今日頭條
官方微信
官方抖音
資訊頻道 編者按:2012年8月, 施耐德電氣的莫迪康昆騰PLC產品率先通過中國兩家權威測評機構:國家信息技術安全研究中心和中國電力科學研究院的雙重信息技術產品安全性檢測,成為目前國內首家也是唯一通過并獲得此類檢測認可的PLC產品系列。至此,施耐德電氣也開啟了在工業控制系統信息安全領域的全新征程。本期專欄,記者特別采訪了施耐德電氣工業事業部EU解決方案開發主任工程師王斌先生,他目前主要負責施耐德電氣工業控制系統信息安全的相關工作,請他談一下目前工業控制系統信息安全市場的情況以及施耐德電氣的解決之道。
施耐德電氣工業事業部EU解決方案開發主任工程師 王斌
王斌(1974-),男,漢,畢業于北京航空航天大學自動控制專業,現任施耐德電氣(中國)有限公司解決方案開發經理/信息安全總監,曾編寫《Quantum PLC設備信息安全解決方案操作手冊》和《Quantum PLC設備信息安全解決方案簡明手冊》,并被國家電力監管委員會和國家能源局推廣到所有電力企業。
■《自動化博覽》:請分析一下我國目前工業控制系統信息安全的情況?與國外相比較存在哪些主要區別?
王斌:從國際上來講,尤其是歐美這些發達國家,他們的綜合實力較強,在信息安全水平,包括網絡水平、計算機知識等方面普及的比較好,整個國家和社會對于信息安全的重視程度也較高,相應的信息安全解決方案體系也比較完善,而這些恰恰是目前國內缺少的。
雖然現在國內對于工業控制系統信息安全重視程度已經普遍提高,但依然存在一些問題。
第一,專職人員比較缺失。我曾經去拜訪過很多企業,通常,負責信息安全的部門是信息中心,信息中心的人最初主要是負責網絡化的搭建、系統之間的互聯以及網絡維護這些工作,所以他們對于信息安全的基本知識比較清楚,但是卻并不了解工業控制系統。一個企業中真正負責工業控制系統的安全生產的一般都是由安生部或者生產技術科,他們雖然非常了解PLC、DCS、RTU等工業產品及系統,但是缺失信息安全,包括網絡搭建等方面的知識。所以目前來看,中國企業面臨的第一個問題就是缺少真正既懂工業控制系統又懂信息安全的技術人員或者專職人員。
第二,管理制度的落實還不到位。我曾經去過國內很多企業,比如像大型水電站,它們的管理系統就非常嚴格,有著嚴格的門禁制度,同時對技術人員的日常維護操作也有著嚴格規范。還有像一些核電廠,在安全管理制度方面也是非常完善的。但是對于其他的很多行業,大多都沒有嚴格的將安全管理制度落到實處,甚至制度或規范并不完善。對于信息安全來說,三分技術,七分管理,管理是整個信息安全解決方案的核心,所以在管理制度的落實和完善方面,中國的一些企業的確還需要加強。第三,企業在生產和安全方面,往往優先考慮的是連續生產。目前中國很多企業還有一些計劃經濟的影子,他們會更重視企業的持續生產,但是對生產的安全性并不十分重視。我之前去拜訪過很多電廠,他們對于信息安全的評估、整改、完善等工作都是被動的響應,第一要看是否有國家相關管理部門下發紅頭文件,第二要看本行業內的一些龍頭企業是否落實了這些工作。如果這些都沒有,那他們也不會主動去做。造成這種現象的最主要的原因就是安全意識的淡薄。
除此之外,設計院對信息安全知識的普及和重視程度也都需要提升。很多設計院提出來的信息安全的解決方案,比如像“三層架構、兩層網絡,區域分等級”等,這些更多的都是被動的去堵、去防,并沒有做到對信息安全的主動加強,這就不能從根本上解決信息安全問題。目前施耐德電氣也正在積極與各行業的設計院合作,努力提升所有行業的信息安全解決方案水平。希望將項目移交給客戶的時候,能夠給客戶提供一個安全可靠的控制系統。
■《自動化博覽》:目前,國內的工業用戶對工業控制系統信息安全的擔憂和需求都有哪些?
