文│ 国家工业信息安全发展研究中心 程曦 杨帅锋 于盟

2019年11月29日,中共中央政治局就我国应急管理体系和能力建设进行第十九次集体学习,习总书记强调应急管理事业长远发展的重大理论和实践问题。近年来,网络安全作为国家安全的一部分,面临着事件频发、风险加剧等严峻现状,建立事前精准预判、事中及时处置、事后快速恢复的网络安全应急保障能力已成为世界各国的共同关切。美国、欧盟、北约等国家和组织纷纷开展网络安全应急演练,聚焦提升关键制造、交通运输、电力等工业相关领域的应急响应能力,持续锻炼壮大专业应急队伍,着重培养攻击防护、及时响应、协同处置等能力。随着网络技术不断融入工业生产系统,随之带来的工业信息安全成为不可回避的话题。目前,我国工业信息安全事件应急演练相关工作还处于初步阶段,相比美国等发达国家,演练方式单一、专业应急人员数量缺乏、应急保障能力薄弱等问题较为突出,亟需建立完善工业信息安全应急保障体系,加快提升应急保障能力。

一、国外网络安全应急演练聚焦提升工业信息安全应急保障能力

当前,暴露在互联网上的工业控制系统及设备数量有增无减,病毒、木马等网络安全威胁不断向工业领域渗透蔓延,制造、能源、化工等重要领域的工业信息安全漏洞高发,震网病毒入侵伊朗布什尔核电站、乌克兰电力系统被恶意软件攻击导致大规模停电、“魔窟”(WannaCry)勒索病毒席卷全球、工控恶意软件(TRITON)导致能源工厂停运等工业信息安全事件层出不穷。2019年以来,委内瑞拉停电事件、挪威铝业集团遭受勒索攻击、“熔断”“幽灵”漏洞威胁工业互联网平台安全、美国天然气输气管道遭供应链攻击、台积电三大基地遭勒索软件攻击等事件不断敲响工业信息安全警钟。

面对严峻的工业信息安全形势,美国、欧盟、北约等国家和组织高度重视工业信息安全应急保障能力建设,纷纷开展应急预案编制、应急演练、安全培训、安全竞赛等活动。其中,应急演练具有验证预案有效性、锻炼培养人才、提升队伍竞赛水平等综合效果,备受国家和组织的青睐。当前,国外“网络风暴”“网络卫士”“锁定盾牌”“网络神盾”等网络安全应急演练都十分关注工业信息安全,例如,“网络风暴”一直强调关键基础设施的抵抗能力,演练场景多设置在能源、信息技术、交通、通信、金融、防务等领域。2018年的“网络风暴6”将重点关注制造业和交通运输行业。“网络卫士2016”模拟攻击海湾石油和燃气设施导致漏油,以及模拟攻击使加州海湾三大港口的船只陷入停顿。“锁定盾牌2018”在往年关注关键信息基础设施的基础上,进一步强调工业场景下的安全防护,设置了电网、4G公共安全网络、无人机操作和其他关键基础设施组件严重中断等场景。

综合分析国外网络安全应急演练的特征主要有以下三点:一是演练形式丰富多样。从组织形式来看,应急演练包括桌面推演、实战演练以及线上线下结合等形式。桌面推演通常是参演人员按照应急预案,利用流程图、计算机模拟、视频会议等辅助手段,对事先假定的演练情景进行模拟应急决策及现场处置的过程。实战演练则是参演人员模拟真实突发事件场景,完成判断、决策、处置等环节的应急响应过程,检验和提高相关人员临场组织指挥、应急处置和后勤保障能力。线上线下结合主要是指线下培训、线上协作的演练方式,通常结合了桌面推演和实战演练的内容。二是演练规模不断扩大。“网络风暴”参与者从2006年的32个政府部门、2家公司发展到2018年的9个政府内阁核心部门、32个州、2个盟国、超70家私营企业和协调机构。2012年首届“锁定盾牌”参演国家为12个,2014年有17个,2018年增加至30个。三是演练越发重视实战能力。2017年美国“网络夺旗”演练参与方增加了网络安全服务提供商(CSSP),要求发生事件时及时对事件作出响应,强调及时响应能力。“网络风暴”演练重点强调全面检验政府机构、私营机构面临攻击时的灾难恢复等能力。“网络风暴”同时也是一个多国家、多联邦政府部门、多安全服务机构、多私营企业共同参与的协同演练,着重考察跨国家、跨部门、跨机构的关键基础设施安全事件协调响应能力。

二、我国工业信息安全应急演练工作起步较晚

习近平总书记在中央政治局第十九次集体学习时强调应急管理是国家治理体系和治理能力的重要组成部分。要发挥我国应急管理体系的特色和优势,借鉴国外应急管理有益做法,积极推进我国应急管理体系和能力现代化。工业信息安全作为关键信息基础设施安全的重中之重,近些年来,我国高度重视,逐步加强工业信息安全顶层设计。《网络安全法》《国家网络安全事件应急预案》相继出台,进一步强调了应急演练工作的重要性。工信部发布的《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全行动计划(2018-2020年)》《加强工业互联网安全工作的指导意见》等多份文件对工业信息安全提出一系列要求,为我国工业信息安全保障工作提供了强有力的政策支撑。

国家层面,为落实《工业控制系统信息安全事件应急管理工作指南》中关于定期组织应急演练的要求,提升工业控制系统信息安全事件应急处置能力,预防和减少工控安全事件造成的损失和危害,2017年9月,工业和信息化部首次开展国家工业控制系统信息安全事件应急演练,演练场景为河北宣钢公司能源管控系统受到网络攻击。2019年9月5-11日,工业和信息化部网络安全管理局组织国家工业信息安全发展研究中心和相关工业企业、网络安全企业,在湖南长沙成功举办了工业互联网安全演练活动,演练针对典型生产系统等真实场景,围绕工业互联网安全中涉及的设备、控制、平台、网络和数据安全等方面开展实战演练。

