EICS⁺:一個致力於守護工控系統安全的攻防競賽
我國2017年頒佈的《網路安全法》規定:將影響國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。各行各業必將制定政策法規,加強關鍵資訊基礎設施網路安全的監督管理。
目前,我國超過80%的關鍵資訊基礎設施依靠工控系統來實現自動化作業。由於我國工控系統網路安全整體水平起步晚,較之發達國家相對落後。隨著資訊科技的快速發展和新型網路攻擊手段的不斷出現,作為關鍵資訊基礎設施重要組成部分的工控系統面臨著日益嚴峻的安全風險,工控系統的安全關係到國家的戰略安全。
為此,國內首個以宣傳關鍵資訊基礎設施專用網路和工控系統網路安全知識,推進工控系統網路安全攻防技術的發展,保障關鍵資訊基礎設施網路安全為宗旨的全國工控系統網路安全攻防競賽(EICS⁺)應運而生。
目前,EICS⁺已經走過四個年頭了。在錘鍊工控系統網路安全防護能力、培養中國工控系統網路安全人才、促進工控系統網路安全合作交流、助推中國工控系統網路安全普及教育水平的提高和防護能力的提升方面堅持初心、篤定前行。
2018屆卓識網安杯全國第四屆工控系統資訊保安攻防競賽暨能源網路安全高峰論壇(EICS⁺)是由公安部資訊保安等級保護評估中心、華北電力大學資訊保安工程實驗室、中國電力企業聯合會科技開發服務中心聯合主辦,北京卓越藍軍資訊保安技術發展有限公司承辦,北京卓識網安獨家冠名的。本次論壇縱貫11月23、24、25三天,現安全牛記者將大賽的精彩瞬間整理如下。
攻防競賽開幕式暨能源網際網路絡安全高峰論壇現場
能源網際網路絡安全高峰論壇:國家法規+行業要求,促力工控系統發展
一、 專注建立工控領域資訊保安賽制平臺
華北電力大學檀勤良副校長在華北電力大學建校60年校慶之際表示:2015年華北電力大學與公安部資訊保安等級保護評估中心首次聯合創辦 “全國工控系統資訊保安攻防競賽”。作為國內第一個專注於工控領域資訊保安的專業大賽,今天已經進入第四屆,期間他們積累了一定的賽事經驗和技術儲備,並希望借賽事平臺鍛鍊培養更多的網路安全技術專才,為國家科技強國計劃添磚加瓦。
華北電力大學副校長 檀勤良
競賽主辦方應該始終以開放的心態,與網路安全主管單位、使用者企業、科研院所、以及工控安全系統廠商開展全方位、多角度的深度合作,共同深入研究探索工控系統資訊保安領域的安全防護技術;各級政應積極參與國家、行業工控系統安全防護標準、規範的制定,為賽事提供政治大環境;各級高校應踐行工控資訊系統安全服務與人才培養,為能源電力工控資訊系統安全提供高品質的服務與支援。
二、深入貫徹落實關於網路強國戰略
目前,國內已經先後出臺了多項政策,旨在為我國的工業控制系統的發展提供一個穩定良好的環境。早在2016年,習近平總書記就在國家網路安全和資訊化工作座談會中明確指出,金融、能源、電力、通訊、交通等領域的關鍵資訊基礎設施是經濟社會執行的神經中樞,是網路安全的重中之重。2018年,國家能源局也相繼出臺相關檔案,從電力行業全域性的角度指導、深化推進電力行業網路安全防護工作。
國家能源局電力安全監管司張楊民副司長表示,當前電力工控系統面臨的網路安全威脅和挑戰的嚴峻形勢。
國家能源局電力安全監管司副司長 張揚民
工控系統資訊保安是網路安全的關鍵與核心,工業控制系統的安全事關國家戰略安全。
