itle="1.jpg" alt="1.jpg" width="700" height="466"/>
柯皓仁 中國信息通信研究院副主任
工控系統在中國存在很長的時間,但是從安全角度來講真的有點像“小嬰兒”一樣,它的安全免疫系統是很薄弱的。現在傳統的信息安全很多的解決方法放到工控領域有一點不能夠完全復制,其實很多人包括傳統信息安全從業的技術人員和管理人員也好,他們對整個工控系統的理解相對來講是有偏差的,所以以原始接觸到的技術思路去做工控網絡安全檢測、防護、體系建設,相對來講有很大的壁壘。
我今天只分享兩個方面,第一個還是以工業互聯網視角從它的安全可視到可控做一些思路上的分享,第二和大家分享一下工信部在今年4月份發布《關于加強工業互聯網安全工作的指導意見》做一下解讀,我個人從2013年開始做工控安全實質性的工作,當時國家部委層面相對比較弱,工作推進的不是很明顯,但是在2017年工控互聯網整個國家戰略提出來之后,現在不管是地方政府還是行業企業發展是比較迅速的,恐懼源自于未知,為什么今天帶小孩去看病很害怕,原來發燒一個晚上就好了,我們作為家長不知道他到底怎么了,他也不會說,我們對安全因素考慮來講,我要知道你要來打我知道怎么防,這樣相對有一個對應的心理,現在特別是工業互聯網包括OT、IT深度融合之后,它帶來的很多風險是不能夠提前預知,所以會增強恐懼心理。
我這里用了一個圖,應該是跨越黃河的一個代表從我個人的從業經歷有一個理解,原來做IT系統運維實際上有很大的特征,就跟過河一樣,可以是一段橋,一步一步往前走,系統可以按照規程一步步去運營,比如我真的是累了可以休息一下接著走下一步,我休息十分鐘二十分鐘都可以,原來很多做安全應急處置的時候,最常見的晚上12點開始做一些升級,包括做一些其他的動作。因為12點很多人都睡覺了,我們公司很多服務也不再提供了,整個系統活躍度比較低,這個時候可以做一些運維性的工作。但是其實我們在OT里面跟IT系統不一樣,很多的工控系統就是連續性的,比如說摩托車在某一個點不能停下,很多的工業系統特別是能源領域它整個系統運轉是具有非常強的實時性,還有很高的可靠性要求,所以沒有辦法臨時停下來我去給哪一個系統替換一個設備。大家沒有專注于這個領域,前一段時間我們去水泥廠做安全風險評估,我們當時做的時候不到一天的時摸出來之前在電廠很多其他的工廠里面安全漏洞多太多,就是什么安全防護都沒有,系統也很老舊,但是他們也用了比較新的技術,他們也有視頻的監控遠程控制,但是水泥廠很典型它是24小時運轉,只要重新點火一次就是50萬,對于他來講所有的安全風險帶來的安全事件假如說影響他整個的工控系統,對于他來講經濟損失肯定是最直接的,所以在整個工控系統里面,我們可能就是在做騎摩托車跨越黃河的感覺,很多都是連續性的東西。所以代表了我們在做安全工作的過程當中,過去以點為防護,我今天可以買一個墻,但是對于工控系統來講單純以賣產品角度實現整個安全體系的建設特別是原來做生產安全工業專家實際上不認可的,它需要匹配生產業務連續性可靠高可用的防護體系的建設。
今天的主題是工控網絡安全,因為我們院除了工控安全以外重點也愛工業互聯網安全,里面也是涉及到故障安全。其實現在也在強調工業互聯網網絡安全的可視性,因為工業互聯網安全從某一種意義上來講的話,也是應對工業互聯網本身是工控網絡,傳統的OT網絡和IT網絡深度融合的結果它是新模式的應用,同樣對于網絡邊界也是進行了重新的定義,原來大家做工控安全都很清楚,我們能源局包括電廠很多的工控系統是有分區分域的原則能夠劃分出一些安全防護的規則,但是對于工業互聯網本身來講由于新型的融合應用逐漸豐富,它的邊界很難去劃分。
