《两化融合的安全保障之道——实战固·隔·监》

今天我和大家分享的是两大融合的安全保障之道，实战”固、隔、监”。不知道今天来的人是做信息安全还是工业控制系统的，在我十月份上班以后就奔赴了三个地方为大型国有企业做过大型的交流。

我的从业经验和程总比较相似，原来是做信息安全，现在做工控信息安全。我在十一以后的三次交流，比较大的感受是下面坐的人群不仅是搞信息安全信息中心的，还有搞控制系统的，比如是设备处或者是他们的机动处（石化领域的机械动力处），随着发展还来了仪表处。在这种情况下，我们要讨论一下，为什么会有这么大的行业融合，实际上和我们的两化融合是紧密相关的。

谈到两化融合，从十八大开始：推动量化深度融合、坚持四化同步发展。

本来这个想讲多一些，包括我们的环境问题、资源问题和以劳动生产率为核心的竞争问题。我们最早做机械电器到后来的自动化，是因为技术的发展，而且技术发展越来越融合了我们的信息技术，在这种情况下，生产效率问题、环境问题以及我们现在碰到的资源问题变成了我们现在无论是国家还是企业都大力推崇的一个方向。

从这里面我们看一下机械化。我举个例子，2012年我代表国家做了一些工控系统信息安全大检查。我当时去了水务行业、石油石化行业、电力行业，我以水务行业为例。我们去到那个大坝上，站控系统上就有这种机械式的，出了问题或者有水来的时候，他们可以通过手摇的方式把相应的闸门打开，这是最早机械化的，真的就是机械动力。如果说是水来了打不开怎么办？他们说可以把大坝的钩子钩在汽车上，用汽车带动，纯粹是机械式的。

再往后看就有了电气化设备。它的站控系统实际上和它的电动机捆绑在一起，用这种电气化设备带动机械化设备，更重要的是它的电气化不仅仅是电动的方式，还有仪表，它要看水位包括看水质，把它的一些状态通过电气方式传过来。

再往后是自动化层次，这个层次更多的代表了生产力。我们看水务系统的时候，我们看了他们的一些最新的自动化站，这里面他们推崇的是无人值守。当水位达到一定程度的时候，下面的闸门是能够开启到一定的程度，能够保证水位的正常。同样，如果说下面的仪表发现了一些其他东西，他们也会做其他的操作，所有的这些操作都事先写入了PIC，他们的站控系统就是一个很小的PIC。

在这里已经变成了自动化生产和自动化状态，但随着信息技术的介入，我们现在看到的最新的技术已经是信息化的技术了。举个中石化的例子，前两天和中石化的领导在讨论中石化九江分公司正在推这种智能化工厂，什么意思呢？每天早上他们看到的表都是实时的表，最早中石化内部看到的所有生产数据都是晚上六点的数据，现在他们一上班以后看到的都是早上六点的数据，九江这种智能化生产推的是更实时的数据。我们以前到自动化生产的时候，更多的时候是把我们这些数据通过人工手抄或者机械手抄传上来，现在领导在办公室一上班看到的都是我们实时生产的数据。我们的大规模生产已经步入了数字化、智能化和网络化的时代。

现在的工业控制系统无论是西门子、施耐德还是国内的正大中控和和利时都在推出WEB的技术，我们搞信息化的人知道，这种WEB技术非常方便，厂商使用的操作系统是windows7、2008，用这种操作系统为了更加方便的让用户使用，所以在用传统的操作系统越来越多，用传统的通信方式越来越多。我说的传统是指IT的通信方式越来越多，带来的好处是信息化条件下两化融合，这是未来的企业必由之路，因为作为领导决策和下命令来说他们需要各种各样的数据的支持，在数据的支持下，如果是在信息化条件下，刚才我说的windows的所有的系统，包括它上面的工业系统都会带来更多的问题。

在这里自动化和信息化深度融合正在加速，但同样的工控信息安全的威胁也是正在加剧。这里面有一个数据，这实际上是在2013年的数据，1%的提效能够创造1万亿美元的市场，这1%的提效其实就是自动化和信息化的发展，同样的，刚才在刘总的PPT里总结得更好，因为我这里只是总结了一些火焰病毒、毒区病毒和震网病毒，刘总刚才总结了一个蜻蜓病毒还有斯诺登事件，这就是一个俄罗斯的蜻蜓病毒针对北美的定向攻击。

我们如何做到两化的信息安全保障，我们提倡固隔监，只从字面理解是加固、隔离和监控，很多东西我感觉我和刘总在工控信息安全问题上认识是高度一致，我们采取的办法虽然名词不一样，但走得路和采用的措施也是一样的。

这里我提到一个安全可控，这是2012年工信部副部长杨学山提出来的，我们在做国内的信息安全大检查的时候当时带着的任务是要看到我们国内的信息系统是可发现、可防范、可替代的，可发现的意思是说能否通过这种大检查看看中国的工业控制系统存在哪些问题，作为信息安全保障来说，我们能否做到对这些问题的可发现。换句话说，可发现了以后，我们后续能否可防范？最后对这些关键基础设施里面采用的控制系统或者说关键基础设施里面采取的信息安全措施能否做到可替代。

