饶志宏:中国网安石化工业网络空间防护技术

  • liweizhong
  • 2015-09-25 11:19:00
  • 【整理报道:李卫忠】

[导读]中国电子科技集团公司信息安全领域首席专家饶志宏发表题为“中国网安石化工业网络空间防护技术”主旨报告。

9月25日,2015中国石油和化工行业两化融合推进大会在北京召开。

中国石油和化工行业两化融合推进大会是在工业和信息化部的指导下,由中国石油和化学工业联合会主办的年度例行会议,已连续举办了十二届,今年(2015)举办第十三届大会。大会始终坚持以推进行业两化深度融合为目标,构筑一个传递和解析国家两化融合政策,分析行业两化融合发展现状和趋势,交流两化融合经验,关注企业两化融合发展动态,推动新技术应用的平台。

\

中国电子科技集团公司信息安全领域首席专家饶志宏发表题为“中国网安石化工业网络空间防护技术”主旨报告。

饶志宏回顾了中国网安工控信息安全发展历史,介绍了工控信息安全威胁现状及趋势,阐述了工控信息安全技术发展新理念,介绍了工控信息安全产品体系以及“监评防融”石化应用的案例。

 

以下为演讲实录:

大家一听中国电子科技网络安全有限公司就知道我们要讲安全,刚才我们有几位领导谈到信息化,我们再谈一谈信息化和网络安全的关系。用习主席的一句话,网络安全与信息化是一体之两翼,驱动之双轮,其实没有信息化,就维护不了网络安全需求。有了信息化之后,网络安全,尤其是云计算、大数据、物联网,包括我们现在说的智慧工厂,它的数据信息共享出来产生价值,信息集中以后,导致的如果是信息受到了危害,可想信息化对我们的工厂会带来什么样的问题。所以基于这一块,我们中国网安是做了一些工作,趁这个机会给大家汇报一下。

大概从五个方面给各位汇报一下:

第一,中国网安的情况,我给各位回顾一下,我们中国网安应该是从去年2014年实施了一个策划,因为我们2013年在北京做过一个展示,专门针对网络空间的安全,当时斯诺登事件出来之后,对国内包括国际一下之前感觉信息化很远一下拉到了我们生活的方方面面,中央开始高度重视网络安全。到了2014年的时候,中央采取了一系列的行动,比如成立网络安全与信息化领导小组,还有在领导小组下面成立了办公室。在这个基础上,我们中国电科,因为中国网安走的路是在四川和四川省委的王东伊(音)书记,我们作为央企应该跟国家的网络安全一起,我们就分别给国务院去申请,因为我们要注册有“中国”两个字的企业必须经过国务院批准,到了今年的5月8日,我们正式注册成立了,前期还是有点高大上,国务院的总理和张高丽和马凯都签了,成立了中国电子科技网络信息安全有限公司,我们的使命就是捍卫整个网络空间的安全。

整个定位之后,我们要打造一个旗舰企业,因为国家的网络安全,习主席说压舱石,我们要做中国的压舱石。同时我们要国际知名的,以信息安全、技术产业和服务的提供商,国际领先的全生命、高安全的信息服务商。目前我们正在着力打造中国电子科技集团下面的一个子集团,就是网络安全之集团,我们应该说是整个企业层面,我们是由这么几部分组成:之前的三联一所大家所熟知,国内硬件应该是最早做网络安全的,整合了网安,整合了中国电子33所,山西太原做电子的企业,还有北京的中联科技,形成了大的子集团,它是要建设信息技术安全和人才高地来支撑国家网络安全战略,引擎国家的信息安全的产业创新和集成发展。

刚才介绍了网安,回过头来我们看一下中国网安在做的事,因为中国网安虽然去年才成立,先有儿子,才有孙子。应该说十年之前就开始在做整个公共信息安全方面的研究,主要是从渗透测试开始的,因为随着计算机病毒出现,我们逐渐意识到随着信息化或者是计算机系统的大量应用,会对我们的工业领域会带来什么影响。所以说我们从2004年开始就在做整个公共安全的安全运行、安全评估,从2004年12月份我们就做一个SCADA安全分析,做了相应的分析。到2010年10月我们承担军口863、工信部电子信息基金等项目技术研究。2011年1月对全国重点工业控制系统进行安全检查,检查了近100个工业的控制系统。2012年6月,我们与中国信息安全测评中心联合建立了大型仿真平台。与上海仪表院合作了上海市经信委“高桥”示范性项目。到2013年我们承担了安委的编制工作。到2014年我们跟相关的公共领域行业企业和高校开展合作,同时我们发布了整个公共信息安全监控2.0版本,到2015年的时候,到今年,我们工控在之前我们是在相应的,比如研究所,还有我们的公司,大家熟知的,上市公司卫士通来做相应领域的合资优势来做,我们要把这三支队伍统筹协调起来,这个形成了整个网安下面的公共事业部。我们整个公共的安全,其实大家知道,公共安全不只是我们定位的公共安全,信息安全也是公共安全的一个重要的部分,我们提出了一个重要理念,进评防路的理念。这是整个中国网安公共安全的情况。

