我国2017年颁布的《网络安全法》规定:将影响国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。各行各业必将制定政策法规,加强关键信息基础设施网络安全的监督管理。
目前,我国超过80%的关键信息基础设施依靠工控系统来实现自动化作业。由于我国工控系统网络安全整体水平起步晚,较之发达国家相对落后。随着信息技术的快速发展和新型网络攻击手段的不断出现,作为关键信息基础设施重要组成部分的工控系统面临着日益严峻的安全风险,工控系统的安全关系到国家的战略安全。
为此,国内首个以宣传关键信息基础设施专用网络和工控系统网络安全知识,推进工控系统网络安全攻防技术的发展,保障关键信息基础设施网络安全为宗旨的全国工控系统网络安全攻防竞赛(EICS⁺)应运而生。
目前,EICS⁺已经走过四个年头了。在锤炼工控系统网络安全防护能力、培养中国工控系统网络安全人才、促进工控系统网络安全合作交流、助推中国工控系统网络安全普及教育水平的提高和防护能力的提升方面坚持初心、笃定前行。
2018届卓识网安杯全国第四届工控系统信息安全攻防竞赛暨能源网络安全高峰论坛(EICS⁺)是由公安部信息安全等级保护评估中心、华北电力大学信息安全工程实验室、中国电力企业联合会科技开发服务中心联合主办,北京卓越蓝军信息安全技术发展有限公司承办,北京卓识网安独家冠名的。本次论坛纵贯11月23、24、25三天,现安全牛记者将大赛的精彩瞬间整理如下。
攻防竞赛开幕式暨能源互联网络安全高峰论坛现场
能源互联网络安全高峰论坛:国家法规+行业要求,促力工控系统发展
一、 专注建立工控领域信息安全赛制平台
华北电力大学檀勤良副校长在华北电力大学建校60年校庆之际表示:2015年华北电力大学与公安部信息安全等级保护评估中心首次联合创办 “全国工控系统信息安全攻防竞赛”。作为国内第一个专注于工控领域信息安全的专业大赛,今天已经进入第四届,期间他们积累了一定的赛事经验和技术储备,并希望借赛事平台锻炼培养更多的网络安全技术专才,为国家科技强国计划添砖加瓦。
华北电力大学副校长 檀勤良
竞赛主办方应该始终以开放的心态,与网络安全主管单位、用户企业、科研院所、以及工控安全系统厂商开展全方位、多角度的深度合作,共同深入研究探索工控系统信息安全领域的安全防护技术;各级政应积极参与国家、行业工控系统安全防护标准、规范的制定,为赛事提供政治大环境;各级高校应践行工控信息系统安全服务与人才培养,为能源电力工控信息系统安全提供高品质的服务与支持。
二、深入贯彻落实关于网络强国战略
目前,国内已经先后出台了多项政策,旨在为我国的工业控制系统的发展提供一个稳定良好的环境。早在2016年,习近平总书记就在国家网络安全和信息化工作座谈会中明确指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。2018年,国家能源局也相继出台相关文件,从电力行业全局的角度指导、深化推进电力行业网络安全防护工作。
国家能源局电力安全监管司张杨民副司长表示,当前电力工控系统面临的网络安全威胁和挑战的严峻形势。
国家能源局电力安全监管司副司长 张扬民
工控系统信息安全是网络安全的关键与核心,工业控制系统的安全事关国家战略安全。
三、 从实战出发,攻防相长、自卫反击
如今的国际形势日趋复杂,贸易战、经济战、舆论战已经打响,“网络战”一触即发。一个国家的网络安全能力主要体现在安全人员储备与技术创新能力两个方面。
公安部网络安全保卫局总工程师 郭启全
工控系统防护是国家网络安全工作的重中之重,关乎民生。对此,公安部将积极开展网络安全千人计划,为增强网络安全人员建设、工控行业安全能力建设接力。支持国家电网的的红蓝演练,培养能攻能防、敢担当能担当的网络安全新型技术人才。郭启全还表示将会把“净网行动”、“天府杯”、进行到底。
信息技术人才的对抗、网络安全也是新的未来的国家技术能力。希望此次攻防竞赛活动,各参赛队通过攻防演练,发现重要行业关键信息基础设施存在的深层次漏洞,发现和解决安全问题为做好应急储备工作提供经验,培养网络安全人才的队伍,从而提升网络攻防的对抗能力。
四、 电力工控系统关系国计民生
全球网络安全的重要性在今天尤为明显。目前,网络攻击居于全球五大安全风险的第三名。网络的用途已经由传统的交流变为国际间的各国能力对抗的手段。蓝莲花、APT攻击事件等一系列有组织有纪律、有针对性的、持续性的攻击还历历在目。
