NSC2014上海三零衛士總監程鵬
責編:rhliu |2014-10-24 14:23:21《兩化融合的安全保障之道——實戰固·隔·監》
今天我和大家分享的是兩大融合的安全保障之道,實戰”固、隔、監”。不知道今天來的人是做信息安全還是工業控制系統的,在我十月份上班以后就奔赴了三個地方為大型國有企業做過大型的交流。
我的從業經驗和程總比較相似,原來是做信息安全,現在做工控信息安全。我在十一以后的三次交流,比較大的感受是下面坐的人群不僅是搞信息安全信息中心的,還有搞控制系統的,比如是設備處或者是他們的機動處(石化領域的機械動力處),隨著發展還來了儀表處。在這種情況下,我們要討論一下,為什么會有這么大的行業融合,實際上和我們的兩化融合是緊密相關的。
談到兩化融合,從十八大開始:推動量化深度融合、堅持四化同步發展。
本來這個想講多一些,包括我們的環境問題、資源問題和以勞動生產率為核心的競爭問題。我們最早做機械電器到后來的自動化,是因為技術的發展,而且技術發展越來越融合了我們的信息技術,在這種情況下,生產效率問題、環境問題以及我們現在碰到的資源問題變成了我們現在無論是國家還是企業都大力推崇的一個方向。
從這里面我們看一下機械化。我舉個例子,2012年我代表國家做了一些工控系統信息安全大檢查。我當時去了水務行業、石油石化行業、電力行業,我以水務行業為例。我們去到那個大壩上,站控系統上就有這種機械式的,出了問題或者有水來的時候,他們可以通過手搖的方式把相應的閘門打開,這是最早機械化的,真的就是機械動力。如果說是水來了打不開怎么辦?他們說可以把大壩的鉤子鉤在汽車上,用汽車帶動,純粹是機械式的。
再往后看就有了電氣化設備。它的站控系統實際上和它的電動機捆綁在一起,用這種電氣化設備帶動機械化設備,更重要的是它的電氣化不僅僅是電動的方式,還有儀表,它要看水位包括看水質,把它的一些狀態通過電氣方式傳過來。
再往后是自動化層次,這個層次更多的代表了生產力。我們看水務系統的時候,我們看了他們的一些最新的自動化站,這里面他們推崇的是無人值守。當水位達到一定程度的時候,下面的閘門是能夠開啟到一定的程度,能夠保證水位的正常。同樣,如果說下面的儀表發現了一些其他東西,他們也會做其他的操作,所有的這些操作都事先寫入了PIC,他們的站控系統就是一個很小的PIC。
在這里已經變成了自動化生產和自動化狀態,但隨著信息技術的介入,我們現在看到的最新的技術已經是信息化的技術了。舉個中石化的例子,前兩天和中石化的領導在討論中石化九江分公司正在推這種智能化工廠,什么意思呢?每天早上他們看到的表都是實時的表,最早中石化內部看到的所有生產數據都是晚上六點的數據,現在他們一上班以后看到的都是早上六點的數據,九江這種智能化生產推的是更實時的數據。我們以前到自動化生產的時候,更多的時候是把我們這些數據通過人工手抄或者機械手抄傳上來,現在領導在辦公室一上班看到的都是我們實時生產的數據。我們的大規模生產已經步入了數字化、智能化和網絡化的時代。
現在的工業控制系統無論是西門子、施耐德還是國內的正大中控和和利時都在推出WEB的技術,我們搞信息化的人知道,這種WEB技術非常方便,廠商使用的操作系統是windows7、2008,用這種操作系統為了更加方便的讓用戶使用,所以在用傳統的操作系統越來越多,用傳統的通信方式越來越多。我說的傳統是指IT的通信方式越來越多,帶來的好處是信息化條件下兩化融合,這是未來的企業必由之路,因為作為領導決策和下命令來說他們需要各種各樣的數據的支持,在數據的支持下,如果是在信息化條件下,剛才我說的windows的所有的系統,包括它上面的工業系統都會帶來更多的問題。
在這里自動化和信息化深度融合正在加速,但同樣的工控信息安全的威脅也是正在加劇。這里面有一個數據,這實際上是在2013年的數據,1%的提效能夠創造1萬億美元的市場,這1%的提效其實就是自動化和信息化的發展,同樣的,剛才在劉總的PPT里總結得更好,因為我這里只是總結了一些火焰病毒、毒區病毒和震網病毒,劉總剛才總結了一個蜻蜓病毒還有斯諾登事件,這就是一個俄羅斯的蜻蜓病毒針對北美的定向攻擊。
