中國電子科技集團公司信息安全領(lǐng)域首席專家饒志宏發(fā)表題為“中國網(wǎng)安石化工業(yè)網(wǎng)絡(luò)空間防護技術(shù)”主旨報告。
饒志宏回顧了中國網(wǎng)安工控信息安全發(fā)展歷史����,介紹了工控信息安全威脅現(xiàn)狀及趨勢�����,闡述了工控信息安全技術(shù)發(fā)展新理念,介紹了工控信息安全產(chǎn)品體系以及“監(jiān)評防融”石化應(yīng)用的案例�����。
以下為演講實錄:
大家一聽中國電子科技網(wǎng)絡(luò)安全有限公司就知道我們要講安全��,剛才我們有幾位領(lǐng)導(dǎo)談到信息化���,我們再談一談信息化和網(wǎng)絡(luò)安全的關(guān)系。用習(xí)主席的一句話���,網(wǎng)絡(luò)安全與信息化是一體之兩翼����,驅(qū)動之雙輪��,其實沒有信息化�����,就維護不了網(wǎng)絡(luò)安全需求�。有了信息化之后,網(wǎng)絡(luò)安全�����,尤其是云計算、大數(shù)據(jù)�����、物聯(lián)網(wǎng)�����,包括我們現(xiàn)在說的智慧工廠����,它的數(shù)據(jù)信息共享出來產(chǎn)生價值,信息集中以后��,導(dǎo)致的如果是信息受到了危害����,可想信息化對我們的工廠會帶來什么樣的問題。所以基于這一塊���,我們中國網(wǎng)安是做了一些工作�����,趁這個機會給大家匯報一下���。
大概從五個方面給各位匯報一下:
第一����,中國網(wǎng)安的情況�,我給各位回顧一下,我們中國網(wǎng)安應(yīng)該是從去年2014年實施了一個策劃��,因為我們2013年在北京做過一個展示��,專門針對網(wǎng)絡(luò)空間的安全����,當(dāng)時斯諾登事件出來之后����,對國內(nèi)包括國際一下之前感覺信息化很遠一下拉到了我們生活的方方面面,中央開始高度重視網(wǎng)絡(luò)安全�����。到了2014年的時候�����,中央采取了一系列的行動,比如成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組��,還有在領(lǐng)導(dǎo)小組下面成立了辦公室����。在這個基礎(chǔ)上,我們中國電科��,因為中國網(wǎng)安走的路是在四川和四川省委的王東伊(音)書記�,我們作為央企應(yīng)該跟國家的網(wǎng)絡(luò)安全一起,我們就分別給國務(wù)院去申請�����,因為我們要注冊有“中國”兩個字的企業(yè)必須經(jīng)過國務(wù)院批準(zhǔn)�����,到了今年的5月8日�����,我們正式注冊成立了,前期還是有點高大上�,國務(wù)院的總理和張高麗和馬凱都簽了,成立了中國電子科技網(wǎng)絡(luò)信息安全有限公司����,我們的使命就是捍衛(wèi)整個網(wǎng)絡(luò)空間的安全。
整個定位之后�����,我們要打造一個旗艦企業(yè)����,因為國家的網(wǎng)絡(luò)安全,習(xí)主席說壓艙石�����,我們要做中國的壓艙石��。同時我們要國際知名的��,以信息安全��、技術(shù)產(chǎn)業(yè)和服務(wù)的提供商�����,國際領(lǐng)先的全生命����、高安全的信息服務(wù)商。目前我們正在著力打造中國電子科技集團下面的一個子集團�,就是網(wǎng)絡(luò)安全之集團,我們應(yīng)該說是整個企業(yè)層面����,我們是由這么幾部分組成:之前的三聯(lián)一所大家所熟知,國內(nèi)硬件應(yīng)該是最早做網(wǎng)絡(luò)安全的�����,整合了網(wǎng)安�,整合了中國電子33所,山西太原做電子的企業(yè)��,還有北京的中聯(lián)科技�����,形成了大的子集團�����,它是要建設(shè)信息技術(shù)安全和人才高地來支撐國家網(wǎng)絡(luò)安全戰(zhàn)略,引擎國家的信息安全的產(chǎn)業(yè)創(chuàng)新和集成發(fā)展��。