国家电网公司信通部主任 王继业
电力设施作为国家经济建设的基础能源,居民日常生活的基本保障,在基础设施中占有很重要的地位。对此,国家电网公司信通部主任王继业表示,在如今网络安全架构更加复杂,网络边界更加模糊,传统与新兴安全风险聚焦的网络安全大环境下,想要真正做到关键基础设施安全防护、自主可控,就必须做到以下几点:
1.加强管理,落实责任:
坚持网络安全三步走(同步规划、同步建设、同步运营),压实安全生产责任制。把网络安全纳入到电力安全生产的一部分,把等级保护纳入到网络安全生产中。
2.科学规划顶层设计
分国内外网络安全形势,梳理国家和企业需求,将网络安全顶层设计作为企业网络安全总体刚要,科学谋划,做出战略性安排,制定路线图、时间表、任务书,明确近期、中期、远期目标。
3.强化自主可控
软硬件系统不可控导致安全问题层出不穷。我们需要更深、更彻底的国产化,包括业务应用系统、一体化信息平台、安全通讯设备、电网电控系统,甚至套装软件系统都需要全面国产化。
4.坚持自主创新
安全芯片、可信计算、量子计算,包括云计算、大数据、人工智能等新技术都需要综合的本土解决方案。
5.全面提神态势感知能力
利用大数据、深度学习、人工智能等新兴技术,确保安全事态“看得见、看得准、看得深”。
6、加强网络安全攻防对抗能力的建设
以各大安全竞赛为基础,全面开展网络安全排查,隐患整改;提升红蓝队检测分析、追踪溯源、保障处置、协调指挥、应急响应的能力。
7。 强化沟通合作
共同探索军队、政府、高校、研究机构的网络安全合作协同机制,实现全国一盘棋,全力做好关键基础设施保护。
8 着力打造网络安全队伍
贯彻习总书记网络安全人才观,设立网络安全机构和岗位,常态开展网络攻防竞赛和技能比赛,制定网络安全人才提升机制,着力打造属于国家级的网络安全红蓝队伍。
五、 深化国家网络安全等级保护制度,构建多层次工业控制网络安全保障体系
新网络安全的形势下,美国提倡再工业化、德国开拓工业4.0、日本开展工业再造。同时,我国也需要采用新架构、新方法来实现网络技术与传统工业的交融、再升级。去年,网络安全法已经正式实施,关键基础设施保护预等级保护关系受到了广泛重视,等保同步进入2.0时代。至此,我国网络安全已经进入的新的纪元。
公安部信息安全等级保护评估中心常务副主任 张宇翔
公安部信息安全等级保护评估中心常务副主任张宇翔表示:新时代,网络安全的保护措施发生了改变,边被动防御为主动防御、层面防御为综合纵深防御。但考虑到工业网络与传统网络的不同:单个漏洞的触发效应与应对时的有效性,我们需要做到:
1. 进一步落实等级保护制度,提升安全管理水平;
2. 积极参与关键基础设施保卫平台的建设,提升态势感知的能力、信息共享能力、事件响应能力;
3. 认真研究等保2.0系列标准,提升安全防护能力
4. 加强自主创新、自主可控,加强核心安全安全能力的建设
六、“关键要少,核心要害”
国家能源局信息中心胡红升副主任引用南斯拉夫电影《桥》中的片段:为阻止德军汇合,抵抗组织必须在七天之内找到建桥工程师在关键点将桥炸毁。指出:关键基础设施建设亦需要找到最弱点,关键必须体现在少数,抓住核心要害,重点打击,各个击破,以攻促防,培养攻防兼备的网络安全人才队伍,构建主动安全防御体系。
国家能源局信息中心副主任 胡红升
“时实性和可用性是衡量电力系统关键业务的核心指标。真正做到电力系统安全就需要从技术和管理两个方便着手。安全技术中心需要从安全物理环境、通信网络、区域边界、计算环境四个方面提供技术支持;安全管理部门需要就安全管理机制、管理人员、建设管理、运维管理四个角度提供安全支撑。”
七、认证助力企业安全发展
中国网络安全审查技术与认证中心处长张剑认为,审计被认为是网络安全的第三道防线。结合相关技术,实现网络安全事件的接近100%复现,凌驾于事件现场,推理总结事件触发缘由,真正做到事件规避。与审计相对应的是审查,一种产品上线前检测技术,预测产品可能存在的危险,做到事件先知,未雨绸缪。
审计与审查的服务主要包括:
1.管理体系的认证:旨在理顺企业内部关系,助力管理
2.企业服务认证:对于提供安全服务的公司进行责任考核,提升企业项目团队的项目管理能力、与人员的责任意识。
3.安全人员认证:从安全人员的知识、技能、素质三个方面做考核,根据人员的岗位的不同,特定对人员的三个方面做认证、并提供后期定制培训。
