今日頭條
官方微信
官方抖音
訪談?lì)l道 編者按:2012年8月, 施耐德電氣的莫迪康昆騰PLC產(chǎn)品率先通過中國(guó)兩家權(quán)威測(cè)評(píng)機(jī)構(gòu):國(guó)家信息技術(shù)安全研究中心和中國(guó)電力科學(xué)研究院的雙重信息技術(shù)產(chǎn)品安全性檢測(cè),成為目前國(guó)內(nèi)首家也是唯一通過并獲得此類檢測(cè)認(rèn)可的PLC產(chǎn)品系列。至此,施耐德電氣也開啟了在工業(yè)控制系統(tǒng)信息安全領(lǐng)域的全新征程。本期專欄,記者特別采訪了施耐德電氣工業(yè)事業(yè)部EU解決方案開發(fā)主任工程師王斌先生,他目前主要負(fù)責(zé)施耐德電氣工業(yè)控制系統(tǒng)信息安全的相關(guān)工作,請(qǐng)他談一下目前工業(yè)控制系統(tǒng)信息安全市場(chǎng)的情況以及施耐德電氣的解決之道。
施耐德電氣工業(yè)事業(yè)部EU解決方案開發(fā)主任工程師 王斌
王斌(1974-),男,漢,畢業(yè)于北京航空航天大學(xué)自動(dòng)控制專業(yè),現(xiàn)任施耐德電氣(中國(guó))有限公司解決方案開發(fā)經(jīng)理/信息安全總監(jiān),曾編寫《Quantum PLC設(shè)備信息安全解決方案操作手冊(cè)》和《Quantum PLC設(shè)備信息安全解決方案簡(jiǎn)明手冊(cè)》,并被國(guó)家電力監(jiān)管委員會(huì)和國(guó)家能源局推廣到所有電力企業(yè)。
■《自動(dòng)化博覽》:請(qǐng)分析一下我國(guó)目前工業(yè)控制系統(tǒng)信息安全的情況?與國(guó)外相比較存在哪些主要區(qū)別?
王斌:從國(guó)際上來講,尤其是歐美這些發(fā)達(dá)國(guó)家,他們的綜合實(shí)力較強(qiáng),在信息安全水平,包括網(wǎng)絡(luò)水平、計(jì)算機(jī)知識(shí)等方面普及的比較好,整個(gè)國(guó)家和社會(huì)對(duì)于信息安全的重視程度也較高,相應(yīng)的信息安全解決方案體系也比較完善,而這些恰恰是目前國(guó)內(nèi)缺少的。
雖然現(xiàn)在國(guó)內(nèi)對(duì)于工業(yè)控制系統(tǒng)信息安全重視程度已經(jīng)普遍提高,但依然存在一些問題。
第一,專職人員比較缺失。我曾經(jīng)去拜訪過很多企業(yè),通常,負(fù)責(zé)信息安全的部門是信息中心,信息中心的人最初主要是負(fù)責(zé)網(wǎng)絡(luò)化的搭建、系統(tǒng)之間的互聯(lián)以及網(wǎng)絡(luò)維護(hù)這些工作,所以他們對(duì)于信息安全的基本知識(shí)比較清楚,但是卻并不了解工業(yè)控制系統(tǒng)。一個(gè)企業(yè)中真正負(fù)責(zé)工業(yè)控制系統(tǒng)的安全生產(chǎn)的一般都是由安生部或者生產(chǎn)技術(shù)科,他們雖然非常了解PLC、DCS、RTU等工業(yè)產(chǎn)品及系統(tǒng),但是缺失信息安全,包括網(wǎng)絡(luò)搭建等方面的知識(shí)。所以目前來看,中國(guó)企業(yè)面臨的第一個(gè)問題就是缺少真正既懂工業(yè)控制系統(tǒng)又懂信息安全的技術(shù)人員或者專職人員。