我們如何做到兩化的信息安全保障,我們提倡固隔監,只從字面理解是加固、隔離和監控,很多東西我感覺我和劉總在工控信息安全問題上認識是高度一致,我們采取的辦法雖然名詞不一樣,但走得路和采用的措施也是一樣的。
這里我提到一個安全可控,這是2012年工信部副部長楊學山提出來的,我們在做國內的信息安全大檢查的時候當時帶著的任務是要看到我們國內的信息系統是可發現、可防范、可替代的,可發現的意思是說能否通過這種大檢查看看中國的工業控制系統存在哪些問題,作為信息安全保障來說,我們能否做到對這些問題的可發現。換句話說,可發現了以后,我們后續能否可防范?最后對這些關鍵基礎設施里面采用的控制系統或者說關鍵基礎設施里面采取的信息安全措施能否做到可替代。
整個這里面有方案設計、系統集成、產品銷售、風險評估、系統服務。在我來看工業控制系統信息安全為什么這么大的受到關注,就像陳總開場白說的一樣,現在工控系統信息安全吸引了越來越多的人參加,有傳統做信息安全的,有傳統做工控系統的,我是作為傳統做信息安全的切入到這個行業中來,我發現無論從歷史、經驗和積累來說工業控制系統都是非常深厚的,甚至是遠遠比我們信息安全或者說IT信息技術發展的更早的一個行業,一旦這種融合了以后,我們認為在未來工業控制系統信息安全是一個巨大的藍海。
我們做的固,信息管理層和生產管理層這里我不展開了就是我們的過程控制層如何做到加固,這種加固是對設備本身、系統本身的加固,還可以是通過我們正在運行的系統里面做到一些技術防范的加固。
隔離,工業防火墻,剛才劉總談到的縱深防御,第一個就是區域隔離,區域隔離里我們是怎樣判斷哪些區域之間需要隔離的,通過什么樣的方式來隔離,隔離以后能不能達到效果。同樣,在我們的工業防火墻里也應用的是白名單技術,在我們的網絡內部也適用工業監控系統,雖然名詞不一樣,但理念方法是一樣的。在我這么多年做工業控制系統信息安全,我最深的感觸是什么呢?剛才劉總提到的國內一家石化公司,其實他們在里面用了一個WLAN技術,這種WLAN技術包括防火墻隔離都是信息安全里最基礎的技術,只要做信息安全的,在你們的企業內網必須要劃分這種WLAN,但在工業控制系統能否劃分呢?包括我們的防火墻,從最初的代理防火墻、狀態監測防火墻,防火墻技術發展到現在和其他技術融合,適合不適合放到我們工控信息安全領域。我們如何把信息安全技術應用到控制系統里來,這在我看來是最大的挑戰。
同樣,高剝離(音)防火墻就是在我們傳統和工業信息系統網絡里應用最多的一種方式,我反過來問代理防火墻能不能用,IT技術的TCIP協議,控制系統也是走TCIP協議,但是控制協議里面1max? TCP、Offnet這些控制協議能不能使用代理,能不能使用狀態監測,我們現在的回答是不能,如果是在不能的情況下,我們怎樣做到把信息安全技術應用到控制系統里面,同時保證控制系統可運行,同時保證信息系統的連續實施性,這個是我個人在做這么多年工控信息安全里遇到最大的挑戰。
劉總剛才提到了在控制系統里裝防病毒,大家都知道做信息安全技術的老三樣,防火墻、ADS、防病毒,這老三樣技術第一個防病毒就不能應用到控制系統里。在我們做的大量的監測和實驗來看,我們很多核心進程的反應速度相當快的,這是為了保證它的實時性和可用性做的設計,這從防病毒軟件來說類似于病毒,很有可能把它直接殺掉了。所以,在控制系統里不適合裝防病毒,那么有病毒了怎么辦?U盤帶來病毒怎么辦?同樣的,防火墻你如何針對控制協議進行監控,如何針對這些控制指令進行監控,我們現在在IT技術里,無論是老三樣還是新三樣,還是整體的安全防御,里面的大量的技術是不適合應用在系統里,我們如何做到預知、本質安全和整體的信息安全呢?
