2015EICS+工控系統(tǒng)信息安全攻防競賽已圓滿結(jié)束。為更好地宣傳工控系統(tǒng)信息安全,將EICS+競賽打造成國內(nèi)首屈一指、持續(xù)性舉辦的標桿賽事,競賽組委會對相關(guān)人員進行了訪談。
訪談一:
一、采訪對象:
本次競賽主辦單位之一、公安部信息安全等級保護評估中心 常務副主任張宇翔(以下簡稱:張)
二、采訪者:
2015 EICS+工控系統(tǒng)信息安全攻防競賽組委會(以下簡稱:記)
三采訪記錄
記:您認為舉辦本次競賽的必要性主要體現(xiàn)在哪些方面?
張:我們注意到,近年來廣大工業(yè)用戶在積極地實踐信息化和工業(yè)化的“兩化融合”,由于轉(zhuǎn)型升級、提升生產(chǎn)和管理效率的需要,管理和生產(chǎn)自動化、網(wǎng)絡化日趨普及,不可避免地帶來一些新的安全風險,使工業(yè)信息安全成為傳統(tǒng)生產(chǎn)安全所不可回避的一個嚴峻問題。
隨著新技術(shù)、新應用的進一步推廣,工業(yè)信息安全面臨的風險日趨嚴重。公安部相關(guān)監(jiān)管部門一直在采取各種措施,幫助工業(yè)用戶關(guān)注、預防這些安全風險。對等級保護系列標準的修訂過程中,針對工業(yè)控制系統(tǒng)的安全專門制定了一系列等級保護標準,包括基本要求、設(shè)計技術(shù)要求和測評要求。這次競賽也是其中的一個重要環(huán)節(jié),對測評要求的制定、修訂和驗證具有積極的意義。
本次比賽通過仿真典型的工業(yè)控制系統(tǒng),用一種非常直觀、形象的方式揭示了可能存在的工業(yè)信息安全風險,有利于廣大工業(yè)用戶更好地認識到工業(yè)領(lǐng)域所面臨的現(xiàn)實的信息安全問題,提升重視程度。今后也有必要繼續(xù)組織這樣的活動,并將競賽的影響力進一步擴大到各個重要的工業(yè)領(lǐng)域,引起更多行業(yè)企業(yè)的重視。
記:采用了實際攻防、高度仿真的競賽模式是本次競賽的一個新亮點,采用這樣的競賽模式的目的是什么?
張:首先,實際攻防、高度仿真的競賽模式,有利于直觀、形象地揭示工業(yè)信息安全風險的嚴峻性,提升競賽的關(guān)注度和影響力。
其次,實際攻防、高度仿真的競賽模式,有利于比賽的組織者從實際的行業(yè)需求出發(fā),對比賽進行設(shè)計和準備,選手參賽時也在高度接近實戰(zhàn)的環(huán)境下進行各項操作,這對他們在現(xiàn)實中的工業(yè)信息安全工作和相關(guān)研究具有更好的實際指導意義。
記:這次競賽的過程和結(jié)果,是否從一定程度反映出工業(yè)領(lǐng)域信息安全的嚴峻性?能否請您舉例說明?
張:這次競賽的過程,確實反映出了當前的工業(yè)領(lǐng)域用戶在信息安全上面臨著一定的風險,這對廣大的工業(yè)用戶而言是一個非常有力的警示。
比如,在初賽階段,沒有任何信息安全措施的老舊PLC系統(tǒng),輕易被多支參賽隊攻破;這充分說明,在現(xiàn)實的工業(yè)領(lǐng)域中,一些在工控產(chǎn)品的升級換代上比較滯后、仍在使用老舊設(shè)備的企業(yè)尤其需要重視采取信息安全措施,并適時對一些已不符合信息安全要求的老舊產(chǎn)品進行替換升級。
在決賽階段,單點設(shè)備防護增強和邊界保護的防御措施,同樣在一段時間內(nèi)被攻破,這反應出僅僅依靠設(shè)備防御能力增強和邊界保護是不充分的,不能徹底化解風險。我們建議從系統(tǒng)整體安全的視角,為工業(yè)用戶量身定做安全解決整改方案。這一問題也是值得所有工業(yè)用戶提高關(guān)注程度的一點。
記:通過這次競賽,能夠讓廣大工業(yè)用戶獲得哪些提升信息安全水平的啟示?對工業(yè)用戶而言,是否能夠從中發(fā)現(xiàn)一些值得推薦的路徑或措施?
張:在技術(shù)層面,從這次競賽的決賽階段可以看到,以新版PLC信息安全策略和外圍多層次防御手段為代表、采用由點到面縱深防御理念的系統(tǒng),從始至終未被攻破,體現(xiàn)出了極高的安全水平??梢?,采用這種縱深防御理念的信息安全解決方案,是值得廣大工業(yè)用戶進行借鑒和實踐的。
在管理層面,廣大工業(yè)用戶也不難得到一些啟示。工業(yè)領(lǐng)域的信息安全風險在實際的生產(chǎn)環(huán)境中盡管不一定被觸發(fā),但卻時刻存在,不可不防。工業(yè)用戶應該主動關(guān)注這方面的工作,做到未雨綢繆、防患于未然,而不是在問題發(fā)生后再被動應對。
記:能否請您談一談,普通的工業(yè)用戶如要想選擇更符合信息安全要求的工控產(chǎn)品,有哪些可行的方法?