第二,管理制度的落實(shí)還不到位。我曾經(jīng)去過國(guó)內(nèi)很多企業(yè),比如像大型水電站,它們的管理系統(tǒng)就非常嚴(yán)格,有著嚴(yán)格的門禁制度,同時(shí)對(duì)技術(shù)人員的日常維護(hù)操作也有著嚴(yán)格規(guī)范。還有像一些核電廠,在安全管理制度方面也是非常完善的。但是對(duì)于其他的很多行業(yè),大多都沒有嚴(yán)格的將安全管理制度落到實(shí)處,甚至制度或規(guī)范并不完善。對(duì)于信息安全來說,三分技術(shù),七分管理,管理是整個(gè)信息安全解決方案的核心,所以在管理制度的落實(shí)和完善方面,中國(guó)的一些企業(yè)的確還需要加強(qiáng)。第三,企業(yè)在生產(chǎn)和安全方面,往往優(yōu)先考慮的是連續(xù)生產(chǎn)。目前中國(guó)很多企業(yè)還有一些計(jì)劃經(jīng)濟(jì)的影子,他們會(huì)更重視企業(yè)的持續(xù)生產(chǎn),但是對(duì)生產(chǎn)的安全性并不十分重視。我之前去拜訪過很多電廠,他們對(duì)于信息安全的評(píng)估、整改、完善等工作都是被動(dòng)的響應(yīng),第一要看是否有國(guó)家相關(guān)管理部門下發(fā)紅頭文件,第二要看本行業(yè)內(nèi)的一些龍頭企業(yè)是否落實(shí)了這些工作。如果這些都沒有,那他們也不會(huì)主動(dòng)去做。造成這種現(xiàn)象的最主要的原因就是安全意識(shí)的淡薄。
除此之外,設(shè)計(jì)院對(duì)信息安全知識(shí)的普及和重視程度也都需要提升。很多設(shè)計(jì)院提出來的信息安全的解決方案,比如像“三層架構(gòu)、兩層網(wǎng)絡(luò),區(qū)域分等級(jí)”等,這些更多的都是被動(dòng)的去堵、去防,并沒有做到對(duì)信息安全的主動(dòng)加強(qiáng),這就不能從根本上解決信息安全問題。目前施耐德電氣也正在積極與各行業(yè)的設(shè)計(jì)院合作,努力提升所有行業(yè)的信息安全解決方案水平。希望將項(xiàng)目移交給客戶的時(shí)候,能夠給客戶提供一個(gè)安全可靠的控制系統(tǒng)。
■《自動(dòng)化博覽》:目前,國(guó)內(nèi)的工業(yè)用戶對(duì)工業(yè)控制系統(tǒng)信息安全的擔(dān)憂和需求都有哪些?
王斌: 2011年,工信部下發(fā)了451號(hào)文件,也就是《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,國(guó)家電力監(jiān)管委員會(huì)也多次要求在電力行業(yè)內(nèi)加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作并多次開展信息安全的檢查工作。所以目前來看,電力行業(yè)對(duì)信息安全比較重視。
另外,對(duì)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作,國(guó)家能源局對(duì)所管轄的電力、石化和礦業(yè)三個(gè)行業(yè)也都做出了統(tǒng)一的要求。其中石化行業(yè)起步較早,當(dāng)然,各個(gè)企業(yè)內(nèi)部對(duì)信息安全解決方案的推進(jìn)程度及要求也不盡相同。
接下來我們?cè)僬務(wù)勡壍澜煌ǎツ?1月深圳地鐵二號(hào)線和五號(hào)線事故使軌道交通的安全性也越來越受到全社會(huì)的關(guān)注。但軌道交通與其他行業(yè)還不太一樣。其他行業(yè)都有相關(guān)的國(guó)家級(jí)的監(jiān)管部門,而軌道交通是直接受市政府管轄,所以它對(duì)于信息安全的重視與各市政府的重視程度有很大關(guān)系。
在冶金行業(yè),像寶鋼等一些大型冶金集團(tuán),已經(jīng)開始對(duì)信息安全有所重視,在控制系統(tǒng)和信息系統(tǒng)中采用了一些網(wǎng)絡(luò)隔離的產(chǎn)品,但是普及并不廣泛。
對(duì)于其他一些行業(yè),其實(shí)對(duì)于信息安全現(xiàn)在都沒有投入很大的精力去重視。
■《自動(dòng)化博覽》:像您剛才提到的一些行業(yè),他們現(xiàn)在是不是主要停留在應(yīng)用一些產(chǎn)品上而沒有實(shí)施整體的工業(yè)控制系統(tǒng)信息安全方案?
