工業(yè)互聯(lián)網(wǎng)的開放、互聯(lián)、跨域赁严、融合，打破了以往相對清晰的安全邊界粉铐，使工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境趨向開放疼约，來自互聯(lián)網(wǎng)的外部威脅，將與工業(yè)生產(chǎn)系統(tǒng)的安全問題相互交融蝙泼。這就是IT/OT一體化融合帶來的安全挑戰(zhàn)程剥。

在近日舉行的2019年中國工業(yè)信息安全大會(huì)上，奇安信集團(tuán)副總裁左英男指出汤踏，工業(yè)互聯(lián)網(wǎng)的安全問題需要從政策织鲸、標(biāo)準(zhǔn)、規(guī)范茎活、體系框架角度進(jìn)行全盤考慮昙沦，但落地的路會(huì)很長琢唾。他同時(shí)表示，“打蛇要打七寸”盾饮。

這個(gè)“七寸”是什么采桃？不同的企業(yè)、服務(wù)商的看法一定存在差異档价。近年來脂壁，新PLC產(chǎn)品的安全屬性獲得大幅增強(qiáng)，施耐德靡黑、西門子等PLC提供商在工業(yè)協(xié)議揖帕、認(rèn)證通信加密、協(xié)議安全保護(hù)等方面做了很多提升帽惠，但工業(yè)存量設(shè)備規(guī)模很大挎茂，意味著替換成本很高。

在考慮體系框架的同時(shí)剧鹏，如何用成本相對較低的手段解決大量存量工業(yè)控制設(shè)備本身的安全問題热轨，恐怕就成為當(dāng)下工業(yè)互聯(lián)網(wǎng)安全的“七寸”。對此盔惑，左英男提出了從工業(yè)主機(jī)防護(hù)和工業(yè)大數(shù)據(jù)兩大場景切入的解決思路梨耽。

場景一：工業(yè)主機(jī)防護(hù)

為什么是工業(yè)主機(jī)？因?yàn)楣I(yè)主機(jī)是IT/OT技術(shù)融合的連接點(diǎn)律坎，是連接信息世界和物理世界的紐帶统岭。所有生產(chǎn)控制的指令、數(shù)據(jù)的獲取都要通過工業(yè)主機(jī)下發(fā)給具體的工業(yè)控制設(shè)備粉臊。

但是草添，包括工業(yè)主機(jī)在內(nèi)的工業(yè)設(shè)備，其使用原則是“用到不能用為止”维费，這固然有成本的考慮果元，但更多的是保證生產(chǎn)的穩(wěn)定性和持續(xù)性。如此一來犀盟，工業(yè)主機(jī)的生命周期往往比較長,操作系統(tǒng)老舊而晒，存在大量漏洞,并且由于工業(yè)生產(chǎn)連續(xù)性的特點(diǎn)，工業(yè)主機(jī)很難定期升級(jí)補(bǔ)丁阅畴，因此倡怎，工業(yè)主機(jī)已成為各類網(wǎng)絡(luò)攻擊和安全事件的首要攻擊目標(biāo)。

近年來贱枣，汽車生產(chǎn)监署、智能制造、能源電力纽哥、煙草等行業(yè)發(fā)生的數(shù)起工業(yè)安全事件钠乏，大多數(shù)攻擊或影響的就是工業(yè)主機(jī)衙猾，導(dǎo)致工業(yè)主機(jī)藍(lán)屏死機(jī)，無法執(zhí)行正常的生產(chǎn)作業(yè)流程诽祠，最終造成停產(chǎn)或更嚴(yán)重的安全斧与，給企業(yè)造成直接經(jīng)濟(jì)損失。

據(jù)悉秧诊，在拜訪工業(yè)企業(yè)過程中筋劣，左英男發(fā)現(xiàn)CIO關(guān)注的有兩點(diǎn)，第一喧撕，不管是什么防護(hù)手段正脸，最好是低成本；第二呀琢，不要因?yàn)榫W(wǎng)絡(luò)安全的攻擊事件影響企業(yè)的工業(yè)生產(chǎn)運(yùn)行的穩(wěn)定鄙叼。低成本與穩(wěn)定，是工業(yè)企業(yè)最核心的訴求耿堕。