剛才介紹了網(wǎng)安����,回過頭來我們看一下中國網(wǎng)安在做的事,因為中國網(wǎng)安雖然去年才成立����,先有兒子,才有孫子��。應(yīng)該說十年之前就開始在做整個公共信息安全方面的研究�����,主要是從滲透測試開始的����,因為隨著計算機病毒出現(xiàn)�����,我們逐漸意識到隨著信息化或者是計算機系統(tǒng)的大量應(yīng)用,會對我們的工業(yè)領(lǐng)域會帶來什么影響�����。所以說我們從2004年開始就在做整個公共安全的安全運行����、安全評估,從2004年12月份我們就做一個SCADA安全分析�����,做了相應(yīng)的分析�����。到2010年10月我們承擔(dān)軍口863���、工信部電子信息基金等項目技術(shù)研究�����。2011年1月對全國重點工業(yè)控制系統(tǒng)進行安全檢查���,檢查了近100個工業(yè)的控制系統(tǒng)���。2012年6月,我們與中國信息安全測評中心聯(lián)合建立了大型仿真平臺����。與上海儀表院合作了上海市經(jīng)信委“高橋”示范性項目。到2013年我們承擔(dān)了安委的編制工作�。到2014年我們跟相關(guān)的公共領(lǐng)域行業(yè)企業(yè)和高校開展合作,同時我們發(fā)布了整個公共信息安全監(jiān)控2.0版本����,到2015年的時候,到今年�,我們工控在之前我們是在相應(yīng)的,比如研究所��,還有我們的公司����,大家熟知的,上市公司衛(wèi)士通來做相應(yīng)領(lǐng)域的合資優(yōu)勢來做�����,我們要把這三支隊伍統(tǒng)籌協(xié)調(diào)起來���,這個形成了整個網(wǎng)安下面的公共事業(yè)部��。我們整個公共的安全����,其實大家知道��,公共安全不只是我們定位的公共安全���,信息安全也是公共安全的一個重要的部分���,我們提出了一個重要理念,進評防路的理念�。這是整個中國網(wǎng)安公共安全的情況。
第二匯報整個工控信息安全的威脅現(xiàn)狀和趨勢��。這張圖可以看到�,2014年的時候美國的NCCIC提出了工控安全事件達到245件,近4年公開的621個�����。其實在座的各位同行都知道�,這是公開報道的����,其實這應(yīng)該只是冰山一角��。整個工控安全�����,不只是工業(yè)控制的小計算的問題����,還是工控安全的問題,跟我們傳統(tǒng)計算機互聯(lián)網(wǎng)的安全不一樣���,互聯(lián)網(wǎng)網(wǎng)絡(luò)計算機應(yīng)用軟件這塊的問題研究��,就基本上是這幾個特點���。整個公共安全應(yīng)該有一個軟件,剛才說了��,它的固件��,還PLC里面的變成軟,還有大型工程平臺軟件�。相應(yīng)的硬件不再說了還有設(shè)備,PLC�����、SCADA���、DCS、PCS����。協(xié)議,還有網(wǎng)絡(luò)����,還有自動化工藝流程,這方面牽扯到相關(guān)的方方面面都可能存在威脅或者是存在風(fēng)險��。
我們統(tǒng)計了一下����,目前為止,至少是在我們服務(wù)的范圍內(nèi)�����,發(fā)現(xiàn)整個工控安全上報的重點還是集中在工業(yè)SCADA一塊非常多的。目前���,除了智慧工廠��,現(xiàn)在的公共信息安全存在哪些問題�?一個是本身的控制系統(tǒng)�,我剛才談到,其實整個安全應(yīng)該說是國家屬性���,整個工藝控制系統(tǒng)是以國外的技術(shù)為主����,供應(yīng)鏈這一塊我們控制不了����,自主可控問題形勢嚴(yán)峻。工控設(shè)備和協(xié)議本身缺乏信息安全防護設(shè)計��,為了可用性���,剛才在休息室我還跟幾位領(lǐng)導(dǎo)在討論�,討論的是怎么生產(chǎn)好就OK了,就沒有考慮誰在后面踩你一腳��,這個沒有設(shè)計��,極易受到網(wǎng)絡(luò)攻擊�。第三個工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)沒有充分考慮這個問題。
