今日頭條
官方微信
官方抖音
資訊頻道
2015年11月20日~21日,“2015EICS+工控系統信息安全攻防競賽”及信息安全與能源電力高峰論壇在華北電力大學舉辦。競賽由華北電力大學、公安部信息安全等級保護評估中心主辦,華北電力大學電氣與電子工程學院、北京市能源電力信息安全工程技術研究中心承辦,北京卓越藍軍信息安全技術發展有限公司、北京華電卓識信息安全測評技術中心有限公司協辦,施耐德電氣(中國)有限公司、北京賽虎網絡空間安全技術發展有限公司、北京中科網威信息技術有限公司、北京神州綠盟信息安全科技股份有限公司等提供技術支持。
訪談一:
一、采訪對象:
本次競賽主辦單位之一、公安部信息安全等級保護評估中心 常務副主任張宇翔
二、采訪者:
2015 EICS+工控系統信息安全攻防競賽組委會(以下簡稱:記)
三、采訪記錄
記:您認為舉辦本次競賽的必要性主要體現在哪些方面?
張宇翔:我們注意到,近年來廣大工業用戶在積極地實踐信息化和工業化的“兩化融合”,由于轉型升級、提升生產和管理效率的需要,管理和生產自動化、網絡化日趨普及,不可避免地帶來一些新的安全風險,使工業信息安全成為傳統生產安全所不可回避的一個嚴峻問題。
隨著新技術、新應用的進一步推廣,工業信息安全面臨的風險日趨嚴重。公安部相關監管部門一直在采取各種措施,幫助工業用戶關注、預防這些安全風險。對等級保護系列標準的修訂過程中,針對工業控制系統的安全專門制定了一系列等級保護標準,包括基本要求、設計技術要求和測評要求。這次競賽也是其中的一個重要環節,對測評要求的制定、修訂和驗證具有積極的意義。
本次比賽通過仿真典型的工業控制系統,用一種非常直觀、形象的方式揭示了可能存在的工業信息安全風險,有利于廣大工業用戶更好地認識到工業領域所面臨的現實的信息安全問題,提升重視程度。今后也有必要繼續組織這樣的活動,并將競賽的影響力進一步擴大到各個重要的工業領域,引起更多行業企業的重視。
記:采用了實際攻防、高度仿真的競賽模式是本次競賽的一個新亮點,采用這樣的競賽模式的目的是什么?
張宇翔:首先,實際攻防、高度仿真的競賽模式,有利于直觀、形象地揭示工業信息安全風險的嚴峻性,提升競賽的關注度和影響力。
其次,實際攻防、高度仿真的競賽模式,有利于比賽的組織者從實際的行業需求出發,對比賽進行設計和準備,選手參賽時也在高度接近實戰的環境下進行各項操作,這對他們在現實中的工業信息安全工作和相關研究具有更好的實際指導意義。
記:這次競賽的過程和結果,是否從一定程度反映出工業領域信息安全的嚴峻性?能否請您舉例說明?
張宇翔:這次競賽的過程,確實反映出了當前的工業領域用戶在信息安全上面臨著一定的風險,這對廣大的工業用戶而言是一個非常有力的警示。
比如,在初賽階段,沒有任何信息安全措施的老舊PLC系統,輕易被多支參賽隊攻破;這充分說明,在現實的工業領域中,一些在工控產品的升級換代上比較滯后、仍在使用老舊設備的企業尤其需要重視采取信息安全措施,并適時對一些已不符合信息安全要求的老舊產品進行替換升級。
在決賽階段,單點設備防護增強和邊界保護的防御措施,同樣在一段時間內被攻破,這反應出僅僅依靠設備防御能力增強和邊界保護是不充分的,不能徹底化解風險。我們建議從系統整體安全的視角,為工業用戶量身定做安全解決整改方案。這一問題也是值得所有工業用戶提高關注程度的一點。
記:通過這次競賽,能夠讓廣大工業用戶獲得哪些提升信息安全水平的啟示?對工業用戶而言,是否能夠從中發現一些值得推薦的路徑或措施?
張宇翔:在技術層面,從這次競賽的決賽階段可以看到,以新版PLC信息安全策略和外圍多層次防御手段為代表、采用由點到面縱深防御理念的系統,從始至終未被攻破,體現出了極高的安全水平。可見,采用這種縱深防御理念的信息安全解決方案,是值得廣大工業用戶進行借鑒和實踐的。
在管理層面,廣大工業用戶也不難得到一些啟示。工業領域的信息安全風險在實際的生產環境中盡管不一定被觸發,但卻時刻存在,不可不防。工業用戶應該主動關注這方面的工作,做到未雨綢繆、防患于未然,而不是在問題發生后再被動應對。
記:能否請您談一談,普通的工業用戶如要想選擇更符合信息安全要求的工控產品,有哪些可行的方法?