所以我們提出了固隔監,在固隔監的基礎上,我們需要對控制系統首先掌握現狀,這個在我前三周和企業交流的時候,我們提到的第一個是先要掌握現狀,你的現狀是什么?你有哪些關鍵工藝、哪些漏洞和隱患,如果你是一個已經運行了十年的系統,你還運行的是SP操作系統,你還運行的最早的甲骨文的數據庫的時候,你有沒有這樣的漏洞和隱患,升級過嗎?肯定是沒升級過,防病毒是絕對不裝的,他們如果有問題和隱患怎么辦?對于這些關鍵工藝,我們在做信息安全的時候都知道,有一個信息安全資產問題,哪些是你的重要資產,對于控制系統來說哪些是關鍵工藝,這都是我們要考慮的問題。當我們拿到傳統IT信息安全技術的時候是不能隨便放上去的,是要考慮到客戶的實際情況,要針對這些實際情況去判斷它的關鍵工藝,根據它的關鍵工藝查找它的漏洞和隱患,同樣一個漏洞可能在石化行業里是一個會產生大影響的,可能在鋼鐵行業就不會產生大影響。在這個時候我們就要評估有哪些風險。
漏洞如何被利用,漏洞是否被利用,漏洞被利用后產生什么樣的后果是作為用戶對關心的問題,作為這些問題我們如何做安全加固,我們如何做產品部署。所以,我們也是說固隔監本身就是應用了相應的標準,有國家標準、地方標準、行業標準。比如即使是同樣的石油行業,我們也看到石油行業里有采油、輸油、煉油、運輸和銷售,這里面的每個環節應用的工業控制系統是不一樣的,這里面每個環節關心的內容也是不一樣的,在這種石油石化、鋼鐵、軌道交通、核電、電網、煙草,我們曾經統計過一個西門子的漏洞,同樣一個西門子的漏洞在石化行業里,以及在軌道交通行業里都是有應用的,但是他們產生的效果是不同的,產生的后果是完全不一樣的。
拿石油石化來說,我們現在的”三桶油”都有他們自己的油網,一個西門子漏洞是很有可能被遠程利用的,但在軌道交通里是不會被利用的,因為我們的北京地鐵、上海地鐵這些系統是相對封閉的,和外面是絕對隔離的,同樣一個漏洞和隱患產生的后果是不同的,被利用的路線也是不同的。
我們現在在做國核的一個項目,核電有一個很有意思的例子,核電的一個監測系統為了保證它的傳輸的時效性,它使用了無線的技術,他們和我們溝通的時候說我們是利用了現有的信息化技術去實現核電技術的應用,他們當時給我們說的時候,沾沾自喜。我們聽完這個以后說你這個盡快撤下來,因為它那個系統連接了它最核心的一個運行系統,無線技術大家都知道,我們做IT系統的人都知道,無線技術本身有很多的漏洞,通過這種方式直接可以進入它的最核心。
我們該怎么做呢?工業防火墻、工業監控系統還有更多的技術,比如可信技術和其他的一些技術,在我們為什么沒有采用那么多,因為我們是希望能夠利用我們現有這種信息安全技術的積累,以及利用我們對工業控制系統的了解不斷做應用。
這里我特別提一下沙盤技術。我們從檢查,按照楊部長當時說的可發現、可防范、可替代,我們做到可防范的時候就在討論測試床沙盤的問題,這是一個石油石化系統的沙盤,為什么要建沙盤?我們2011年開始檢查到2012年進入大規模檢查的時候,到客戶現場遇到最多的一句話是說你別動我的東西,動了出問題算你的。去北京地鐵的時候最后是副市長打電話過來,去了一些石油石化系統說我要停產了,這爐料就廢了,你的責任還是我的責任,所以當時沒有人敢動。但因為當時是國家檢查的,我們即使動也是有限的,這種情況下就把他們現場所有工藝拿過來我們去做仿真,我們看看到底有哪些問題。