除国家层面组织的应急演练外,河北省、江苏省、山西省等多个地方都积极组织了属地内的应急演练活动。2019年5月9日河北省工业控制系统信息安全事件应急演练观摩会在石家庄市君乐宝乳业有限公司成功召开。应急演练以君乐宝公司工控系统遭受网络病毒攻击,引发工业生产中断为背景,重点演练了工业企业快速响应,政府企业应急联动、技术队伍现场处置等内容。9月4日,陕西省工业控制系统信息安全应急演练在孝义市举行,演练以孝义鹏飞实业有限公司信息系统遭受网络攻击,引发工业生产中断为背景,重点考验工业企业快速响应、政府企业应急联动、技术队伍现场处置等内容。11月26日江苏省工信厅在苏州举办了工业信息安全应急演练,参演方模拟黑客组织对亨通集团下属生产线的工业控制系统进行了多轮次多手段攻击,企业技术保障人员和应急支撑机构在省工信厅和苏州市工信局的指挥下,有序完成处置工作,并做好对受攻击工控系统的加固,顺利完成演练的各项目标任务。

电力、石化、烟草等行业内的网络安全应急演练也在逐步深化推进。相对其他国家而言,我国工业信息安全事件应急演练工作起步较晚,相配套的政策文件还在不断完善。目前的演练形式还在不断探索,除了桌面推演和实战演练,还有待在实战中进一步探索。演练的规模也有待不断扩大,以应对更复杂、更庞大的工业信息安全威胁。专业应急人员数量无法满足工作需要、应急保障能力薄弱等问题也较为突出。

三、对我国工业信息安全应急演练工作的对策建议

在充分分析国外典型网络安全应急演练的特点和经验的基础上,结合对我国已开展的工业信息安全应急演练工作的分析,加强工业信息安全应急演练工作应从以下几个方面采取有效措施。

(一)提前布局,加强顶层设计

网络安全作为网络强国、制造强国战略以及“互联网+”行动的推进要务,要求管理者从战略布局的角度思量对策。随着网络安全不断向工业领域蔓延,工业信息安全态势严峻,相关顶层设计工作迫在眉睫。

网络空间瞬息万变,工业信息安全事件具有随机性,牵一发而动全身的工业信息安全事件,动辄牵动国民经济的主动脉,可能带来毁灭性的灾难。只有充分预防并预知可能发现的问题,才可能合理应对问题,有效规避风险。加强工业信息安全应急演练正是规避风险的有效训练手段。

工业信息安全应急演练工作的顶层设计应提升到国家安全的战略层面,理性分析国内外网络空间安全形势,学习美欧网络攻防演习的成功做法,积极参与国际交流合作,并努力提升自身技术与实力。通过广泛参与包括演练技术标准、网络空间国际规则在内的“游戏规则”制定,宣示中国主张、发出“构建网络空间命运共同体”的中国声音。

相关行业部门应积极研究编制工业信息安全事件应急预案,合理规划工业信息安全应急演练活动形式和方案,研究相关技术和可行性,提高方案成果转化效率,形成“即插即用”的战斗力生成新模式,塑造工业信息安全保障力量多元化的新思维。通过建设工业信息安全事件应急指挥平台、应急资源库、实战演练平台等技术手段,做大做强国家层面的工业信息安全应急演练,并以此为牵引,在提升关键信息基础设施等的防御水平的同时,切实维护国家安全,引导工业信息安全整体保障技术能力的发展。

(二)丰富形式,持续完善工业信息安全事件应急演练方案和模式

汇聚政府、科研机构、工业企业等多方力量,结合各行业领域的业务特征,寻求建立统一规范的工业信息安全事件应急演练规则、演练工具、演练方法和评价标准体系及其定期修编制度,确保应急演练的标准化和规范化,并持续细化完善演练活动方案。推动开展面向不同地域、不同行业、不同对象的桌面推演、现场演习、线上线下结合训练等多种形式的演练,创新演练模式,以多样化的演练方式提升参演人员的综合专业技能。

(三)注重实战,切实提升工业信息安全应急保障能力

各工业企业和技术机构应从锻炼培养参演人员的实践技能出发,着重在工业信息安全态势感知、及时响应、快速恢复、协同处置等方面,设计可操作、可检验的现场实战演练项目,增强演练的实战性,提高演练的实效性。针对重点工业行业或地方政府需求,可建设工业信息安全实战演练平台,为从业人员提供知识竞答、技术培训、模拟演练等线上学习内容,促进提升实战技能。

(四)扩大规模,培养壮大工业信息安全应急保障专业人才队伍

围绕培养专业队伍、提升专业素养的目标,逐步扩大工业信息安全应急演练规模。一方面是扩大参演人员数量,通过科学设置演练项目、合理配置演练人员,使更多的从业人员能够参与演练。另一方面是扩大演练参与方范围,推动地方工业和信息化主管部门、工业企业、平台企业等机构和单位积极参与演练,建立各地方、各企业的工业信息安全应急保障队伍,并通过演练形成合力。

(五)加强合作,建立健全上下联动、多方协同的工业信息安全应急保障工作机制

在应急演练工作基础上,国家层面应建立完善不同地区、部门之间的工业信息安全应急联动机制,形成上下联动的工作格局。相关政府部门、应急技术机构、工业企业等应建立完善工业信息安全联络员、应急值守等机制。可充分利用并依托工业信息安全产业发展联盟等行业组织力量,选拔专业应急服务支撑单位,打造“产学研用”各方协同保障的应急工作体系。

(本文刊登于《中国信息安全》杂志2020年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。