2015年 Oct月 12日
核电站的网络安全保护及反网络战争协议
那么,让我们快速回顾和评述一些’新闻’ –不如说是更新信息–其内容我已反复”唠叨”了好多年!我最讨厌说的就是’早就说过了’这句话,但这些内容…我早就说过了! 第一 
(随机照片)位于法国境内的Cattenom核电站,衷心希望它拥有一流的网络安全保护能力 在15年多的时间里,我始终不渝地推动公众更好地认识到工业和基础设施中存在的网络安全问题。这一问题无疑已成为各国政府、研究机构、媒体及公众的热烈讨论话题;然而,让我感到失望的是,尽管就这一问题讨论了许多,但无论是在这一领域的物理、法律和外交等其他方面,均未取得实质性的进展。这里恰好有个例子可以完全证明这一点: 本周早些时候,极具影响力的英国研究所Chatham House发表了题为’民用核设施网络安全:了解风险’的报告。尽管这篇报告的标题可能让人感觉还有些无趣,但里面的有些细节内容却…令人吃惊。 其中的细节内容在这里就不深入讨论了;你可以自己从头到尾读下这篇报告–前提是你有足够的时间。我必须说,这篇报告主要讨论的问题是,针对核电站的网络攻击风险在全球范围持续提升。哦喔。 整篇报告完全是根据专家访谈内容而写的。因此,没有使用任何可引用的原始证据。嗯,这有点像有人讲述的一部情色电影的内容–与看到的画面内容其实并不真正相符。不过,我认为这是在意料之中:对于核电领域,毕竟全球各国政府都对此 严加保护。 现在我照旧以”讲述情色电影”的方式来为你们介绍这份报告的内容!在了解其中主要结论的过程中–如果你认真思考其中问题的话,绝对不会持乐观的观点: 1.事实上核电站的计算机网络物理隔离根本不存在:完全是以讹传讹(注意,上述结论是基于目前全部已被调查的核电站,也许真的有存在;毕竟世上没有100%肯定的事情)。英国研究人员注意到VPN连接常被用在核电站–通常由承包商使用;且常常是非公开的(非官方申明),有时一些连接即使依然有效且可供使用,但却很容易被遗忘。 2.通过使用类似Shodan这样的”可怕”搜索引擎,我们可以从互联网上找到一长串连接互联网的工业系统清单。 3.有些核电站的计算机网络尽管可能存在物理隔离,但只需借助USB盘就能轻易地绕过这样的障碍(比如:Stuxnet)。 4.纵观全世界的核能工业,都不太热衷于分享关于网络安全事件的信息,因此也造成我们难以准确估计其安全状况。此外,由于一些原因,核能工业无法与其他行业有太多的合作,自然也不能从其他行业学到此类经验和专知。 5.为了削减成本,核能工业越来越多地使用常规商业(存在漏洞)软件。 6.许多工业控制系统的设计本身就存在不安全性。在不干扰系统控制进程的情况下修复漏洞往往难以实现。 7.在该报告的第53整页提供了更多其它信息。 这些令人恐惧的事实和细节对于IT安全专家而言并非新鲜事了。但我们仍然希望像这样的引人注意的出版物能为核能工业带来些改变。目前最重要的是尽快为所有相关软件打上安全补丁,总之核能工业IT安全应在大祸临头之前提升到一个相对安全的水平–而不是在此之后。 除了其他方面以外,该报告还建议在设计工业控制系统时即考虑到安全问题。听听吧!我们完全支持这个建议!比如:设计安全的操作系统。为了让工业控制系统(包括:SCADA)牢不可破,需要从整体上对网络安全原则进行彻底改革。不幸的是,需要改进的方面实在太多–而我们只是刚刚才”踏上征途”。但至少我们已经清楚了自己的努力方向。慢慢来… 第二 多年来,我也同样不遗余力地在全球范围内希望促成反网络战争协议。尽管包括:专业学者、外交官、政府和各国际组织能深入理解此类协议的逻辑性所在。–但真正要达成此类具体协议却依然缺乏实质性的进展,就如同核工业系统提升安全保护能力一样。但至少控制减少网络间谍活动和网络战争已最终提上议程。 
例如,美国总统贝拉克·奥巴马和中国国家主席习近平在今年9月末签署了一项协议,作为全球最大的两个经济体–将不再从事针对互相国家的商业网络间谍活动。此外,在联合记者招待会中网络安全问题也始终是记者最关心的问题(以及旨在减慢全球气候变化的负荷监测)。让人好奇的是,有关政治和军事网络间谍活动的棘手问题却只字未提。 这是否代表了这方面突破性的进展呢?当然不是。 尽管只迈出了一小步,但却是向着正确方面行进的。但也有传言说北京和华盛顿方面正在就签订禁止网络攻击的协议进行协商之中。但两位领导人在9月份会见期间,并未提到这一话题,但我们双方能就这一协议尽快达成一致。这将是历史上重要的且具有象征意义的一步。 当然最好全球所有国家都能签署这样的协议,从而向和平的互联网和网络空间的目标迈进。当然,这只是我们对于未来的美好想象;就目前而言,这并不是很现实。让我们共同向着更安全的互联网目标而努力。
