访力控华康董事长马国华

文/《决策资讯》陈英明

随着物联网时代的来临，信息安全漏洞导致的结果已经不再是接收几条垃圾短信、电脑宕机、银行卡盗刷这样的常见问题，而是可能导致工厂上亿元的经济损失甚至消费者的生命安全，“安全”已经是摆到我们桌面上需要直接面对的问题。本刊此次采访了多年从事工业控制和物联网安全领域的力控华康董事长马国华先生。

《决策资讯》：与互联网相比，物联网的信息安全需要面对哪些新问题。

物联网与互联网相比，面对的问题主要是数据属性和使用方式的差异，还有数据的收集方式不太一样。物联网好多数据都属私有数据，放在云上来说就是私有云，比如说水表、电表、气表的数据，还有云健康，比如血压、心律等的数据，这些和老百姓生活密切相关的同时又带有隐私性的数据，是需要保密的。在传统互联网是没有这些数据的。互联网上像门户的数据信息都是面向大众的，但物联网都是给有限的人看的，如果超出这个范围，就涉及到使用安全问题，这个最为突出。除此之外就是联网的标准有区别，互联网是按统一的协议标准比如TCP/IP来构建的，大家共同遵守这个标准；而物联网的细分领域太多，出了各种各样的协议，而且好多标准在制定时也不是很完善，没有考虑到联网后的信息安全风险。

《决策资讯》：您如何评价目前工业控制系统和物联网信息安全方面的现状。

据我做工控安全所遇到的情况来看，目前工控系统几乎可以说是没有安全防护，基本都是“裸奔”的。早期的工业控制系统采用专门的硬件和软件来运行专有的控制协议，而且由于是孤立的系统，很少接到公网，所以安全问题相对会很少被关注。但随着“互联网+”时代的到来，工厂里的机器设备接入公网已是必然趋势，这就会面临着大量安全隐患。因此我们观察到物联网领域的安全需求也在逐步体现，就像是金融领域的安全一样，银行原来也是相对封闭的系统，但随着移动支付、互联网支付等新的支付方式的出现，安全需求也逐渐凸显。工业领域和物联网领域的安全也一样，我们不是为了安全而安全，而是有实际的市场需求在里面的，有了需求市场自然就会向前发展。

《决策资讯》：您对未来的“工业控制系统和物联网信息安全市场”有哪些判断。

我国经济发展水平和综合环境各地参差不齐，行业市场相对比较复杂，同时国内企业有跟风的习惯，看别人在做或国家鼓励就一窝蜂挤过去，就像之前的风电和光伏行业，行业快速发展起来了，信息安全保障等配套却没有跟上。目前我国的工控安全领域发展与欧美发达国家比尚有一定差距，但我国的市场有其特殊性和不可替代性，若有政府或相关机构组织站出来对行业适当引导，避免无序发展，最终以行业应用推动市场发展，将催生更加庞大完善的市场。

《决策资讯》：您认为保障物联网信息安全的核心环节（或：根本方式）是什么。

我觉得在信息安全方面体系化的防护很重要，信息安全就像保护你家里的财物，我们会门窗紧锁，但也许有人会在墙上凿个洞，所以还是要有一个防护体系，针对不同的内容做针对性的安全防护。比如生产仓库面临的安全需求可能包括防火防盗，防可燃性气体等等，如果采取全方位的防护，成本会提到很高，对企业产生较大负担，所以我觉得首先还是首先进行风险评估，根据资产的重要程度、安全问题出现的概率、影响程度来采取适当措施加以防护比较权宜。

《决策资讯》：消费者（或：客户方），在信息安全方面扮演什么样的角色。

消费者往往处在最弱的一方，常常是最终的受害者，几乎没有选择的权利。比如跟居民生活较贴近的水电气，医疗系统的个人健康数据，不论是泄露还是被篡改，都会对消费者生活造成很大影响，甚至影响到生命安全。当然不论个人用户还是企业、政府用户的安全意识，也是亟待加强和提高的，目前信息安全远不仅是传统的办公系统、操作系统和数据库的安全，各种资产都可以成为黑客入侵的跳板和渠道，就像前阵海康威视监控设备被黑客入侵事件。其实各大设备厂商，包括三星、苹果、IBM、华为等的产品，可能或多或少产品都会涉及BUG，当BUG被别有用心的人利用就可能造成损失，这里我觉得使用用户的安全意识和使用习惯等也有莫大关系。

力控华康是国内最早从事工业控制系统信息安全技术研发的厂商之一，是中国领先的工业控制系统信息安全产品及服务供应商。自公司成立以来，先后推出多款工业控制系统信息安全产品，并在石油、石化、燃气、钢铁等诸多行业获得规模应用。公司参与了包括GB/T30976在内的多个信息安全国家标准的制订工作，并于2014年参与发起成立“工业控制系统信息安全产业联盟”，以期在更大的舞台上为中国的工业控制系统信息安全做出贡献。