三、 從實戰出發,攻防相長、自衛反擊
如今的國際形勢日趨複雜,貿易戰、經濟戰、輿論戰已經打響,“網路戰”一觸即發。一個國家的網路安全能力主要體現在安全人員儲備與技術創新能力兩個方面。
公安部網路安全保衛局總工程師 郭啟全
工控系統防護是國家網路安全工作的重中之重,關乎民生。對此,公安部將積極開展網路安全千人計劃,為增強網路安全人員建設、工控行業安全能力建設接力。支援國家電網的的紅藍演練,培養能攻能防、敢擔當能擔當的網路安全新型技術人才。郭啟全還表示將會把“淨網行動”、“天府杯”、進行到底。
資訊科技人才的對抗、網路安全也是新的未來的國家技術能力。希望此次攻防競賽活動,各參賽隊通過攻防演練,發現重要行業關鍵資訊基礎設施存在的深層次漏洞,發現和解決安全問題為做好應急儲備工作提供經驗,培養網路安全人才的隊伍,從而提升網路攻防的對抗能力。
四、 電力工控系統關係國計民生
全球網路安全的重要性在今天尤為明顯。目前,網路攻擊居於全球五大安全風險的第三名。網路的用途已經由傳統的交流變為國際間的各國能力對抗的手段。藍蓮花、APT攻擊事件等一系列有組織有紀律、有針對性的、持續性的攻擊還歷歷在目。
國家電網公司信通部主任 王繼業
電力設施作為國家經濟建設的基礎能源,居民日常生活的基本保障,在基礎設施中佔有很重要的地位。對此,國家電網公司信通部主任王繼業表示,在如今網路安全架構更加複雜,網路邊界更加模糊,傳統與新興安全風險聚焦的網路安全大環境下,想要真正做到關鍵基礎設施安全防護、自主可控,就必須做到以下幾點:
1.加強管理,落實責任:
堅持網路安全三步走(同步規劃、同步建設、同步運營),壓實安全生產責任制。把網路安全納入到電力安全生產的一部分,把等級保護納入到網路安全生產中。
2.科學規劃頂層設計
分國內外網路安全形勢,梳理國家和企業需求,將網路安全頂層設計作為企業網路安全總體剛要,科學謀劃,做出戰略性安排,制定路線圖、時間表、任務書,明確近期、中期、遠期目標。
3.強化自主可控
軟硬體系統不可控導致安全問題層出不窮。我們需要更深、更徹底的國產化,包括業務應用系統、一體化資訊平臺、安全通訊裝置、電網電控系統,甚至套裝軟體系統都需要全面國產化。
4.堅持自主創新
安全晶片、可信計算、量子計算,包括雲端計算、大資料、人工智慧等新技術都需要綜合的本土解決方案。
5.全面提神態勢感知能力
利用大資料、深度學習、人工智慧等新興技術,確保安全事態“看得見、看得準、看得深”。
6、加強網路安全攻防對抗能力的建設
以各大安全競賽為基礎,全面開展網路安全排查,隱患整改;提升紅藍隊檢測分析、追蹤溯源、保障處置、協調指揮、應急響應的能力。
7。 強化溝通合作
共同探索軍隊、政府、高校、研究機構的網路安全合作協同機制,實現全國一盤棋,全力做好關鍵基礎設施保護。
8 著力打造網路安全隊伍
貫徹習總書記網路安全人才觀,設立網路安全機構和崗位,常態開展網路攻防競賽和技能比賽,制定網路安全人才提升機制,著力打造屬於國家級的網路安全紅藍隊伍。
五、 深化國家網路安全等級保護制度,構建多層次工業控制網路安全保障體系
新網路安全的形勢下,美國提倡再工業化、德國開拓工業4.0、日本開展工業再造。同時,我國也需要採用新架構、新方法來實現網路技術與傳統工業的交融、再升級。去年,網路安全法已經正式實施,關鍵基礎設施保護預等級保護關係受到了廣泛重視,等保同步進入2.0時代。至此,我國網路安全已經進入的新的紀元。
