久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

薛一波

博士，清華大學(xué)信息技術(shù)研究院研究員

現(xiàn)任清華大學(xué)CPU&SoC研究中心副主任，兼任IEEE會(huì)員、ACM會(huì)員、IEEE ComSoc 通信安全技術(shù)委員會(huì)委員、中國計(jì)算機(jī)學(xué)會(huì)高級(jí)會(huì)員、計(jì)算機(jī)體系結(jié)構(gòu)專委會(huì)常務(wù)委員、計(jì)算機(jī)容錯(cuò)計(jì)算專委會(huì)委員、國家網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)項(xiàng)目專家、國家242計(jì)劃專家、北京市經(jīng)信委專家。目前主要從事網(wǎng)絡(luò)與信息安全、云安全、計(jì)算機(jī)體系結(jié)構(gòu)等領(lǐng)域的研究工作，先后參加過自然科學(xué)基金重大項(xiàng)目、攀登計(jì)劃項(xiàng)目、國家公益類科研專項(xiàng)、核高基、中科院重大項(xiàng)目、國家科技支撐計(jì)劃、973計(jì)劃、863計(jì)劃、242計(jì)劃等多個(gè)重大科研項(xiàng)目，以及“2.5G SDH光傳輸系統(tǒng)”和“10G SDH光傳輸系統(tǒng)”等重大產(chǎn)品的研發(fā)，具有豐富的科研和產(chǎn)品研發(fā)經(jīng)驗(yàn)，在國內(nèi)外重要學(xué)術(shù)會(huì)議和期刊上發(fā)表論文150余篇，申請(qǐng)發(fā)明專利40余項(xiàng)，承擔(dān)課題40余項(xiàng)，獲得過中科院科技進(jìn)步二等獎(jiǎng)一項(xiàng)。

2010年9月，伊朗布什爾核電站遭到Stuxnet病毒攻擊，這是第一次從虛擬信息世界對(duì)現(xiàn)實(shí)物理世界的網(wǎng)絡(luò)攻擊。如今，工業(yè)控制系統(tǒng)在我國應(yīng)用十分廣泛，涉及重要的基礎(chǔ)設(shè)施，如水、電、氣、交通等。

工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱“工控信息安全”）問題一直存在，并越來越突出。早期的工控系統(tǒng)發(fā)展，致力于解決用戶的功能應(yīng)用問題，由于信息化技術(shù)的快速發(fā)展，以及以太網(wǎng)在工控系統(tǒng)中的應(yīng)用，工控系統(tǒng)的安全問題隨之而來。清華大學(xué)信息技術(shù)研究院研究員薛一波博士一直關(guān)注該問題，并與一些工業(yè)控制領(lǐng)域的公司展開合作。通過近幾年的課題研究和與企業(yè)合作，在工控信息安全領(lǐng)域積累了一些成果，主要針對(duì)通用信息安全技術(shù)在工業(yè)控制領(lǐng)域的特殊應(yīng)用，以及用戶的實(shí)際需求，研究適用于工業(yè)控制領(lǐng)域的信息安全解決方案。

認(rèn)識(shí)問題，發(fā)現(xiàn)問題

據(jù)薛一波介紹，工業(yè)控制系統(tǒng)信息安全除涉及傳統(tǒng)的物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、內(nèi)容安全等之外，還涉及啟動(dòng)安全（BOOT）、認(rèn)證安全（SSL）、內(nèi)部安全和外部安全、社交工程攻擊、流量攻擊、APT攻擊等。相比IT信息安全，工業(yè)控制系統(tǒng)信息安全有很多不一樣的特點(diǎn)：首先，工業(yè)控制系統(tǒng)的信息安全更加重要，工業(yè)控制系統(tǒng)不能間斷，因此信息安全保障不再可有可無，而必須是一個(gè)使命性的保障，所以需要在信息安全和性能方面進(jìn)行平衡和折中，寧可犧牲性能，也要保障安全；其次，工業(yè)控制系統(tǒng)信息安全涉及一些工業(yè)控制方面的協(xié)議，如SCADA、Modbus協(xié)議等，需要對(duì)這些協(xié)議的安全性進(jìn)行深入的分析和驗(yàn)證；第三，工業(yè)控制系統(tǒng)中CPU的處理能力不高、系統(tǒng)資源有限，IT領(lǐng)域普遍采用的核心技術(shù)和關(guān)鍵算法不一定適用，需要提出新的實(shí)現(xiàn)方法等，不一而足。