王斌:對(duì),目前來說不管是電力還是其他行業(yè),更多的是采用系統(tǒng)級(jí)的防護(hù)方案,比如加一些防火墻,或網(wǎng)閘的產(chǎn)品來做系統(tǒng)級(jí)的隔離。還有就是把整個(gè)控制系統(tǒng)做分層、分級(jí),將控制系統(tǒng)和信息系統(tǒng)分開,這是目前應(yīng)用最多的解決方案。有些行業(yè)雖然應(yīng)用了防火墻的產(chǎn)品,但是都是信息系統(tǒng)級(jí)的防火墻,而非工業(yè)級(jí)防火墻。其實(shí)對(duì)于工業(yè)級(jí)的防火墻,如果應(yīng)用到工業(yè)控制系統(tǒng)里,它可以加強(qiáng)整個(gè)控制系統(tǒng)信息安全的防護(hù)功能。而如果把信息系統(tǒng)的防火墻應(yīng)用到工業(yè)控制系統(tǒng)里,則并不適用,因?yàn)楣I(yè)級(jí)防火墻的產(chǎn)品和信息系統(tǒng)防火墻的產(chǎn)品從性能、指標(biāo)上的要求都是完全不一樣的。
另一方面,控制系統(tǒng)是一個(gè)非常復(fù)雜的系統(tǒng),其內(nèi)部由很多層級(jí)組成。但目前很多企業(yè)應(yīng)用的信息安全解決方案只是將控制系統(tǒng)看成一個(gè)大的網(wǎng)絡(luò),在外圍做了防護(hù),卻忽略了控制系統(tǒng)內(nèi)部多層級(jí)之間的防護(hù)與隔離,這樣的解決方案顯然是不完善的。
■《自動(dòng)化博覽》:目前國(guó)內(nèi)企業(yè)在上馬工業(yè)控制系統(tǒng)信息安全解決方案的時(shí)候,都有哪些擔(dān)憂和顧慮?
王斌:他們的擔(dān)憂還是很多的。第一,不論采用的是何種信息安全方案,都需要有相應(yīng)的人才儲(chǔ)備,對(duì)這些系統(tǒng)進(jìn)行基本的維護(hù)。如果企業(yè)沒有相應(yīng)的技術(shù)儲(chǔ)備的話,即便是上馬了這些系統(tǒng),如果真的出現(xiàn)了報(bào)警,一般操作人員很難判斷出是否是信息安全的問題,問題具體出現(xiàn)在哪里,如何處理,否則就無法充分發(fā)揮信息安全體系的功能。第二,當(dāng)然是資金的投入。如果客戶要上馬信息安全解決方案,也就是說要把相關(guān)的所有設(shè)備都納入到安全監(jiān)管范圍。我們知道任何一個(gè)企業(yè)內(nèi)的所有工業(yè)級(jí)設(shè)備,都是非常復(fù)雜的系統(tǒng)。如果要把大量龐雜的設(shè)備都監(jiān)管起來,這就需要耗費(fèi)企業(yè)大量的財(cái)力、物力來構(gòu)建信息安全監(jiān)管體系。第三,客戶還會(huì)擔(dān)心我上馬了信息安全解決方案后,是不是能夠收獲預(yù)期的效果。因?yàn)槊考移髽I(yè)現(xiàn)有的設(shè)備、產(chǎn)品都不一樣,而且會(huì)涉及很多廠家的產(chǎn)品。因此,這些方案都必須是根據(jù)企業(yè)的實(shí)際情況進(jìn)行定制化。即便定制了專門的解決方案,客戶勢(shì)必會(huì)擔(dān)心這個(gè)信息安全解決方案是否真的能夠做好防護(hù)。同時(shí),信息安全攻防技術(shù)日新月異,幾年就會(huì)發(fā)生大的變化,現(xiàn)在上馬的信息安全體系過幾年后是否會(huì)失效?
■《自動(dòng)化博覽》:針對(duì)于這些企業(yè)擔(dān)心的問題,施耐德電氣有什么樣的解決方案?是否可以滿足企業(yè)定制化的需求?