公安部資訊保安等級保護評估中心常務副主任 張宇翔
公安部資訊保安等級保護評估中心常務副主任張宇翔表示:新時代,網路安全的保護措施發生了改變,邊被動防禦為主動防禦、層面防禦為綜合縱深防禦。但考慮到工業網路與傳統網路的不同:單個漏洞的觸發效應與應對時的有效性,我們需要做到:
1. 進一步落實等級保護制度,提升安全管理水平;
2. 積極參與關鍵基礎設施保衛平臺的建設,提升態勢感知的能力、資訊共享能力、事件響應能力;
3. 認真研究等保2.0系列標準,提升安全防護能力
4. 加強自主創新、自主可控,加強核心安全安全能力的建設
六、“關鍵要少,核心要害”
國家能源局資訊中心胡紅升副主任引用南斯拉夫電影《橋》中的片段:為阻止德軍匯合,抵抗組織必須在七天之內找到建橋工程師在關鍵點將橋炸燬。指出:關鍵基礎設施建設亦需要找到最弱點,關鍵必須體現在少數,抓住核心要害,重點打擊,各個擊破,以攻促防,培養攻防兼備的網路安全人才隊伍,構建主動安全防禦體系。
國家能源局資訊中心副主任 胡紅升
“時實性和可用性是衡量電力系統關鍵業務的核心指標。真正做到電力系統安全就需要從技術和管理兩個方便著手。安全技術中心需要從安全物理環境、通訊網路、區域邊界、計算環境四個方面提供技術支援;安全管理部門需要就安全管理機制、管理人員、建設管理、運維管理四個角度提供安全支撐。”
七、認證助力企業安全發展
中國網路安全審查技術與認證中心處長張劍認為,審計被認為是網路安全的第三道防線。結合相關技術,實現網路安全事件的接近100%復現,凌駕於事件現場,推理總結事件觸發緣由,真正做到事件規避。與審計相對應的是審查,一種產品上線前檢測技術,預測產品可能存在的危險,做到事件先知,未雨綢繆。
審計與審查的服務主要包括:
1.管理體系的認證:旨在理順企業內部關係,助力管理
2.企業服務認證:對於提供安全服務的公司進行責任考核,提升企業專案團隊的專案管理能力、與人員的責任意識。
3.安全人員認證:從安全人員的知識、技能、素質三個方面做考核,根據人員的崗位的不同,特定對人員的三個方面做認證、並提供後期定製培訓。
中國網路安全審查技術與認證中心處長 張劍
“安全企業應該建立起良好的信任體系,純粹的書面證書是於網路安全認證背道而馳的,對於認證結果,需要認真對待,自我修煉,聚集企業全員之力,甚至聚集友商之力,真正做到常做常新,不斷創新,改善自身安全能力,提升國內安全認證意識。”
EICS⁺:建立真實演練靶場,聚焦工控安全
經過開幕式論壇一眾學者的學術薰陶後,EICS⁺賽事正式拉開序幕。據悉,本次競賽以火電廠真實的監控系統為演練靶場,以貼近實戰的評估、加固、攻擊三個環節為特色演練安全防護能力,攻防環境採用半實物模擬模式,模擬了火電廠生產I區的鍋爐系統、汽水系統、脫硫系統、輸煤系統,通過生產II區的介面機將生產資料整合後發給管理控制大區的Web釋出並展示。競賽從公平性角度分成使用者單位組、測評機構組,分別從電力使用者防護和檢查評估的角度驗證和度量能力。
一、參賽隊伍:
本屆賽事迎來了空前盛況的參賽隊伍與參賽人數,共有28家單位的近120名選手組隊參加競賽。
二、賽制規則:
