2015EICS+工控系統(tǒng)信息安全攻防競賽已圓滿結(jié)束。為更好地宣傳工控系統(tǒng)信息安全,將EICS+競賽打造成國內(nèi)首屈一指、持續(xù)性舉辦的標(biāo)桿賽事,競賽組委會(huì)對(duì)相關(guān)人員進(jìn)行了訪談。
訪談一:
一、采訪對(duì)象:
本次競賽主辦單位之一、公安部信息安全等級(jí)保護(hù)評(píng)估中心 常務(wù)副主任張宇翔(以下簡稱:張)
二、采訪者:
2015 EICS+工控系統(tǒng)信息安全攻防競賽組委會(huì)(以下簡稱:記)
三采訪記錄
記:您認(rèn)為舉辦本次競賽的必要性主要體現(xiàn)在哪些方面?
張:我們注意到,近年來廣大工業(yè)用戶在積極地實(shí)踐信息化和工業(yè)化的“兩化融合”,由于轉(zhuǎn)型升級(jí)、提升生產(chǎn)和管理效率的需要,管理和生產(chǎn)自動(dòng)化、網(wǎng)絡(luò)化日趨普及,不可避免地帶來一些新的安全風(fēng)險(xiǎn),使工業(yè)信息安全成為傳統(tǒng)生產(chǎn)安全所不可回避的一個(gè)嚴(yán)峻問題。
隨著新技術(shù)、新應(yīng)用的進(jìn)一步推廣,工業(yè)信息安全面臨的風(fēng)險(xiǎn)日趨嚴(yán)重。公安部相關(guān)監(jiān)管部門一直在采取各種措施,幫助工業(yè)用戶關(guān)注、預(yù)防這些安全風(fēng)險(xiǎn)。對(duì)等級(jí)保護(hù)系列標(biāo)準(zhǔn)的修訂過程中,針對(duì)工業(yè)控制系統(tǒng)的安全專門制定了一系列等級(jí)保護(hù)標(biāo)準(zhǔn),包括基本要求、設(shè)計(jì)技術(shù)要求和測評(píng)要求。這次競賽也是其中的一個(gè)重要環(huán)節(jié),對(duì)測評(píng)要求的制定、修訂和驗(yàn)證具有積極的意義。
本次比賽通過仿真典型的工業(yè)控制系統(tǒng),用一種非常直觀、形象的方式揭示了可能存在的工業(yè)信息安全風(fēng)險(xiǎn),有利于廣大工業(yè)用戶更好地認(rèn)識(shí)到工業(yè)領(lǐng)域所面臨的現(xiàn)實(shí)的信息安全問題,提升重視程度。今后也有必要繼續(xù)組織這樣的活動(dòng),并將競賽的影響力進(jìn)一步擴(kuò)大到各個(gè)重要的工業(yè)領(lǐng)域,引起更多行業(yè)企業(yè)的重視。
記:采用了實(shí)際攻防、高度仿真的競賽模式是本次競賽的一個(gè)新亮點(diǎn),采用這樣的競賽模式的目的是什么?
張:首先,實(shí)際攻防、高度仿真的競賽模式,有利于直觀、形象地揭示工業(yè)信息安全風(fēng)險(xiǎn)的嚴(yán)峻性,提升競賽的關(guān)注度和影響力。
其次,實(shí)際攻防、高度仿真的競賽模式,有利于比賽的組織者從實(shí)際的行業(yè)需求出發(fā),對(duì)比賽進(jìn)行設(shè)計(jì)和準(zhǔn)備,選手參賽時(shí)也在高度接近實(shí)戰(zhàn)的環(huán)境下進(jìn)行各項(xiàng)操作,這對(duì)他們在現(xiàn)實(shí)中的工業(yè)信息安全工作和相關(guān)研究具有更好的實(shí)際指導(dǎo)意義。
記:這次競賽的過程和結(jié)果,是否從一定程度反映出工業(yè)領(lǐng)域信息安全的嚴(yán)峻性?能否請您舉例說明?
