聚焦信息技术领域  为产业发声

导读

9月20日，“2017山西网络信息安全高峰论坛暨第二届工控安全高峰论坛” 在中国（太原）煤炭交易中心举行，会议主题延续了去年的“网络安全为人民 网络安全靠人民”。在下午举办的“依法构建工业信息安全保障体系”高峰对话上，山西工控安全联盟专家、山西百信信息技术有限公司技术中心主任陆希在大会上发表了讲话。会后，陆希老师接受了黄河连线的专访，以下为专访实录：

1.黄河连线：网络安全、关键信息基础设施、工控安全之间的关系是怎样的？

陆希：两化融合以来网络安全的定义和内涵正在伴随技术发展和深度融合发生着深刻演变，已经从IT领域的network security演变成为跨IT和自动化领域的cyber security，其内涵也从数据资产安全演变为覆盖到数据和物理资产的安全。

自身已经网络化的工控系统是基础设施发挥其社会服务功能的核心，如交通、水电气暖供应等，并且已经通过和互联网与工厂网络和企业网络各层级的管理深度融合，如企业资源计划、制造执行系统等。

工控系统的信息安全对经济发展、社会稳定和国家安全已经构成重大影响。所以国家把工控安全作为关键信息基础设施的重要组成部分纳入网络安全法，并在国家安全的框架下统一治理。

2.黄河连线：中央网信办、国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》上有一条，网络安全将有统一国标标准，原则上不制定地方标准。但您在工控安全峰会上提到，山西组织编制了两个地方标准：一个涉及信息化工程安全，另一个涉及服务外包安全。这两个之间是否矛盾？

陆希：这之间并不矛盾。既然国家层面相关部门要在国家安全的框架下实施安全治理，当然有其顶层设计、标准和行动计划，地方政府责无旁贷，必须严格落实。但这并不影响地方政府、行业甚至企业在国家治理框架内制定符合各自特点、规律和需求且更加精准的个性化治理框架，包括制定地方、行业、联盟或团体、以及企业等各层面的标准。实际上自上而下的治理也要求这样去做。同时，国家也要求大力发展这样的标准。

3.黄河连线：我省工控安全较其他地区工控安全有何特色？应对措施有哪些？有什么优势？

陆希：我省工控安全的特色实际上是我省工业和信息化特色的写照。煤焦冶电化、重型制造是我省工业的传统特色，自主可信计算机、生物信息技术、新能源汽车等反映了我省新兴产业的特色。

我省工控安全与其他工业大省一样都还在刚起步阶段，都存在人才、技术、以及软装备高度匮乏，以及信息安全标准建设与合规性实施能力建设严重不足的问题。基于这些问题，我省在国内率先提出了《山西省工业控制系统信息安全发展规划2017-2020》，明确提出了工作任务：建设两个体系（工控安全的管理体系和技术体系）、提升三种能力（态势感知、安全防护、危机应对）、实施五大工程（产业基地、标准、试点示范、自主可控替代、以及数据平台）。

此外，我省的工控安全产业联盟、信息安全研究院、工控安全实验室等官促民营的组织机构在国内并不多见。据此大致可以说我省在推进工控安全工作方面应该说还是走在其他工业大省的前面。

4.黄河连线：今年五月份的勒索病毒对我国的石油行业造成了尤为严重的影响，很多相关的企业都在此次事件中受到了波及。从这个事件中，我们可以总结出哪些工控安全方面的经验教训？

陆希：毫无疑问这显然是相关企业安全防护不到位的后果。反思后果的成因我觉得还不能简单的把它归于老生常谈的那些：信息安全方面意识不足、人才匮乏等；信息安全技术方面：网络安全架构不合理、边界防护缺失等。因为石化是央企垄断的行业，在工控安全方面有相对完善成熟的套路和足够的资金投入。个人感觉后果的成因有可能是两化融合后，虽然系统和技术等快速融合了，但IT和自动化领域的信息安全意识还远未融合。

5.面对工控安全的威胁，政府、企业、普通网民，应该怎么做才能避免受到侵害？

陆希：这类问题在各种媒体、报章杂志、以及技术资料等上的宣传可以说是铺天盖地了。技术创新带来效率和便捷的同时也带来了威胁和风险，这是进步的代价。究其本源，关键的不是能否采取什么万全的措施来避免风险，而是在获取便捷上能否理性或者能否克制任性，因为风险永远存在。既然所谓风险是威胁透过漏洞造成可能后果的价值，那么在已知的已知和未知的未知风险并存的情况下，尽快掌握安全技能、充实安全能力、安全与弹性并重、精准权衡利弊、谨慎决策或许是网民、企业或政府避免侵害的最好办法。

换句通俗的话说，越是敏感的事情，越是要有安全能力并能证明的确有这个能力，再去考虑便捷。或者反过来，若一定要某种便捷，那就先掌握那种便捷的安全能力。实际上这也是网络安全法中三同步原则的基本原理。既然明知防不胜防，那就在防的同时把恢复做好。

声明：

黄河连线系太原九州连线文化传媒有限公司旗下品牌

本平台法律顾问为山西晋商律师事务所

黄河连线原创文章，转载请注明出处