如果國內安全廠商在平時不能對工控做構建等準備，一旦出現安全事故再進場
，必然十分茫然。

　　今年8月有一件事讓筆者感到遺憾——在zai高gao鐵tie事shi故gu調tiao查zha組zu中zhong沒mei有you見jian到dao信xin息xi安an全quan專zhuan家jia的de身shen影ying。雖sui然ran狹xia義yi上shang看kan這zhe並bing非fei一yi起qi信xin息xi安an全quan事shi故gu
，但dan我wo們men應ying該gai看kan到dao，由you物wu理li安an全quan和he電dian氣qi安an全quan組zu成cheng的de現xian有you工gong業ye係xi統tong安an全quan觀guan已yi經jing陳chen舊jiu，麵mian對dui複fu雜za的de國guo際ji形xing勢shi和he國guo內nei情qing況kuang，中zhong國guo高gao鐵tie的de安an全quan以yi至zhi整zheng個ge工gong業ye體ti係xi的de安an全quan都dou需xu要yao經jing得de起qi國guo土tu安an全quan角jiao度du的de考kao察cha和he推tui敲qiao。

　　這種檢視不但要基於常態運營
，更要基於突發事件、自然災害、恐怖襲擊等。潛在的威脅不僅來自物理層麵上，還可能來自信號層麵和信息層麵
，此時就需要信息安全專家的出場了。

　　在動車事故發生前
，高鐵係統已經發生了3起電氣事故。網上曾出現傳言稱這幾起事故是某些國家釋放出蠕蟲所致。我對此做了搜索對比，發現這一傳言是由此前在《新京報》的一篇報道中的部分文字與一些所謂“蠕蟲”的(de)消(xiao)息(xi)拚(pin)接(jie)而(er)成(cheng)。從(cong)內(nei)容(rong)上(shang)看(kan)，漏(lou)洞(dong)百(bai)出(chu)，質(zhi)量(liang)極(ji)低(di)。但(dan)就(jiu)是(shi)這(zhe)樣(yang)一(yi)條(tiao)假(jia)新(xin)聞(wen)，卻(que)被(bei)國(guo)內(nei)網(wang)站(zhan)大(da)量(liang)轉(zhuan)載(zai)
，其(qi)中(zhong)不(bu)乏(fa)專(zhuan)業(ye)的(de)電(dian)氣(qi)技(ji)術(shu)協(xie)會(hui)組(zu)織(zhi)。

　　全球工業係統的安全形勢已經是危機四伏。該領域代表性企業西門子公司的產品必然是攻防雙方的一個重點戰場。在8月6日的Black Hat USA大會上，安全專家Dillon Beresford介紹了在西門子公司工業控製係統中發現更多漏洞的情況，這些漏洞包括複活節彩蛋
、可用於發起遠程拒絕服務攻擊的漏洞
，甚至是管理賬號和密碼硬編碼漏洞。

　　應當指出，在2010年的震網（Stuxnet）蠕蟲事件中
，將用戶名和口令硬編碼到應用程序中的問題已經出現在了西門子公司的WinCC產chan品pin中zhong
，並bing成cheng為wei震zhen網wang蠕ru蟲chong攻gong擊ji的de重zhong要yao環huan節jie。這zhe種zhong不bu符fu合he基ji本ben開kai發fa規gui範fan的de編bian碼ma實shi現xian，也ye意yi味wei著zhe攻gong擊ji者zhe一yi旦dan發fa現xian並bing利li用yong，就jiu可ke以yi通tong吃chi通tong殺sha，而er防fang守shou方fang卻que無wu法fa徹che底di解jie決jue問wen題ti。

　　震網蠕蟲事件時

，我們曾指出數據
、配置
、daimasanfenkaiyeshigongkongxitongkaifadejibenyuanze。dankeyikandao
，ximenzigongsibingweiduixiangguanwentizuochutiaozheng。zhesihubiaomingximenzigongsirengranyongchanpinsimixinglaibaozhangqitixideanquan。tamenshifouhaiyiwei