薛一波用表1以對(duì)比的方式清晰地闡述了工業(yè)控制網(wǎng)絡(luò)與IT網(wǎng)絡(luò)各自不同的特點(diǎn)：

表1 工業(yè)控制網(wǎng)絡(luò)與 IT網(wǎng)絡(luò)特點(diǎn)比較

通過比較IT網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)的差異可以發(fā)現(xiàn)，常規(guī)的IT網(wǎng)絡(luò)安全技術(shù)都不是專門針對(duì)工業(yè)控制網(wǎng)絡(luò)需求設(shè)計(jì)的，用在工業(yè)控制網(wǎng)絡(luò)上就會(huì)存在很多局限性。

薛一波告訴記者：“工業(yè)控制安全具有自身的特殊性，為了保障工業(yè)控制系統(tǒng)信息安全，需要解決以下問題：（1）潛心研究工業(yè)控制領(lǐng)域協(xié)議的安全性，及時(shí)發(fā)現(xiàn)漏洞；（2）分析工業(yè)控制系統(tǒng)的特點(diǎn)，如什么是CPU？多少資源？有無操作系統(tǒng)？輕操作系統(tǒng)如何？無操作系統(tǒng)如何？Firmware如何?等；（3）根據(jù)工業(yè)控制系統(tǒng)的特點(diǎn)和安全需求，提出高效算法，實(shí)現(xiàn)核心技術(shù)；（4）提出測(cè)評(píng)規(guī)范和標(biāo)準(zhǔn)等。”

采訪中，薛一波多次強(qiáng)調(diào)，目前，我國控制領(lǐng)域用于控制基礎(chǔ)設(shè)施的核心系統(tǒng)配置相對(duì)較高，但是很多軟、硬件配置都全套采用了國外主流技術(shù)和產(chǎn)品。雖然在設(shè)備配置方面走在了前列，但是對(duì)信息安全的可控性、可知性和可預(yù)防性的認(rèn)識(shí)水平和重視程度還需要大幅提高，需要建立自主可控、安全可靠的信息安全體系，對(duì)非自主產(chǎn)品應(yīng)增強(qiáng)防范意識(shí)、加強(qiáng)控制管理、制定風(fēng)險(xiǎn)應(yīng)對(duì)措施，有效避免安全威脅。

信息安全問題應(yīng)得到高度重視

據(jù)了解，網(wǎng)絡(luò)已經(jīng)成為繼陸地、海洋、天空、太空之外的第五維國家安全領(lǐng)域，它是一個(gè)新的國家核心利益和戰(zhàn)略制高點(diǎn)，目前，已有50余個(gè)國家發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略，超過40個(gè)國家組建了網(wǎng)絡(luò)作戰(zhàn)部隊(duì)，網(wǎng)絡(luò)安全已經(jīng)引起各國政府的高度重視。

薛一波談道：“在中國，未被保護(hù)，認(rèn)識(shí)不足，重視不夠，是工控安全最為突出的問題。生產(chǎn)廠商不僅需要不斷修復(fù)自身設(shè)備和產(chǎn)品的安全隱患，還需要國家的政策指引、標(biāo)準(zhǔn)制定、第三方權(quán)威機(jī)構(gòu)和服務(wù)商等角色的參與，共同討論，合理分工，方能在工控安全各環(huán)節(jié)預(yù)防問題、發(fā)現(xiàn)問題和解決問題?！?/p>

2014年2月27日，以國家主席習(xí)近平為組長(zhǎng)的中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組正式成立，標(biāo)志著網(wǎng)絡(luò)安全進(jìn)入了一個(gè)新高度。在被問及如何看待“中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組”的成立時(shí)，薛一波表示，在該領(lǐng)導(dǎo)小組的第一次會(huì)議上，首次提出“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”，指出“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，首次把網(wǎng)絡(luò)安全提升到一個(gè)戰(zhàn)略高度，與信息化齊名，解決了過去“重發(fā)展、輕安全”的問題；強(qiáng)調(diào)“必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施”，解決了過去“缺乏統(tǒng)一規(guī)劃，缺乏協(xié)調(diào)機(jī)制，各自為戰(zhàn)，頭痛醫(yī)頭、腳痛醫(yī)腳”的問題。該小組的作用一是要意識(shí)到我國工業(yè)控制領(lǐng)域信息安全方面的嚴(yán)重性和緊迫性；二是要制定該領(lǐng)域的總體規(guī)劃和發(fā)展戰(zhàn)略；三是整合全社會(huì)的力量，加大投入，鼓勵(lì)創(chuàng)新，激發(fā)科研機(jī)構(gòu)和企業(yè)的熱情和動(dòng)力，研發(fā)自主設(shè)備，提供高效解決方案。

