本文作者:郭森 中国华能集团信息中心处长

就像防范新冠病毒风险一样,人们对信息安全的重视程度也是空前的。在禁足、居家、隔离的形势下,人们不得已都在通过网络直播形式开展各式各样的讲座,有关信息安全的讲座也是层出不穷。有别于政府领导的政策宣讲与专家院士的品评解读,安全产品厂家的介绍推广,作为传统产业信息安全从业人员只能侧重介绍一下我们的实践与思考,其目的也是让业界更多的了解传统产业对于信息安全的需求。

今天要讲的这个主要是四句话,是我们在信息化建设和信息安全实践过程当中的一些的思考,以及遇到的一些问题和一些解决方法,跟大家做一个交流和大家一起来分享。

第一句话

控制威胁和改善脆弱性不可偏废

大家都知道,2010年伊朗的铀分离设备遭到了震网病毒的攻击,致使上百台铀分离设备损毁;2015年通过计算机和通讯网络的三波攻击,使得乌克兰电网大停电后长时间不能恢复;2019年的三月份委内瑞拉的全国大停电,更让美国喊出了“没有粮食、没有电力、没有马杜罗”,从而威胁到了一个主权国家的执政党地位。所以可以预见,当今通过网络对电力设施进行攻击而形成的“电力战”,一定是先于其他战争形势最先被攻击者选择的形式。

这种网络攻击的风险主要是来自外部或内部对网络的各种威胁和网络自身的脆弱造成的。就像新冠病毒风险那样,威胁来自于传播渠道和传染源;而脆弱性就是你自身的免疫能力。所以,钟南山和张文宏教授一再强调,戴口罩、不聚集、居家隔离就是降低威胁最好的办法;而加强蛋白质摄入和适当运动提高免疫力,就是改善自身脆弱性最好的办法。再看看电力行业整体的计算机网络架构和电力生产控制大区网络安全经典的16字方针:“安全分区,网络专用,横向隔离,纵向认证”。我们可以看到,为了降低生产控制大区的网络安全风险,我们在防止外来威胁上下了很大的功夫,强隔离的方式在以往的电力安全运行中发挥了根本的作用。但是随着电源点非常分散的风能、太阳能等新型能源在发电装机容量所占比重的骤增、随着传统产业拥抱互联网的现实,电力的生产控制大区很难通过隔离降低威胁来保证运行安全了。

在2019年GA部开展的“HW行动”中,为了当期对网络端口的扫描中不出现问题,个别电力企业作为“蓝方”干脆把互联网接入连线拔掉,似乎这样“红方”就难以通过开放的网络环境对你产生有效的攻击了。但事实上,因为电力生产过程需要很多外部数据的支持,比如说火电厂的环保监测数据,即便火电厂自身也有环保监测数据,但是确认污染情况的有效数据还是当地环保部门的独立监测数据,所以火电厂必须在互联网上读取相关数据,环保局的数据标志着你超标了,那你就要尽可能快的调整你的控制系统来改善。还有水电厂生产所必需的水文、气象信息;风电场所需要的风压分布情况都是来自于互联网,所以生产控制大区与开放的网络环境已经没有纯粹的隔离条件了,就是你想把危险降低在挡在千里之外,但是这已经很难实现。

而由于过分依赖于隔离来降低来自于网络威胁,电力生产控制大区的脆弱性一直没有很好的解决。为了解决这个问题,2015年电力行业的主管机关颁布了《电力监控系统安全防护规定》,本人有幸参加了相关内容的组织和编写。

《电力监控系统安全防护规定》及其附件,就加强生产控制大区的安全性问题,从七个方面提出了具体的要求,包括:安全加固、边界防护、应用安全控制、安全审计、专用安全产品管理、备份与容灾、恶意代码防范等。但是由于工业控制系统(ICS)与普通信息系统(ITS)存在非常明显的差异,所以必然导致ICS与ITS在安全性和可用性的次序上截然相反,所以《电力监控系统安全防护规定》实施几年来效果并不明显,在生产控制大区内部裸奔的状态并没有根本改善,网络安全业内人士预计的生产控制系统安全防护市场的爆炸式增长并未如期到来。

