EICS+工控安全競(jìng)賽訪談錄
2015-12-29 來(lái)源:中國(guó)電力網(wǎng)
2015EICS+工控系統(tǒng)信息安全攻防競(jìng)賽已圓滿結(jié)束�。為更好地宣傳工控系統(tǒng)信息安全�,將EICS+競(jìng)賽打造成國(guó)內(nèi)首屈一指、持續(xù)性舉辦的標(biāo)桿賽事���,競(jìng)賽組委會(huì)對(duì)相關(guān)人員進(jìn)行了訪談�。
訪談一:
一�、采訪對(duì)象:
本次競(jìng)賽主辦單位之一、公安部信息安全等級(jí)保護(hù)評(píng)估中心 常務(wù)副主任張宇翔(以下簡(jiǎn)稱:張)
二��、采訪者:
2015 EICS+工控系統(tǒng)信息安全攻防競(jìng)賽組委會(huì)(以下簡(jiǎn)稱:記)
三采訪記錄
記:您認(rèn)為舉辦本次競(jìng)賽的必要性主要體現(xiàn)在哪些方面�����?
張:我們注意到,近年來(lái)廣大工業(yè)用戶在積極地實(shí)踐信息化和工業(yè)化的“兩化融合”�,由于轉(zhuǎn)型升級(jí)、提升生產(chǎn)和管理效率的需要�,管理和生產(chǎn)自動(dòng)化���、網(wǎng)絡(luò)化日趨普及��,不可避免地帶來(lái)一些新的安全風(fēng)險(xiǎn)��,使工業(yè)信息安全成為傳統(tǒng)生產(chǎn)安全所不可回避的一個(gè)嚴(yán)峻問題����。
隨著新技術(shù)�、新應(yīng)用的進(jìn)一步推廣,工業(yè)信息安全面臨的風(fēng)險(xiǎn)日趨嚴(yán)重��。公安部相關(guān)監(jiān)管部門一直在采取各種措施����,幫助工業(yè)用戶關(guān)注、預(yù)防這些安全風(fēng)險(xiǎn)���。對(duì)等級(jí)保護(hù)系列標(biāo)準(zhǔn)的修訂過程中���,針對(duì)工業(yè)控制系統(tǒng)的安全專門制定了一系列等級(jí)保護(hù)標(biāo)準(zhǔn)����,包括基本要求�、設(shè)計(jì)技術(shù)要求和測(cè)評(píng)要求。這次競(jìng)賽也是其中的一個(gè)重要環(huán)節(jié)�����,對(duì)測(cè)評(píng)要求的制定����、修訂和驗(yàn)證具有積極的意義。
本次比賽通過仿真典型的工業(yè)控制系統(tǒng)�����,用一種非常直觀����、形象的方式揭示了可能存在的工業(yè)信息安全風(fēng)險(xiǎn),有利于廣大工業(yè)用戶更好地認(rèn)識(shí)到工業(yè)領(lǐng)域所面臨的現(xiàn)實(shí)的信息安全問題�����,提升重視程度。今后也有必要繼續(xù)組織這樣的活動(dòng)����,并將競(jìng)賽的影響力進(jìn)一步擴(kuò)大到各個(gè)重要的工業(yè)領(lǐng)域,引起更多行業(yè)企業(yè)的重視����。
記:采用了實(shí)際攻防��、高度仿真的競(jìng)賽模式是本次競(jìng)賽的一個(gè)新亮點(diǎn)���,采用這樣的競(jìng)賽模式的目的是什么����?
張:首先��,實(shí)際攻防�����、高度仿真的競(jìng)賽模式��,有利于直觀�、形象地揭示工業(yè)信息安全風(fēng)險(xiǎn)的嚴(yán)峻性��,提升競(jìng)賽的關(guān)注度和影響力�����。
其次��,實(shí)際攻防�����、高度仿真的競(jìng)賽模式���,有利于比賽的組織者從實(shí)際的行業(yè)需求出發(fā),對(duì)比賽進(jìn)行設(shè)計(jì)和準(zhǔn)備����,選手參賽時(shí)也在高度接近實(shí)戰(zhàn)的環(huán)境下進(jìn)行各項(xiàng)操作,這對(duì)他們?cè)诂F(xiàn)實(shí)中的工業(yè)信息安全工作和相關(guān)研究具有更好的實(shí)際指導(dǎo)意義��。
記:這次競(jìng)賽的過程和結(jié)果���,是否從一定程度反映出工業(yè)領(lǐng)域信息安全的嚴(yán)峻性����?能否請(qǐng)您舉例說明?