王斌:施耐德電氣在工業(yè)控制系統(tǒng)信息安全解決方案上面的理念與別的廠商不太一樣。別的廠商更多的是推薦采用“自上到下”的縱深防御解決方案。相當(dāng)于在監(jiān)控平臺(tái)中專門增加相應(yīng)的信息安全評(píng)估、報(bào)警、日志記錄等軟件,通過管理級(jí)平臺(tái)來增強(qiáng)信息安全的監(jiān)管功能。再往下通過加強(qiáng)系統(tǒng)架構(gòu)來增強(qiáng)安全性,最后才是加強(qiáng)設(shè)備級(jí)的安全性,這種方案的核心是從管理上增強(qiáng)系統(tǒng)的信息安全。但是這樣的解決方案就會(huì)帶來一些問題。第一,對(duì)操作人員的素質(zhì)要求較高,比如監(jiān)管系統(tǒng)報(bào)警后,操作員就必須要做出實(shí)時(shí)判斷,立即將相應(yīng)的指令通過生產(chǎn)系統(tǒng)發(fā)下去,準(zhǔn)確判斷出故障點(diǎn)在哪里,再讓維修人員去維護(hù),所以對(duì)操作人員的依賴性較強(qiáng);第二,如果采用這種方案,整個(gè)系統(tǒng)就必須要增加很多產(chǎn)品,以保障系統(tǒng)架構(gòu)安全性的增強(qiáng),反而對(duì)設(shè)備級(jí)的具體產(chǎn)品,比如現(xiàn)場(chǎng)用到的每一個(gè)PLC,每一個(gè)控制產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品沒有太多要求。顯然,結(jié)合中國(guó)企業(yè)目前的現(xiàn)狀,這種方案并不十分適用。
施耐德電氣拜訪了很多企業(yè)用戶之后,我們發(fā)現(xiàn)企業(yè)內(nèi)部對(duì)于信息安全其實(shí)有很多認(rèn)識(shí)和部署等多方面的不足,就像我們最初談到的那三個(gè)問題一樣,所以在綜合考慮之后,施耐德電氣重新修正了我們的信息安全解決方案。
施耐德電氣現(xiàn)在提倡的是“自下而上”的三級(jí)縱深防御解決方案。我們將所有的解決方案分為三級(jí),第一級(jí)是設(shè)備級(jí),也是施耐德電氣信息安全解決方案最為強(qiáng)調(diào)的一級(jí)。這一級(jí)主要是指工業(yè)控制系統(tǒng)中的一些具體的現(xiàn)場(chǎng)設(shè)備,如PLC、RTU、DCS、變頻器等。如果我們?cè)谠O(shè)備級(jí)加強(qiáng)每一個(gè)單體設(shè)備或產(chǎn)品的信息安全功能,這樣這些產(chǎn)品組成一個(gè)系統(tǒng)后,這個(gè)系統(tǒng)就必然也具備了基本的信息安全功能。同時(shí),它也會(huì)成為整個(gè)信息安全解決方案中的最后一道“防火墻”。通過增強(qiáng)設(shè)備級(jí)的信息安全防護(hù)功能,也就可以加強(qiáng)整個(gè)控制系統(tǒng)的信息安全性能。這種方案的好處在于:第一,可以脫離對(duì)人的依賴。因?yàn)樗恍枰F(xiàn)場(chǎng)操作人員或者維護(hù)人員做任何操作,只要把安全設(shè)備應(yīng)用在系統(tǒng)里,實(shí)際上就已經(jīng)增強(qiáng)了整個(gè)系統(tǒng)的安全性。第二,這種方案對(duì)整個(gè)系統(tǒng)架構(gòu)的要求也降低了。將已經(jīng)具備了信息安全性能的單體設(shè)備集成到系統(tǒng)中,這個(gè)系統(tǒng)本身就要比不具備安全功能的單體設(shè)備組成的系統(tǒng)更安全。如果再加上系統(tǒng)級(jí)的防護(hù)后,無形中就已經(jīng)構(gòu)成了兩層保護(hù)。其防護(hù)能力自然要比僅僅做系統(tǒng)級(jí)防護(hù)的系統(tǒng)信息安全防范能力更強(qiáng)。
在設(shè)備級(jí)之后,我們強(qiáng)調(diào)的是系統(tǒng)級(jí)。所有的工業(yè)控制系統(tǒng)都不是獨(dú)立的信息孤島,它們之間會(huì)組成一個(gè)大的系統(tǒng),通過網(wǎng)絡(luò)連接在一起。所以我們需要增強(qiáng)整個(gè)控制系統(tǒng)架構(gòu)的信息安全防護(hù)功能。這其中我們有針對(duì)交換機(jī)等產(chǎn)品的信息安全的防護(hù)方案,也有例如防火墻等的專門產(chǎn)品等,來增強(qiáng)整個(gè)系統(tǒng)級(jí)的信息安全防護(hù)功能。
最后,施耐德電氣也有專門的針對(duì)管理級(jí)的信息安全解決方案,目前我們正在與一些國(guó)際知名的信息安全解決方案提供商合作,共同研究針對(duì)管理級(jí)的信息安全的方案。雖然管理級(jí)的安全防護(hù)在施耐德電氣所推崇的信息安全解決方案中并不是最核心的,但管理無疑是整個(gè)信息安全方案能否真正落地的最關(guān)鍵因素,所以也不能忽視管理級(jí)的信息安全防護(hù)。
■《自動(dòng)化博覽》:既然單體設(shè)備的安全防護(hù)能力是施耐德電氣信息安全解決方案的關(guān)鍵,針對(duì)于提升單體設(shè)備防護(hù)能力,施耐德電氣做了哪些工作呢?