張:目前工業(yè)用戶選擇采購、使用更符合信息安全要求的工控產(chǎn)品,可以優(yōu)先選擇經(jīng)過國家權(quán)威檢測機構(gòu)、行業(yè)專業(yè)測評機構(gòu)檢測,安全可控的工控產(chǎn)品,這樣有利于在設(shè)備層面減少風險。
作為工業(yè)用戶,更應在系統(tǒng)建設(shè)和整改中,關(guān)注系統(tǒng)整體安全性。選擇安全可靠的工控設(shè)備還只是實現(xiàn)了信息安全防范的第一步,用戶更應在加強設(shè)備安全性的基礎(chǔ)上,采用縱深防御理念的信息安全解決方案,做好系統(tǒng)安全配置、選擇安全加固,更全面地提升系統(tǒng)整體的安全性。另外除了縱深防御理念之外,在網(wǎng)絡環(huán)境與應用場景相對單一的生產(chǎn)環(huán)境中,是否還可以考慮基于可信計算的相關(guān)安全解決方案。
記:本次競賽對提升工業(yè)信息安全的整體水平有哪些積極意義?
張:提升了用戶對工控信息安全的認識,直觀感受到了工業(yè)控制系統(tǒng)所面臨的安全風險,有力地揭示了此類系統(tǒng)所存在的安全風險。
針對目前工控設(shè)備存在安全風險的系統(tǒng),我們還是可以通過完善的安全解決方案來提升系統(tǒng)的安全防護能力。從決賽的情況來看,“國家級”的紅客隊伍并沒有攻克經(jīng)過設(shè)備加固和安全設(shè)備防護的方案,可以讓用戶建立信心。
本次大賽吸引了多支專業(yè)隊伍參賽,也獲得了多家工業(yè)控制設(shè)備廠商和信息安全廠商在專業(yè)技術(shù)層面上的大力支持,顯示出當前業(yè)界各方對工業(yè)信息安全課題的重視程度在提升;同時也表現(xiàn)出這些專業(yè)廠商直面工業(yè)信息安全挑戰(zhàn),致力提供安全解決方案的信心和決心。
訪談二:
一、采訪對象:
決賽第一名、國網(wǎng)智能電網(wǎng)研究院信通所代表隊領(lǐng)隊孟雷子(以下簡稱:孟)
預賽第一名、中國科學院信息工程研究所代表隊領(lǐng)隊陳凱(以下簡稱:陳)
二、采訪者:
2015 EICS+工控系統(tǒng)信息安全攻防競賽組委會(以下簡稱:記)
三、采訪記錄
記:這次比賽采用了實際攻防演練的形式,這樣的形式給比賽過程帶來了什么樣的體驗?
孟:我們覺得這種實際的攻防演練的形式,一方面比較新穎,另一方面它能夠比較好地模擬實際的行業(yè)里面的場景以及攻擊后危害的后果,而且和很多競爭對手同臺實戰(zhàn),我覺得還是挺緊張激烈的。
陳:同時由于工控系統(tǒng)的特殊性,研究人員及高校學生平日很少有機會能夠在真實的場景里進行攻防演練,主辦方這次能夠不惜成本搭建發(fā)電廠的真實環(huán)境供參賽隊使用,對于各個參賽隊來說是一次非常難得的實踐機會。
記:我們注意到,初賽階段我們過關(guān)非常輕松,決賽階段的挑戰(zhàn)相對要困難一些,能不能簡要分析一下為什么會有這樣的區(qū)別?作為工業(yè)信息安全方面的專業(yè)人士,在比賽中又是模擬“攻擊”的角色,您對實際的工業(yè)用戶有哪些信息安全方面的建議?
孟:初賽階段,我們面對的PLC系統(tǒng)比較老舊,且?guī)缀鯖]有采取任何信息安全方面的措施,攻破這樣的系統(tǒng)確實比較容易。但是到?jīng)Q賽階段面對的兩類系統(tǒng),組織者都比較有針對性地采取了信息安全措施,挑戰(zhàn)和難度就比較大了。
因為我們平時也是從事工業(yè)信息安全方面的一些工作,所以決賽時候第一類采取單點設(shè)備防護增強和邊界保護的系統(tǒng),盡管花了一些時間,最后還是能夠挑戰(zhàn)過關(guān)的。但是對于后一類采取縱深防御解決方案的系統(tǒng),因為它是一個系統(tǒng)性的、全方位的防御,根據(jù)我們平時的經(jīng)驗也清楚,這確實是安全程度非常高的一類系統(tǒng),到最后也沒有攻克還是有點小遺憾的。
陳:比賽畢竟是比賽,其實從用戶今后實際應用的角度來說,我們覺得這并不算一件壞事??梢钥吹?,如果在實際的生產(chǎn)中有更多的用戶能夠采用這樣一類縱深防御的系統(tǒng),對于提高他們的信息安全程度是非常有益的。通過和一些國內(nèi)能源企業(yè)的交流,我們發(fā)現(xiàn)國內(nèi)的生產(chǎn)商對于工業(yè)控制系統(tǒng)的安全還是相當重視的,他們都在嘗試一些防護方案和防護設(shè)備,這次攻防大賽就給這些企業(yè)起到很好的示范作用,大賽中所使用的防護方案和安全設(shè)備可以直接借鑒到企業(yè)中去,幫助企業(yè)增強其控制系統(tǒng)的安全性。
記:您認為本次競賽有哪些積極意義?
孟:本次比賽集合了工控信息安全主管部門、工控系統(tǒng)用戶、工控安全設(shè)備廠商、工控安全研究機構(gòu),形成了以工控攻防演練、安全產(chǎn)品檢驗、信息安全培訓為一體的平臺;對工控系統(tǒng)信息安全能力的提升,競賽起到了積極助推作用。
陳:而且據(jù)我所知,本次大賽是國內(nèi)第一次針對工業(yè)控制系統(tǒng)的攻防大賽,這次大賽也必然能夠為其他賽事的組織者樹立起標桿。