聚焦信息技術(shù)領(lǐng)域? 為產(chǎn)業(yè)發(fā)聲

導(dǎo)讀

9月20日沟娱，“2017山西網(wǎng)絡(luò)信息安全高峰論壇暨第二屆工控安全高峰論壇” 在中國（太原）煤炭交易中心舉行壹罚，會議主題延續(xù)了去年的“網(wǎng)絡(luò)安全為人民 網(wǎng)絡(luò)安全靠人民”葛作。在下午舉辦的“依法構(gòu)建工業(yè)信息安全保障體系”高峰對話上，山西工控安全聯(lián)盟專家渔嚷、山西百信信息技術(shù)有限公司技術(shù)中心主任陸希在大會上發(fā)表了講話。會后稠曼，陸希老師接受了黃河連線的專訪形病，以下為專訪實錄：

1.黃河連線：網(wǎng)絡(luò)安全、關(guān)鍵信息基礎(chǔ)設(shè)施霞幅、工控安全之間的關(guān)系是怎樣的漠吻？

陸希：兩化融合以來網(wǎng)絡(luò)安全的定義和內(nèi)涵正在伴隨技術(shù)發(fā)展和深度融合發(fā)生著深刻演變，已經(jīng)從IT領(lǐng)域的network?security演變成為跨IT和自動化領(lǐng)域的cyber?security司恳，其內(nèi)涵也從數(shù)據(jù)資產(chǎn)安全演變?yōu)楦采w到數(shù)據(jù)和物理資產(chǎn)的安全途乃。

自身已經(jīng)網(wǎng)絡(luò)化的工控系統(tǒng)是基礎(chǔ)設(shè)施發(fā)揮其社會服務(wù)功能的核心，如交通扔傅、水電氣暖供應(yīng)等耍共，并且已經(jīng)通過和互聯(lián)網(wǎng)與工廠網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)各層級的管理深度融合，如企業(yè)資源計劃猎塞、制造執(zhí)行系統(tǒng)等试读。

工控系統(tǒng)的信息安全對經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全已經(jīng)構(gòu)成重大影響荠耽。所以國家把工控安全作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分納入網(wǎng)絡(luò)安全法钩骇，并在國家安全的框架下統(tǒng)一治理。

2.黃河連線：中央網(wǎng)信辦铝量、國家質(zhì)檢總局倘屹、國家標(biāo)準(zhǔn)委聯(lián)合印發(fā)的《關(guān)于加強國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》上有一條，網(wǎng)絡(luò)安全將有統(tǒng)一國標(biāo)標(biāo)準(zhǔn)慢叨，原則上不制定地方標(biāo)準(zhǔn)纽匙。但您在工控安全峰會上提到，山西組織編制了兩個地方標(biāo)準(zhǔn)：一個涉及信息化工程安全拍谐，另一個涉及服務(wù)外包安全哄辣。這兩個之間是否矛盾请梢？

陸希：這之間并不矛盾。既然國家層面相關(guān)部門要在國家安全的框架下實施安全治理力穗，當(dāng)然有其頂層設(shè)計毅弧、標(biāo)準(zhǔn)和行動計劃，地方政府責(zé)無旁貸当窗，必須嚴(yán)格落實够坐。但這并不影響地方政府、行業(yè)甚至企業(yè)在國家治理框架內(nèi)制定符合各自特點崖面、規(guī)律和需求且更加精準(zhǔn)的個性化治理框架元咙，包括制定地方、行業(yè)巫员、聯(lián)盟或團體庶香、以及企業(yè)等各層面的標(biāo)準(zhǔn)。實際上自上而下的治理也要求這樣去做简识。同時赶掖，國家也要求大力發(fā)展這樣的標(biāo)準(zhǔn)。

3.黃河連線：我省工控安全較其他地區(qū)工控安全有何特色七扰？應(yīng)對措施有哪些奢赂？有什么優(yōu)勢？

陸希：我省工控安全的特色實際上是我省工業(yè)和信息化特色的寫照颈走。煤焦冶電化膳灶、重型制造是我省工業(yè)的傳統(tǒng)特色，自主可信計算機立由、生物信息技術(shù)轧钓、新能源汽車等反映了我省新興產(chǎn)業(yè)的特色。

