作者:何跃鹰

1、缘起

2019年6月28日,第八届CNCERT网络安全应急服务支撑队伍遴选名单正式公示。其中,工业控制领域是有史以来第一次遴选,相关工作具体由CNCERT下属“工业控制系统网络安全应急技术工信部重点实验室”负责组织。

说句心里话,就我个人而言,对于组织各种大型研讨会议、评选颁奖活动乃至行业或领域联盟,一向都不太热衷;甚至潜意识里还有些许反感:这些活动往往需要投入大量的人力、物力,如果把大部分时间、精力耗费于此,又怎么可能踏实搞研发、做产品、建系统呢?然而,站位于中央网信办,面向国家网络空间安全,CNCERT确实又有责任去推动和引领整个安全产业为国家及行业服务。基于此,经再三考虑,我们还是决定动员全室之力来促成此事。

先明确一下我们的目标,即:不断促进领域内相关单位的网络安全技术研发进步、推动安全产业健康发展;逐步改善关键基础设施运营企业的安全防护状况;切实提升关键基础设施领域的安全攻防能力。这也是我们开展这项工作的初心。

在目标确定后,接着就要确立评选原则。简单说就两条。

第一,公平、公正、公开,先公后私。所谓公平,就是评选规则要尽量公平,尽可能地照顾到参评的各家单位的特点,让大中小三类、研究/产品/服务等不同型态的优秀企业均可以找到自己的定位,有机会加入到我们的支撑服务队伍中来。所谓公正,就是评选过程中一定秉持公正,不但我们的工作人员要秉持公正,对我们邀请的评审专家,主要也是反复强调公正。所谓公开,就是规则、程序、结果都进行公示,任何相关方如果有异议,我们均接受其申诉或质询。所谓先公后私,就是国家、行业利益要摆在中心的部门利益之上,但同时,我们做这项工作也是为了推动中心的相关工作,这是我们的一点私心。

第二,统筹兼顾,科学有效。即要兼顾国家、行业、中心的需求,统筹考虑各种因素,比如行业需求的紧迫度、服务支撑的地域性、服务能力和服务态度等等。当然,要满足所有这些考量条件,就必须有一套科学有效的评选方案。

2、历程

本次遴选活动,我们将工业控制领域又细分为三个行业,即:电力、轨道交通和生物医疗,分别设置工作组。主要原因有两个:

第一,这三个行业都属于国家关键基础设施,与我们的生产、生活都紧密相联,网络安全需求非常紧迫。虽然有些行业,比如轨交和医疗,对于大多数安全企业都是非常陌生的,但我们正希望通过这次评选能让大家关注到它们,投入更多的资源去做好它们的网络安全保障。

第二,每个行业的行业形态、系统特点和安全特性都是千差万别,它对于为其提供安全支撑服务的企业的能力要求也是不尽相同的。我个人看法,不区分行业甚至进一步细分到不同环节领域(如电力分发电、电网、用电),而是笼统地谈工业信息安全或工控安全,都是一种不专业、流于形式的表现。为此,我个人一再坚持,必须分领域来评选网络安全服务支撑单位,虽然这在我们单位内部也一直不为各级领导所理解和认同。

企业报名

电力组最为踊跃,共有33家安全企业报名,经形式审查后剩下29家进入专家评审环节,为保证评审质量,我们特意安排了两天评审时间。此外,轨道交通组有13家、生物医疗组仅有7家。总的来说,这个报名结果并不出乎我意料,只是我们报名公示提到要在每个组评选出6~8家支撑单位的预期恐怕就会落空了。

专家筛选

电力组共8名专家:系统内4名(国家中心和省分中心各2名),行业4名(能源局信息中心、电力建设设计院、高校、其他行业各1名)。轨道交通组共7名专家:系统内3名(国家中心1名和省分中心2名),行业4名(铁路总公司、铁科院、北京地铁、中国中车各1名)。生物组8名专家:系统内4名(国家中心和省分中心各2名),行业4名(卫健委、生物中心、医院、研究所1名)。其中系统内的专家,之前多参加过CNCERT历届评审,基本上是网络安全一线从业人员;行业专家也是各相关机构或企业负责网络安全或信息化的主管,他们对各领域的安全需求非常清楚。总体来看,在专家的选择上,只唯实不唯名。

