你见过针对“风电”的工控安全攻防赛么

工控亿点点

上周末，一场特殊的信息安全攻防赛在华北电力大学举行。



能源行业的生产和控制系统是我国重要的关键信息基础设施，这一点自不必赘述，但聚焦如电力、石化等某一细分领域的工控安全攻防赛，在中国甚至是全球也并不多见。虽然各种形式网络安全竞赛近些年层出不穷，但这场比赛的特殊性， 很大程度在于选手们的攻击目标，是一个由担负电力行业等保测评重任的华北电力大学信息安全工程实验室研发，可以显示风速、发电机线圈温度、传动轴温度、平均浆叶角距等20余个实时参数，非常逼真的风力发电机仿真系统。





国家能源局电力安全监管司司长童光毅在开幕致辞时表示，此次比赛是进一步夯实电力行业基础安全，推进电力工控系统安全防护工作的重要行动。不仅有利于普及电力工控系统信息安全知识，选拔优秀人才，促进合作交流，更为网络安全主管单位、科研院所、工控系统用户以及工控安全厂商提供了一个非常好的交流平台。



童光毅

公安部网络安全保卫局祝国邦副处长则表示，希望通过此类实战性攻防演练，进一步提高各界对关键基础设施保护的重视程度和投入力度，为应急响应工作提供经验，发现和解决安全问题的同时，做好网络安全人才队伍的培养工作。



祝国邦

据了解，此次工控安全攻防赛（恒泰实达杯全国第三届工控系统信息安全攻防竞赛），由公安部信息安全等级保护评估中心和华北电力大学信息安全工程实验室联合主办，北京卓越蓝军信息安全技术发展有限公司承办。同时，该竞赛还得到了多家安全厂商，如安点科技、绿盟科技、蓝盾、新华三、卫达安全等的技术支持。

能源安全高峰论坛的五大议题

比赛开始前，是来自比赛主办方和工控安全厂商的议题分享。从监管、前沿技术、厂商解决方案这三个角度，将内容精简如下：

监管角度：

1. 《新形式 新等级保护制度 保障关键信息基础设施》

公安部信息安全等级保护评估中心主任助理 李明博士



网络安全等级保护制度的实行，和在其基础上对国家关键信息基础设施的重点保护，是由《网络安全法》明确的。据李明博士介绍，等级保护工作由来已久，随着等级保护条例即将发布，配套管理规范编制工作的启动，等级保护政策体系也在进一步细化和完善。

在内容方面，等级保护2.0的变化，主要表现在等级保护对象的延伸（包括云计算安全、工控安全等），以及相关政策和管理规范的不断完善。



前沿防护思路：

1. 《IoT及其安全》

密码学家、信息安全专家卿斯汉教授



在卿斯汉教授看来，面向“物”、“互联网”和“语义”是理解物联网的三个角度。当前，云与众多不同的设备相连接，需要一种新的健壮物联网安全架构，来保障设备的安全性。

从设备与云连接的方式来看，除了与云网关的直连外，还可以以Field网关或“Field网关+VPN”为中间代理的方式，连接云端进行数据交互。

“

Field网关可以对访问和信息流进行主动管理，实现本地设备的处理和控制，以及过滤和聚集设备遥测数据。Field网关是网络连接或会话的终端，这是它与NAT设备和防火墙非常大的不同点。

在IoT设备的芯片层面，卿斯汉教授认为通过TPM可信计算模块实现的健壮物联网(RIoT)有时是不切实际的，因为不存在永久的隔离环境。而是要通过DICE（设备标识符组合引擎），基于可变代码生成的CDI（组合设备标识符），从设备生产商的证书，到之后每一个boot层，以“测量->报告”的方式形成证书链，证明设备身份和boot软件。它的好处在于，通过DIEC引擎和ROM中的第一层可变代码，可以安全地认证和更新boot应用，并可以通过CDI传递和检查签名时间戳的方式，进行数据迁移和防止回滚。



2. 《基于可信计算技术的新能源安全防护实践》

华北电力大学信息安全工程试验室副主任 刘韧博士



国际上，可信计算联盟(TCG)在2003年成立，成员包括AMD、联想、IBM、Intel等主流IT厂商，现已推出的成熟模块是TPM2.0。而中国也在国密局和安标委的指导下，制定了相应的标准规范。

刘韧认为，工控安全目前已经从单一的系统隔离，过渡到了多种监控技术并用的纵深防御阶段，并期望通过可信计算环境的构建（即以可信计算为基础，访问控制为核心，安全管理为支撑），实现对工控安全的检测预警和基于控制行为的动态防护。最终的目标，是实现以威胁情报为基础的工控网络安全攻防可视化。





可信计算在工控领域应用的核心思路，是在工控主机上构建信任链。从最底下的硬件层的TCM可信密码模块，往上到内核层的度量、管控模块和TCM驱动，最后是最上层与客户端界面GUI连接的应用层度量代理（监控度量日志）、内核接口库（管理进程白名单）以及可信软件库（可信功能调用）。



特别在USB接口管控方面，通过与TCM芯片的交叉认证，授权USB设备只能在合法主机运行，合法主机也只接受授权USB设备的数据传输。以此，来实现内部移动设备的安全管控。