現(xiàn)在隨著整個廣泛和深度的互聯(lián)�,為整個工控安全又帶來了新的挑戰(zhàn)���。一個是網(wǎng)絡(luò)化和開放性��,還有互聯(lián)��,如果我們有一個網(wǎng)絡(luò)����,比如說類似于傳感器一樣����,如果是某一個人受到了,有可能前面散開了���,因為它的通道已經(jīng)打通了���,這是非常危險的�����。第二個就是全業(yè)務(wù)流程中國集成應(yīng)用��,從設(shè)計到銷售����,渠道管理銷售��,甚至到電商平臺�����,網(wǎng)絡(luò)新的邊界在逐步擴大�����,把整個我們的防線����,公共安全的防線從工廠到SCADA延伸到了包括電商平臺,延伸到哪里����,我的安全受到攻擊的入口就延伸到哪���。這是第二個。
第三個�,工控的現(xiàn)場和大數(shù)據(jù)、云計算的融合����。還有第三方協(xié)同服務(wù)增加了信息泄漏,包括云計算���、大數(shù)據(jù)本身的應(yīng)用為我們帶來了方便,但是它自身的安全問題也有�,我們直觀的一個感受,去年我們的蘋果云上面的數(shù)據(jù)泄漏���,把我們很多明星的隱私都曝光出來���,這一塊其實是非常值得關(guān)注的。
第四個���,我們的“工業(yè)4.0”����,包括“中國制造2025”,這個背景下一定會出現(xiàn)����,不可避免會出現(xiàn)很多很多的相關(guān)的按照問題。這是現(xiàn)在有可能存在的風(fēng)險和現(xiàn)在存在的風(fēng)險和未來有可能存在的風(fēng)險����。
第三個是公共信息安全的理念,這兩張圖我大概說一下��,整個公共系統(tǒng)���,它有一個概念和范圍�,我們說傳統(tǒng)的規(guī)定了16個領(lǐng)域���,但是隨著我們的“互聯(lián)網(wǎng)+”�,還有工業(yè)信息化��,還有還有以人為中心的定制化的服務(wù)的工業(yè)特點�����,會不止局限于這16個領(lǐng)域。還有它本身的這個領(lǐng)域�,傳統(tǒng)的,應(yīng)該說是整個信息安全�����,包括公共安全��,本身和我們傳統(tǒng)的信息安全�,我們傳統(tǒng)的信息安全每次應(yīng)對我們的公共領(lǐng)域的時候,我們都會提出它的安全問題���,但是這個時候我們不能再去說計算機小病毒導(dǎo)致我們的安全問題�,應(yīng)該更專業(yè)地跟我們的同行說就是我們的SCADA這個領(lǐng)域的私有云出現(xiàn)問題�����,這才是我們的專業(yè)公共安全�����,而且公共安全和傳統(tǒng)信息安全有本身區(qū)別�����,公共安全其實我們都知道�,剛才大家也講了,我要確保國民經(jīng)濟��,我的工廠的產(chǎn)值正常的提升�����,我們首先工廠安全����,工廠要正常運轉(zhuǎn),這個是排在第一位的�����,傳統(tǒng)的信息安全的第三位����,公共安全是排到第一,首先是公共安全����,然后才是數(shù)據(jù)安全,最后才是整個完整性���。所以這是我們公共安全和傳統(tǒng)信息安全的本質(zhì)區(qū)別在這���。針對公共安全���,我們提出了中國網(wǎng)安的理念,先說監(jiān)測預(yù)警�����,剛才李總講到我們整個智慧工廠�、智能工廠有一個監(jiān)控系統(tǒng),就像我們的眼睛一樣����,我們沒看到東西要進行監(jiān)測操作,這個我們有一個闡述���,一個對環(huán)境網(wǎng)絡(luò)或者互聯(lián)網(wǎng)的公共系統(tǒng)面臨的威脅做態(tài)勢的監(jiān)視�����,對工業(yè)控制網(wǎng)的內(nèi)部和外部的連接進行全時段、全流量及多業(yè)務(wù)分析�,構(gòu)建早期異常行為和攻擊前兆特征發(fā)現(xiàn)預(yù)警能力���,提供工控信息安全事件的追溯能力。在這一塊����,像剛才談到提前兩分鐘,如果有這兩分鐘對工廠就帶來很好的利益�����,我可以馬上關(guān)機�����。
