西門(mén)子發(fā)布中文產(chǎn)品漏洞提示 較國(guó)外晚13天

　　近日，記者對(duì)西門(mén)子工業(yè)控制系統(tǒng)存在漏洞的報(bào)道引發(fā)了廣泛關(guān)注，西門(mén)子（中國(guó)）會(huì)對(duì)中國(guó)使用者提供一些安全警示或者其他相關(guān)措施嗎？在記者發(fā)出問(wèn)題數(shù)天后，西門(mén)子6月9日終于給出了回復(fù)。

　　西門(mén)子（中國(guó)）媒體負(fù)責(zé)人段偉表示，西門(mén)子存在漏洞的相關(guān)產(chǎn)品說(shuō)明的中文版本已經(jīng)放在西門(mén)子（中國(guó)）工業(yè)自動(dòng)化與驅(qū)動(dòng)計(jì)劃網(wǎng)站上，西門(mén)子很多使用者都會(huì)瀏覽這個(gè)網(wǎng)站，應(yīng)該可以看到相關(guān)信息。

　　據(jù)西門(mén)子 （中國(guó)）官方網(wǎng)站資料，漏洞產(chǎn)品S7-1200的固件更新將在6月提供。固件更新將會(huì)提供彌補(bǔ)措施，此固件針對(duì)重放攻擊加強(qiáng)了保護(hù)措施，同時(shí)增強(qiáng)了S7-1200在面對(duì)上述拒絕服務(wù)攻擊時(shí)的穩(wěn)定性。

　　不過(guò)記者發(fā)現(xiàn)，此信息的發(fā)布比其英文版本晚了13天。

西門(mén)子稱(chēng)至今未接到任何質(zhì)詢(xún)

　　6月1日，記者給西門(mén)子（中國(guó)）發(fā)去了采訪(fǎng)提綱，詢(xún)問(wèn)關(guān)于是否存在漏洞、西門(mén)子會(huì)采取何種措施、是否給中國(guó)使用者提示等。在次日得到的回復(fù)中，西門(mén)子（中國(guó)）對(duì)于會(huì)否給消費(fèi)者安全提示等問(wèn)題并未給出正面回復(fù)。

　　其后，記者再次致電西門(mén)子（中國(guó)）。昨天晚上記者接到西門(mén)子（中國(guó)）的回復(fù)。

　　西門(mén)子（中國(guó)）在回復(fù)中表示，到目前為止，他們還沒(méi)有接到任何客戶(hù)就此問(wèn)題的質(zhì)詢(xún)。網(wǎng)絡(luò)攻擊只有在下述非常極端的條件下才會(huì)發(fā)生：即入侵者必須在工廠(chǎng)現(xiàn)場(chǎng)或者可以任意訪(fǎng)問(wèn)生產(chǎn)網(wǎng)絡(luò)。即便受到網(wǎng)絡(luò)攻擊，CPUS7-1200的反應(yīng)將是切換到停機(jī)/故障狀態(tài)，并將自動(dòng)化過(guò)程置于安全模式。

　　段偉稱(chēng)，西門(mén)子（中國(guó)）目前沒(méi)有接到任何客戶(hù)對(duì)此的質(zhì)詢(xún)和詢(xún)問(wèn)。在記者的追問(wèn)下，段偉還表示，如果確實(shí)有必要，或許將對(duì)中國(guó)使用者進(jìn)行提示。

　　在接到西門(mén)子的官方回復(fù)之前，一個(gè)工業(yè)控制自動(dòng)化培訓(xùn)機(jī)構(gòu)給記者提供了一位培訓(xùn)工程師的電話(huà)，記者以潛在消費(fèi)者的名義咨詢(xún)這位自動(dòng)化工程師，工程師稱(chēng)，已經(jīng)接到不少咨詢(xún)電話(huà)。如果不和以太網(wǎng)連接，產(chǎn)品應(yīng)該沒(méi)有什么問(wèn)題。

晚了13天的說(shuō)明

　　西門(mén)子（中國(guó)）稱(chēng)已經(jīng)將相關(guān)材料的中文版本放到官方網(wǎng)站上，客戶(hù)可以通過(guò)他們的網(wǎng)站看到漏洞的相關(guān)內(nèi)容。

　　不過(guò)，記者發(fā)現(xiàn)，西門(mén)子總公司發(fā)布對(duì)此事件的說(shuō)明時(shí)間為5月26日。在6月2日西門(mén)子（中國(guó)）給記者的回復(fù)中，其媒體負(fù)責(zé)人還表示沒(méi)有中文版本。西門(mén)子（中國(guó)）的官網(wǎng)上中文版本發(fā)布時(shí)間標(biāo)注為6月8日，比國(guó)外晚了13天。

　　對(duì)于產(chǎn)品存在漏洞，西門(mén)子卻遲遲不予以回復(fù)，安天實(shí)驗(yàn)室的技術(shù)發(fā)言人苗得雨表示非常不理解。他表示，一旦出現(xiàn)漏洞，微軟等公司都會(huì)采取各種措施通知使用者。比如通過(guò)專(zhuān)業(yè)的媒體、訂閱郵件通知，在每個(gè)月的特定時(shí)間還專(zhuān)門(mén)召開(kāi)產(chǎn)品漏洞說(shuō)明會(huì)。

　　苗得雨還認(rèn)為，目前西門(mén)子（中國(guó)）提供的是在線(xiàn)解決方案，但是工業(yè)系統(tǒng)很少聯(lián)網(wǎng)，而且西門(mén)子的產(chǎn)品中還有一部分是沒(méi)法解決的，例如樓宇、船舶設(shè)備，這部分設(shè)備很難實(shí)現(xiàn)在線(xiàn)升級(jí)。

　　李建成律師表示，購(gòu)買(mǎi)西門(mén)子的產(chǎn)品，雙方建立了買(mǎi)賣(mài)關(guān)系，應(yīng)該按照《合同法》的有關(guān)規(guī)定行事。按照《合同法》的規(guī)定，購(gòu)買(mǎi)的產(chǎn)品必須是安全無(wú)瑕的，除非是因?yàn)榧夹g(shù)無(wú)法實(shí)現(xiàn)等客觀(guān)上可以免除的原因，否則必須及時(shí)通知消費(fèi)者。否則的話(huà)，中國(guó)企業(yè)一旦因此受到損失，有權(quán)利向西門(mén)子索取賠償。