安全厂商解决方案：

1. 《数据驱动的工业信息安全防护》

360工业安全产品线副总监 王弢



根据不同的工控系统对关键信息基础设施的划分：



安全产品的协同联通防御体系的构建思路：



360以“安全运营”为中心，以威胁情报驱动，以协同联动为基础够构建的工业安全防护体系：



2. 《打破IT与OT壁垒 构建可运营的工业信息安全》

绿盟科技工控安全产品部总监 王晓鹏



IT与OT系统的安全关注点差异，在于IT系统多以资产为核心，着重保证信息安全的保密性、完整性和可用性；OT系统则以业务连续性为核心，保障一定失效概率下系统的正常运行。



恶意软件对工控系统的显性和隐形影响，以及处置方面的困难：







“

安全不是盒子，是持续和业务融合的过程。

绿盟认为，融合业务运行过程中的安全要求，以及业务和合规性驱动的安全需求的可持续性安全运营，是对业务的重要保障能力。安全运营有以下四点重要措施：

业务风险管控

持续运行的监测能力

有效的应急处置

一体化的安全检测与可视（通过app的远程监控）

决赛：渗透安全加固后的风机仿真环境

回到比赛。目前我国风电装机容量已达到1.5亿千瓦，位居世界首位，迅猛发展的同时，其对网络安全威胁防护能力却弱于火电和核电。调度和监管部门组织的安全检查，也针对相应问题给出了断网解列、停机检修、限期整改等处罚。这对风电场的控制系统的安全防护能力提出了更多的要求和挑战。

此次针对风电生产系统的安全攻防与仿真演练平台，结合了华北电力大学对可信计算在工控领域应用的研究成果，自行研发的一整套半实物系统级风机仿真环境（包括对风机的仿真、监测、风功率预测和综合自动化系统），以及安全厂商的工控安全防护产品，通过渗透的方式，来检验各子系统的防护效果。



参赛队伍方面，58名来自企业/高校/研究所的选手，组成15支战队，参加预赛，排名靠前的4支战队将进入决赛。

预赛阶段，所有参赛队伍需对一套具有风电场常见的重要设备缺失、非法外联、远程维护等高危安全场景的工控系统在规定时间内（180分钟）进行渗透，实现不同难度层级的目标。难度层级越高，排名越靠前。

预赛层级判定：

1. 取得风功率预测系统后台机操作系统的管理员权限，并新建名为“EICS+队名”的用户

2. 取得综合自动化系统后台机操作系统的管理员权限，并新建名为“EICS+队名”的用户

3. 使风功率预测系统后台机能够与PLC1通讯

4. 造成PLC1外接指示灯绿灯状态发生改变（由亮变灭）

5. 造成PLC1指示灯状态发生改变（由亮变灭）

6. 发现风机监控系统工作站IP地址

7. 取得风机监控系统工作站操作系统的管理员权限，并新建名为“EICS+队名”的用户

8. 篡改风机仿真系统风速的正常数据，并造成报警

预赛某一时间的成绩公告

决赛赛制则是在预赛环境的基础上，采用了包括工业防火墙、可信计算模块（用于加固综自远动机）、内网主动防御等多种安全手段，参赛选手同样需在规定时间内（300分钟），完成不同难度的攻击目标。

决赛层级判定：

1. 获取运维工作站操作系统的管理员权限，并新建名为“EICS+队名”的用户

2. 获取风机监控系统工作站操作系统的管理员权限，并新建名为“EICS+队名”的用户

3. 篡改风机仿真系统风速的正常数据，并造成报警

4. 获取综合自动化系统后台机操作系统的管理员权限，并新建名为“EICS+队名”的用户

5. 造成PLC外接指示灯绿灯状态发生改变（由亮变灭）

6. 获取远动机操作系统的管理员权限，并新建名为“EICS+队名”的用户

记者在决赛开始前，还有幸采访到了负责此次比赛所有工业防火墙支持的安点科技技术实施经理高健峰。高健峰表示，此次决赛的8台工业防火强分别部署在了风机监控系统与综自系统之间通信干路（位置1）和调度端（位置2）。



安点工业防火墙

位置1的防火墙配置为白名单策略，结合对modbus的指令解析，对攻击者通过接入风机监控系统获取到综合自动化系统与调度端的数据的行为进行阻断；而位置2的防火墙则为确保调度数据不被任何形式的窃取和篡改，拒绝一切未经允许的通信。

最终，进入决赛的4支队伍，只有全球能源互联网研究院代表队拿到了决赛第二个层级判定，获得了冠军，辽宁北方实验室代表队获得了亚军，北航计算机学院代表队和清华紫荆花战队获得了季军。



冠军：全球能源互联网研究院代表队

安全牛评

此次的工控安全攻防赛，内容上聚焦风电领域，在比赛环境的真实性、相关细分领域安全厂商的参与度、高校科研力量和等保测评等监管机构联合在主导和前瞻性，以及通过参赛队伍渗透来检验科研成果的思路，相较于其它比赛，都有非常鲜明的特点和较大的突破。同时，这场比赛对工控安全和电力行业的意义（安全防护经验的积累），以及这种贴近细分行业业务需求、监管部门和高校主导企业参与的办赛模式，也是值得肯定和期待的。