2017年是工控信息安全不平凡的一年,“WannaCry”勒索病毒席卷全球范圍,我國教育、政府、電力、石油、通信、交通運輸、醫療等眾多行業領域都或多或少受到該事件影響;工信部、公安部、網信辦、能源局對涉及國家基礎設施的企業工控信息安全檢查常態化,工控系統網絡安全問題普遍突出;6月1日開始實施的網絡安全法要求對包括工控系統在內的“可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”實行網絡安全等級保護;等保2.0進入報批流程;12月,工信部發布《工業控制系統信息安全行動計劃(2018-2020年)》強調全國性的“一網一庫三平臺”的建設。一系列政策的頻繁出臺,讓我們看到了工控信息安全市場的巨大機遇。2014年初,一直致力于傳統信息安全領域的啟明星辰嗅到了工控信息安全市場的巨大機遇,從2014年初,成立工控安全部,開始布局工控信息安全市場。經過4年的時間,如今在諸多行業取得了不少成績。小編本期特別采訪了啟明星辰工控安全部技術總監孟雅輝,請她來談一談對于工控信息安全市場的看法及分析。
Q:您如何看待日益嚴峻的工業控制系統信息安全問題?據您了解,2017年國內情況如何?
孟雅輝:2017年,工控行業工控信息安全需求凸顯。
石油行業,三桶油將工控信息安全作為未來五年重點關注方向,由總部牽頭做工控信息安全建設規范,每年都會組織力量對下屬企業進行安全檢查。隨著智能制造的推進,生產網普遍采用了高度自動化的生產技術裝備和高度信息化的運營管理手段,極大地提升了生產效率。與此同時,嚴峻的網絡信息安全風險也如影隨形。采油采氣、石油管道、煉化、油儲、加油工控網絡邊界隔離、內部監測需求明顯,千萬級項目逐漸露頭。
電力行業,遵循36號文《國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》內容進行安全建設,《電力監控系統安全防護總體方案》對省級以上調度中心、地級調度中心、各類型發電廠、變電站、配電監控的監控系統的安全防護。近幾年,能源局每年都會對電廠和電網進行檢查。各級電網也會對電廠進行安全檢查。工信部依據《工控系統信息安全防護指南》對電力企業進行檢查。公安部通過執法檢查對電力企業進行安全檢查。在安全檢查和調度工控信息安全年方向的推動下,電廠、電調、電科院需求明確,有大量項目涌出。
軌道交通行業,目前全國范圍內地鐵建設進程很快,信息安全越來越被廣泛認可,最重要的兩個自動化系統(綜合監控系統和信號系統)都有明確的信息安全需求。“城市軌道交通綜合監控系統工程技術規范”V2.0版本中已經明確增加信息安全要求:綜合監控系統信息安全應滿足國家工業控制系統信息安全相關標準要求,并按照三級信息安全等級保護進行設計、工程實施和驗收;應實現防攻擊、防病毒、防漏洞、防非法操作等,并實時監察系統信息異常,及時進行處置。在信號系統招標書里大多有這句話:投標人應當按照《信息安全等級保護管理辦法》(公通字[2007]43號)、《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)和《信息系統安全保護等級保護實施指南》(GB/T 25058-2010)實施等級保護工作。應符合國家安全部門對信號信息系統等級(暫定3級)保護要求,能夠防范病毒入侵、黑客攻擊、對數據有審計功能等技術要求的能力。信號系統應接受并通過信息保護等級相適應的測試,并在正式運營前通過等級保護測評。
煙草行業,行業工控信息安全標準即將發布,相關標桿項目已經驗收。企業大都能提出明確的工控信息安全需求,卷煙廠、復烤廠、商煙物流、醋纖廠對工控信息安全需求明確。