比如說很多工廠,實際上和互聯網平臺已經有了數據交互業務交互,所以有直接終端到我們的平臺,所以我們的邊界相對來講變的和之前的邊界是有區分的,另外云計算的使用也導致很多邊界不是特別好定義。其實現在不光是工控安全還有傳統的互聯網安全都在強調實時威脅檢測,包括之前美國空軍最早提出來態勢這個詞,有一部分平臺給我最大的感受就是看地圖不停的換圖,其實真正能夠給用戶給我們使用方起到什么樣的效果,現在不敢保證。我們在這里可視可見不是強調它是等于態勢感知平臺的建設,特別是我個人認為對于態勢感知的平臺在工控領域甚至延展到傳統的網絡安全領域,實際上建設階段還是初期的建設階段,實際上我們的面已經比歐美的國家建設的面更加廣,但是我們應用深度包括態勢感知平臺本身起到的作用相對比較弱。我們之前有接觸過一些用戶單位,他們對于整個可視可見,比如說現在阿里也有工業大腦現在很多企業都建信息中心建機房直接用工業大腦,我們當時在山東和企業負責人也和他溝通,他問我,你們談工控安全,我現在馬上要和華為簽用工控大腦的合同,我不懂安全和信息化,我只懂生產系統,我上線之后怎么樣約束阿里他提出來的整個安全,我生產數據業務數據很多都要上云,這些對于我來說都是不可見的,甚至在云上發生的數據泄露包括服務停止很多的安全事件在國內也出現了很多次,包括去年的騰訊跟千元數控糾紛問題也是一樣,不管因為什么原因很多云上的服務對于用戶來講,對業務是有一定的可視性,但是對于整個安全基本上就是一個瞎子,這樣我們怎么去利用其他的各種手段,或者希望我們的云服務提供商給什么樣的呈現來去做安全可視可見的,這個也是在態勢感知里面想提到的一些點。
我們總結出來幾點,最好的可視決定更高的安全,用戶方來講我提前預知到先不說能不能反制它,我起碼先做一個應急響應機制,能夠把安全風險降低減輕。第二,其實我們希望整個態勢感知包括做的可視化平臺能夠對攻擊行為進行可視。第三,態勢,從勢的角度來講能夠有能力去做預測性的工作預測性的分析,能夠給企業的安全決策做一些專家支撐,當然現在個人看了很多,不具備能夠抵御網絡攻擊的能力。我們的態勢感知不管歐美還是中國都特別強調對態勢感知方面的能力,具備應急處置和恢復的能力,因為態勢感知第一個是強調它整個檢測能力,我們發現的能力。還有一點整個應急響應和應急處置,最后一點能夠持續提升工業互聯網網絡安全防護能力,我個人今天的主題是圍繞工業互聯網,在我們的工作和實際應用當中,工業互聯網工控落地是比較強的。我通過剛剛和他們分享的點,再和大家分享一下對安全可視的關注點,我們在傳統的網絡安全態勢感知平臺的基礎上,其實強調的可能是幾個點,第一個安全可視化呈現,這是目前很多的安全廠商和科研機構態勢感知平臺都有的功能,這個功能也是我個人覺得不是特別好的,因為我看了太多特別絢的平臺,了解他們的實際能力之后我看了很多的圖,甚至就看了很多的動畫,對于功能來講能夠給使用用戶到底能做什么樣的工作,提供什么樣的安全運營保障,實際上是比較弱的。第二個目前很多的態勢平臺還基于DPI的可視化,DPI確實是整個態勢感知平臺從技術緯度一個很重要的元素,其實所有的包括后面做的深度分析專家決策也是依賴于DPI相關的技術實現。另外在目前真正能夠應用到態勢感知平臺可能比較多的實際上在運營監管和支撐,所以大家可以看到從用戶的角度來講,現在政府運營商大型企業應用態勢感知的比較多,特別是企業的態勢感知平臺很難推,大多有監管需求包括集團承接的企業,可能對二級三級的企業有監管要求。另外整個態勢感知平臺確實也要強調安全策略的可視化,我們核心的技術要素DPI應用上以政府運營商扮演的企業較多,也進行過很多的深度分析,因為我們是工信部的直屬單位,工信部的監管平臺也建了很多的,運營商各個地方通信管局建設平臺是有一定的基礎。從整個技術層面來講,從傳統的態勢感知平臺有五個緯度。