第二汇报整个工控信息安全的威胁现状和趋势。这张图可以看到,2014年的时候美国的NCCIC提出了工控安全事件达到245件,近4年公开的621个。其实在座的各位同行都知道,这是公开报道的,其实这应该只是冰山一角。整个工控安全,不只是工业控制的小计算的问题,还是工控安全的问题,跟我们传统计算机互联网的安全不一样,互联网网络计算机应用软件这块的问题研究,就基本上是这几个特点。整个公共安全应该有一个软件,刚才说了,它的固件,还PLC里面的变成软,还有大型工程平台软件。相应的硬件不再说了还有设备,PLC、SCADA、DCS、PCS。协议,还有网络,还有自动化工艺流程,这方面牵扯到相关的方方面面都可能存在威胁或者是存在风险。

我们统计了一下,目前为止,至少是在我们服务的范围内,发现整个工控安全上报的重点还是集中在工业SCADA一块非常多的。目前,除了智慧工厂,现在的公共信息安全存在哪些问题?一个是本身的控制系统,我刚才谈到,其实整个安全应该说是国家属性,整个工艺控制系统是以国外的技术为主,供应链这一块我们控制不了,自主可控问题形势严峻。工控设备和协议本身缺乏信息安全防护设计,为了可用性,刚才在休息室我还跟几位领导在讨论,讨论的是怎么生产好就OK了,就没有考虑谁在后面踩你一脚,这个没有设计,极易受到网络攻击。第三个工业控制网络体系结构没有充分考虑这个问题。

现在随着整个广泛和深度的互联,为整个工控安全又带来了新的挑战。一个是网络化和开放性,还有互联,如果我们有一个网络,比如说类似于传感器一样,如果是某一个人受到了,有可能前面散开了,因为它的通道已经打通了,这是非常危险的。第二个就是全业务流程中国集成应用,从设计到销售,渠道管理销售,甚至到电商平台,网络新的边界在逐步扩大,把整个我们的防线,公共安全的防线从工厂到SCADA延伸到了包括电商平台,延伸到哪里,我的安全受到攻击的入口就延伸到哪。这是第二个。

第三个,工控的现场和大数据、云计算的融合。还有第三方协同服务增加了信息泄漏,包括云计算、大数据本身的应用为我们带来了方便,但是它自身的安全问题也有,我们直观的一个感受,去年我们的苹果云上面的数据泄漏,把我们很多明星的隐私都曝光出来,这一块其实是非常值得关注的。

第四个,我们的“工业4.0”,包括“中国制造2025”,这个背景下一定会出现,不可避免会出现很多很多的相关的按照问题。这是现在有可能存在的风险和现在存在的风险和未来有可能存在的风险。

第三个是公共信息安全的理念,这两张图我大概说一下,整个公共系统,它有一个概念和范围,我们说传统的规定了16个领域,但是随着我们的“互联网+”,还有工业信息化,还有还有以人为中心的定制化的服务的工业特点,会不止局限于这16个领域。还有它本身的这个领域,传统的,应该说是整个信息安全,包括公共安全,本身和我们传统的信息安全,我们传统的信息安全每次应对我们的公共领域的时候,我们都会提出它的安全问题,但是这个时候我们不能再去说计算机小病毒导致我们的安全问题,应该更专业地跟我们的同行说就是我们的SCADA这个领域的私有云出现问题,这才是我们的专业公共安全,而且公共安全和传统信息安全有本身区别,公共安全其实我们都知道,刚才大家也讲了,我要确保国民经济,我的工厂的产值正常的提升,我们首先工厂安全,工厂要正常运转,这个是排在第一位的,传统的信息安全的第三位,公共安全是排到第一,首先是公共安全,然后才是数据安全,最后才是整个完整性。所以这是我们公共安全和传统信息安全的本质区别在这。针对公共安全,我们提出了中国网安的理念,先说监测预警,刚才李总讲到我们整个智慧工厂、智能工厂有一个监控系统,就像我们的眼睛一样,我们没看到东西要进行监测操作,这个我们有一个阐述,一个对环境网络或者互联网的公共系统面临的威胁做态势的监视,对工业控制网的内部和外部的连接进行全时段、全流量及多业务分析,构建早期异常行为和攻击前兆特征发现预警能力,提供工控信息安全事件的追溯能力。在这一块,像刚才谈到提前两分钟,如果有这两分钟对工厂就带来很好的利益,我可以马上关机。