地下綜合管廊行業,自2015年和2016年開展兩批試點項目以來,城市地下綜合管廊的建設,全國累計建設里程已達2000多公里。地下綜合管廊作為保障城市運行的重要基礎設施和“生命線”,隨著“互聯網+” 作為國家戰略推進,管廊運營商正規劃城市級管廊綜合運維平臺,同時管廊監控系統與市政消防、公安系統聯動需求,要求管廊監控系統接入互聯網與市政系統進行互聯。但綜合管廊在建設過程中的工業控制系統信息安全問題有待進。
先進制造行業,在《中國制造2025》、“互聯網+”的國家戰略背景下,制造行業產業升級已成大勢所趨。“十三五規劃”中明確提出產業結構調整、工業互聯、智能制造示范試點等具體任務。為完成“十三五規劃”的目標,各部委、各行業主管單位等均在積極推動智能制造示范項目。在我國制造行業迅猛發展的同時,也暴露出了一些信息安全問題,大多設備采用國外品牌,面臨著國外廠商運維中重要數據泄露的風險。工控網絡與管理網或與DNC服務器連接時,在提高效率的同時也面臨著被感染病毒、惡性攻擊的風險。整體安全管理策略缺失,如機床及“操作員站”的漏洞、編程工作站、人員的操作流程等方面。目前,各軍工企業生產單位均有工控安全需求,生產網與涉密網相連勢在必行。保密政策明晰后,市場前景良好。
工業互聯網應用,作為智能制造的關鍵基礎,打破了傳統工業相對封閉可信的制造環境,但與此同時,這也造成病毒、木馬、高級持續性攻擊等互聯網安全風險對工業生產的威脅日益加劇。縱觀整個2017年,工業互聯網在國內的推進無論從國家政策層面,還是企業實際落地層面都得到了積極的重視,而對工業互聯網的信息安全保障也是一樣的,伴隨著國家“互聯網+制造業”、“三去一補一降”等政策的不斷推進落實,工業互聯網的推進速度必將不斷加快,工業控制系統安全的發展重點也將逐步轉向工業物聯網安全、工業云安全等工業互聯網的安全范疇。
Q:2017年,啟明星辰在工控信息安全市場的業績如何?取得了哪些亮點的成績?
孟雅輝:相較2016年,啟明星辰集團2017年的工控安全業績實現了超過100%的增長,在電力、軌道交通、煙草、先進制造等行業建立了多個工控安全示范項目。
石油行業,開展多個油田、煉化廠兩網隔離安全防護項目,為實現注、采、輸從井口到場站以及石油煉化、儲運等各類工控設備運行狀況、設施工藝參數等數據安全傳輸到數據中心。
電力行業,工控信息安全主要是針對各級調度的電力監控系統、智能變電站、用采系統、電廠生產控制系統、電網配網的安全防護。參照36號文要求,啟明星辰已有多個電力工控系統的防護案例,實現了工控網絡入侵檢測、敏感指令檢測、異常流量監測,工控系統邊界安全防護,運維操作審計,操作站安全管理等安全技術建設。
軌道交通行業,綜合監控系統和信號系統均有多個建設樣板工程,重點解決了對車站級到中央級的嚴格訪問控制,車地之間、自動化系統之間的安全通信,自動發現網絡中的活躍主機、端口,以及接口間的訪問關系,對工控網絡的各種入侵、病毒、木馬攻擊行為,發現各類PSCADA、BAS等系統指令異常,統一實量監測所有事件。
煙草行業,啟明星辰作為煙草行業工控信息安全標準制定者,扎實走穩每一步,已落實多個工控安全項目。重點解決普遍存在的設備間的通訊超時、操作站下發指令緩慢甚至不成功、操作站顯示異常等頻發問題。
先進制造行業,針對機床類的精密加工場景,解決其普遍存在的網絡無安全劃分,機床近端防護措施缺失,運維操作無審計紀錄,無違規異常發現機制。
Q:未來,對于工控信息安全市場,啟明星辰如何布局?啟明星辰在這一市場中如何定位?主要發展策略有哪些?