第一、應用分析。我們從態勢感知平臺本身必須具備的功能來講,包括應用分析包括網絡流量的構成,性能的分析流向分析,包括對用戶的分析,現在大家從態勢很多的平臺也可以看到,我們用戶群區分行為終端趨勢這都是基礎的功能要求。
第三、網云的緯度分析,這個緯度劃分的比較細,包括社區街道負載的情況,我們獲取到一些數據去做各個屬性的分析。
第四、流量管控,我們在工信口包括運營商工作做的比較多,包括P2P的限速保證帶寬資源優化。實際上態勢感知平臺不純粹是一個檢測平臺它實際上過去整個安全保障體系的運營支撐的平臺,所以說還有安全保障的功能,包括網絡風暴防代碼攻擊實際上都可以用這個平臺去進行。
我們現在在工控領域或者工業互聯網領域對于整個工業互聯網安全態勢感知平臺構建包括安全可視的關注點,我現在大概列了幾點,比如說第一個大家現在有接觸到工業用戶大家也比較清楚,實際上設備的可視化和安全控制,這個目前在工業領域里面比較急于去解決的問題,就是用戶側。很多的用戶單位對于本身的工控設備工控系統,包括現在很多的運用工業互聯網平臺接入智能終端,他們對于設備的基礎可視,包括遠程控制。這實際上是對于整個態勢感知平臺終端的要求,第二個就是安全實施與設備管理的可視化,我們現在做態勢感知平臺很多企業去過一些用戶單位,其實有一個比較難的一點,因為現在很多的工業企業里面的安全實施和設備管理是隔離開的,有可能信息化部門這些都不統一,比如說要裝探針裝不到它的生產區域,就只能裝到三區四區,去接受一些生產統計數據,現在沒有人能夠在真正生產控制區域裝探針的。第四點就是云計算的安全可見,工信部從去年開始推企業上云,各地方政府也下了很多資金的扶持去做,但是對于云計算安全的可見,我們也希望云服務提供商去提供解決方案,我們的用戶方能夠有一定的技術手段平臺,能夠有一定的可視性。另外融合應用可視化邊界,態勢平臺可以國家來用政府來用,運營商來用企業自身來用,我們態勢感知平臺的檢測對象自己要進行梳理,給國家建一套強調對公網檢測做流量的分析,企業這一塊可能是企業深度資產管理,安全統一化的管理,包括企業內部的安全風險的防范,對于工業互聯網的可視化總結幾點,對于DPI應用還是核心的技術,現在也離不開相應的支撐。但是現在我們還有其他的數據收集來源,我們因為承接了工信部工業互聯網安全監測國家級的平臺,我們數據可能也從地方報送企業報送,不一定通過技術手段去進行檢測。
另外就是工廠設備系統檢測,這個實際上是在工控系統工業互聯網領域里面算是突破的難點,這個也和大家簡單的提過存在兩個方面的問題,第一個技術問題,能不能把復雜的工控系統能夠解析多少種工控協議能夠把數據采上來,另外實施的難度。第三點工業互聯網的平臺邊界,可視可見到安全可控,到底有沒有發展的瓶頸,現在從字面上理解很多企業就是做可視可見,我看到有多少資產就放心了,現在可視化產品假如說在工業領域或者工業互聯網領域去應用,可視化自身的要求適應性至少保證高可靠性和功能性能的基礎,因為我們現在包括運營商用的DPI設備,很多性能要求差別還是很大的,大家可以再去了解一下,現在主流的DPI檢測技術也很多,主流的設備產品只有那么幾種,其實對于解析的能力,對于流量帶寬的解析能力都有比較大的區別。對于工業互聯網新模式下的新要求,我們可視化產品整個技術實現上要去實現包括對于檢測內容對象,包括工業互聯網平臺的應用,也要考慮到OT、IT融合網絡架構的復雜華,還有云計算大規模的應用,這樣對于整個態勢感知平臺建設提了一個新的要求。