掌握自主知識(shí)產(chǎn)權(quán)是當(dāng)務(wù)之急

目前，中國的工控信息安全領(lǐng)域呈現(xiàn)出幾大現(xiàn)狀：國外廠商不提供核心技術(shù)；國內(nèi)廠商處于起步階段；用戶企業(yè)對(duì)專業(yè)知識(shí)缺乏，對(duì)安全問題不重視。薛一波具體講道：“國外廠商通常不會(huì)向中國用戶提供核心技術(shù)（或相關(guān)專利），因此國內(nèi)用戶很難對(duì)設(shè)備的安全性進(jìn)行全面檢測(cè)，也就很難發(fā)現(xiàn)設(shè)備中是否存在‘后門’、‘陷阱’、‘漏洞’、‘軟件炸彈’、‘隱蔽指令’等安全威脅，一旦這些漏洞被用來對(duì)工業(yè)控制網(wǎng)絡(luò)實(shí)施攻擊，其后果將不堪設(shè)想。”據(jù)統(tǒng)計(jì)，近年來國內(nèi)很多信息安全事件均與此類漏洞有關(guān)。因此，提高自主可控能力，在一定程度上能夠起到堵塞信息安全漏洞、防患于未然的效果。他接著說：“工業(yè)控制領(lǐng)域核心信息系統(tǒng)投資規(guī)模大，很多企業(yè)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、服務(wù)系統(tǒng)平臺(tái)、安全支撐平臺(tái)、控制和智能化系統(tǒng)都被國外產(chǎn)品壟斷，這些非自主產(chǎn)品具有封閉性強(qiáng)、操作復(fù)雜、技術(shù)資料短缺、持續(xù)升級(jí)維護(hù)能力差等特點(diǎn)，國內(nèi)用戶很難組織二次開發(fā)或者自主生產(chǎn)。因此，提高自主可控能力，也是信息化建設(shè)的戰(zhàn)略需要。”

正如薛一波所言，國內(nèi)廠商在工業(yè)控制領(lǐng)域信息安全領(lǐng)域基本處于空白和剛起步階段，國外研究較早，有一些好的品牌和產(chǎn)品，但出于國家安全的考慮，需要自主可控、安全可靠。他認(rèn)為，國家正在出臺(tái)一系列的政策、專項(xiàng)資金來鼓勵(lì)國內(nèi)企業(yè)加大研發(fā)，突破技術(shù)，掌握知識(shí)產(chǎn)權(quán)，推出自己的工業(yè)控制領(lǐng)域的信息安全產(chǎn)品，這是解決國家當(dāng)下信息安全形勢(shì)的當(dāng)務(wù)之急。

據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)，2011年國家信息安全漏洞共享平臺(tái)就收錄了100余個(gè)對(duì)我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長(zhǎng)近10倍。深入這些數(shù)據(jù)之后，有80％以上來自于國外品牌，這些漏洞幾乎全部由國外發(fā)現(xiàn)，國內(nèi)企業(yè)發(fā)現(xiàn)的漏洞很少?！拔覈墓I(yè)控制領(lǐng)域，90％以上的控制系統(tǒng)來自于國外，這些已知或未知漏洞的核心技術(shù)，并沒有被國內(nèi)所掌握，如果發(fā)生攻擊，將非常被動(dòng)，這對(duì)國內(nèi)工業(yè)控制安全形勢(shì)而言是非常嚴(yán)峻的。”薛一波講道，“與此同時(shí)，安全漏洞和威脅還會(huì)繼續(xù)大幅增長(zhǎng)，越來越多的安全人員和黑客開始關(guān)注這一領(lǐng)域，不斷尋找新的攻擊方法，這就意味著我國工業(yè)控制的信息安全問題會(huì)越來越多、越來越突出，需要國家、政府和企業(yè)高度重視、未雨綢繆、身行力踐，因此需要加大對(duì)國產(chǎn)自主品牌的支持力度，通過資金、政策、產(chǎn)品首試、認(rèn)證測(cè)試等環(huán)節(jié)，給予扶持和指導(dǎo)。由此也為國產(chǎn)自主品牌創(chuàng)造了巨大的商機(jī)和前景。”