除了純仿真之外還有半實物半仿真系統。這個是我們做的一個石油系統,應用在石油石化里面,他們是做管線的蒸汽管網。這里我們把它拿過來看就要看使用了什么樣的控制系統,使用了什么樣的產品和工藝。這里面工藝上有沒有漏洞,你使用的協議版本上有沒有漏洞,你使用的控制系統的產品有沒有漏洞,甚至你配置的策略上有沒有漏洞。在這個基礎上,我們后來不惜血本搭建了一個完全一比一的仿真的,在這種方針的情況下,我們做的是這種攻防演練,在石油煉化里,我們部署的安全產品要對現有生產影響最小化,這個因為剛才劉總也介紹了一些,我就不展開講了。
這個是石油石化的一個典型拓撲圖,我們的產品部署在相應的控制網內部和控制網邊界處,還有鋼鐵,鋼鐵更多的是宏觀網和企業網辦公數據過濾。在這里我給大家說一個,上個月國家有一個大型的國企剛剛中了一個病毒,一千多萬的損失,三天停機,這個病毒是2009年沖擊波類型的病毒,全網癱瘓。
這是鋼鐵技術一個實際的環境,這里面是一個熱軋工藝,這是我們的防火墻的部署位置。
還有是軌道交通。其實剛才劉總說的是一個環網的,在這里面一般是有兩個環網,一個是信號系統,一個是控制系統。在這種信號系統里面,我們的列車最擔心的就是碰撞,所以信號系統有很多安全等級是三到四級的系統,這里面對它的安全要求非常高,還有它的控制系統。這里面軌道交通出了信息安全問題,我可以給大家說兩個。還記得前兩年的北京地鐵的”王鵬你妹”事件,那個就是典型的信息安全問題。還有深圳地鐵大面積停用也是一個信息安全問題,因為它使用了Wi-Fi干擾了信息安全系統,這都是典型的信息安全問題,但我們和他們交流的時候他們說這屬于生產故障,不屬于信息安全問題。我們去北京地鐵檢查的時候,給我們展示的現場和圖紙都是說他們的培訓系統、演示系統完全是屬于隔離的,我們剛檢查完就說結論是連著的,否則不會出現”王鵬你妹”那個事。這是在我們的工業控制系統里是必須的,現在的工業控制協議常用的有十幾種、二十幾種,我們的監控系統是零風險部署,即使在不停機下也可以運營。我們做到的是威脅定位,哪個機器中病毒了,在最短的時間內我們能夠知道誰中的病毒,對誰做的病毒。
我上海三零衛士信息安全有限公司的程鵬。上海三零衛士是從2009年開始做工業控制信息系統的信息安全,我們是中國電子科技集團公司第三十研究所,成立于1965年,成立的時候屬于總參,目前習大大桌面上兩部紅機,其中一部紅機的加密技術就是我們的第三十所做的。中電科是當時電子部合并到工信部以后把所有涉及軍工的研究所合并成為中國電子科技集團,篇名用的是合并的中國電子科技集團,我們公司是中國電子科技集團下屬的中國電子科技集團第三十研究所的上海三零衛士信息安全有限公司,我們公司和團隊是專門研究工業控制系統信息安全的。
謝謝大家。