第二“评”,也是我们工控的特点,就像计算机一样,工控网络,定期地大检修才会关机,怎么上安全系统,我们要有一个评估,我们要构建一个小的模型,去分析在线上的工控设备网络流程,这里面有一个攻击甚至测试问题,主动发现风险,同时要评估它的风险的开展和规模,还有安全设备要上的时候,我也要把安全设备放到最小里面去做相应的评估设施,比如它的有效和它的可靠性、安全性等,应该是最起码的。在这种情况下运行后你自己心里面有底了,再上工控领域,到线上去,这样心里才踏实。

第三,我们要做体系的防御,要研究整个工控流程,所以这个防御不是拿一个监视器防御就已经全部上了,所以整个工控要以安全生产为前提,通过流量的监控、分域的防护,边界的防护,密码加固一系列手段形成纵深的防护体系,提供面向重点行业的工控信息安全解决方案和服务,强化整个工控信息安全管理能力,还有运行安全。

最后一个“融”,我们要把我们的安全融于易用。我们现在一谈到安全,就马上想到计算机、服务器,包括我们现在做互联网安全这种企业,大家都会意识到,其实我的网络的安全要说真正爆发点,不一定是我们的网,而是我的应用,所以这一块我们对应用应该是高度重视,我们说注重整个工控系统的可用性,依托传统信息安全产品在工控系统的衍生以及工业控制专用信息安全产品,将工控信息安全紧密融合于工业生产的各个环节,以最小的代价去保护整个工业控制系统整体的安全防护能力。所以这个我觉得需要整个安全,包括石油、石化深度的融合,才能形成整个行业的安全解决方案。

这是我说的四个理念。

我们也推出了相应的产品,在监这块有监视、控制,还有蜜罐。评是漏洞扫描,渗透测试。防是访问控制、加密、签名、VPN、授权、随机化。还有容灾备份,还有应急响应、审计,我们认为从事前、事中、事后取证一系列的技术上包括产品的体系。

我现在大概汇报一下整个中国网安在工控安全的产品系列,主要是从监、评、防、融这四个方面来汇报。

第一个是监,刚才谈到我们应该说看得见干活的前提。整个我们出了一个产品叫公共系统接入互联网威胁的感知系统,这个为什么推出来?就是说我们随着“互联网+”的推广,我们更多的信息系统,我们的工业信息系统上到我们的云服务,你走过一天也好,四年也好,都呈现这在上面,也不一定是算这种体制,就是在构建这个VPN的时候的一个协议,这种情况大家如果都见到互联网上的智能制造,我希望大家高度重视,这个VPN是不是安全的。第二个我是不是做VPN。这块我们具备的能力是什么?我们能够对指定的区域或者是我们的设备系统基于整个互联网安全的监控,包括预警,把数据的流量的一系列流程,包括我们支持多种协议,因为你去跑的话,这个时候互联网只是有一个存在,这个领域可以进行监控。包括整个我们去扫描,实际造成损害,我们主动去扫描,去发现感知,本身你在互联网上,通过互联网看内部有没有问题,这个我们是有一整套的感知系统。

第二,我们有一个在线的迥孔监控系统,我们在已有的系统也有相关的案例在做,现场工作,我在旁边去做一个产品潜进去,作为闭路不会影响你,实现整个系统的监控。

第二个是评,我们要做的评估,我构建一个平台,这个平台可能是我们的工厂自己构建,我们去做一个环境下面的安全性的评估,我们有一个工控漏洞的扫描系统,这个部分除了支撑我们现在国家的三大漏洞做的公开的问题,我们自己还有一个200个未公开的,去看一看存不存在,如果存在我们就提出相应的基础方案。

还有评估套件,这个就变成一个问卷调查,跟你一起聊,发现你存在哪些问题,比如我们同行,我们工厂的一个技术人员说一下,我就记录一下,得一个评分出来,可以进行安全评估。

