乏專業的電氣技術協會組織。

　　全球工業系統的安全形勢已經是危機四伏。該領域代表性企業西門子公司的產品必然是攻防雙方的一個重點戰場。在8月6日的Black Hat USA大會上，安全專家Dillon Beresford介紹了在西門子公司工業控制系統中發現更多漏洞的情況，這些漏洞包括復活節彩蛋、可用于發起遠程拒絕服務攻擊的漏洞，甚至是管理賬號和密碼硬編碼漏洞。

　　應當指出，在2010年的震網（Stuxnet）蠕蟲事件中，將用戶名和口令硬編碼到應用程序中的問題已經出現在了西門子公司的WinCC產品中，并成為震網蠕蟲攻擊的重要環節。這種不符合基本開發規范的編碼實現，也意味著攻擊者一旦發現并利用，就可以通吃通殺，而防守方卻無法徹底解決問題。

　　震網蠕蟲事件時，我們曾指出數據、配置、代碼三分開也是工控系統開發的基本原則。但可以看到，西門子公司并未對相關問題做出調整。這似乎表明西門子公司仍然用產品私密性來保障其體系的安全。他們是否還以為，將更多權限開放給用戶并不是應對安全問題的有效方法，而只會給自己帶來更多麻煩？如果西門子公司沒有其他層面的蓄意，我們只能認為其安全觀是落后的。

　　在8月召開的中國計算機網絡安全年會上，組織者出于對工控問題的重視，無論是在高峰論壇還是在專題技術報告均安排了西門子公司發言。但西門子公司卻將此視為危機公關的機會。

　　概括其主旨觀點，就是“微軟的漏洞太多，震網蠕蟲作者手段太高超，我們已經做出了響應，所以我們沒有任何責任”。至于西門子公司工控系統的漏洞問題，以及對全局問題的總結和反思，則絲毫未談。這種推卸責任的態度讓很多在場的安全界同行憤憤不平。

　　從全球范圍看，目前對工控安全的研究已經從最初對終端系統和應用軟件的漏洞挖掘開始向軟硬件結合和工控體系安全的方向擴展。今年3月，Ruben Santamarta在RootedCon作了題為SCADA Trojans: Attacking the Grid的技術報告，他對電力體系的理解之深刻，讓筆者一位多年從事硬件研發的同事贊嘆不已。工業控制系統的基礎設施依然是復雜而昂貴的，如果國內安全廠商在平時不能對這些場景做構建等準備，一旦出現安全事故再進場，必然十分茫然。

　　在這一領域，我們需要感謝US-CERT的工業控制系統安全小組，他們分析整理了大量相關漏洞信息，其簡報也是該領域最為系統的聚合信息之一。美國國家標準和技術研究所發布的《工業控制系統安全指南》和《工業控制系統反病毒軟件指南》等也是值得研究參考的文獻。美國能源局、特情局、國家實驗室等也紛紛開通專題網站、發布研究報告，對此問題的重視程度可見一斑。

　　在國內，CNVD（國家信息安全漏洞共享平臺）對工控系統漏洞的及時通報、電力科學研究院的相關標準研究、國內安全企業對震網蠕蟲的跟進分析等，也讓我國的工控安全事業有了一個自己的起點。

　　作者肖新光，網名江海客，安天實驗室首席技術架構師，研究方向為反病毒和計算機犯罪取證等。微博：weibo.com/seak