本屆攻防競賽採取預賽、決賽機制。預賽重點考察參賽隊對發電廠工控系統安全的檢測評估能力,按照安全評估常見問題設定評估競賽專案,評估內容包括Windows、Linux作業系統、交換機、防火牆、正向隔離裝置及WEB應用,所設定的30道題目,均為典型的生產控制系統安全評估檢查和自評估的重點內容。最終,經過三輪(五個多小時)的比拼, 將以積分制從28個參賽隊伍中,遴選出兩個組別的各自預賽前4支隊伍進入決賽環節。
決賽環節,任務分為加固和攻擊兩個階段。加固的物件是攻擊滲透的環境,各隊在加固和攻擊的環境由抽籤決定。模擬實戰的的業務需求性,加固環節必須確保在不影響業務為前提,對生產控制系統的主機、交換機、防火牆和隔離裝置實施加固操作;滲透環節中,參賽隊可分別從火電演練靶場的安全III區、安全II區、安全I區實施攻擊,最終以最高分拿下生產控制系統伺服器許可權的隊伍獲勝。
三、精彩賽事回顧:
今年的競賽中,一支神祕的參賽隊伍格外引人關注,它是由“工業控制系統等級保護自查工具箱”組成的機器人戰隊。
自查機器人面對的由國電智深DCS主控系統,西門子上位機等系統組成的被測物件,接到合規檢查要求的命令後,通過自主研發的Linux配置檢查工具、plc裝置檢查工具、windows安全策略檢查工具及流量採集分析工具等相關專用電力行業的等保自查工具,在其他參賽隊還在進行基礎系統分析時,機器人便迅速完成了全部等級保護2.0和電力行業安全規範中所要求的千餘條檢查點的合規性檢查,用時僅28分鐘。只佔人工檢查時長的15%,準確率達到100%,為全部28個參賽隊的最佳成績,高出參賽隊第一名30%以上。
四、賽事結果:
最終,經過預賽、決賽三輪,近六個小時的鏖戰。使用者組結果:國網山東省電力公司戰隊獲得本屆攻防競賽的冠軍,南京南瑞資訊通訊科技有限公司戰隊獲得亞軍、南方電網調峰調頻發電有限公司戰、廣東電網有限責任公司戰隊獲得季軍。
使用者組冠軍:國網山東省電力公司
測評機構組,成都安美勤資訊科技股份有限公司戰隊獲得本次攻防競賽的冠軍,山東新潮資訊科技有限公司戰隊獲得亞軍,濟南時代確信資訊保安有限公司戰隊、河北賽克普泰計算機諮詢服務有限公司戰隊獲得季軍。
測評機構組冠軍:成都安美勤資訊科技股份有限公司
牛聞牛評:
當我們談論關鍵基礎設施時,其實不僅僅只是電網,而是世界上在工業網路上執行的一切。從網路安全的角度來看,由於在這些網路上執行的多是老舊甚至遺留系統,因此它們的安全性實際上相當脆弱。這種脆弱性已經在現實世界中得到了反覆證明:烏克蘭電網被俄羅斯襲擊者惡意關閉;醫院運營受到勒索軟體Wannacry攻擊的困擾;製造商和運輸公司因勒索軟體而被迫停工;黑客甚至還用汙水淹沒了溼地、造成鋼廠關閉,以及損壞了熔爐等等一系列的基礎設施事故,無不在警示我們應該把更多的關注點聚集到工控安全上了。
近年來,國內各種不同形式、規模各異的奪旗賽事層出不窮,但專注於關鍵基礎設施工控系統資訊保安的CTF大賽,非“全國工控系統資訊保安攻防競賽”莫屬”。作為國內首個致力於把“全國工控系統資訊保安攻防競賽”打造成全國工控系統網路安全人才培養與技術交流的高階平臺——全國工控系統網路安全攻防競賽(EICS⁺)已經走過了四個年頭,期間選拔了一大批優秀的網路安全人才,已然成為中國工控系統網路安全普及教育和防護能力提升的堅實的推動力量。