第二“評”��,也是我們工控的特點�,就像計算機一樣,工控網(wǎng)絡(luò)��,定期地大檢修才會關(guān)機���,怎么上安全系統(tǒng)�����,我們要有一個評估�,我們要構(gòu)建一個小的模型,去分析在線上的工控設(shè)備網(wǎng)絡(luò)流程�,這里面有一個攻擊甚至測試問題,主動發(fā)現(xiàn)風(fēng)險�����,同時要評估它的風(fēng)險的開展和規(guī)模��,還有安全設(shè)備要上的時候�����,我也要把安全設(shè)備放到最小里面去做相應(yīng)的評估設(shè)施�����,比如它的有效和它的可靠性�����、安全性等����,應(yīng)該是最起碼的。在這種情況下運行后你自己心里面有底了�����,再上工控領(lǐng)域�����,到線上去�����,這樣心里才踏實�。
第三,我們要做體系的防御�,要研究整個工控流程,所以這個防御不是拿一個監(jiān)視器防御就已經(jīng)全部上了�,所以整個工控要以安全生產(chǎn)為前提,通過流量的監(jiān)控�����、分域的防護���,邊界的防護����,密碼加固一系列手段形成縱深的防護體系,提供面向重點行業(yè)的工控信息安全解決方案和服務(wù)��,強化整個工控信息安全管理能力��,還有運行安全�����。
最后一個“融”���,我們要把我們的安全融于易用��。我們現(xiàn)在一談到安全�����,就馬上想到計算機����、服務(wù)器����,包括我們現(xiàn)在做互聯(lián)網(wǎng)安全這種企業(yè)��,大家都會意識到��,其實我的網(wǎng)絡(luò)的安全要說真正爆發(fā)點,不一定是我們的網(wǎng)����,而是我的應(yīng)用,所以這一塊我們對應(yīng)用應(yīng)該是高度重視�,我們說注重整個工控系統(tǒng)的可用性,依托傳統(tǒng)信息安全產(chǎn)品在工控系統(tǒng)的衍生以及工業(yè)控制專用信息安全產(chǎn)品��,將工控信息安全緊密融合于工業(yè)生產(chǎn)的各個環(huán)節(jié)����,以最小的代價去保護整個工業(yè)控制系統(tǒng)整體的安全防護能力。所以這個我覺得需要整個安全���,包括石油�、石化深度的融合���,才能形成整個行業(yè)的安全解決方案����。
這是我說的四個理念。
我們也推出了相應(yīng)的產(chǎn)品�,在監(jiān)這塊有監(jiān)視、控制����,還有蜜罐。評是漏洞掃描��,滲透測試�����。防是訪問控制��、加密���、簽名�����、VPN���、授權(quán)�、隨機化����。還有容災(zāi)備份,還有應(yīng)急響應(yīng)���、審計��,我們認為從事前、事中�����、事后取證一系列的技術(shù)上包括產(chǎn)品的體系�。
我現(xiàn)在大概匯報一下整個中國網(wǎng)安在工控安全的產(chǎn)品系列,主要是從監(jiān)�����、評�����、防����、融這四個方面來匯報�����。