究其原因,主要是从事网络安全行业的企业和专家对于工业生产过程,特别是像电力行业这样连续化生产的传统企业缺乏深入的了解。就像售卖治疗药物一样,仅仅告知你安全产品药效,可以改善传统产业生产控制网络的脆弱性这还远远不够,此外还必须要明确服药后的副作用,以免病人不是死于疾病本身,而是死于治疗药物的副作用;另一点就是需要有简单易懂的服用方法,因为电力行业生产一线的人员并非计算机专业人士,过于复杂的网络安全配置和操作会令人望而生畏,也就难以推广了。

我的第一句话是:控制威胁和改善脆弱性不可偏废。如果你是信息安全的产品供应商或者安全服务集成商,要想进入生产控制网络安全服务这一蓝海,首先就是对于这个传统产业要有深入的了解。

第二句话

业务驱动的信息安全

我们说业务驱动的信息安全,就是根据传统产业自身的业务发展规划和信息化建设规划,制定最适合于自身发展的信息安全解决方案,不能跟风、不能偏听偏信、更不能纯粹听信息安全集成厂家和信息安全产品厂家一方所做的方案。

我来自于中国华能集团,财富的世界五百强排名基本在二百到三百名之间。按道理说,这样的一个大型国有企业应该有非常好的信息化管理水平和能力。但是实际上我们在2007年国资委国有企业的信息化能力和水平的考核中评价非常差,在电力行业里几乎是垫底的,但是这也正是中国华能集团的信息化建设一个转机。也就是从2008年开始,中国华能集团对整个的主营业务做了一个全面的梳理,根据主营业务的发展制定了全面的信息化规划,也为我们采用什么样的方式对信息系统进行什么样的方式安全防护做出了一个规划。几年来我们一直按照这个安全防护规划严格执行,使得我网络安全能力在一段时间内一直保持一个比较领先的位置。网络安全首先你要明确防护对象是什么?你所防护的对象有多大的价值?你可能要花多少钱进行安全防护?你的家里只有1000元财产,却要花费10000元做一个防盗门这显然是不理性的。

明确了业务需求之后,才会涉及到采用什么信息化架构来实现了业务的需求。比如说:什么样的网络结构;什么样的接入方式;什么样的中间件和数据库;什么样的应用部署等等,这时才会同步设计网络的安全防护方式。2008年业务系统大集中是一个非常流行的方式,我们的ERP系统就是按照大集中模式建立的。把全系统十几万人应用系统全部的应用服务器放置在北京,换句话说就是当我们的下属企业和我们的电厂,他们每做一个在线上的一个动作,都和我们远程北京的这个应用系统会直接联系。比如说我们电厂做一次出入库的操作,或者我们电厂做一个发票的报销,每一单都和北京的IDC之间进行一次数据交换。我们在此暂讨论集中部署方式和分级部署的方式哪一个更优,这个问题业界有很多的讨论,比如:通用性、一致性、建设成本、运营成本、安全性等等。

结果你选择了集中建设的应用系统,如果网络出现了问题,电厂要想开出一个操作票、要想领取维修工具、要想办理一个备品备件出库就都成了问题。所以要确保一个覆盖全国、十多万员工使用的广域网安全稳定地运行,采取一个相对保守的网络建设方案是必要的。所以我们的就和设计单位选择了管理信息大区的双网建设模式,当时我们叫做“大内网小外网”,就是我们把所有的业务系统放在我们的内网上,而这个内网和互联网之间是隔离的,这样就降低了来自互联网的威胁,但是确实也提高了我们投资的成本和运行的成本。不过这样的一个隔离方式使得我们的安全一直运行了十多年,并且确实没有出现大的问题。

