徐恒

“新一代IT技術(shù)與傳統(tǒng)工業(yè)OT技術(shù)的深度融合造就了工業(yè)互聯(lián)網(wǎng)，而IT與OT的深度融合不僅拓展了網(wǎng)絡(luò)安全的外延，也改變了其內(nèi)涵。”近日，奇安信集團(tuán)副總裁左英男在2019年中國工業(yè)信息安全大會上表示。據(jù)介紹，“工業(yè)安全+互聯(lián)網(wǎng)安全”讓工業(yè)互聯(lián)網(wǎng)相較于消費(fèi)互聯(lián)網(wǎng)而言。其安全問題變得更為復(fù)雜。

工業(yè)互聯(lián)網(wǎng)信息安全防護(hù)與消費(fèi)互聯(lián)網(wǎng)有哪些異同？左英男認(rèn)為，工業(yè)互聯(lián)網(wǎng)80%的網(wǎng)絡(luò)攻擊手段和防護(hù)方法與消費(fèi)互聯(lián)網(wǎng)大同小異，但剩下的20%則需要針對工業(yè)不同的場景進(jìn)行個性化防護(hù)。畢竟工業(yè)門類眾多，工業(yè)場景各不相同，而這20%非常關(guān)鍵，需要投入巨大精力進(jìn)行研究。

當(dāng)前，很多工業(yè)企業(yè)看到工業(yè)互聯(lián)網(wǎng)帶來的好處，但網(wǎng)絡(luò)安全問題是工業(yè)企業(yè)在接觸并應(yīng)用工業(yè)互聯(lián)網(wǎng)技術(shù)時關(guān)注的焦點(diǎn)。而對于工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全，左英男認(rèn)為，企業(yè)關(guān)心的問題主要聚集在兩個方面：一方面，工業(yè)互聯(lián)網(wǎng)與外網(wǎng)連接后，如何保障網(wǎng)絡(luò)安全不被黑客攻擊從而保障安全生產(chǎn)的順利進(jìn)行。另一方面，隨著企業(yè)上云走向深入，當(dāng)數(shù)據(jù)上云并通過工業(yè)互聯(lián)網(wǎng)向上下游供應(yīng)鏈開放后，如何保障工業(yè)大數(shù)據(jù)的安全。

從工業(yè)主機(jī)安全防護(hù)開始

工業(yè)主機(jī)主要指生產(chǎn)管理層和過程監(jiān)控層的電腦設(shè)備，它們被稱為是信息世界通往物理世界的“大門”。

“工業(yè)主機(jī)的生命周期往往比較長，操作系統(tǒng)老舊，存在大量漏洞，并且由于工業(yè)生產(chǎn)連續(xù)性的特點(diǎn)，工業(yè)主機(jī)很難定期升級補(bǔ)丁，因此工業(yè)主機(jī)已成為各類網(wǎng)絡(luò)攻擊和安全事件的首要攻擊目標(biāo)。”左英男表示。

根據(jù)該公司應(yīng)急響應(yīng)處置的工業(yè)企業(yè)網(wǎng)絡(luò)攻擊事件發(fā)現(xiàn)，汽車生產(chǎn)、智能制造、能源電力、煙草等行業(yè)發(fā)生的數(shù)起工業(yè)安全事件，大多數(shù)攻擊或影響的是工業(yè)主機(jī)，導(dǎo)致工業(yè)主機(jī)藍(lán)屏死機(jī)，無法執(zhí)行正常的生產(chǎn)作業(yè)流程，最終造成停產(chǎn)事件，給企業(yè)造成直接經(jīng)濟(jì)損失。

左英男表示，工業(yè)互聯(lián)網(wǎng)安全應(yīng)從工業(yè)主機(jī)安全防護(hù)開始，在利用白名單技術(shù)進(jìn)行病毒攔截的基礎(chǔ)上，提供“入口、運(yùn)行、擴(kuò)散”三層關(guān)卡攔截，進(jìn)行全方位病毒攔截。同時，在無需打補(bǔ)丁、關(guān)端口的前提下，通過“桶洞利用分析-流量解析對比-可疑攻擊阻斷”引擎可以有效對病毒進(jìn)行超前防御。

與此同時，左英男補(bǔ)充道，在防護(hù)工業(yè)主機(jī)的同時，還要研究針對工業(yè)底層也就是現(xiàn)場控制層如PLC的安全防護(hù)，以防范于未然。

工業(yè)大數(shù)據(jù)安全風(fēng)險不容忽視

數(shù)據(jù)是企業(yè)的資產(chǎn)，代表著核心競爭力。數(shù)據(jù)的安全對工業(yè)企業(yè)生存發(fā)展而言至關(guān)重要。近幾年，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，企業(yè)上云的步伐加快，數(shù)據(jù)上云成為大勢所趨，數(shù)據(jù)也開始在不同的平臺間持續(xù)流動，工業(yè)大數(shù)據(jù)的開放、共享、流動創(chuàng)造了更大價值的同時，也加刷了安全風(fēng)險。數(shù)據(jù)的安全問題在某種程度上阻礙了很多工業(yè)企業(yè)去擁抱工業(yè)互聯(lián)網(wǎng)的步伐，這些企業(yè)擔(dān)心一旦數(shù)據(jù)上云，數(shù)據(jù)的知識產(chǎn)權(quán)、工藝配方面臨嚴(yán)峻的安全問題。

對于工業(yè)大數(shù)據(jù)的安全防護(hù)，左英男認(rèn)為，工業(yè)大數(shù)據(jù)安全風(fēng)險管理的核心目標(biāo)是“看得見、控得住、管得好”，需要摸清數(shù)據(jù)資產(chǎn)、梳理數(shù)據(jù)使用、管控數(shù)據(jù)風(fēng)險、強(qiáng)化安全運(yùn)營，構(gòu)建數(shù)據(jù)全生命周期的安全治理體系。

據(jù)介紹，在以工業(yè)云平臺和大數(shù)據(jù)平臺為特征的新技術(shù)環(huán)境下，需要構(gòu)建全新的安全架構(gòu)去解決工業(yè)大數(shù)據(jù)的訪問控制問題，其關(guān)鍵手段就是構(gòu)建基于“零信任”的動態(tài)可信安全訪問平臺。在工業(yè)大數(shù)據(jù)安全防護(hù)的應(yīng)用場景下，首先需要梳理工業(yè)大數(shù)據(jù)中心的暴露面，然后部署相應(yīng)的產(chǎn)品組件，形成動態(tài)的虛擬身份邊界，使得工業(yè)大數(shù)據(jù)中心不再對外暴露任何物理的網(wǎng)絡(luò)邊界，有效管控內(nèi)外部用戶和終端設(shè)備、工廠內(nèi)部的工業(yè)主機(jī)和邊緣計算網(wǎng)關(guān)、工廠外部的工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)共享API調(diào)用等訪問主體對工業(yè)大數(shù)據(jù)的訪問行為，從而保護(hù)工業(yè)大數(shù)據(jù)的安全。