第一個是監(jiān)���,剛才談到我們應(yīng)該說看得見干活的前提。整個我們出了一個產(chǎn)品叫公共系統(tǒng)接入互聯(lián)網(wǎng)威脅的感知系統(tǒng)����,這個為什么推出來?就是說我們隨著“互聯(lián)網(wǎng)+”的推廣�,我們更多的信息系統(tǒng),我們的工業(yè)信息系統(tǒng)上到我們的云服務(wù)����,你走過一天也好,四年也好����,都呈現(xiàn)這在上面,也不一定是算這種體制���,就是在構(gòu)建這個VPN的時候的一個協(xié)議�,這種情況大家如果都見到互聯(lián)網(wǎng)上的智能制造,我希望大家高度重視��,這個VPN是不是安全的����。第二個我是不是做VPN。這塊我們具備的能力是什么�?我們能夠?qū)χ付ǖ膮^(qū)域或者是我們的設(shè)備系統(tǒng)基于整個互聯(lián)網(wǎng)安全的監(jiān)控,包括預(yù)警�����,把數(shù)據(jù)的流量的一系列流程���,包括我們支持多種協(xié)議,因為你去跑的話�,這個時候互聯(lián)網(wǎng)只是有一個存在,這個領(lǐng)域可以進行監(jiān)控����。包括整個我們?nèi)呙瑁瑢嶋H造成損害����,我們主動去掃描���,去發(fā)現(xiàn)感知,本身你在互聯(lián)網(wǎng)上��,通過互聯(lián)網(wǎng)看內(nèi)部有沒有問題�,這個我們是有一整套的感知系統(tǒng)。
第二����,我們有一個在線的迥孔監(jiān)控系統(tǒng),我們在已有的系統(tǒng)也有相關(guān)的案例在做�����,現(xiàn)場工作��,我在旁邊去做一個產(chǎn)品潛進去����,作為閉路不會影響你,實現(xiàn)整個系統(tǒng)的監(jiān)控�。
第二個是評,我們要做的評估�����,我構(gòu)建一個平臺,這個平臺可能是我們的工廠自己構(gòu)建�,我們?nèi)プ鲆粋€環(huán)境下面的安全性的評估,我們有一個工控漏洞的掃描系統(tǒng)�����,這個部分除了支撐我們現(xiàn)在國家的三大漏洞做的公開的問題�����,我們自己還有一個200個未公開的��,去看一看存不存在��,如果存在我們就提出相應(yīng)的基礎(chǔ)方案�。
還有評估套件,這個就變成一個問卷調(diào)查���,跟你一起聊,發(fā)現(xiàn)你存在哪些問題���,比如我們同行��,我們工廠的一個技術(shù)人員說一下�,我就記錄一下,得一個評分出來�,可以進行安全評估。
防��,我們目前推出一個是工控的防火墻��,大家都清楚怎么做的���。第二個是電力SCADA安全防護系統(tǒng)��,這一塊也存在很多問題�����,包括AC的170��,應(yīng)該說這個SCADA的構(gòu)建體系�����,比如說認證體系�,這一系列都存在��,我們提供了一整套的防護措施。
最后一個是“融”����,我們現(xiàn)在推出了儀表探針,通過232�、48方式并行接入帶有HART通信協(xié)議的智能儀表,智能采集�����、掃小儀表內(nèi)部數(shù)據(jù)機參數(shù)�,并將重要的儀表參數(shù)心事到LCD觸摸屏,協(xié)助操作人員進行判斷��,減少系統(tǒng)意外停車��,通過網(wǎng)絡(luò)進行現(xiàn)場儀表的維護管理�����,提高儀表委會工作的效率�,當(dāng)發(fā)現(xiàn)有設(shè)非法接入或智能儀表的異常就會進行報警。
另外一個是現(xiàn)有產(chǎn)品的工業(yè)集中管理平臺�����,就是說一張圖��,整個系統(tǒng)的一張圖����,這一塊我們也會做,通過各種參數(shù)����,一起形成整個安全的網(wǎng)絡(luò)。
這個是我們剛才談到的工控領(lǐng)域的情況�。我們針對石油石化,我們應(yīng)該是幾年以前就做了相關(guān)的工作����,這一塊我們對單位檢查了油氣田、天然氣與管道儲運���,包括煉化����、營銷�,還有測試單位的煉化,整個通過調(diào)查或者現(xiàn)場勘查去做���。還有我們通過互聯(lián)網(wǎng)去檢查���,我們是做了39個系統(tǒng)����,包括DCS����、SCADA、PLC���。整個應(yīng)該說在油氣田��、天然氣管道的儲運�����、煉化����、營銷���,整個體系應(yīng)該現(xiàn)在都有相應(yīng)的安全測試方案包括評估方案��,還有整個安全的體系化的監(jiān)測方法����。