防,我们目前推出一个是工控的防火墙,大家都清楚怎么做的。第二个是电力SCADA安全防护系统,这一块也存在很多问题,包括AC的170,应该说这个SCADA的构建体系,比如说认证体系,这一系列都存在,我们提供了一整套的防护措施。

最后一个是“融”,我们现在推出了仪表探针,通过232、48方式并行接入带有HART通信协议的智能仪表,智能采集、扫小仪表内部数据机参数,并将重要的仪表参数心事到LCD触摸屏,协助操作人员进行判断,减少系统意外停车,通过网络进行现场仪表的维护管理,提高仪表委会工作的效率,当发现有设非法接入或智能仪表的异常就会进行报警。

另外一个是现有产品的工业集中管理平台,就是说一张图,整个系统的一张图,这一块我们也会做,通过各种参数,一起形成整个安全的网络。

这个是我们刚才谈到的工控领域的情况。我们针对石油石化,我们应该是几年以前就做了相关的工作,这一块我们对单位检查了油气田、天然气与管道储运,包括炼化、营销,还有测试单位的炼化,整个通过调查或者现场勘查去做。还有我们通过互联网去检查,我们是做了39个系统,包括DCS、SCADA、PLC。整个应该说在油气田、天然气管道的储运、炼化、营销,整个体系应该现在都有相应的安全测试方案包括评估方案,还有整个安全的体系化的监测方法。

给大家举个例子,我们跟大型石化控制系统信息安全项目,应该是260万吨柴油加氢装置示范工程,这是2011年开始就响应了451号文,还有2012年对这个行业,对这个工程我们做了渗透性测试。渗透性测试对于发现的问题,当然石化工厂就引起高度重视,我们就一起联合市经信委一起做了这个项目,专门做了体系运营,最终实现了解决了安全问题,这个应该说我们的教训,工控信息安全防控的。

整个项目内容有这么几个:一个是260万吨柴油加氢张纸的风险评估做一个典型大型石化的供应链的管理办法,还有安全防护过程,最后我们提供了一个体系解决方案。我们先去看工艺安全,再去看信息安全的需求,信息安全为工艺安全做保证,进而提出了一整套的信息安全的解决方案。具体的比如增加了安全隔离,部署审计、安全审计,进行整个主机的安全防护。

整个措施,稍微讲一下,比如说首先我们发现它缺乏有效的身份鉴别,我们通过滚间设备操作审计,缺乏有效的应用系统监控措施,我们做了边界防护和过程网内网络审计,还有未对远程登录进行安全控制,我们通过关键设备操作审计来解决,等等一系列的,成体系地去给他做安全防护的方案,并且去实施,感觉效果还是非常好。

具体操作,比如在控制系统,我们做了DCS的边界保护,在下面就是DCS控制网内网的安全防护,最后是关键设备的操作风险审计。

最后运营情况,一是“零”影响部署,对控制系统无干扰,对生产无影响。第二对操作层的监控帮助监督现场操作员的操作,极大减少了现场误操纵和不合规操作。第三在异常流量监控过程中,及时发现原有系统网络环境中存在安全隐患应用的使用,利于清理和排查系统中存在的安全隐患。第四对控制网内设备运行状态的监控,能及时帮助掌握我网么的控制设备若有未授权设备进入控制,可以及时予以预警。这是四个方面的能力。

目前从2013年开始,我们就开始在运行了,目前我们应该说是有15000个小时正常运行,应该说整个非法的监控我们有62万多条。最后我们完善了整个工艺控制系统的自动化和信息化,推进我国整个工控系统的标准化体系,拓展了整个工控系统的信息安全。

最后在石油石化的供应链整个链条,我们应该说是都有全套的方案。同时我们还给国家的政策标准,我们积极参与,保证国家、公办、北京市、上海市。

最后我们跟行内,很多都是我们的战略合作伙伴,我们未来希望跟在座的各位一道就网络安全能力一起协助,我们有效地支撑信息化这个文,我们一起来共同维护,捍卫我们国家的石油石化安全。

谢谢!


(关于2015中国石油和化工行业两化融合推进大会的更多内容,请点击:www.doit.com.cn

 

热点文章

精彩专题

微信公众平台:搜索"doitmedia"
或扫描下面的二维码:


  1. 公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心
  2. Copyright © 2013 DOIT Media, All rights Reserved. 百易传媒 版权所有.
  3. 电信与信息服务业经营许可证:030972号 电信业务审批 [2009]字第572号
  4. 京ICP备13004627号-3   京公网安备: 110105001105