□ 王 博

预防与应急是工控安全管理之本
——访北京神州绿盟信息安全科技公司技术总监王晓鹏

□ 王 博

2017年5月12日20时左右，“永恒之蓝”勒索蠕虫病毒(Wannacy)全球爆发，英国沦陷、西班牙沦陷、俄罗斯沦陷、美国沦陷……自5月12日开始，名为“想哭”(Wannacry)的电脑病毒迅速波及全球超过150个国家。这场“勒索病毒”攻击不仅针对个人用户，诸如加油站等石油行业基础设施也沦为重灾区，如中国石油所属部分加油站便遭受“想哭”(Wannacry)电脑病毒的入侵。

事实上，这并非石油行业第一次和网络黑客“干架”。网络技术在石油行业的应用已有多年历史，石油公司遭到网络攻击的事件近年来屡见不鲜。石油行业历史上最严重的一起“被黑事件”的受害者就是全球最大石油公司——沙特阿美。2012年，一款叫作Shamoon的病毒袭击了沙特阿美石油公司，导致数小时内该公司3.5万台电脑上的数据被部分或完全删除。

勒索病毒再次敲响了网络安全警钟。早在2016年3月，绿盟官微就发布了一则勒索病毒紧急通告。他们为什么能够做到这一点？类似这样的病毒对工控安全影响有多严重？绿盟科技的技术总监王晓鹏一一作答。

工控等保规范急需有效且持续推行

2012年，绿盟和石化盈科合作搭建了工控仿真实验环境平台，双方针对类似勒索病毒的情况，展开了有关工控安全的系列研究。绿盟与大庆油田开展了远程数据审计项目研究，第一个真正地把设备部署到石油石化领域的工控现场。后期绿盟推出了一系列研究报告，如历年的研究报告、安全保障框架等，供业界相关专家参考，在业界产生一定影响，让用户看到很多工控安全的东西，第一次以安全厂商的视角看待工业控制系统的一些安全问题。

“国内很多工控安全事件，第一很难定位，因为没有技术手段定位，即使有些技术手段定位之后，客户一般会采用一种比较简单粗暴的方式去解决问题。”王晓鹏介绍说，“与传统的IT领域安全相比，工控安全更多体现为人的意识的问题。如扫描上位机的职责问题，涉及交叉部门之间的利益博弈，也涉及安全是深入里面还是徘徊在外面的问题。又如很多企业仍然没有做到有效隔离，忽略了一些边界安全细节。”

“工控历史远早于IT行业，而工控安全发展历程慢于传统信息安全发展。但石油石化领域对工控安全起步要早，比如国内最早应用工控防火墙、工业隔离设备的就是石油石化领域，”王晓鹏说，“工控领域要求业务的连续性、实施性都很高，国家制定的等保规范，不能完全适用于工控系统。需要新手段或者新方法，在原有等保的基础上加入很多工控要素和特点，才能真正有效保障客户业务系统的安全。”

新等保要扩展到工控、物联网、云计算、移动等领域，对分层隔离、强制认证，补充完善等保在工控领域的适用性。工控领域更新升级节奏慢于传统的IT系统，厂家定义的工控系统生命周期以十年为一个单位，而IT系统以年为单位，所以工控系统等保落地需要逐步过渡，过程比较漫长。

王晓鹏介绍，绿盟正参与制定工控安全等保标准，能源局、电子六所、浙大分别牵头测评指南要求、设计要求、基本要求等内容，预计年底或以行标或者国标的形式发布。

工控系统与安全相融合方是工控安全之根本

“边界防控与内部防控相融合，生产网和办公网相融合，纵深防护与厂商安全基因相融合，工业控制器与安全相融合等等，是工控安全的发展趋势。”王晓鹏说，“工控系统厂家与安全技术服务商相融合是解决客户本质安全的方向。工控安全逐渐由边界到纵深的发展，由边界逐渐向终端发展，应用更多的监视类、平台类、检测类的系统与工具，由工控厂商、安全公司、业主方联合支撑工控的发展。”

“除此之外，绿盟还积极与石油石化企业合作，参与工控安全的整体规划，应用一些检查设备协助相关领域进行安全检查，也为客户提供在线监测类的产品或工控安全评估服务，帮助他们检查系统中的安全问题。”王晓鹏说。勒索病毒事件发生后，绿盟发现石油石化很多工控系统的边界不是很分明，生产系统和控制系统之间的隔离不充分，策略配置不完备，存在跨网传播的可能，个别上位机DCS系统发现了疑似病毒。绿盟帮助客户逐一排查相关系统的问题，有效阻止了病毒传播，减少了由于病毒传播带来的影响。

有效预防是工控安全的保障

“很多攻击是逐渐蔓延同时爆发的，勒索并非一蹴而就。石油石化企业爆发的勒索病毒事件原因在于缺少对于网络环境的即时感知。如果当时现场布置了异常行为审计产品设备，它就能够有效监测到这个情况，对工控系统漏洞的管理和配置、补丁管理等就会更及时更精确更全面，减少客户损失。”王晓鹏说，“通过勒索事件，可以看到工控安全的价值，提醒企业要高度重视工控安全。”

绿盟从2010年接第一个项目开始，一直在做工控安全的服务，帮助客户有效地去建立一套针对自己业务系统的安全保障能力和安全应急能力。“工控安全是一个过程，不能只看表象而忽略过程。”王晓鹏说。

绿盟的工控防火墙、加油站专用防火墙、工控隔离设备、工控漏扫、工控监视平台、工控配置核查等产品在石油石化领域有很多应用，结合工控配置的一些核查工具，帮助客户发现问题，探视收集分析漏洞，及早定位风险并预防预警。“石油石化企业工控系统一旦遭受攻击之后，其结果是无法承受的，所以工控系统安全的事前感知、事中防护就显得非常重要。”王晓鹏说。

工控安全，意识先行

工控安全最大阻力是工控设备的专用属性，它一方面让客户受供应商的影响和限制，另一方面涉及部门之间、行业之间的博弈。比如责任问题，负责IT系统的人员不承担工控责任，而负责工控的人员不承担安全的责任，这种情况下，影响了工控安全推行速度。绿盟在这方面做了很多尝试，也与工控厂商协商联合做相关系统改造，提升工控系统兼容性，满足客户对安全的需求。“在工控领域中，需要突破创新，想新办法解决新问题。”王晓鹏说。

随着国家政策、行业政策深化以及不断出现的安全事件，客户的工控安全意识在逐渐增强，很多边界防护项目开始由生产部门在驱动，工控系统呈现出多元化、专业化、属性化的发展趋势。

“绿盟的P2SO也逐渐从产品向运营方向发展，逐步完善产品结构，满足客户专有属性，而不是通用化的产品，一定为客户提供符合客户实际需求的解决方案，把产品或服务的全生命周期能力逐渐赋能到客户系统里，帮助客户提升自己的安全能力。”王晓鹏说。

按照绿盟的产品架构理念，底层的架构基本上是恒定的，而上层把更多的场景定义为相关的APP，这种松耦合的结构可以快速适配客户不同需求，快速响应客户解决安全需求。

绿盟科技为工业企业客户提供全方位的安全保障，涵盖了从安全服务到安全生产的全套解决方案，为客户的系统安全运行保驾护航。

（本文为广告）