近年来，公共安全是整个网络安全重要的组成部分，也是国家主管部门重点关注的一个对象。其实公共安全包括两个部分：一是功能安全、二是信息安全。功能安全的机制相对比较完善。其实，现在所说的公共安全多数是指公共的信息安全。

下面，主要从公共安全的现状、公共安全的相关政策和标准、公共系统的安全防护与典型的公共信息安全产品，这几个方面做一个简单介绍。

公共系统，其实在2010年之前，基本上没有信息安全的概念，公共设备和公共协议基本上是缺少一个信息安全方面的设计的，公共协议基本上是没有的。这就使得绝大多数公共设备要网络可达和连通，基本上就可以被设备像TLD这种设备完全控制。包括其它的IO点的控制，因为IO点直接输出来，可能对应的就是一些阀门和一些压力，这种后果非常严重。

另外公共系统在建设之初，基本上是没有考虑信息安全，目前主要还是通过与互联网物理隔离的方式来保证它的安全。这就使得原公共系统很多漏洞存在，掩盖在隔离上面，没有暴露出来。但是随着像“工业4.0”、“两化融合”、以及到“互联网+”这些概念的推进，公共系统在业务上或者在效率上的需要，就不得不与互联网进行融合，这就使得原来被掩盖的一些问题都暴露出来了。

提到公共安全事件，在2010年针对伊朗所做出的“震网病毒”，这个公共事件导致伊朗五分之一的离心机停机。这是全球比较公开报道的一个重大公共信息安全事件，因此2010年也确定为公共信息安全的元年。另外像前面的乌克兰事件也是典型的公共信息安全事件，导致大面积的电力瘫痪。

总体而言，公共安全事件就相对于IT的安全事件，互联网还是相对比较少的。这主要是几个方面的原因：第一，这种公共信息安全的人才相对还是比较少的。第二，对于公共系统的一些攻击后果通常都是非常严重的。另外，还有很多公共的漏洞和事件可能不会在上面直接通报，如果通报被人利用，后果是会很严重的。很多互联网的攻击都是基于经济利益的驱动去做互联网的攻击，对于公共系统的攻击可能比较少的带来经济利益。但是从国家安全的层面来说，就不是靠经济利益来驱动的，所以从国家层面就制定了一系列的安全工作法规。

这个数据是来自德伯斯那边的统计，从2010年开始，公共安全的漏洞有过大量的报告。其实这里已经公布的漏洞应该还是冰山一角的，如果公布这些漏洞不能利用，可能后果是非常严重的。另外，一些信息安全厂商自己会针对没有公开的漏洞一些研究。这是最近2017年公布的一些漏洞。

下面介绍一下相关的法规，最重要的一个是今年6月份开始实施的《国家网络安全法》，这个是从法律的高度来对整个网络的安全做一个规范的。这里面我大概提到与公共比较相关的，第一个是必要需求，国家实行网络安全等级保护制度。这个网络安全也包括公共网络。

第二个是第23条，网络关键设备和网络安全专用产品实施销售许可制度，这个相当于现在实行部署在公共系统的专用信息安全产品都实行销售许可制度，要通过第三方的检测，拿到销售许可证，才能在市场上销售。

第三个是第31条，国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。这个在《网络安全法》里面也是比较明确的，关键基础设施由国务院进行定义。从目前公布的试行的《关键信息基础设施确定指南》里面，里面所涉及的行业绝大部分是与控制相关的，像人员、交通、市政、工业制造等这些都是与控制系统直接相关的。

另外从国家层面还有相应的一些文件，像《中国制造2025》、《国家“十三五”信息化规划》等等，国家层面的一些文件都从大方向确定对公共安全保护的要求。国家层面的一些政策或者制度都是大方向主导性的，各个部委或者一些行业会有针对性地做一些具体的细化。最重要的一个就是工信部2016年发布的28号文《工业控制系统信息安全防护指南》，这个就相当于一个可落地的、操作性比较强的文件。

这个文件涵盖的技术管理方面都是一个大项，它是一个条目，技术条目包括边界安全防护、配置和补丁管理、身份认证等等。另外在安全管理方面，有安全监测和应急的一些要求，还有资产管理、供应链管理和责任落实等管理方面的一些要求。这个可以预见，在《网络安全法》出台以后，各个主管部委和一些行业肯定还有相应的一些具体细化的政策出台。

三个标准，其实标准也是属于技术法规，形成一个标准的体系。现在在公共信息安全方面的标准，在国际上的一个标准主要是IEC 62443系列标准。这个标准主要是从策略和程序以及系统和帮助这几个方面提出了具体的要求，这个标准也是适用于用户单位、系统集成单位、公共设备以及公共信息安全产品的开发厂商。国内在公共安全信息方面的标准情况是，现在目前已经发布了大概10来个国家标准，包括公共风险评估、评估规范、安全控制应用指南等等。

