2015EICS+工控系统信息安全攻防竞赛已圆满结束。为更好地宣传工控系统信息安全,将EICS+竞赛打造成国内首屈一指、持续性举办的标杆赛事,竞赛组委会对相关人员进行了访谈。
访谈一:
一、采访对象:
本次竞赛主办单位之一、公安部信息安全等级保护评估中心 常务副主任张宇翔(以下简称:张)
二、采访者:
2015 EICS+工控系统信息安全攻防竞赛组委会(以下简称:记)
三采访记录
记:您认为举办本次竞赛的必要性主要体现在哪些方面?
张:我们注意到,近年来广大工业用户在积极地实践信息化和工业化的“两化融合”,由于转型升级、提升生产和管理效率的需要,管理和生产自动化、网络化日趋普及,不可避免地带来一些新的安全风险,使工业信息安全成为传统生产安全所不可回避的一个严峻问题。
随着新技术、新应用的进一步推广,工业信息安全面临的风险日趋严重。公安部相关监管部门一直在采取各种措施,帮助工业用户关注、预防这些安全风险。对等级保护系列标准的修订过程中,针对工业控制系统的安全专门制定了一系列等级保护标准,包括基本要求、设计技术要求和测评要求。这次竞赛也是其中的一个重要环节,对测评要求的制定、修订和验证具有积极的意义。
本次比赛通过仿真典型的工业控制系统,用一种非常直观、形象的方式揭示了可能存在的工业信息安全风险,有利于广大工业用户更好地认识到工业领域所面临的现实的信息安全问题,提升重视程度。今后也有必要继续组织这样的活动,并将竞赛的影响力进一步扩大到各个重要的工业领域,引起更多行业企业的重视。
记:采用了实际攻防、高度仿真的竞赛模式是本次竞赛的一个新亮点,采用这样的竞赛模式的目的是什么?
张:首先,实际攻防、高度仿真的竞赛模式,有利于直观、形象地揭示工业信息安全风险的严峻性,提升竞赛的关注度和影响力。
其次,实际攻防、高度仿真的竞赛模式,有利于比赛的组织者从实际的行业需求出发,对比赛进行设计和准备,选手参赛时也在高度接近实战的环境下进行各项操作,这对他们在现实中的工业信息安全工作和相关研究具有更好的实际指导意义。
记:这次竞赛的过程和结果,是否从一定程度反映出工业领域信息安全的严峻性?能否请您举例说明?
张:这次竞赛的过程,确实反映出了当前的工业领域用户在信息安全上面临着一定的风险,这对广大的工业用户而言是一个非常有力的警示。
比如,在初赛阶段,没有任何信息安全措施的老旧PLC系统,轻易被多支参赛队攻破;这充分说明,在现实的工业领域中,一些在工控产品的升级换代上比较滞后、仍在使用老旧设备的企业尤其需要重视采取信息安全措施,并适时对一些已不符合信息安全要求的老旧产品进行替换升级。
在决赛阶段,单点设备防护增强和边界保护的防御措施,同样在一段时间内被攻破,这反应出仅仅依靠设备防御能力增强和边界保护是不充分的,不能彻底化解风险。我们建议从系统整体安全的视角,为工业用户量身定做安全解决整改方案。这一问题也是值得所有工业用户提高关注程度的一点。
记:通过这次竞赛,能够让广大工业用户获得哪些提升信息安全水平的启示?对工业用户而言,是否能够从中发现一些值得推荐的路径或措施?
张:在技术层面,从这次竞赛的决赛阶段可以看到,以新版PLC信息安全策略和外围多层次防御手段为代表、采用由点到面纵深防御理念的系统,从始至终未被攻破,体现出了极高的安全水平。可见,采用这种纵深防御理念的信息安全解决方案,是值得广大工业用户进行借鉴和实践的。
在管理层面,广大工业用户也不难得到一些启示。工业领域的信息安全风险在实际的生产环境中尽管不一定被触发,但却时刻存在,不可不防。工业用户应该主动关注这方面的工作,做到未雨绸缪、防患于未然,而不是在问题发生后再被动应对。
记:能否请您谈一谈,普通的工业用户如要想选择更符合信息安全要求的工控产品,有哪些可行的方法?