王斌: 2011年,工信部下發了451號文件,也就是《關于加強工業控制系統信息安全管理的通知》,國家電力監管委員會也多次要求在電力行業內加強工業控制系統信息安全工作并多次開展信息安全的檢查工作。所以目前來看,電力行業對信息安全比較重視。
另外,對于加強工業控制系統信息安全工作,國家能源局對所管轄的電力、石化和礦業三個行業也都做出了統一的要求。其中石化行業起步較早,當然,各個企業內部對信息安全解決方案的推進程度及要求也不盡相同。
接下來我們再談談軌道交通,去年11月深圳地鐵二號線和五號線事故使軌道交通的安全性也越來越受到全社會的關注。但軌道交通與其他行業還不太一樣。其他行業都有相關的國家級的監管部門,而軌道交通是直接受市政府管轄,所以它對于信息安全的重視與各市政府的重視程度有很大關系。
在冶金行業,像寶鋼等一些大型冶金集團,已經開始對信息安全有所重視,在控制系統和信息系統中采用了一些網絡隔離的產品,但是普及并不廣泛。
對于其他一些行業,其實對于信息安全現在都沒有投入很大的精力去重視。
■《自動化博覽》:像您剛才提到的一些行業,他們現在是不是主要停留在應用一些產品上而沒有實施整體的工業控制系統信息安全方案?
王斌:對,目前來說不管是電力還是其他行業,更多的是采用系統級的防護方案,比如加一些防火墻,或網閘的產品來做系統級的隔離。還有就是把整個控制系統做分層、分級,將控制系統和信息系統分開,這是目前應用最多的解決方案。有些行業雖然應用了防火墻的產品,但是都是信息系統級的防火墻,而非工業級防火墻。其實對于工業級的防火墻,如果應用到工業控制系統里,它可以加強整個控制系統信息安全的防護功能。而如果把信息系統的防火墻應用到工業控制系統里,則并不適用,因為工業級防火墻的產品和信息系統防火墻的產品從性能、指標上的要求都是完全不一樣的。
另一方面,控制系統是一個非常復雜的系統,其內部由很多層級組成。但目前很多企業應用的信息安全解決方案只是將控制系統看成一個大的網絡,在外圍做了防護,卻忽略了控制系統內部多層級之間的防護與隔離,這樣的解決方案顯然是不完善的。
■《自動化博覽》:目前國內企業在上馬工業控制系統信息安全解決方案的時候,都有哪些擔憂和顧慮?
王斌:他們的擔憂還是很多的。第一,不論采用的是何種信息安全方案,都需要有相應的人才儲備,對這些系統進行基本的維護。如果企業沒有相應的技術儲備的話,即便是上馬了這些系統,如果真的出現了報警,一般操作人員很難判斷出是否是信息安全的問題,問題具體出現在哪里,如何處理,否則就無法充分發揮信息安全體系的功能。第二,當然是資金的投入。如果客戶要上馬信息安全解決方案,也就是說要把相關的所有設備都納入到安全監管范圍。我們知道任何一個企業內的所有工業級設備,都是非常復雜的系統。如果要把大量龐雜的設備都監管起來,這就需要耗費企業大量的財力、物力來構建信息安全監管體系。第三,客戶還會擔心我上馬了信息安全解決方案后,是不是能夠收獲預期的效果。因為每家企業現有的設備、產品都不一樣,而且會涉及很多廠家的產品。因此,這些方案都必須是根據企業的實際情況進行定制化。即便定制了專門的解決方案,客戶勢必會擔心這個信息安全解決方案是否真的能夠做好防護。同時,信息安全攻防技術日新月異,幾年就會發生大的變化,現在上馬的信息安全體系過幾年后是否會失效?
■《自動化博覽》:針對于這些企業擔心的問題,施耐德電氣有什么樣的解決方案?是否可以滿足企業定制化的需求?