張宇翔:目前工業用戶選擇采購、使用更符合信息安全要求的工控產品,可以優先選擇經過國家權威檢測機構、行業專業測評機構檢測,安全可控的工控產品,這樣有利于在設備層面減少風險。
作為工業用戶,更應在系統建設和整改中,關注系統整體安全性。選擇安全可靠的工控設備還只是實現了信息安全防范的第一步,用戶更應在加強設備安全性的基礎上,采用縱深防御理念的信息安全解決方案,做好系統安全配置、選擇安全加固,更全面地提升系統整體的安全性。另外除了縱深防御理念之外,在網絡環境與應用場景相對單一的生產環境中,是否還可以考慮基于可信計算的相關安全解決方案。
記:本次競賽對提升工業信息安全的整體水平有哪些積極意義?
張宇翔:提升了用戶對工控信息安全的認識,直觀感受到了工業控制系統所面臨的安全風險,有力地揭示了此類系統所存在的安全風險。
針對目前工控設備存在安全風險的系統,我們還是可以通過完善的安全解決方案來提升系統的安全防護能力。從決賽的情況來看,“國家級”的紅客隊伍并沒有攻克經過設備加固和安全設備防護的方案,可以讓用戶建立信心。
本次大賽吸引了多支專業隊伍參賽,也獲得了多家工業控制設備廠商和信息安全廠商在專業技術層面上的大力支持,顯示出當前業界各方對工業信息安全課題的重視程度在提升;同時也表現出這些專業廠商直面工業信息安全挑戰,致力提供安全解決方案的信心和決心。
訪談二:
一、采訪對象:
決賽第一名、國網智能電網研究院信通所代表隊領隊孟雷子
預賽第一名、中國科學院信息工程研究所代表隊領隊陳凱
二、采訪者:
2015 EICS+工控系統信息安全攻防競賽組委會(以下簡稱:記)
三、采訪記錄
記:這次比賽采用了實際攻防演練的形式,這樣的形式給比賽過程帶來了什么樣的體驗?
孟雷子:我們覺得這種實際的攻防演練的形式,一方面比較新穎,另一方面它能夠比較好地模擬實際的行業里面的場景以及攻擊后危害的后果,而且和很多競爭對手同臺實戰,我覺得還是挺緊張激烈的。
陳凱:同時由于工控系統的特殊性,研究人員及高校學生平日很少有機會能夠在真實的場景里進行攻防演練,主辦方這次能夠不惜成本搭建發電廠的真實環境供參賽隊使用,對于各個參賽隊來說是一次非常難得的實踐機會。
記:我們注意到,初賽階段我們過關非常輕松,決賽階段的挑戰相對要困難一些,能不能簡要分析一下為什么會有這樣的區別?作為工業信息安全方面的專業人士,在比賽中又是模擬“攻擊”的角色,您對實際的工業用戶有哪些信息安全方面的建議?
孟雷子:初賽階段,我們面對的PLC系統比較老舊,且幾乎沒有采取任何信息安全方面的措施,攻破這樣的系統確實比較容易。但是到決賽階段面對的兩類系統,組織者都比較有針對性地采取了信息安全措施,挑戰和難度就比較大了。
因為我們平時也是從事工業信息安全方面的一些工作,所以決賽時候第一類采取單點設備防護增強和邊界保護的系統,盡管花了一些時間,最后還是能夠挑戰過關的。但是對于后一類采取縱深防御解決方案的系統,因為它是一個系統性的、全方位的防御,根據我們平時的經驗也清楚,這確實是安全程度非常高的一類系統,到最后也沒有攻克還是有點小遺憾的。
陳凱:比賽畢竟是比賽,其實從用戶今后實際應用的角度來說,我們覺得這并不算一件壞事。可以看到,如果在實際的生產中有更多的用戶能夠采用這樣一類縱深防御的系統,對于提高他們的信息安全程度是非常有益的。通過和一些國內能源企業的交流,我們發現國內的生產商對于工業控制系統的安全還是相當重視的,他們都在嘗試一些防護方案和防護設備,這次攻防大賽就給這些企業起到很好的示范作用,大賽中所使用的防護方案和安全設備可以直接借鑒到企業中去,幫助企業增強其控制系統的安全性。
記:您認為本次競賽有哪些積極意義?
孟雷子:本次比賽集合了工控信息安全主管部門、工控系統用戶、工控安全設備廠商、工控安全研究機構,形成了以工控攻防演練、安全產品檢驗、信息安全培訓為一體的平臺;對工控系統信息安全能力的提升,競賽起到了積極助推作用。
陳凱:而且據我所知,本次大賽是國內第一次針對工業控制系統的攻防大賽,這次大賽也必然能夠為其他賽事的組織者樹立起標桿。
北京市公安局海淀分局備案號:11010802023656號