选择“大内网小外网”的隔离方式还有一些其他条件的制约,比如:当时我们的人员的信息化水平和能力并没有那么强,所以一旦你和互联网之间建立连接之后,你没有足够的能力面对外来的威胁。再有就是当时的电厂业务和互联网之间的关系并不大,因为我们直接服务的对象只有电网企业。大内网小外网的网络架确实限制登陆互联网,员工只能通过外网网吧的方式登录互联网,如果你在外网网吧上收发邮件或者浏览业务有关内容基本不受影响,但同时也限制了在办公时间内登陆互联网看电影、玩游戏、看股票等不便管理的问题,反而使得工作效率得到提高。

当然,双网隔离也不是简单的一隔了之,我们还设计了灾备中心、身份认证等等配套的安全防护措施;还做了制定了相应双网管理一套管理体系,我觉得这样的安全防护方式在我们的实践当中确实是保证了我们大集中应用安全运行。

所以第二句话我说:业务驱动的信息安全。

第三句话

工业互联网数据不丢业务不断

工业革命发展到现在,中国已经成为世界上第二大经济体。

在通常说法的四次工业革命中,在第一次工业革命和第二次工业革命,中国的都没有赶上,比如说第一次工业革命时,我们那个时候还是帝制呢;到了第二次工业革命时,我们正在经历大革命的时期;第三次工业革命时,按道理说我们改革开放了应该是一个好的年代,但是我们在技术上并没有处在一个领先的地位。不过有一个好处就是我们现在成了一个规模最大的经济体,这样的话就给我们后续的第四次工业革命从自动化到智能化直接给我们提供了一个绝好的机会。有一个数据的统计就是我们现在很多主要的产品产量占世界一半以上,而我们的人口却只是占世界的七分之一。看看这次新冠之后口罩生产企业的数量,我们可以看到这个图里面中国的口罩生产企业的数量是全世界之和还要翻番。所以我们这么大的一个经济体量给我们的机会就是规模给我们带来效益。正是有了这样大的规模,就使得我们对整个世界有了更大的影响。

工信部提出来到2025年,中国要在世界上拥有三到五个国际水平大的工业互联网平台。那这些工业互联网平台和我们前面说的生产控制系统、管理系统之间是个什么关系呢?正是因为我们有了规模化生产和自动化生产过程中积累的那么多经验,所以现在可以把我们在各个企业自己生产和管理过程中的经验发挥到全社会,为全社会降本、增效、提质。

打个比方:如果我们的一个发电企业在家里能够做一道非常美味的菜品,那么能够品尝美食的人都在企业内部。但是当你把它拿到一个餐厅里面去,让大家一起来分享的时候,它整个的社会效益都会得到极大的提高。其实我们理解现在正在做工业互联网平台就是一个开放的、供大家一起使用的一个平台,工信部在提出建设工业互联网试点示范的时候,就提到了网络体系、平台体系和安全体系。那么网络体系就是要保证你够和你原来的生产和技术积累之间建立一个直接的联系;平台体系是把你的服务内容提供交互方式的服务,可以供大家一起来使用的;当然这个平台还要具有一定安全的性。那我们来看这会是一个什么样的网络,什么样的平台是可以供我们同行业一起来使用的。现在大型的国有企业之间都是独立的广域网,大家互相之间是没有联系的,那要想有联系就只能通过互联网的这种方式,所以工业互联网最后的交付方式一定是一个基于开放的网络,一定是一个大家可以共用的平台,也一定是有安全保障的。