張:這次競(jìng)賽的過程��,確實(shí)反映出了當(dāng)前的工業(yè)領(lǐng)域用戶在信息安全上面臨著一定的風(fēng)險(xiǎn)�,這對(duì)廣大的工業(yè)用戶而言是一個(gè)非常有力的警示。
比如���,在初賽階段����,沒有任何信息安全措施的老舊PLC系統(tǒng)�,輕易被多支參賽隊(duì)攻破��;這充分說明�����,在現(xiàn)實(shí)的工業(yè)領(lǐng)域中����,一些在工控產(chǎn)品的升級(jí)換代上比較滯后、仍在使用老舊設(shè)備的企業(yè)尤其需要重視采取信息安全措施�,并適時(shí)對(duì)一些已不符合信息安全要求的老舊產(chǎn)品進(jìn)行替換升級(jí)。
在決賽階段,單點(diǎn)設(shè)備防護(hù)增強(qiáng)和邊界保護(hù)的防御措施�,同樣在一段時(shí)間內(nèi)被攻破,這反應(yīng)出僅僅依靠設(shè)備防御能力增強(qiáng)和邊界保護(hù)是不充分的�����,不能徹底化解風(fēng)險(xiǎn)�。我們建議從系統(tǒng)整體安全的視角,為工業(yè)用戶量身定做安全解決整改方案����。這一問題也是值得所有工業(yè)用戶提高關(guān)注程度的一點(diǎn)。
記:通過這次競(jìng)賽��,能夠讓廣大工業(yè)用戶獲得哪些提升信息安全水平的啟示����?對(duì)工業(yè)用戶而言,是否能夠從中發(fā)現(xiàn)一些值得推薦的路徑或措施�?
張:在技術(shù)層面,從這次競(jìng)賽的決賽階段可以看到�,以新版PLC信息安全策略和外圍多層次防御手段為代表、采用由點(diǎn)到面縱深防御理念的系統(tǒng)�,從始至終未被攻破,體現(xiàn)出了極高的安全水平����?����?梢?���,采用這種縱深防御理念的信息安全解決方案�,是值得廣大工業(yè)用戶進(jìn)行借鑒和實(shí)踐的。
在管理層面��,廣大工業(yè)用戶也不難得到一些啟示��。工業(yè)領(lǐng)域的信息安全風(fēng)險(xiǎn)在實(shí)際的生產(chǎn)環(huán)境中盡管不一定被觸發(fā)��,但卻時(shí)刻存在��,不可不防����。工業(yè)用戶應(yīng)該主動(dòng)關(guān)注這方面的工作����,做到未雨綢繆、防患于未然,而不是在問題發(fā)生后再被動(dòng)應(yīng)對(duì)��。
記:能否請(qǐng)您談一談����,普通的工業(yè)用戶如要想選擇更符合信息安全要求的工控產(chǎn)品,有哪些可行的方法��?
張:目前工業(yè)用戶選擇采購(gòu)����、使用更符合信息安全要求的工控產(chǎn)品,可以優(yōu)先選擇經(jīng)過國(guó)家權(quán)威檢測(cè)機(jī)構(gòu)����、行業(yè)專業(yè)測(cè)評(píng)機(jī)構(gòu)檢測(cè),安全可控的工控產(chǎn)品�����,這樣有利于在設(shè)備層面減少風(fēng)險(xiǎn)�����。
作為工業(yè)用戶���,更應(yīng)在系統(tǒng)建設(shè)和整改中�,關(guān)注系統(tǒng)整體安全性。選擇安全可靠的工控設(shè)備還只是實(shí)現(xiàn)了信息安全防范的第一步�,用戶更應(yīng)在加強(qiáng)設(shè)備安全性的基礎(chǔ)上,采用縱深防御理念的信息安全解決方案��,做好系統(tǒng)安全配置���、選擇安全加固�,更全面地提升系統(tǒng)整體的安全性�����。另外除了縱深防御理念之外��,在網(wǎng)絡(luò)環(huán)境與應(yīng)用場(chǎng)景相對(duì)單一的生產(chǎn)環(huán)境中�����,是否還可以考慮基于可信計(jì)算的相關(guān)安全解決方案�����。
記:本次競(jìng)賽對(duì)提升工業(yè)信息安全的整體水平有哪些積極意義��?
張:提升了用戶對(duì)工控信息安全的認(rèn)識(shí)����,直觀感受到了工業(yè)控制系統(tǒng)所面臨的安全風(fēng)險(xiǎn),有力地揭示了此類系統(tǒng)所存在的安全風(fēng)險(xiǎn)�。
針對(duì)目前工控設(shè)備存在安全風(fēng)險(xiǎn)的系統(tǒng),我們還是可以通過完善的安全解決方案來(lái)提升系統(tǒng)的安全防護(hù)能力���。從決賽的情況來(lái)看���,“國(guó)家級(jí)”的紅客隊(duì)伍并沒有攻克經(jīng)過設(shè)備加固和安全設(shè)備防護(hù)的方案,可以讓用戶建立信心�。
本次大賽吸引了多支專業(yè)隊(duì)伍參賽,也獲得了多家工業(yè)控制設(shè)備廠商和信息安全廠商在專業(yè)技術(shù)層面上的大力支持����,顯示出當(dāng)前業(yè)界各方對(duì)工業(yè)信息安全課題的重視程度在提升;同時(shí)也表現(xiàn)出這些專業(yè)廠商直面工業(yè)信息安全挑戰(zhàn)�����,致力提供安全解決方案的信心和決心��。
訪談二:
一����、采訪對(duì)象:
決賽第一名��、國(guó)網(wǎng)智能電網(wǎng)研究院信通所代表隊(duì)領(lǐng)隊(duì)孟雷子(以下簡(jiǎn)稱:孟)
預(yù)賽第一名���、中國(guó)科學(xué)院信息工程研究所代表隊(duì)領(lǐng)隊(duì)陳凱(以下簡(jiǎn)稱:陳)
二、采訪者:
2015 EICS+工控系統(tǒng)信息安全攻防競(jìng)賽組委會(huì)(以下簡(jiǎn)稱:記)
三����、采訪記錄
記:這次比賽采用了實(shí)際攻防演練的形式,這樣的形式給比賽過程帶來(lái)了什么樣的體驗(yàn)����?