王斌:施耐德電氣在工業控制系統信息安全解決方案上面的理念與別的廠商不太一樣。別的廠商更多的是推薦采用“自上到下”的縱深防御解決方案。相當于在監控平臺中專門增加相應的信息安全評估、報警、日志記錄等軟件,通過管理級平臺來增強信息安全的監管功能。再往下通過加強系統架構來增強安全性,最后才是加強設備級的安全性,這種方案的核心是從管理上增強系統的信息安全。但是這樣的解決方案就會帶來一些問題。第一,對操作人員的素質要求較高,比如監管系統報警后,操作員就必須要做出實時判斷,立即將相應的指令通過生產系統發下去,準確判斷出故障點在哪里,再讓維修人員去維護,所以對操作人員的依賴性較強;第二,如果采用這種方案,整個系統就必須要增加很多產品,以保障系統架構安全性的增強,反而對設備級的具體產品,比如現場用到的每一個PLC,每一個控制產品和網絡產品沒有太多要求。顯然,結合中國企業目前的現狀,這種方案并不十分適用。
施耐德電氣拜訪了很多企業用戶之后,我們發現企業內部對于信息安全其實有很多認識和部署等多方面的不足,就像我們最初談到的那三個問題一樣,所以在綜合考慮之后,施耐德電氣重新修正了我們的信息安全解決方案。
施耐德電氣現在提倡的是“自下而上”的三級縱深防御解決方案。我們將所有的解決方案分為三級,第一級是設備級,也是施耐德電氣信息安全解決方案最為強調的一級。這一級主要是指工業控制系統中的一些具體的現場設備,如PLC、RTU、DCS、變頻器等。如果我們在設備級加強每一個單體設備或產品的信息安全功能,這樣這些產品組成一個系統后,這個系統就必然也具備了基本的信息安全功能。同時,它也會成為整個信息安全解決方案中的最后一道“防火墻”。通過增強設備級的信息安全防護功能,也就可以加強整個控制系統的信息安全性能。這種方案的好處在于:第一,可以脫離對人的依賴。因為它不需要現場操作人員或者維護人員做任何操作,只要把安全設備應用在系統里,實際上就已經增強了整個系統的安全性。第二,這種方案對整個系統架構的要求也降低了。將已經具備了信息安全性能的單體設備集成到系統中,這個系統本身就要比不具備安全功能的單體設備組成的系統更安全。如果再加上系統級的防護后,無形中就已經構成了兩層保護。其防護能力自然要比僅僅做系統級防護的系統信息安全防范能力更強。
在設備級之后,我們強調的是系統級。所有的工業控制系統都不是獨立的信息孤島,它們之間會組成一個大的系統,通過網絡連接在一起。所以我們需要增強整個控制系統架構的信息安全防護功能。這其中我們有針對交換機等產品的信息安全的防護方案,也有例如防火墻等的專門產品等,來增強整個系統級的信息安全防護功能。
最后,施耐德電氣也有專門的針對管理級的信息安全解決方案,目前我們正在與一些國際知名的信息安全解決方案提供商合作,共同研究針對管理級的信息安全的方案。雖然管理級的安全防護在施耐德電氣所推崇的信息安全解決方案中并不是最核心的,但管理無疑是整個信息安全方案能否真正落地的最關鍵因素,所以也不能忽視管理級的信息安全防護。
■《自動化博覽》:既然單體設備的安全防護能力是施耐德電氣信息安全解決方案的關鍵,針對于提升單體設備防護能力,施耐德電氣做了哪些工作呢?
王斌:從去年開始,施耐德電氣一直在做PLC產品的信息安全相關測試和認證,我們的目的就是為了加強單體設備的信息安全防護能力。2012年8月,施耐德電氣昆騰PLC系列率先通過國家信息技術安全研究中心和中國電力科學研究院的雙重信息技術產品安全性檢測,成為首家且唯一獲得此類檢測認可的工控PLC產品系列。
■《自動化博覽》:為什么要選擇昆騰PLC系列進行測試?
王斌:昆騰PLC是90年代推向市場的產品,經過每年的不斷更新和完善,一直到現在都占有非常高的市場份額。目前,該PLC主要應用在幾大行業:第一是火電行業,所占份額在50%~60%,之后在水電行業,占有率在80%以上,在冶金、石化和軌道交通,也分別有著廣泛的應用。所以國家和行業主管部門也非常希望施耐德電氣能夠拿市場占有率非常高的昆騰PLC產品進行信息安全的測評,這樣更具有代表性,影響力也比較廣。當然,不管從企業責任還是社會責任的角度,施耐德電氣都非常愿意做類似的產品測評。
■《自動化博覽》:未來,是否還會將一些產品陸續進行相關的測評?
王斌:這將會是施耐德電氣未來持續要做的工作,增強工業信息安全性能將繼續作為施耐德后續發布的PLC產品的基本性能之一。很快,我們還會做Modicon M580產品的測評。ModiconM580提供了一個開放、可靠和更安全的系統,目前已經通過國際上信息安全領域最知名的“Achilles L2”健壯性測試。先進的網絡安全功能能夠最大限度減少病毒攻擊事件的發生,有效增強網絡信息安全防護能力。施耐德電氣希望提供給中國用戶的是一個安全、可靠的工業控制系統產品。
■《自動化博覽》:施耐德電氣的自下而上的縱深防御系統解決方案是否已經有了成功的行業應用實例?
王斌:2013年,施耐德電氣與國內某大型電力集團,針對其山東分公司所有電廠的工業控制系統成功部署過信息安全解決方案。當時國家電力監管委員會的相關領導,以及電力集團的領導都到現場進行了驗收,效果非常好。目前,施耐德電氣的信息安全解決方案已經推廣到全國所有的電力企業,成為首家也是唯一把信息安全解決方案推廣到全國的設備廠商。
摘自《自動化博覽》2013年12月
北京市公安局海淀分局備案號:11010802023656號