預防與應急是工控安全管理之本
——訪北京神州綠盟信息安全科技公司技術總監王曉鵬

□ 王 博

預防與應急是工控安全管理之本
——訪北京神州綠盟信息安全科技公司技術總監王曉鵬

□ 王 博

2017年5月12日20時左右，“永恒之藍”勒索蠕蟲病毒(Wannacy)全球爆發，英國淪陷、西班牙淪陷、俄羅斯淪陷、美國淪陷……自5月12日開始，名為“想哭”(Wannacry)的電腦病毒迅速波及全球超過150個國家。這場“勒索病毒”攻擊不僅針對個人用戶，諸如加油站等石油行業基礎設施也淪為重災區，如中國石油所屬部分加油站便遭受“想哭”(Wannacry)電腦病毒的入侵。

事實上，這并非石油行業第一次和網絡黑客“干架”。網絡技術在石油行業的應用已有多年歷史，石油公司遭到網絡攻擊的事件近年來屢見不鮮。石油行業歷史上最嚴重的一起“被黑事件”的受害者就是全球最大石油公司——沙特阿美。2012年，一款叫作Shamoon的病毒襲擊了沙特阿美石油公司，導致數小時內該公司3.5萬臺電腦上的數據被部分或完全刪除。

勒索病毒再次敲響了網絡安全警鐘。早在2016年3月，綠盟官微就發布了一則勒索病毒緊急通告。他們為什么能夠做到這一點？類似這樣的病毒對工控安全影響有多嚴重？綠盟科技的技術總監王曉鵬一一作答。

工控等保規范急需有效且持續推行

2012年，綠盟和石化盈科合作搭建了工控仿真實驗環境平臺，雙方針對類似勒索病毒的情況，展開了有關工控安全的系列研究。綠盟與大慶油田開展了遠程數據審計項目研究，第一個真正地把設備部署到石油石化領域的工控現場。后期綠盟推出了一系列研究報告，如歷年的研究報告、安全保障框架等，供業界相關專家參考，在業界產生一定影響，讓用戶看到很多工控安全的東西，第一次以安全廠商的視角看待工業控制系統的一些安全問題。

“國內很多工控安全事件，第一很難定位，因為沒有技術手段定位，即使有些技術手段定位之后，客戶一般會采用一種比較簡單粗暴的方式去解決問題。”王曉鵬介紹說，“與傳統的IT領域安全相比，工控安全更多體現為人的意識的問題。如掃描上位機的職責問題，涉及交叉部門之間的利益博弈，也涉及安全是深入里面還是徘徊在外面的問題。又如很多企業仍然沒有做到有效隔離，忽略了一些邊界安全細節。”

“工控歷史遠早于IT行業，而工控安全發展歷程慢于傳統信息安全發展。但石油石化領域對工控安全起步要早，比如國內最早應用工控防火墻、工業隔離設備的就是石油石化領域，”王曉鵬說，“工控領域要求業務的連續性、實施性都很高，國家制定的等保規范，不能完全適用于工控系統。需要新手段或者新方法，在原有等保的基礎上加入很多工控要素和特點，才能真正有效保障客戶業務系統的安全。”

新等保要擴展到工控、物聯網、云計算、移動等領域，對分層隔離、強制認證，補充完善等保在工控領域的適用性。工控領域更新升級節奏慢于傳統的IT系統，廠家定義的工控系統生命周期以十年為一個單位，而IT系統以年為單位，所以工控系統等保落地需要逐步過渡，過程比較漫長。