孟:我們覺得這種實(shí)際的攻防演練的形式,一方面比較新穎�,另一方面它能夠比較好地模擬實(shí)際的行業(yè)里面的場(chǎng)景以及攻擊后危害的后果,而且和很多競(jìng)爭(zhēng)對(duì)手同臺(tái)實(shí)戰(zhàn)�,我覺得還是挺緊張激烈的。
陳:同時(shí)由于工控系統(tǒng)的特殊性�,研究人員及高校學(xué)生平日很少有機(jī)會(huì)能夠在真實(shí)的場(chǎng)景里進(jìn)行攻防演練,主辦方這次能夠不惜成本搭建發(fā)電廠的真實(shí)環(huán)境供參賽隊(duì)使用��,對(duì)于各個(gè)參賽隊(duì)來(lái)說是一次非常難得的實(shí)踐機(jī)會(huì)���。
記:我們注意到����,初賽階段我們過關(guān)非常輕松�����,決賽階段的挑戰(zhàn)相對(duì)要困難一些���,能不能簡(jiǎn)要分析一下為什么會(huì)有這樣的區(qū)別���?作為工業(yè)信息安全方面的專業(yè)人士,在比賽中又是模擬“攻擊”的角色����,您對(duì)實(shí)際的工業(yè)用戶有哪些信息安全方面的建議?
孟:初賽階段���,我們面對(duì)的PLC系統(tǒng)比較老舊����,且?guī)缀鯖]有采取任何信息安全方面的措施��,攻破這樣的系統(tǒng)確實(shí)比較容易����。但是到?jīng)Q賽階段面對(duì)的兩類系統(tǒng)�����,組織者都比較有針對(duì)性地采取了信息安全措施�,挑戰(zhàn)和難度就比較大了��。
因?yàn)槲覀兤綍r(shí)也是從事工業(yè)信息安全方面的一些工作�����,所以決賽時(shí)候第一類采取單點(diǎn)設(shè)備防護(hù)增強(qiáng)和邊界保護(hù)的系統(tǒng)��,盡管花了一些時(shí)間����,最后還是能夠挑戰(zhàn)過關(guān)的。但是對(duì)于后一類采取縱深防御解決方案的系統(tǒng)��,因?yàn)樗且粋€(gè)系統(tǒng)性的�、全方位的防御,根據(jù)我們平時(shí)的經(jīng)驗(yàn)也清楚��,這確實(shí)是安全程度非常高的一類系統(tǒng),到最后也沒有攻克還是有點(diǎn)小遺憾的�。
陳:比賽畢竟是比賽,其實(shí)從用戶今后實(shí)際應(yīng)用的角度來(lái)說�����,我們覺得這并不算一件壞事���。可以看到�����,如果在實(shí)際的生產(chǎn)中有更多的用戶能夠采用這樣一類縱深防御的系統(tǒng)��,對(duì)于提高他們的信息安全程度是非常有益的���。通過和一些國(guó)內(nèi)能源企業(yè)的交流��,我們發(fā)現(xiàn)國(guó)內(nèi)的生產(chǎn)商對(duì)于工業(yè)控制系統(tǒng)的安全還是相當(dāng)重視的�,他們都在嘗試一些防護(hù)方案和防護(hù)設(shè)備�����,這次攻防大賽就給這些企業(yè)起到很好的示范作用,大賽中所使用的防護(hù)方案和安全設(shè)備可以直接借鑒到企業(yè)中去�,幫助企業(yè)增強(qiáng)其控制系統(tǒng)的安全性。
記:您認(rèn)為本次競(jìng)賽有哪些積極意義���?
孟:本次比賽集合了工控信息安全主管部門�、工控系統(tǒng)用戶���、工控安全設(shè)備廠商����、工控安全研究機(jī)構(gòu)�����,形成了以工控攻防演練��、安全產(chǎn)品檢驗(yàn)���、信息安全培訓(xùn)為一體的平臺(tái)����;對(duì)工控系統(tǒng)信息安全能力的提升����,競(jìng)賽起到了積極助推作用�。
陳:而且據(jù)我所知���,本次大賽是國(guó)內(nèi)第一次針對(duì)工業(yè)控制系統(tǒng)的攻防大賽���,這次大賽也必然能夠?yàn)槠渌愂碌慕M織者樹立起標(biāo)桿。
關(guān)鍵詞:
電力企業(yè)