评选过程

因为我们全部工作人员事先统一了思想,并做了充分的准备,在6月20~21日两天的评选过程中,总体来说还比较顺利,没有出现什么纰漏。这里,首先要感谢全部的工作人员,他们做了大量细致、耐心的工作;其次要感谢全部的评审专家,他们许多人甚至从外地赶来,全程参与冗长且有点乏味的评选工作,保证了评选质量。

评选结果

三个工作组从三个行业领域(电力、轨交、生物医疗)分别评选出(12/7/4)家支撑单位,去重后共有18家单位入选,发放“CNCERT网络安全应急服务支撑单位(工业控制领域)”的牌匾,针对不同行业的入选单位还将分别发给不同的证书。牌匾与证书主要表明了CNCERT对相关单位在相应的行业领域的网络安全服务能力的一种认可,而这种认可能否转化为行业领域内广大业主公司的认可,则需要我们一起共同努力。

序号

电力

轨道交通

生物医疗

1

南网科研院

中国通号

哈工软

2

北京安天

北京交通大学

天融信

3

海康威视

启明星辰

四叶草

4

国网联研院

天融信

网神

5

天融信

中科网安

6

启明星辰

上海控安

7

信联科技

新疆天山智汇

8

绿盟科技

9

中科网安

10

网神

11

重庆贝特

12

天地和兴

结果分析

从上表可以看出,本次评选,最后入选的单位具有典型代表性:有行业内的安全机构(如南网科研院、国网联研院、中国通号),有传统领域的知名安全厂商(以产品或研发见长,如启明、天融信、安天、绿盟等),有专注工控安全的新型企业(如信联科技),有以渗透或漏挖见长的服务型公司(如四叶草等),有高校背景甚至院士领衔的偏研究型公司(如上海控安、北交大等),有国企(如中科网安)或混合所有制企业(如奇安信旗下的网神),有发电领域的代表(如天地和兴),有设备厂商的安全团队(如海康威视),也有区域性的代表(如重庆贝特、新疆智汇)。这些单位的入选,都是专家评审出来的,有一定偶然因素但也有其必然性。事实上,在我看来,那些看上去众望所归的单位之所以最后落选,也有其内在必然性和合理性。

3、反思

思考感受

为了保证评选结果的公正性,我们组织了工作人员对所有专家的打分进行了仔细复核,我也挑选了部分公司的PPT讲稿和申报材料仔细阅读。结合我在电力组参与评选的观察,谈几点个人感受与看法:

第一,行业内专家对本行业的安全公司认可度普遍较高,事实上他们准备的案例材料确实也更加充实而具有明显优势。总体看来,绝大多数传统安全厂商在工控领域的研发投入均显薄弱,在行业内应用推广也略显不足。因此,安全厂商要想得到各行业业主的认可,还需要更多的努力。

第二,绝大多数老牌的安全企业综合实力普遍较为雄厚,经验也更丰富、材料明显好于新来者。但也有个别的国家级安全支撑单位在工控领域表现乏力,仅仅只能靠堆砌它在互联网安全领域的案例甚至严重浮夸乃至造假,事实上这种虽然可以误导少数专家但仍逃脱不了多数专家的法眼。

第三,个别单位的财务数据存在明显漏洞,与其申报讲稿上的研发、经营活动之间有很大的差距,且无法给出合理解释;这就直接影响了专家评分甚至可能导致落选。

第四,需要特别指出的,我们对各种造假行为,无论是技术方面还是财务方面,采取零容忍并将在下一届的形式审查中加大甄别力度。同时,我们将更严格甄选专家,凡是发现其打分偏离值超出正常范围,则会将其拉入黑名单不再邀请。

改进方向

针对上述情况,我们之后准备从以下三个方向进行改进。

第一,完善考核方法与内容:日常考核(50%)—行业访谈(20%)—专家评审(30%)。尽可能地降低主观因素的影响,提高客观考核的比重。

第二,加强与安全厂商的技术合作,通过合作中的表现来对其进行考核。如:网络安全技术研发能力(技术交流、课题合作)、产品研发能力与质量评估(设备检测与认证)、安全服务能力评估(人员培训与委托服务质量考核)、对中心的支撑服务(ICS-CNVD安全漏洞报送或验证,恶意代码样本共享或分析)。

第三,加强与行业业主的交流合作,通过从行业里获取的反馈来考核。如:产业推广贡献与服务质量反馈、行业网络安全报告或事件通报贡献度,网络安全事件处置贡献度。

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。