我省工控安全與其他工業(yè)大省一樣都還在剛起步階段锐膜，都存在人才聋迎、技術(shù)、以及軟裝備高度匱乏枣耀，以及信息安全標(biāo)準(zhǔn)建設(shè)與合規(guī)性實施能力建設(shè)嚴(yán)重不足的問題霉晕。基于這些問題捞奕，我省在國內(nèi)率先提出了《山西省工業(yè)控制系統(tǒng)信息安全發(fā)展規(guī)劃2017-2020》牺堰，明確提出了工作任務(wù)：建設(shè)兩個體系（工控安全的管理體系和技術(shù)體系）、提升三種能力（態(tài)勢感知颅围、安全防護伟葫、危機應(yīng)對）、實施五大工程（產(chǎn)業(yè)基地院促、標(biāo)準(zhǔn)筏养、試點示范斧抱、自主可控替代、以及數(shù)據(jù)平臺）渐溶。

此外辉浦，我省的工控安全產(chǎn)業(yè)聯(lián)盟、信息安全研究院茎辐、工控安全實驗室等官促民營的組織機構(gòu)在國內(nèi)并不多見宪郊。據(jù)此大致可以說我省在推進工控安全工作方面應(yīng)該說還是走在其他工業(yè)大省的前面。

4.黃河連線：今年五月份的勒索病毒對我國的石油行業(yè)造成了尤為嚴(yán)重的影響拖陆，很多相關(guān)的企業(yè)都在此次事件中受到了波及弛槐。從這個事件中，我們可以總結(jié)出哪些工控安全方面的經(jīng)驗教訓(xùn)依啰？

陸希：毫無疑問這顯然是相關(guān)企業(yè)安全防護不到位的后果乎串。反思后果的成因我覺得還不能簡單的把它歸于老生常談的那些：信息安全方面意識不足、人才匱乏等速警；信息安全技術(shù)方面：網(wǎng)絡(luò)安全架構(gòu)不合理叹誉、邊界防護缺失等。因為石化是央企壟斷的行業(yè)坏瞄，在工控安全方面有相對完善成熟的套路和足夠的資金投入桂对。個人感覺后果的成因有可能是兩化融合后甩卓，雖然系統(tǒng)和技術(shù)等快速融合了鸠匀，但IT和自動化領(lǐng)域的信息安全意識還遠未融合。

5.面對工控安全的威脅逾柿，政府缀棍、企業(yè)、普通網(wǎng)民机错，應(yīng)該怎么做才能避免受到侵害爬范？

陸希：這類問題在各種媒體、報章雜志弱匪、以及技術(shù)資料等上的宣傳可以說是鋪天蓋地了青瀑。技術(shù)創(chuàng)新帶來效率和便捷的同時也帶來了威脅和風(fēng)險，這是進步的代價萧诫。究其本源斥难，關(guān)鍵的不是能否采取什么萬全的措施來避免風(fēng)險，而是在獲取便捷上能否理性或者能否克制任性帘饶，因為風(fēng)險永遠存在哑诊。既然所謂風(fēng)險是威脅透過漏洞造成可能后果的價值，那么在已知的已知和未知的未知風(fēng)險并存的情況下及刻，盡快掌握安全技能镀裤、充實安全能力竞阐、安全與彈性并重、精準(zhǔn)權(quán)衡利弊暑劝、謹(jǐn)慎決策或許是網(wǎng)民骆莹、企業(yè)或政府避免侵害的最好辦法。

換句通俗的話說铃岔，越是敏感的事情汪疮，越是要有安全能力并能證明的確有這個能力，再去考慮便捷毁习。或者反過來智嚷，若一定要某種便捷，那就先掌握那種便捷的安全能力纺且。實際上這也是網(wǎng)絡(luò)安全法中三同步原則的基本原理盏道。既然明知防不勝防，那就在防的同時把恢復(fù)做好载碌。

聲明：

黃河連線系太原九州連線文化傳媒有限公司旗下品牌

本平臺法律顧問為山西晉商律師事務(wù)所

黃河連線原創(chuàng)文章猜嘱，轉(zhuǎn)載請注明出處