张:目前工业用户选择采购、使用更符合信息安全要求的工控产品,可以优先选择经过国家权威检测机构、行业专业测评机构检测,安全可控的工控产品,这样有利于在设备层面减少风险。
作为工业用户,更应在系统建设和整改中,关注系统整体安全性。选择安全可靠的工控设备还只是实现了信息安全防范的第一步,用户更应在加强设备安全性的基础上,采用纵深防御理念的信息安全解决方案,做好系统安全配置、选择安全加固,更全面地提升系统整体的安全性。另外除了纵深防御理念之外,在网络环境与应用场景相对单一的生产环境中,是否还可以考虑基于可信计算的相关安全解决方案。
记:本次竞赛对提升工业信息安全的整体水平有哪些积极意义?
张:提升了用户对工控信息安全的认识,直观感受到了工业控制系统所面临的安全风险,有力地揭示了此类系统所存在的安全风险。
针对目前工控设备存在安全风险的系统,我们还是可以通过完善的安全解决方案来提升系统的安全防护能力。从决赛的情况来看,“国家级”的红客队伍并没有攻克经过设备加固和安全设备防护的方案,可以让用户建立信心。
本次大赛吸引了多支专业队伍参赛,也获得了多家工业控制设备厂商和信息安全厂商在专业技术层面上的大力支持,显示出当前业界各方对工业信息安全课题的重视程度在提升;同时也表现出这些专业厂商直面工业信息安全挑战,致力提供安全解决方案的信心和决心。
访谈二:
一、采访对象:
决赛第一名、国网智能电网研究院信通所代表队领队孟雷子(以下简称:孟)
预赛第一名、中国科学院信息工程研究所代表队领队陈凯(以下简称:陈)
二、采访者:
2015 EICS+工控系统信息安全攻防竞赛组委会(以下简称:记)
三、采访记录
记:这次比赛采用了实际攻防演练的形式,这样的形式给比赛过程带来了什么样的体验?
孟:我们觉得这种实际的攻防演练的形式,一方面比较新颖,另一方面它能够比较好地模拟实际的行业里面的场景以及攻击后危害的后果,而且和很多竞争对手同台实战,我觉得还是挺紧张激烈的。
陈:同时由于工控系统的特殊性,研究人员及高校学生平日很少有机会能够在真实的场景里进行攻防演练,主办方这次能够不惜成本搭建发电厂的真实环境供参赛队使用,对于各个参赛队来说是一次非常难得的实践机会。
记:我们注意到,初赛阶段我们过关非常轻松,决赛阶段的挑战相对要困难一些,能不能简要分析一下为什么会有这样的区别?作为工业信息安全方面的专业人士,在比赛中又是模拟“攻击”的角色,您对实际的工业用户有哪些信息安全方面的建议?
孟:初赛阶段,我们面对的PLC系统比较老旧,且几乎没有采取任何信息安全方面的措施,攻破这样的系统确实比较容易。但是到决赛阶段面对的两类系统,组织者都比较有针对性地采取了信息安全措施,挑战和难度就比较大了。
因为我们平时也是从事工业信息安全方面的一些工作,所以决赛时候第一类采取单点设备防护增强和边界保护的系统,尽管花了一些时间,最后还是能够挑战过关的。但是对于后一类采取纵深防御解决方案的系统,因为它是一个系统性的、全方位的防御,根据我们平时的经验也清楚,这确实是安全程度非常高的一类系统,到最后也没有攻克还是有点小遗憾的。
陈:比赛毕竟是比赛,其实从用户今后实际应用的角度来说,我们觉得这并不算一件坏事。可以看到,如果在实际的生产中有更多的用户能够采用这样一类纵深防御的系统,对于提高他们的信息安全程度是非常有益的。通过和一些国内能源企业的交流,我们发现国内的生产商对于工业控制系统的安全还是相当重视的,他们都在尝试一些防护方案和防护设备,这次攻防大赛就给这些企业起到很好的示范作用,大赛中所使用的防护方案和安全设备可以直接借鉴到企业中去,帮助企业增强其控制系统的安全性。
记:您认为本次竞赛有哪些积极意义?
孟:本次比赛集合了工控信息安全主管部门、工控系统用户、工控安全设备厂商、工控安全研究机构,形成了以工控攻防演练、安全产品检验、信息安全培训为一体的平台;对工控系统信息安全能力的提升,竞赛起到了积极助推作用。
陈:而且据我所知,本次大赛是国内第一次针对工业控制系统的攻防大赛,这次大赛也必然能够为其他赛事的组织者树立起标杆。