給大家舉個例子��,我們跟大型石化控制系統(tǒng)信息安全項目��,應(yīng)該是260萬噸柴油加氫裝置示范工程�����,這是2011年開始就響應(yīng)了451號文�����,還有2012年對這個行業(yè)��,對這個工程我們做了滲透性測試����。滲透性測試對于發(fā)現(xiàn)的問題,當(dāng)然石化工廠就引起高度重視���,我們就一起聯(lián)合市經(jīng)信委一起做了這個項目���,專門做了體系運營��,最終實現(xiàn)了解決了安全問題��,這個應(yīng)該說我們的教訓(xùn)��,工控信息安全防控的��。
整個項目內(nèi)容有這么幾個:一個是260萬噸柴油加氫張紙的風(fēng)險評估做一個典型大型石化的供應(yīng)鏈的管理辦法���,還有安全防護過程,最后我們提供了一個體系解決方案��。我們先去看工藝安全�,再去看信息安全的需求,信息安全為工藝安全做保證�����,進而提出了一整套的信息安全的解決方案��。具體的比如增加了安全隔離��,部署審計��、安全審計,進行整個主機的安全防護�。
整個措施,稍微講一下�,比如說首先我們發(fā)現(xiàn)它缺乏有效的身份鑒別,我們通過滾間設(shè)備操作審計���,缺乏有效的應(yīng)用系統(tǒng)監(jiān)控措施,我們做了邊界防護和過程網(wǎng)內(nèi)網(wǎng)絡(luò)審計���,還有未對遠程登錄進行安全控制�,我們通過關(guān)鍵設(shè)備操作審計來解決�����,等等一系列的�����,成體系地去給他做安全防護的方案���,并且去實施�����,感覺效果還是非常好�。
具體操作,比如在控制系統(tǒng)�,我們做了DCS的邊界保護,在下面就是DCS控制網(wǎng)內(nèi)網(wǎng)的安全防護�����,最后是關(guān)鍵設(shè)備的操作風(fēng)險審計����。
最后運營情況,一是“零”影響部署�,對控制系統(tǒng)無干擾,對生產(chǎn)無影響�。第二對操作層的監(jiān)控幫助監(jiān)督現(xiàn)場操作員的操作,極大減少了現(xiàn)場誤操縱和不合規(guī)操作�。第三在異常流量監(jiān)控過程中,及時發(fā)現(xiàn)原有系統(tǒng)網(wǎng)絡(luò)環(huán)境中存在安全隱患應(yīng)用的使用�����,利于清理和排查系統(tǒng)中存在的安全隱患��。第四對控制網(wǎng)內(nèi)設(shè)備運行狀態(tài)的監(jiān)控,能及時幫助掌握我網(wǎng)么的控制設(shè)備若有未授權(quán)設(shè)備進入控制�����,可以及時予以預(yù)警�。這是四個方面的能力。
目前從2013年開始�����,我們就開始在運行了��,目前我們應(yīng)該說是有15000個小時正常運行��,應(yīng)該說整個非法的監(jiān)控我們有62萬多條�����。最后我們完善了整個工藝控制系統(tǒng)的自動化和信息化�,推進我國整個工控系統(tǒng)的標(biāo)準(zhǔn)化體系��,拓展了整個工控系統(tǒng)的信息安全�����。
最后在石油石化的供應(yīng)鏈整個鏈條,我們應(yīng)該說是都有全套的方案�。同時我們還給國家的政策標(biāo)準(zhǔn),我們積極參與��,保證國家�、公辦、北京市��、上海市����。
最后我們跟行內(nèi),很多都是我們的戰(zhàn)略合作伙伴�,我們未來希望跟在座的各位一道就網(wǎng)絡(luò)安全能力一起協(xié)助,我們有效地支撐信息化這個文����,我們一起來共同維護,捍衛(wèi)我們國家的石油石化安全�����。
謝謝���!
(關(guān)于2015中國石油和化工行業(yè)兩化融合推進大會的更多內(nèi)容���,請點擊:www.gensurebio.cn)
果-1.jpg)