王斌:從去年開始,施耐德電氣一直在做PLC產(chǎn)品的信息安全相關(guān)測(cè)試和認(rèn)證,我們的目的就是為了加強(qiáng)單體設(shè)備的信息安全防護(hù)能力。2012年8月,施耐德電氣昆騰PLC系列率先通過國(guó)家信息技術(shù)安全研究中心和中國(guó)電力科學(xué)研究院的雙重信息技術(shù)產(chǎn)品安全性檢測(cè),成為首家且唯一獲得此類檢測(cè)認(rèn)可的工控PLC產(chǎn)品系列。
■《自動(dòng)化博覽》:為什么要選擇昆騰PLC系列進(jìn)行測(cè)試?
王斌:昆騰PLC是90年代推向市場(chǎng)的產(chǎn)品,經(jīng)過每年的不斷更新和完善,一直到現(xiàn)在都占有非常高的市場(chǎng)份額。目前,該P(yáng)LC主要應(yīng)用在幾大行業(yè):第一是火電行業(yè),所占份額在50%~60%,之后在水電行業(yè),占有率在80%以上,在冶金、石化和軌道交通,也分別有著廣泛的應(yīng)用。所以國(guó)家和行業(yè)主管部門也非常希望施耐德電氣能夠拿市場(chǎng)占有率非常高的昆騰PLC產(chǎn)品進(jìn)行信息安全的測(cè)評(píng),這樣更具有代表性,影響力也比較廣。當(dāng)然,不管從企業(yè)責(zé)任還是社會(huì)責(zé)任的角度,施耐德電氣都非常愿意做類似的產(chǎn)品測(cè)評(píng)。
■《自動(dòng)化博覽》:未來,是否還會(huì)將一些產(chǎn)品陸續(xù)進(jìn)行相關(guān)的測(cè)評(píng)?
王斌:這將會(huì)是施耐德電氣未來持續(xù)要做的工作,增強(qiáng)工業(yè)信息安全性能將繼續(xù)作為施耐德后續(xù)發(fā)布的PLC產(chǎn)品的基本性能之一。很快,我們還會(huì)做Modicon M580產(chǎn)品的測(cè)評(píng)。ModiconM580提供了一個(gè)開放、可靠和更安全的系統(tǒng),目前已經(jīng)通過國(guó)際上信息安全領(lǐng)域最知名的“Achilles L2”健壯性測(cè)試。先進(jìn)的網(wǎng)絡(luò)安全功能能夠最大限度減少病毒攻擊事件的發(fā)生,有效增強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)能力。施耐德電氣希望提供給中國(guó)用戶的是一個(gè)安全、可靠的工業(yè)控制系統(tǒng)產(chǎn)品。
■《自動(dòng)化博覽》:施耐德電氣的自下而上的縱深防御系統(tǒng)解決方案是否已經(jīng)有了成功的行業(yè)應(yīng)用實(shí)例?
王斌:2013年,施耐德電氣與國(guó)內(nèi)某大型電力集團(tuán),針對(duì)其山東分公司所有電廠的工業(yè)控制系統(tǒng)成功部署過信息安全解決方案。當(dāng)時(shí)國(guó)家電力監(jiān)管委員會(huì)的相關(guān)領(lǐng)導(dǎo),以及電力集團(tuán)的領(lǐng)導(dǎo)都到現(xiàn)場(chǎng)進(jìn)行了驗(yàn)收,效果非常好。目前,施耐德電氣的信息安全解決方案已經(jīng)推廣到全國(guó)所有的電力企業(yè),成為首家也是唯一把信息安全解決方案推廣到全國(guó)的設(shè)備廠商。
摘自《自動(dòng)化博覽》2013年12月
北京市公安局海淀分局備案號(hào):11010802023656號(hào)