張:這次競賽的過程,確實(shí)反映出了當(dāng)前的工業(yè)領(lǐng)域用戶在信息安全上面臨著一定的風(fēng)險(xiǎn),這對(duì)廣大的工業(yè)用戶而言是一個(gè)非常有力的警示。
比如,在初賽階段,沒有任何信息安全措施的老舊PLC系統(tǒng),輕易被多支參賽隊(duì)攻破;這充分說明,在現(xiàn)實(shí)的工業(yè)領(lǐng)域中,一些在工控產(chǎn)品的升級(jí)換代上比較滯后、仍在使用老舊設(shè)備的企業(yè)尤其需要重視采取信息安全措施,并適時(shí)對(duì)一些已不符合信息安全要求的老舊產(chǎn)品進(jìn)行替換升級(jí)。
在決賽階段,單點(diǎn)設(shè)備防護(hù)增強(qiáng)和邊界保護(hù)的防御措施,同樣在一段時(shí)間內(nèi)被攻破,這反應(yīng)出僅僅依靠設(shè)備防御能力增強(qiáng)和邊界保護(hù)是不充分的,不能徹底化解風(fēng)險(xiǎn)。我們建議從系統(tǒng)整體安全的視角,為工業(yè)用戶量身定做安全解決整改方案。這一問題也是值得所有工業(yè)用戶提高關(guān)注程度的一點(diǎn)。
記:通過這次競賽,能夠讓廣大工業(yè)用戶獲得哪些提升信息安全水平的啟示?對(duì)工業(yè)用戶而言,是否能夠從中發(fā)現(xiàn)一些值得推薦的路徑或措施?
張:在技術(shù)層面,從這次競賽的決賽階段可以看到,以新版PLC信息安全策略和外圍多層次防御手段為代表、采用由點(diǎn)到面縱深防御理念的系統(tǒng),從始至終未被攻破,體現(xiàn)出了極高的安全水平??梢?,采用這種縱深防御理念的信息安全解決方案,是值得廣大工業(yè)用戶進(jìn)行借鑒和實(shí)踐的。
在管理層面,廣大工業(yè)用戶也不難得到一些啟示。工業(yè)領(lǐng)域的信息安全風(fēng)險(xiǎn)在實(shí)際的生產(chǎn)環(huán)境中盡管不一定被觸發(fā),但卻時(shí)刻存在,不可不防。工業(yè)用戶應(yīng)該主動(dòng)關(guān)注這方面的工作,做到未雨綢繆、防患于未然,而不是在問題發(fā)生后再被動(dòng)應(yīng)對(duì)。
記:能否請您談一談,普通的工業(yè)用戶如要想選擇更符合信息安全要求的工控產(chǎn)品,有哪些可行的方法?
張:目前工業(yè)用戶選擇采購、使用更符合信息安全要求的工控產(chǎn)品,可以優(yōu)先選擇經(jīng)過國家權(quán)威檢測機(jī)構(gòu)、行業(yè)專業(yè)測評(píng)機(jī)構(gòu)檢測,安全可控的工控產(chǎn)品,這樣有利于在設(shè)備層面減少風(fēng)險(xiǎn)。
作為工業(yè)用戶,更應(yīng)在系統(tǒng)建設(shè)和整改中,關(guān)注系統(tǒng)整體安全性。選擇安全可靠的工控設(shè)備還只是實(shí)現(xiàn)了信息安全防范的第一步,用戶更應(yīng)在加強(qiáng)設(shè)備安全性的基礎(chǔ)上,采用縱深防御理念的信息安全解決方案,做好系統(tǒng)安全配置、選擇安全加固,更全面地提升系統(tǒng)整體的安全性。另外除了縱深防御理念之外,在網(wǎng)絡(luò)環(huán)境與應(yīng)用場景相對(duì)單一的生產(chǎn)環(huán)境中,是否還可以考慮基于可信計(jì)算的相關(guān)安全解決方案。
記:本次競賽對(duì)提升工業(yè)信息安全的整體水平有哪些積極意義?
張:提升了用戶對(duì)工控信息安全的認(rèn)識(shí),直觀感受到了工業(yè)控制系統(tǒng)所面臨的安全風(fēng)險(xiǎn),有力地揭示了此類系統(tǒng)所存在的安全風(fēng)險(xiǎn)。
針對(duì)目前工控設(shè)備存在安全風(fēng)險(xiǎn)的系統(tǒng),我們還是可以通過完善的安全解決方案來提升系統(tǒng)的安全防護(hù)能力。從決賽的情況來看,“國家級(jí)”的紅客隊(duì)伍并沒有攻克經(jīng)過設(shè)備加固和安全設(shè)備防護(hù)的方案,可以讓用戶建立信心。
本次大賽吸引了多支專業(yè)隊(duì)伍參賽,也獲得了多家工業(yè)控制設(shè)備廠商和信息安全廠商在專業(yè)技術(shù)層面上的大力支持,顯示出當(dāng)前業(yè)界各方對(duì)工業(yè)信息安全課題的重視程度在提升;同時(shí)也表現(xiàn)出這些專業(yè)廠商直面工業(yè)信息安全挑戰(zhàn),致力提供安全解決方案的信心和決心。
訪談二:
一、采訪對(duì)象:
決賽第一名、國網(wǎng)智能電網(wǎng)研究院信通所代表隊(duì)領(lǐng)隊(duì)孟雷子(以下簡稱:孟)
預(yù)賽第一名、中國科學(xué)院信息工程研究所代表隊(duì)領(lǐng)隊(duì)陳凱(以下簡稱:陳)
二、采訪者:
2015 EICS+工控系統(tǒng)信息安全攻防競賽組委會(huì)(以下簡稱:記)
三、采訪記錄
記:這次比賽采用了實(shí)際攻防演練的形式,這樣的形式給比賽過程帶來了什么樣的體驗(yàn)?