剛剛只是和大家分享了一下之前,因為我們在建設工信部工業互聯網安全檢測平臺的任務,這個算是國家級的平臺,同時也給企業和省級在建相應的監管平臺,中間的思路和想法和大家做了一個分享。接下來花一點時間稍微介紹一下關于加強工業互聯網安全工作的指導意見。為什么我要重點來介紹指導意見?大家之前在很多的場合也聽到了工控、工業互聯網很多政策的引導發展,實際上從2017年11月份國務院指導意見關于發展工業互聯網+新制造業的意見之后,工信部也出臺了三年行動計劃,包括關于發展工業互聯網的指導意見,當然這個也是首次我們院支撐工信部去出臺加強工業互聯網安全工作的指導意見,其實這個指導意見我接下來會對它的內容做解讀,這個是對整個不管是地方政府、行業、企業、個人來講涉及的面都相對比較廣。指導意見本身就是為了落實和細化之前國務院頂層規劃的指導意見相應要求,同時把對象也明確出來包括工業企業、平臺企業、系統運營單位,包括現在地方監管部門,首先工信部是主體的監管部委,地方有兩個口第一個口是地方通信管理局,第二個工業和信息化地方,同時整個指導目標是構筑系統化多層次的保障體系,以及形成國家省級聯動的工作格局。現在在建設安全態勢感知平臺的三級體系,我們從工業互聯網的安全角度,部里的要求也是按照這三級去做。
實際上我們指導意見主要的內容包括一個總體要求七大主要任務和四大保障措施,七大主要的任務可以簡單的看一下,推動工業互聯網的安全責任落實,還有提升企業的安全防護水平強化數據安全保護能力,原來都是強調應用安全和傳統信息系統里面,最近大家關注更多一點包括終端一類的安全。同時我們也有相應建設國家的技術手段推動國家產業發展,大家最為關注的是四大保障措施,實際說現在已經做了很多的工作去加大相應產業支持力度以及發揮市場的作用,加快人才培養。在這個里面對于安全責任安全管理體系安全水平也是強調的可視可見,我們企業要夯實設備和控制安全提升網絡安全強化平臺安全,現在設備控制安全對于工業互聯網領域模式是一個比較重要的點。
同時我們把這個數據安全單拿出來,我們要覆蓋整個產業鏈的數據安全,因為現在很多工業OT網絡數據已經往IT應用系統里面去做相應的有關應用,所以說對于工業數據泄露的風險是比較大,另外推動工業互聯網的公共服務的能力,包括構建安全評估認證體系對于工業互聯設備網絡平臺開展評估論證,支持相應的一些專業機構企業去提供服務。
這個是提到的保障措施,保障措施不和大家詳細的說明時間有限。我就大概的用一張圖簡單的和大家介紹一下,2017年11月份國家發布關于互聯網頂層指導意見之后,實際上這一年多接近兩年的時間我們做了很多的工作,比如說2018年工業互聯網絡標識解析平臺安全都出了很多的工作,我們依托工業互聯網產業聯盟做了很多的比如說企業內網絡標準化改造新模式應用,包括工業領域的IPV6改造升級,安全領域包括整個保障體系的建設,共性服務的建設推廣,評估測試和實驗驗證環境的一些建設。其實包括今天的主辦方也是我們院之前第二批工業互聯網評估機構,因為剛通過審核現在還沒有正式頒證,我們會去推動整個產業發展,實際上去年也有專項資金支持,安全方向也是接近10億。整個也是大幾十億的工程去支持了91個工業互聯網創新項目,去支持大家進行改造升級安全建設平臺建設。同時工信部也推出了72個工業互聯網的試點示范項目,安全比較少。本身的安全產業確實體量比較小,跟大家說過其實我們地方推進是對于互聯網安全是有比較好的市場環境,包括地方上已經出臺了工業互聯網行動計劃實施方案還有資金專項,我們去年了解到上海、廣東、深圳、福建、貴州等都已經出臺了資金專項,有的發展比較好當年度都超過3億支撐力度。