，jianggengduoquanxiankaifanggeiyonghubingbushiyingduianquanwentideyouxiaofangfa，erzhihuigeizijidailaigengduomafan

？ruguoximenzigongsimeiyouqitacengmiandexuyi，womenzhinengrenweiqianquanguanshiluohoude。

　　在8yuezhaokaidezhongguojisuanjiwangluoanquannianhuishang，zuzhizhechuyuduigongkongwentidezhongshi，wulunshizaigaofengluntanhaishizaizhuantijishubaogaojunanpaileximenzigongsifayan。danximenzigongsiquejiangcishiweiweijigongguandejihui。

　　概括其主旨觀點，就是“微軟的漏洞太多，震網蠕蟲作者手段太高超，我們已經做出了響應
，所以我們沒有任何責任”。至zhi於yu西xi門men子zi公gong司si工gong控kong係xi統tong的de漏lou洞dong問wen題ti，以yi及ji對dui全quan局ju問wen題ti的de總zong結jie和he反fan思si，則ze絲si毫hao未wei談tan。這zhe種zhong推tui卸xie責ze任ren的de態tai度du讓rang很hen多duo在zai場chang的de安an全quan界jie同tong行xing憤fen憤fen不bu平ping。

　　從(cong)全(quan)球(qiu)範(fan)圍(wei)看(kan)
，目(mu)前(qian)對(dui)工(gong)控(kong)安(an)全(quan)的(de)研(yan)究(jiu)已(yi)經(jing)從(cong)最(zui)初(chu)對(dui)終(zhong)端(duan)係(xi)統(tong)和(he)應(ying)用(yong)軟(ruan)件(jian)的(de)漏(lou)洞(dong)挖(wa)掘(jue)開(kai)始(shi)向(xiang)軟(ruan)硬(ying)件(jian)結(jie)合(he)和(he)工(gong)控(kong)體(ti)係(xi)安(an)全(quan)的(de)方(fang)向(xiang)擴(kuo)展(zhan)。今(jin)年(nian)3月
，Ruben Santamarta在RootedCon作了題為SCADA Trojans: Attacking the Griddejishubaogao，taduidianlitixidelijiezhishenke，rangbizheyiweiduoniancongshiyingjianyanfadetongshizantanbuyi。gongyekongzhixitongdejichusheshiyiranshifuzaerangguide，ruguoguoneianquanchangshangzaipingshibunengduizhexiechangjingzuogoujiandengzhunbei，yidanchuxiananquanshiguzaijinchang，biranshifenmangran。

　　在這一領域，我們需要感謝US-CERT的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)小(xiao)組(zu)，他(ta)們(men)分(fen)析(xi)整(zheng)理(li)了(le)大(da)量(liang)相(xiang)關(guan)漏(lou)洞(dong)信(xin)息(xi)
，其(qi)簡(jian)報(bao)也(ye)是(shi)該(gai)領(ling)域(yu)最(zui)為(wei)係(xi)統(tong)的(de)聚(ju)合(he)信(xin)息(xi)之(zhi)一(yi)。美(mei)國(guo)國(guo)家(jia)標(biao)準(zhun)和(he)技(ji)術(shu)研(yan)究(jiu)所(suo)發(fa)布(bu)的(de)《工業控製係統安全指南》和《工業控製係統反病毒軟件指南》等也是值得研究參考的文獻。美國能源局、特情局、國家實驗室等也紛紛開通專題網站、發布研究報告，對此問題的重視程度可見一斑。

　　在國內，CNVD（國家信息安全漏洞共享平台）對工控係統漏洞的及時通報
、電力科學研究院的相關標準研究、國內安全企業對震網蠕蟲的跟進分析等，也讓我國的工控安全事業有了一個自己的起點。

　　作者肖新光
，網名江海客，安天實驗室首席技術架構師，研究方向為反病毒和計算機犯罪取證等。微博：weibo.com/seak