如果把工业互联网放在一个开放的环境下,而你要用严格的边界防护、接入管理、身份认证等等,通过这些方式把不应该访问的对象隔离在外面,这样的成本会非常高,很难实现原本降本、增效、提质的目标。所以我们提出了一个方式叫:数据不丢业务不断。就是说我们用系统是可能被攻击的,但是我们要确保我们自己在平台上的数据和客户提供给我们用于分析的数据是不能丢的。业务不断是说,因为我们现在有了非常好的云环境和我们超大的计算能力,那我们随时是可以快速恢复我们应用和计算环境,保证我们的应用可以不会长时间的终断,这是我们提到的工业互联网在安全上的一个设计。当然还有其他的一些配套措施,比如:加密管理、分区分域、智能策略等等。

我的第三句话就是:工业互联网数据不丢业务不断。

第四句话

工业生产企业的大安全

在看到了电力行业生产管理大区、信息管理大区和工业互联网应用区域的应用后,我们可以看到绝大部分大型的国有企业基本上都实现了控制过程的自动化、生产设备的数据采集、管理系统当中经营数据的集中管理、网络运行监控的各种信息,也就是说已经完成了一个企业的数据采集和集中的过程。

我们思考,在互联网上经过大量数据积累后,人们通过所谓数字孪生的方式为线上用户提供了那么多的增值服务。在互联网安全领域人们通过网络运行的日志、告警等信息为安全运行提供了所谓的态势感知等预防性服务,那么对于传统工业企业基于生产实时数据、生产运行数据、经营管理数据进行挖掘后,是否也同样可以对于设备安全预警、运行安全指导、计算机网络风险、经营管理的改善做出一个统一的安全增值服务?也就是说一个统一的“大安全”服务。在互联网的孪生应用和网络安全的态势感知的应用中,人们面对那么多离散型的数据,利用人工智能和机器学习的工具对全数据进行整体的分析和挖掘都可以卓有成效,工业企业的全数据相对来说更有规律、数据量更大,所以应该更易挖掘也更易发挥效益。

在工业企业开展“大安全”应用之后有一个什么好处呢?这样不仅仅可以对现在网络的运行情况,比如说我们现在的告警情况、数据的流量、带宽的占用比例等进行安全监控;还可以关注到生产过程本身的,比如生产设备运行的异常变化、操作人员行为的规范、合理的库存管理等等。这样就把负责生产安全的管理部门和负责网络安全的管理部门有机的结合起来了,真正解决了两张皮的问题。因为不管是计算机网络出现问题、还是我们的设备生产出了问题、还是操作人员的行为出现了问题,其实都会造成整体的安全问题,所以我们提出来“大安全”才是我们关注整体安全的最终目标。

而实现这个目标现在有没有基础呢?刚才我们讲到现在有了各种各样的数据来源,那我们可以对这种数据对网络的态势感知,也可以做对生产设备的态势感知,也可以做包括生产人员的行为规范的态势感知。这样的话就打破了现有的边界、打破了部门之间的壁垒,因为现在所谓的数字化企业之后,应该没有严格的生产和信息部门的严格划分,从而形成了改善工业企业的安全脆弱性全面解决方案。我们说的大安全与工业互联网本身正好是相互补充的,大安全的是工业互联网在安全方面专业化、智能化的实现,而工业互联网是实现的生产过程优化和经营过程的优化。

所谓“大安全”并不能解决工业企业的全部安全风险,但是一定会极大限度的减少风险,把安全风险控制在一个我们可以接受的程度。当然实现所谓的工业企业的“大安全”并不是企业自身可以完成的任务,一定需要更多的安全产品厂商、信息安全服务集成商、从事数据挖掘和数据分析服务商相互之间的配合。

这就是工业生产企业的大安全。

我们讲到了在生产控制大区中,控制威胁和改善脆弱性不可偏废;讲到了在信息管理大区中,业务驱动的信息安全;讲到了在工业互联网建设中,数据不丢业务不断;讲到了整个工业企业为了整体安全,需要建立“大安全”的管理模式。

这些只是一个传统产业信息安全从业人员的实践和思考,也希望大家看完后有所启发。

声明:本文来自工业菜园,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。