倪光南：工控漏洞重重 解決安全問題需掌握核心技術(shù)

（六月/文）4月12日消息，在今天的“第二屆中國通信業(yè)物聯(lián)網(wǎng)大會”上，中國工程院院士倪光南表示，目前物聯(lián)網(wǎng)可以說是無處不在，我們看到的信息幾乎都與物聯(lián)網(wǎng)有關(guān)系，同時，也可以看到物聯(lián)網(wǎng)在工控系統(tǒng)的安全漏洞也非常嚴重。

“特別是信息泄露、身份驗證等都存在非常大的威脅，工控系統(tǒng)如果受到重創(chuàng)，會造成整個系統(tǒng)的癱瘓，產(chǎn)生嚴重的破環(huán)，對社會經(jīng)濟會產(chǎn)生很大的影響” 倪光南講到。

工控漏洞重重

主要受三種形式攻擊

據(jù)國家信息安全漏洞共享平臺（CNVD）、美國CVE、ICS-CERT、NVD發(fā)布的漏洞數(shù)據(jù)顯示，截至2016年12月，與工業(yè)控制系統(tǒng)相關(guān)的漏洞達到984個。

這些工控漏洞的類型分布廣泛，包括跨站腳本、數(shù)字錯誤、代碼注入等等，有27種以上，其中，緩沖區(qū)溢加、信息泄露和輸入驗證分類漏洞類型位列前三甲。

談及工控系統(tǒng)受到的攻擊，倪光南表示，分為外部攻擊、內(nèi)部攻擊以及內(nèi)外勾結(jié)三種形式�！捌鋵嵳f明人在工控系統(tǒng)安全中起到非常重要的作用，很多是通過內(nèi)部進行攻擊，這是非常難防的，所以工控安全不是普通的設(shè)備、技術(shù)的安全，還牽扯到管理，牽扯到一些法規(guī)制度的問題�！� 倪光南細說到。

工控系統(tǒng)安全存在內(nèi)部威脅的問題，攻擊的手段以及工控系統(tǒng)本身。在過去很多工控設(shè)施不聯(lián)網(wǎng)，現(xiàn)在基本上都聯(lián)網(wǎng)，而且聯(lián)網(wǎng)的手段也非常豐富，因此需要考慮過去一些設(shè)備不適應(yīng)這個條件，以及最后行為審計和管理的問題，這是屬于規(guī)范制度方面的問題。

倪光南稱：“中國在這方面，因為物聯(lián)網(wǎng)剛興起不久，所以工控系統(tǒng)的安全也是處于發(fā)展階段，目前還比較初級的。但國家在這方面非常重視，習(xí)總書記關(guān)于網(wǎng)信工作系列講座里面，對這方面有很重要的系列的指導(dǎo)。工信部在這方面也發(fā)布了工控系統(tǒng)安全防護指南，并且在網(wǎng)絡(luò)安全和相關(guān)的物聯(lián)網(wǎng)方面都有一些專門的規(guī)定，我們應(yīng)該按照把這些規(guī)范落實起來�！�

解決安全問題

核心技術(shù)是關(guān)鍵

對于如何解決這方面安全問題，倪光南坦言：“如果核心技術(shù)不掌握，安全問題不可能解決好�！币驗槲覈�的工控系統(tǒng)還處于初級階段，我們可以參照計算機的體系。

比如說wintel就是基于Windows系統(tǒng)，是目前一般服務(wù)器所用的。如果沒有工控體系，講安全是達不到的。對此，倪光南解釋道，我們用國產(chǎn)的操作系統(tǒng)，國產(chǎn)的CPU，用這樣的機構(gòu)去替代wintel，能不能替代？很多人有疑問。包括整個技術(shù)體系生態(tài)系統(tǒng)，將來會更多，并且有人說wintel2020年要停止服務(wù)了，這個也是給我們一個威脅，但是威脅不大，一些公司推出了一些架構(gòu)跟wintel要合作，但是我們現(xiàn)在不需要合作就能夠保證，我們用可信技術(shù)的這種方案，很多單位都在用，都沒問題。

另外，利用智能動態(tài)防御的技術(shù)，使攻擊者找不到它的思想，現(xiàn)在軟件定義，通過這三節(jié)服務(wù)器以后，進入到一個，不知道你網(wǎng)絡(luò)里面有多少東西。目前為止有人懸賞一百萬，也沒人攻破。

倪光南表示我國正在大力發(fā)展軟硬件技術(shù)實力替代“核心”，談及為何要大力發(fā)展，他坦言主要有以下四方面原因：

一，國家建設(shè)網(wǎng)絡(luò)強國，安全問題是關(guān)鍵。倪光南表示，凡是關(guān)鍵的核心技術(shù)，作為國之重器是不可能被引進，我們應(yīng)該意識到這個問題，并且大力發(fā)展自己國家的核心技術(shù)。

二，國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要定的第一項就是核高基，中國必須搞自己的CPU。我們必須要再次重視一下，核高基要替代，不能忘了初心和使命，這方面我們不能動搖。

三，國家下了決心要取代Windows10，目前到網(wǎng)信辦去查win10已經(jīng)上了負面清單，沒有通過。

四，按習(xí)總書記要求，要安全發(fā)展同步推進，為了保證這一點，我們希望能夠解決可控性問題。對此，我們建議進行多維度測評，除了一般的質(zhì)量、性價比、安全方面的測評以外，我們會用知識產(chǎn)權(quán)、技術(shù)體系各種方式來衡量，所以自主可控不會有問題。