王曉鵬介紹，綠盟正參與制定工控安全等保標準，能源局、電子六所、浙大分別牽頭測評指南要求、設計要求、基本要求等內容，預計年底或以行標或者國標的形式發布。

工控系統與安全相融合方是工控安全之根本

“邊界防控與內部防控相融合，生產網和辦公網相融合，縱深防護與廠商安全基因相融合，工業控制器與安全相融合等等，是工控安全的發展趨勢。”王曉鵬說，“工控系統廠家與安全技術服務商相融合是解決客戶本質安全的方向。工控安全逐漸由邊界到縱深的發展，由邊界逐漸向終端發展，應用更多的監視類、平臺類、檢測類的系統與工具，由工控廠商、安全公司、業主方聯合支撐工控的發展。”

“除此之外，綠盟還積極與石油石化企業合作，參與工控安全的整體規劃，應用一些檢查設備協助相關領域進行安全檢查，也為客戶提供在線監測類的產品或工控安全評估服務，幫助他們檢查系統中的安全問題。”王曉鵬說。勒索病毒事件發生后，綠盟發現石油石化很多工控系統的邊界不是很分明，生產系統和控制系統之間的隔離不充分，策略配置不完備，存在跨網傳播的可能，個別上位機DCS系統發現了疑似病毒。綠盟幫助客戶逐一排查相關系統的問題，有效阻止了病毒傳播，減少了由于病毒傳播帶來的影響。

有效預防是工控安全的保障

“很多攻擊是逐漸蔓延同時爆發的，勒索并非一蹴而就。石油石化企業爆發的勒索病毒事件原因在于缺少對于網絡環境的即時感知。如果當時現場布置了異常行為審計產品設備，它就能夠有效監測到這個情況，對工控系統漏洞的管理和配置、補丁管理等就會更及時更精確更全面，減少客戶損失。”王曉鵬說，“通過勒索事件，可以看到工控安全的價值，提醒企業要高度重視工控安全。”

綠盟從2010年接第一個項目開始，一直在做工控安全的服務，幫助客戶有效地去建立一套針對自己業務系統的安全保障能力和安全應急能力。“工控安全是一個過程，不能只看表象而忽略過程。”王曉鵬說。

綠盟的工控防火墻、加油站專用防火墻、工控隔離設備、工控漏掃、工控監視平臺、工控配置核查等產品在石油石化領域有很多應用，結合工控配置的一些核查工具，幫助客戶發現問題，探視收集分析漏洞，及早定位風險并預防預警。“石油石化企業工控系統一旦遭受攻擊之后，其結果是無法承受的，所以工控系統安全的事前感知、事中防護就顯得非常重要。”王曉鵬說。

工控安全，意識先行

工控安全最大阻力是工控設備的專用屬性，它一方面讓客戶受供應商的影響和限制，另一方面涉及部門之間、行業之間的博弈。比如責任問題，負責IT系統的人員不承擔工控責任，而負責工控的人員不承擔安全的責任，這種情況下，影響了工控安全推行速度。綠盟在這方面做了很多嘗試，也與工控廠商協商聯合做相關系統改造，提升工控系統兼容性，滿足客戶對安全的需求。“在工控領域中，需要突破創新，想新辦法解決新問題。”王曉鵬說。

隨著國家政策、行業政策深化以及不斷出現的安全事件，客戶的工控安全意識在逐漸增強，很多邊界防護項目開始由生產部門在驅動，工控系統呈現出多元化、專業化、屬性化的發展趨勢。

“綠盟的P2SO也逐漸從產品向運營方向發展，逐步完善產品結構，滿足客戶專有屬性，而不是通用化的產品，一定為客戶提供符合客戶實際需求的解決方案，把產品或服務的全生命周期能力逐漸賦能到客戶系統里，幫助客戶提升自己的安全能力。”王曉鵬說。

按照綠盟的產品架構理念，底層的架構基本上是恒定的，而上層把更多的場景定義為相關的APP，這種松耦合的結構可以快速適配客戶不同需求，快速響應客戶解決安全需求。

綠盟科技為工業企業客戶提供全方位的安全保障，涵蓋了從安全服務到安全生產的全套解決方案，為客戶的系統安全運行保駕護航。

（本文為廣告）