另外还有16、17个正在建制的一些标准，因为国标建制的时间相对比较长，可能要等2到3年才能出来。在建的这些标准，包括系统的管理、产品以及评估的一些要求。在建的标准里面，最重要的一个就是信息安全技术网络安全保护等级保护基本要求，作为第五部分工业控制系统安全扩展要求。这个标准应该在今年2月份已经完成征求意见，目前应该是在送审稿阶段。

因为等级保护工作可能是由公安来推动的，原来的基本要求主要是针对IT，在公共系统中不是很能用，那个标准也没法强推到控制系统里面。如果现在这个标准正式公布之后，公安有可能比较强烈地来推动公共系统的等保，包括等保的定级备案。这个标准的发布，应该对公共系统信息安全有一个比较大的促进。另外目前整个标准体系还不是很完善，我们会继续完善信息安全的工作。从今年开始，在武汉信息安全标准小组，今年可能又有一批新立项的公共安全标准。

下面。介绍一下公共系统安全防护的一些典型的适用于公共系统信息安全的产品。公共网络和IT网络还是有比较大的差别的、比较大的差异的，第一是在开放性方面，像我们接触的IT网络不是开放互联的，公共网络是相对比较封闭的。第二是在持续可靠性方面，比如我们的IT网络有延时，结果我们访问网页慢一点，这也仅仅是用户体验会差一点，包括收发邮件慢一点都是我们接受的。但是在公共网络里面，如果有些关键的时间上不去，可能就会带来一些灾难性的后果。另外在信息私密性以及设备软件的一些更新方面，都是存在着较大差别的。因此，公共网络与IT网络在信息安全方面和技术也是不一样的，现在IT网络都是把保密性放在首位的，可靠性是放在末位的。但是在公共网络里面，首先考虑的是可靠性，保密性是放在最末位的。

对于公共系统整体的安全来说，首先，必须要有安全的公共设备，公共系统主要是由计算机以及公共设备来构成的，公共设备自身需要安全，另外再结合一些可靠的工业控制系统的信息安全产品， 来达到公共系统的整体安全。包括设备的自身安全以及公共信息安全产品的系统整体安全，这些都需要政策法规的指引，也需要具体的标准来指导。可能有些企业说，要加固，要把系统做到安全，那怎么做?不清楚，就需要政策法规和标准的指引。

这是工业控制系统典型的一个防护架构，这张图就是一个比较典型的公共系统上层架构。这里一般在层级之间以及外部的边界，通常主要部署边界防护的产品，像防火墙或者隔离类单向保护的产品。第二个就是部署到航路监测的，对于流量以及设备做一些审计监测的产品，及时发现网络中是否存在一些攻击行为或者一些异常行为。第三个就是主机防护力，因为公共系统操作在云端，都是普通的PC，这些PC往往是重要的风险点，包括病毒的带入都是从这里进入的。

公共信息安全产品是相对于传统的IT安全产品也有一些自身的特点，第一是对产品的可靠性要求非常高，接一个防火墙进来，不能有任何一个风险点，防火墙必须安全可靠。第二是对部署在现场的一些设备，特别是防火墙直接部署在现场的，这就要求有低延时、要有良好的环境适应性，像电子兼容和温湿度、易抗震。这个我在那边看到一个展示台，就是因为长时间使用温度过高，必须停了。但是如果一个设备布置在那里，它必须要有良好的环境适应性。

另外在公共安全产品里面，广泛采用白名单的特点，对于公共系统一般来说要做到可知可控，所有的包括通讯我应该都是知道的，网络安全该不该进行网络通讯、该不该控制，这些都是应该知道的。如果出现意外的都认为质疑它，无论是辅机还是主机，主机防护力。对于监测类的产品，主要是有公共防火墙、公共隔离，这一类产品主要是注入在系统边界，主要是防护一些网络攻击。

同时审计监测最典型的产品，还有路线监测和一些公共安全平台之类的，这一类主要是监测流量的异常或者设备的异常。另外作为一个审计，可以作为一个事后的追捕，就是防止抵赖。对于主机防护来讲，目前主要产品包括两类：第一类是外挂式的防护，就是接管主机的所有的外部接口，就像USB或者外接键盘一样，外部接口做一个安全防护。第二类是白名单，白名单是可移植的技术来做白名单的产品。这类产品主要是保证公共系统的PC安全，像一些代码防止越权或者滥用。

这是根据销售许可检测的情况，统计我们国家现在目前的公共信息安全产品的情况。从这个图可以看到，从2014年到2016年，公共系统的信息安全产品有大幅的增加，目前市场上总数大概在90款左右，主要的还是这三类，就是隔离、防火墙和审计，这三类占的比例是特别大的。

最后，简单介绍一下我的单位和我的主要工作。我是来自公安部第三研究所的，我们的主要工作，第一个是信息安全产品的销售许可检测，第二个是信息系统的等级保护工作。在公共方面，我们主要做的工作，第一个是公共风控系统的信息安全产品检测，第二个是公共设备的安全性测试，第三个是公共系统的安全评估，就是等保测评。另外我们也会做一些公共信息安全相关的科研项目，来支撑我们的课题和检测。

(本文来自于公安部三所邹春明先生在2017年H3C Navigate 领航者峰会上的演讲)