毫無疑問砖啄，工業(yè)互聯(lián)網(wǎng)安全應(yīng)從工業(yè)主機(jī)安全防護(hù)開始。左英男表示味廊，在利用白名單技術(shù)進(jìn)行病毒攔截的基礎(chǔ)上，提供“入口棠耕、運(yùn)行余佛、擴(kuò)散”三層關(guān)卡攔截，進(jìn)行全方位病毒攔截窍荧。同時(shí)辉巡，在無需打補(bǔ)丁、關(guān)端口的前提下蕊退，通過“漏洞利用分析-流量解析對比-可疑攻擊阻斷”引擎可以有效對“永恒之藍(lán)”勒索病毒進(jìn)行超前防御郊楣。

2018年，奇安信工業(yè)安全團(tuán)隊(duì)用了整整一年的時(shí)間瓤荔，幫助中國最大的電動(dòng)新能源汽車制造企業(yè)比亞迪集團(tuán)完成了17000臺(tái)工業(yè)主機(jī)净蚤，涉及到十幾種工業(yè)場景和十幾種操作系統(tǒng)，一百多種工業(yè)軟件復(fù)雜環(huán)境下的工業(yè)主機(jī)防護(hù)输硝。

在這個(gè)案例中今瀑，最大的問題是低配硬件的支持、老舊系統(tǒng)的兼容点把、工業(yè)軟件的適配橘荠。“真正的工業(yè)場景適配是最大的挑戰(zhàn)氢碰】四穑”左英男表示颅唇。該技術(shù)方案自部署以來運(yùn)行穩(wěn)定，為比亞迪工業(yè)主機(jī)創(chuàng)建安全的運(yùn)行環(huán)境限匕，讓比亞迪信息基礎(chǔ)設(shè)施運(yùn)行的更安全怨级、更可靠。

場景二：工業(yè)大數(shù)據(jù)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展毙向，數(shù)據(jù)的安全防護(hù)成為工業(yè)企業(yè)第二個(gè)最大的痛點(diǎn)钮核。

一方面，很多大型工業(yè)企業(yè)都在積極擁抱互聯(lián)網(wǎng)形负，建立了私有化的工業(yè)云平臺(tái)新掸、工業(yè)大數(shù)據(jù)平臺(tái)，把很多分散在不同車間的應(yīng)用集中到平臺(tái)上去瞒礼。應(yīng)用和數(shù)據(jù)在集中教九。

另一方面，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展芯勘，平臺(tái)需要和與供應(yīng)鏈平臺(tái)交互箱靴，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界被打破，以前的安全架構(gòu)荷愕、安全思路已經(jīng)不能適應(yīng)新需求衡怀，這就給數(shù)據(jù)安全問題造成非常大的挑戰(zhàn)。

在新的技術(shù)環(huán)境下安疗，解決工業(yè)大數(shù)據(jù)安全的問題抛杨，“首先要解決訪問控制問題”，左英男提出了“零信任架構(gòu)”的新理念荐类。在默認(rèn)情況下怖现，無論是內(nèi)網(wǎng)或外網(wǎng)，任何訪問企業(yè)的業(yè)務(wù)和大數(shù)據(jù)的用戶玉罐、人屈嗤、設(shè)備，甚至是應(yīng)用的調(diào)用都不能相信吊输。企業(yè)要利用認(rèn)證饶号、密鑰，重新構(gòu)建信任基礎(chǔ)璧亚，這就是“零信任架構(gòu)”柴炉。

重要的是，“零信任架構(gòu)”授權(quán)和訪問不是靜態(tài)而是動(dòng)態(tài)的价岭，是基于風(fēng)險(xiǎn)持續(xù)度量和信任的持續(xù)評(píng)估進(jìn)行動(dòng)態(tài)的訪問授權(quán)青竹，這是“零信任架構(gòu)”非常重要的理念。

“零信任架構(gòu)”有四個(gè)很重要的特性：第一是以身份為中心。第二是業(yè)務(wù)安全訪問俱报，需要把業(yè)務(wù)和數(shù)據(jù)隱藏起來皂计，只有完成一系列基于風(fēng)險(xiǎn)的持續(xù)信任評(píng)估和動(dòng)態(tài)訪問控制授權(quán)之后才能夠允許訪問業(yè)務(wù)和數(shù)據(jù)資源。第三是持續(xù)信任評(píng)估哼狰，一次性的認(rèn)證無法保證一個(gè)訪問主體的身份及持續(xù)的合法性辉九。第四即使經(jīng)過了認(rèn)證，也要對訪問時(shí)間痊追、空間祷书、行為、周邊的環(huán)境等等進(jìn)行數(shù)據(jù)實(shí)時(shí)采集進(jìn)行風(fēng)險(xiǎn)度量蛆狱。一旦發(fā)現(xiàn)信任度降低舔艾，就要降低權(quán)限甚至中斷訪問。