孟雅輝:啟明星辰從2014年初,成立工控安全部,開拓全集團的工控信息安全市場。2015年5月,發布覆蓋串接防護、旁路異常檢測、安全審計、操作站安全防護、安全檢查工具、一體化工控安全監測平臺的全線工控安全產品。至今,啟明星辰已形成覆蓋石油石化、電力、軌道交通、煙草、先進制造、工業互聯網、工業物聯網等多個行業的成功案例,利用各行業實驗局的打磨,工控信息安全產品已可以適用多個應用場景。不忘初心,砥礪前行,未來的工控信息安全之路還很長。隨著工業互聯網、物聯網、車聯網等新興技術的出現,隨之而來的是不斷涌現的新信息安全問題,我們需要更加沉下心去研究、去實踐。
未來,啟明星辰愿利用自身渠道優勢,更加廣泛地鏈接工業自動化行業細分領域的產品提供商、集成商,融合高校和研究機構的優秀研究成果,與工控安全行業伙伴和諧共生,更好地服務業主和國家主管部門,更好地支撐我國工控信息安全工作的推進和落地,為實現我們偉大的工業強國中國夢而努力奮斗。
Q:您認為我國工業用戶在推進工控信息安全建設方面,存在哪些問題與誤區?就啟明星辰在工控信息安全領域的實踐經驗,您對于中國工業用戶有何建議?
孟雅輝:工業控制系統正在與辦公網、互聯網連接,封閉的“世外桃源”正在慢慢被打開。工業控制系統由于運行周期長、系統升級困難等問題,帶著脆弱性仍然在運行,存在著很大被攻擊的風險。工業控制系統關乎企業的生產命脈,業主對于工控信息安全大多持謹慎的態度,這是非常令人尊敬的敬業精神。然而,風險已然擺在面前,必須做出一些規避措施。工控系統本身不能動,但我們可以把它保護起來,僅允許外界對它進行有限訪問,這里的有限訪問包括通過網絡訪問和通過設備的物理臨近訪問,我們須設定規則和采取必要的技術措施,進行訪問控制。同時,我們可以將它內部的操作異常、病毒攻擊等情況監控并呈現出來,以便有問題我們可以追查到底,有的放矢的解決問題。運維人員需要對設備進行訪問時,我們也可以把訪問記錄下來。
大部分工業控制系統涉及到我國的關鍵基礎設施,國家正在大力推進信息安全保障工作。建議工業用戶儲備工控信息安全相關基礎知識,找單位內有能力的下屬單位、車間做信息安全防護嘗試。
Q:可否和我們分享一個啟明星辰在工控信息安全領域的實際案例?
孟雅輝:啟明星辰2017年在機床類的先進制造行業做了深入探索,輔助業主建立全面的工業控制系統信息安全保障體系,達到等保三級網絡安全的技術要求。主要做了這幾項工作:
(1)采用工業防火墻對工控網進行安全區域劃分并進行安全防護,在機床近端部署CNC防護裝置進行精細化的訪問控制,對于存在安全隱患的國外數控機床通過借助第三方信息安全產品的監測,彌補短時期內不能替換為國內工控設備問題和風險,逐步過渡到自主可控。
(2)完成了100余個加工、設計、工藝及CAM等用戶終端的安全防護,保證終端被惡意代碼侵害的風險降到最低。
(3)完成生產線10多種工藝的30臺機床的聯網及2種類型DNC系統的防護,實現從設計源頭開始的數據能夠審計其流向,一旦發現異常進行報警。實現對三種國內外品牌的典型機床系統進行防護審計,遠程運維時進行加密傳輸,并對其連接時有訪問控制策略,實現運維人員對機床參數、配置等關鍵信息的安全審計,提高公司關鍵裝備的自主運維水平。
(4)建立工控信息安全管理平臺,實現多品牌多類型系統的統一監管,可管理的系統包括信息安全防護設備以及網絡交換機、DNCpro客戶端、編程工作站、DNC/N監控機、PDM、CAPP、DNC服務器的設備,實現收集信息安全相關信息。并對不同來源的信息安全事件統一分級和處理,實現了工控系統信息安全事件的關聯分析,深度分析隱蔽安全事件和追蹤溯源。