孟:我們覺得這種實(shí)際的攻防演練的形式,一方面比較新穎,另一方面它能夠比較好地模擬實(shí)際的行業(yè)里面的場景以及攻擊后危害的后果,而且和很多競爭對(duì)手同臺(tái)實(shí)戰(zhàn),我覺得還是挺緊張激烈的。
陳:同時(shí)由于工控系統(tǒng)的特殊性,研究人員及高校學(xué)生平日很少有機(jī)會(huì)能夠在真實(shí)的場景里進(jìn)行攻防演練,主辦方這次能夠不惜成本搭建發(fā)電廠的真實(shí)環(huán)境供參賽隊(duì)使用,對(duì)于各個(gè)參賽隊(duì)來說是一次非常難得的實(shí)踐機(jī)會(huì)。
記:我們注意到,初賽階段我們過關(guān)非常輕松,決賽階段的挑戰(zhàn)相對(duì)要困難一些,能不能簡要分析一下為什么會(huì)有這樣的區(qū)別?作為工業(yè)信息安全方面的專業(yè)人士,在比賽中又是模擬“攻擊”的角色,您對(duì)實(shí)際的工業(yè)用戶有哪些信息安全方面的建議?
孟:初賽階段,我們面對(duì)的PLC系統(tǒng)比較老舊,且?guī)缀鯖]有采取任何信息安全方面的措施,攻破這樣的系統(tǒng)確實(shí)比較容易。但是到?jīng)Q賽階段面對(duì)的兩類系統(tǒng),組織者都比較有針對(duì)性地采取了信息安全措施,挑戰(zhàn)和難度就比較大了。
因?yàn)槲覀兤綍r(shí)也是從事工業(yè)信息安全方面的一些工作,所以決賽時(shí)候第一類采取單點(diǎn)設(shè)備防護(hù)增強(qiáng)和邊界保護(hù)的系統(tǒng),盡管花了一些時(shí)間,最后還是能夠挑戰(zhàn)過關(guān)的。但是對(duì)于后一類采取縱深防御解決方案的系統(tǒng),因?yàn)樗且粋€(gè)系統(tǒng)性的、全方位的防御,根據(jù)我們平時(shí)的經(jīng)驗(yàn)也清楚,這確實(shí)是安全程度非常高的一類系統(tǒng),到最后也沒有攻克還是有點(diǎn)小遺憾的。
陳:比賽畢竟是比賽,其實(shí)從用戶今后實(shí)際應(yīng)用的角度來說,我們覺得這并不算一件壞事??梢钥吹?,如果在實(shí)際的生產(chǎn)中有更多的用戶能夠采用這樣一類縱深防御的系統(tǒng),對(duì)于提高他們的信息安全程度是非常有益的。通過和一些國內(nèi)能源企業(yè)的交流,我們發(fā)現(xiàn)國內(nèi)的生產(chǎn)商對(duì)于工業(yè)控制系統(tǒng)的安全還是相當(dāng)重視的,他們都在嘗試一些防護(hù)方案和防護(hù)設(shè)備,這次攻防大賽就給這些企業(yè)起到很好的示范作用,大賽中所使用的防護(hù)方案和安全設(shè)備可以直接借鑒到企業(yè)中去,幫助企業(yè)增強(qiáng)其控制系統(tǒng)的安全性。
記:您認(rèn)為本次競賽有哪些積極意義?
孟:本次比賽集合了工控信息安全主管部門、工控系統(tǒng)用戶、工控安全設(shè)備廠商、工控安全研究機(jī)構(gòu),形成了以工控攻防演練、安全產(chǎn)品檢驗(yàn)、信息安全培訓(xùn)為一體的平臺(tái);對(duì)工控系統(tǒng)信息安全能力的提升,競賽起到了積極助推作用。
陳:而且據(jù)我所知,本次大賽是國內(nèi)第一次針對(duì)工業(yè)控制系統(tǒng)的攻防大賽,這次大賽也必然能夠?yàn)槠渌愂碌慕M織者樹立起標(biāo)桿。