產(chǎn)學(xué)研用結(jié)合，構(gòu)建良好生態(tài)系統(tǒng)

薛一波這樣評(píng)價(jià)工業(yè)用戶：工業(yè)用戶對(duì)信息安全問題的重視程度不高，一是領(lǐng)導(dǎo)重視不夠，一般只重視生產(chǎn)和效率，而忽視安全，特別是信息安全，認(rèn)為是“既麻煩，又白花錢”；二是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的了解不足，特別是對(duì)信息安全的危害性認(rèn)識(shí)不夠；三是從業(yè)人員的整體素質(zhì)不高，安全意識(shí)薄弱，培訓(xùn)不足等。當(dāng)然，這樣的結(jié)果并不僅是一方原因?qū)е?。他說道：“用戶企業(yè)自身的問題，不重視；政府監(jiān)督的問題，一是本身就沒有意識(shí)到信息安全的重要性，二是監(jiān)督不力；安全產(chǎn)品廠商的問題，沒有開發(fā)高效、實(shí)用、已用的拳頭產(chǎn)品，讓用戶用起來感到麻煩；科研機(jī)構(gòu)的問題，沒有及時(shí)跟進(jìn)這一領(lǐng)域，提出好的解決方案?！?/p>

為了解決工業(yè)控制系統(tǒng)信息安全的問題，薛一波深知需要?jiǎng)佑萌鐣?huì)的力量，整合資源、統(tǒng)一規(guī)劃、合理布局，整合產(chǎn)、學(xué)、研、用幾方面的力量，構(gòu)建良好的研發(fā)生態(tài)系統(tǒng)，打造完整的產(chǎn)業(yè)鏈。大學(xué)和科研機(jī)構(gòu)在協(xié)議安全性、核心算法、關(guān)鍵技術(shù)、實(shí)現(xiàn)方案等方面要敢于突破和創(chuàng)新，提出實(shí)用的解決技術(shù)和手段，大學(xué)還需要多培養(yǎng)這方面的人才；生產(chǎn)企業(yè)要加強(qiáng)產(chǎn)品設(shè)計(jì)、測(cè)試和生產(chǎn)；廣大用戶要多試用，發(fā)現(xiàn)問題，提出問題，反饋需求。各個(gè)方面相互合作，相互融合，相互促進(jìn)，才能共同推進(jìn)工業(yè)控制系統(tǒng)信息安全的健康發(fā)展。

目前，清華大學(xué)與國內(nèi)率先進(jìn)入并專注于工控信息安全領(lǐng)域的北京力控華康科技有限公司展開合作，在信息與數(shù)據(jù)安全技術(shù)、加密和存儲(chǔ)技術(shù)等方面，采用聯(lián)合研發(fā)、技術(shù)引進(jìn)和知識(shí)產(chǎn)權(quán)轉(zhuǎn)讓等方式，整合相關(guān)資源，縮短了研發(fā)周期。

除了學(xué)校與企業(yè)的進(jìn)一步合作外，第三方機(jī)構(gòu)的出現(xiàn)也是促進(jìn)工控信息安全產(chǎn)業(yè)快速發(fā)展的重要手段。談到工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟的成立，薛一波這樣說：“工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟的成立，無論對(duì)于政府，還是用戶、廠商來說，都是極大的利好消息，這是一次很好的嘗試，也是一步很好的實(shí)踐。成立此聯(lián)盟，可以協(xié)調(diào)各方資源，整合各方力量，統(tǒng)籌總體規(guī)劃，制定行業(yè)標(biāo)準(zhǔn)，促進(jìn)合作交流，引領(lǐng)產(chǎn)業(yè)健康發(fā)展?！?/p>

在薛一波眼中，工控系統(tǒng)信息安全的問題主要包括兩方面：一是，在工業(yè)控制領(lǐng)域重要的設(shè)備基本由國外壟斷和控制；二是，工業(yè)控制系統(tǒng)的信息安全非常薄弱，基本處于空白，因此開發(fā)我國的拳頭產(chǎn)品勢(shì)在必行。近年來，薛一波不斷嘗試突破一些關(guān)鍵技術(shù)，并取得了一些知識(shí)產(chǎn)權(quán)。我們期待能有更多像薛一波這樣將產(chǎn)、學(xué)、研、用相結(jié)合的技術(shù)專家，為國家的工業(yè)控制系統(tǒng)信息安全貢獻(xiàn)力量。

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ谝惠嫞?/span>