中国网络安全审查技术与认证中心处长 张剑
“安全企业应该建立起良好的信任体系,纯粹的书面证书是于网络安全认证背道而驰的,对于认证结果,需要认真对待,自我修炼,聚集企业全员之力,甚至聚集友商之力,真正做到常做常新,不断创新,改善自身安全能力,提升国内安全认证意识。”
EICS⁺:建立真实演练靶场,聚焦工控安全
经过开幕式论坛一众学者的学术熏陶后,EICS⁺赛事正式拉开序幕。据悉,本次竞赛以火电厂真实的监控系统为演练靶场,以贴近实战的评估、加固、攻击三个环节为特色演练安全防护能力,攻防环境采用半实物仿真模式,模拟了火电厂生产I区的锅炉系统、汽水系统、脱硫系统、输煤系统,通过生产II区的接口机将生产数据整合后发给管理控制大区的Web发布并展示。竞赛从公平性角度分成用户单位组、测评机构组,分别从电力用户防护和检查评估的角度验证和度量能力。
一、参赛队伍:
本届赛事迎来了空前盛况的参赛队伍与参赛人数,共有28家单位的近120名选手组队参加竞赛。
二、赛制规则:
本届攻防竞赛采取预赛、决赛机制。预赛重点考察参赛队对发电厂工控系统安全的检测评估能力,按照安全评估常见问题设定评估竞赛项目,评估内容包括Windows、Linux操作系统、交换机、防火墙、正向隔离装置及WEB应用,所设置的30道题目,均为典型的生产控制系统安全评估检查和自评估的重点内容。最终,经过三轮(五个多小时)的比拼, 将以积分制从28个参赛队伍中,遴选出两个组别的各自预赛前4支队伍进入决赛环节。
决赛环节,任务分为加固和攻击两个阶段。加固的对象是攻击渗透的环境,各队在加固和攻击的环境由抽签决定。模拟实战的的业务需求性,加固环节必须确保在不影响业务为前提,对生产控制系统的主机、交换机、防火墙和隔离设备实施加固操作;渗透环节中,参赛队可分别从火电演练靶场的安全III区、安全II区、安全I区实施攻击,最终以最高分拿下生产控制系统服务器权限的队伍获胜。
三、精彩赛事回顾:
今年的竞赛中,一支神秘的参赛队伍格外引人关注,它是由“工业控制系统等级保护自查工具箱”组成的机器人战队。
自查机器人面对的由国电智深DCS主控系统,西门子上位机等系统组成的被测对象,接到合规检查要求的命令后,通过自主研发的Linux配置检查工具、plc设备检查工具、windows安全策略检查工具及流量采集分析工具等相关专用电力行业的等保自查工具,在其他参赛队还在进行基础系统分析时,机器人便迅速完成了全部等级保护2.0和电力行业安全规范中所要求的千余条检查点的合规性检查,用时仅28分钟。只占人工检查时长的15%,准确率达到100%,为全部28个参赛队的最佳成绩,高出参赛队第一名30%以上。
四、赛事结果:
最终,经过预赛、决赛三轮,近六个小时的鏖战。用户组结果:国网山东省电力公司战队获得本届攻防竞赛的冠军,南京南瑞信息通信科技有限公司战队获得亚军、南方电网调峰调频发电有限公司战、广东电网有限责任公司战队获得季军。
用户组冠军:国网山东省电力公司
测评机构组,成都安美勤信息技术股份有限公司战队获得本次攻防竞赛的冠军,山东新潮信息技术有限公司战队获得亚军,济南时代确信信息安全有限公司战队、河北赛克普泰计算机咨询服务有限公司战队获得季军。
测评机构组冠军:成都安美勤信息技术股份有限公司
牛闻牛评:
当我们谈论关键基础设施时,其实不仅仅只是电网,而是世界上在工业网络上运行的一切。从网络安全的角度来看,由于在这些网络上运行的多是老旧甚至遗留系统,因此它们的安全性实际上相当脆弱。这种脆弱性已经在现实世界中得到了反复证明:乌克兰电网被俄罗斯袭击者恶意关闭;医院运营受到勒索软件Wannacry攻击的困扰;制造商和运输公司因勒索软件而被迫停工;黑客甚至还用污水淹没了湿地、造成钢厂关闭,以及损坏了熔炉等等一系列的基础设施事故,无不在警示我们应该把更多的关注点聚集到工控安全上了。
近年来,国内各种不同形式、规模各异的夺旗赛事层出不穷,但专注于关键基础设施工控系统信息安全的CTF大赛,非“全国工控系统信息安全攻防竞赛”莫属”。作为国内首个致力于把“全国工控系统信息安全攻防竞赛”打造成全国工控系统网络安全人才培养与技术交流的高端平台——全国工控系统网络安全攻防竞赛(EICS⁺)已经走过了四个年头,期间选拔了一大批优秀的网络安全人才,已然成为中国工控系统网络安全普及教育和防护能力提升的坚实的推动力量。