“零信任架構(gòu)”落地的方式也很簡單洪囤，首先梳理工業(yè)大數(shù)據(jù)中心的暴露面徒坡，然后部署相應(yīng)的產(chǎn)品組件，形成動(dòng)態(tài)的虛擬身份邊界瘤缩，使得工業(yè)大數(shù)據(jù)中心不再對外暴露任何物理的網(wǎng)絡(luò)邊界喇完，有效管控內(nèi)外部用戶和終端設(shè)備、工廠內(nèi)部的工業(yè)主機(jī)和邊緣計(jì)算網(wǎng)關(guān)剥啤、工廠外部的工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)共享API調(diào)用等訪問主體對工業(yè)大數(shù)據(jù)的訪問行為锦溪，從而保護(hù)工業(yè)大數(shù)據(jù)的安全。

工業(yè)互聯(lián)網(wǎng)安全的機(jī)會(huì)

安全是工業(yè)互聯(lián)網(wǎng)三大要素之一铐殃，而發(fā)展工業(yè)互聯(lián)網(wǎng)是全球各國搶占產(chǎn)業(yè)競爭新制高點(diǎn)海洼、重塑工業(yè)體系的共同選擇，這意味著富腊，如果不能解決工業(yè)互聯(lián)網(wǎng)的安全問題，工業(yè)轉(zhuǎn)型升級(jí)將會(huì)成為一句空話域帐。

根據(jù)6月22日發(fā)布的《中國工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書(2018-2019年)》赘被，電力行業(yè)、石油石化赚朱、煙草砍篇、軌道交通、先進(jìn)制造等領(lǐng)域在工業(yè)互聯(lián)網(wǎng)安全方面走在前面谁班。不過笛蛋，有專家表示，大部分企業(yè)防控能力較弱诊乐，安全意識(shí)薄弱绢拓，安全投入不足。中國工控系統(tǒng)大多數(shù)情況是犧牲安全性、換取穩(wěn)定性然怕，安全更新維護(hù)不及時(shí)岸零。

工業(yè)和信息化部副部長陳肇雄在6月22日的2019年中國工業(yè)信息安全大會(huì)上指出，工業(yè)信息安全是國家網(wǎng)絡(luò)安全的重要組成部分鱼灶，是工業(yè)和信息化高質(zhì)量發(fā)展的重要保障竞蹲。要準(zhǔn)確把握工業(yè)互聯(lián)網(wǎng)快速發(fā)展面臨的安全新挑戰(zhàn)，努力開創(chuàng)工業(yè)信息安全工作新局面：一要完善工業(yè)信息安全政策法規(guī)體系信高，二要提升工業(yè)信息安全技術(shù)保障能力闸衫，三要打造工業(yè)信息安全產(chǎn)業(yè)生態(tài)，四要壯大工業(yè)信息安全人才隊(duì)伍诽嘉。

中國信通院總工程師蔚出、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟秘書長余曉暉曾告訴筆者，工業(yè)互聯(lián)網(wǎng)的安全問題是一個(gè)世界性難題含懊，總體上全球還處于摸索階段身冬。也就是說，這既是中國安全產(chǎn)業(yè)的機(jī)會(huì)岔乔，也是中國工業(yè)互聯(lián)網(wǎng)的機(jī)會(huì)酥筝。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享雏门，并不代表本站贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)嘿歌，也不構(gòu)成任何其他建議。本站部分作品是由網(wǎng)友自主投稿和發(fā)布茁影、編輯整理上傳宙帝，對此類作品本站僅提供交流平臺(tái)，不為其版權(quán)負(fù)責(zé)募闲。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻步脓、圖片、文字如涉及作品版權(quán)問題嘱庸，請第一時(shí)間告知空崇，我們將根據(jù)您提供的證明材料確認(rèn)版權(quán)并按國家標(biāo)準(zhǔn)支付稿酬或立即刪除內(nèi)容，以保證您的權(quán)益滥尉！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn居绸。