整个这里面有方案设计、系统集成、产品销售、风险评估、系统服务。在我来看工业控制系统信息安全为什么这么大的受到关注，就像陈总开场白说的一样，现在工控系统信息安全吸引了越来越多的人参加，有传统做信息安全的，有传统做工控系统的，我是作为传统做信息安全的切入到这个行业中来，我发现无论从历史、经验和积累来说工业控制系统都是非常深厚的，甚至是远远比我们信息安全或者说IT信息技术发展的更早的一个行业，一旦这种融合了以后，我们认为在未来工业控制系统信息安全是一个巨大的蓝海。

我们做的固，信息管理层和生产管理层这里我不展开了就是我们的过程控制层如何做到加固，这种加固是对设备本身、系统本身的加固，还可以是通过我们正在运行的系统里面做到一些技术防范的加固。

隔离，工业防火墙，刚才刘总谈到的纵深防御，第一个就是区域隔离，区域隔离里我们是怎样判断哪些区域之间需要隔离的，通过什么样的方式来隔离，隔离以后能不能达到效果。同样，在我们的工业防火墙里也应用的是白名单技术，在我们的网络内部也适用工业监控系统，虽然名词不一样，但理念方法是一样的。在我这么多年做工业控制系统信息安全，我最深的感触是什么呢？刚才刘总提到的国内一家石化公司，其实他们在里面用了一个WLAN技术，这种WLAN技术包括防火墙隔离都是信息安全里最基础的技术，只要做信息安全的，在你们的企业内网必须要划分这种WLAN，但在工业控制系统能否划分呢？包括我们的防火墙，从最初的代理防火墙、状态监测防火墙，防火墙技术发展到现在和其他技术融合，适合不适合放到我们工控信息安全领域。我们如何把信息安全技术应用到控制系统里来，这在我看来是最大的挑战。

同样，高剥离（音）防火墙就是在我们传统和工业信息系统网络里应用最多的一种方式，我反过来问代理防火墙能不能用，IT技术的TCIP协议，控制系统也是走TCIP协议，但是控制协议里面1max  TCP、Offnet这些控制协议能不能使用代理，能不能使用状态监测，我们现在的回答是不能，如果是在不能的情况下，我们怎样做到把信息安全技术应用到控制系统里面，同时保证控制系统可运行，同时保证信息系统的连续实施性，这个是我个人在做这么多年工控信息安全里遇到最大的挑战。

刘总刚才提到了在控制系统里装防病毒，大家都知道做信息安全技术的老三样，防火墙、ADS、防病毒，这老三样技术第一个防病毒就不能应用到控制系统里。在我们做的大量的监测和实验来看，我们很多核心进程的反应速度相当快的，这是为了保证它的实时性和可用性做的设计，这从防病毒软件来说类似于病毒，很有可能把它直接杀掉了。所以，在控制系统里不适合装防病毒，那么有病毒了怎么办？U盘带来病毒怎么办？同样的，防火墙你如何针对控制协议进行监控，如何针对这些控制指令进行监控，我们现在在IT技术里，无论是老三样还是新三样，还是整体的安全防御，里面的大量的技术是不适合应用在系统里，我们如何做到预知、本质安全和整体的信息安全呢？

所以我们提出了固隔监，在固隔监的基础上，我们需要对控制系统首先掌握现状，这个在我前三周和企业交流的时候，我们提到的第一个是先要掌握现状，你的现状是什么？你有哪些关键工艺、哪些漏洞和隐患，如果你是一个已经运行了十年的系统，你还运行的是SP操作系统，你还运行的最早的甲骨文的数据库的时候，你有没有这样的漏洞和隐患，升级过吗？肯定是没升级过，防病毒是绝对不装的，他们如果有问题和隐患怎么办？对于这些关键工艺，我们在做信息安全的时候都知道，有一个信息安全资产问题，哪些是你的重要资产，对于控制系统来说哪些是关键工艺，这都是我们要考虑的问题。当我们拿到传统IT信息安全技术的时候是不能随便放上去的，是要考虑到客户的实际情况，要针对这些实际情况去判断它的关键工艺，根据它的关键工艺查找它的漏洞和隐患，同样一个漏洞可能在石化行业里是一个会产生大影响的，可能在钢铁行业就不会产生大影响。在这个时候我们就要评估有哪些风险。

漏洞如何被利用，漏洞是否被利用，漏洞被利用后产生什么样的后果是作为用户对关心的问题，作为这些问题我们如何做安全加固，我们如何做产品部署。所以，我们也是说固隔监本身就是应用了相应的标准，有国家标准、地方标准、行业标准。比如即使是同样的石油行业，我们也看到石油行业里有采油、输油、炼油、运输和销售，这里面的每个环节应用的工业控制系统是不一样的，这里面每个环节关心的内容也是不一样的，在这种石油石化、钢铁、轨道交通、核电、电网、烟草，我们曾经统计过一个西门子的漏洞，同样一个西门子的漏洞在石化行业里，以及在轨道交通行业里都是有应用的，但是他们产生的效果是不同的，产生的后果是完全不一样的。

拿石油石化来说，我们现在的”三桶油”都有他们自己的油网，一个西门子漏洞是很有可能被远程利用的，但在轨道交通里是不会被利用的，因为我们的北京地铁、上海地铁这些系统是相对封闭的，和外面是绝对隔离的，同样一个漏洞和隐患产生的后果是不同的，被利用的路线也是不同的。

我们现在在做国核的一个项目，核电有一个很有意思的例子，核电的一个监测系统为了保证它的传输的时效性，它使用了无线的技术，他们和我们沟通的时候说我们是利用了现有的信息化技术去实现核电技术的应用，他们当时给我们说的时候，沾沾自喜。我们听完这个以后说你这个尽快撤下来，因为它那个系统连接了它最核心的一个运行系统，无线技术大家都知道，我们做IT系统的人都知道，无线技术本身有很多的漏洞，通过这种方式直接可以进入它的最核心。

我们该怎么做呢？工业防火墙、工业监控系统还有更多的技术，比如可信技术和其他的一些技术，在我们为什么没有采用那么多，因为我们是希望能够利用我们现有这种信息安全技术的积累，以及利用我们对工业控制系统的了解不断做应用。

这里我特别提一下沙盘技术。我们从检查，按照杨部长当时说的可发现、可防范、可替代，我们做到可防范的时候就在讨论测试床沙盘的问题，这是一个石油石化系统的沙盘，为什么要建沙盘？我们2011年开始检查到2012年进入大规模检查的时候，到客户现场遇到最多的一句话是说你别动我的东西，动了出问题算你的。去北京地铁的时候最后是副市长打电话过来，去了一些石油石化系统说我要停产了，这炉料就废了，你的责任还是我的责任，所以当时没有人敢动。但因为当时是国家检查的，我们即使动也是有限的，这种情况下就把他们现场所有工艺拿过来我们去做仿真，我们看看到底有哪些问题。

除了纯仿真之外还有半实物半仿真系统。这个是我们做的一个石油系统，应用在石油石化里面，他们是做管线的蒸汽管网。这里我们把它拿过来看就要看使用了什么样的控制系统，使用了什么样的产品和工艺。这里面工艺上有没有漏洞，你使用的协议版本上有没有漏洞，你使用的控制系统的产品有没有漏洞，甚至你配置的策略上有没有漏洞。在这个基础上，我们后来不惜血本搭建了一个完全一比一的仿真的，在这种方针的情况下，我们做的是这种攻防演练，在石油炼化里，我们部署的安全产品要对现有生产影响最小化，这个因为刚才刘总也介绍了一些，我就不展开讲了。

这个是石油石化的一个典型拓扑图，我们的产品部署在相应的控制网内部和控制网边界处，还有钢铁，钢铁更多的是宏观网和企业网办公数据过滤。在这里我给大家说一个，上个月国家有一个大型的国企刚刚中了一个病毒，一千多万的损失，三天停机，这个病毒是2009年冲击波类型的病毒，全网瘫痪。

这是钢铁技术一个实际的环境，这里面是一个热轧工艺，这是我们的防火墙的部署位置。

还有是轨道交通。其实刚才刘总说的是一个环网的，在这里面一般是有两个环网，一个是信号系统，一个是控制系统。在这种信号系统里面，我们的列车最担心的就是碰撞，所以信号系统有很多安全等级是三到四级的系统，这里面对它的安全要求非常高，还有它的控制系统。这里面轨道交通出了信息安全问题，我可以给大家说两个。还记得前两年的北京地铁的”王鹏你妹”事件，那个就是典型的信息安全问题。还有深圳地铁大面积停用也是一个信息安全问题，因为它使用了Wi-Fi干扰了信息安全系统，这都是典型的信息安全问题，但我们和他们交流的时候他们说这属于生产故障，不属于信息安全问题。我们去北京地铁检查的时候，给我们展示的现场和图纸都是说他们的培训系统、演示系统完全是属于隔离的，我们刚检查完就说结论是连着的，否则不会出现”王鹏你妹”那个事。这是在我们的工业控制系统里是必须的，现在的工业控制协议常用的有十几种、二十几种，我们的监控系统是零风险部署，即使在不停机下也可以运营。我们做到的是威胁定位，哪个机器中病毒了，在最短的时间内我们能够知道谁中的病毒，对谁做的病毒。

我上海三零卫士信息安全有限公司的程鹏。上海三零卫士是从2009年开始做工业控制信息系统的信息安全，我们是中国电子科技集团公司第三十研究所，成立于1965年，成立的时候属于总参，目前习大大桌面上两部红机，其中一部红机的加密技术就是我们的第三十所做的。中电科是当时电子部合并到工信部以后把所有涉及军工的研究所合并成为中国电子科技集团，篇名用的是合并的中国电子科技集团，我们公司是中国电子科技集团下属的中国电子科技集团第三十研究所的上海三零卫士信息安全有限公司，我们公司和团队是专门研究工业控制系统信息安全的。

谢谢大家。