作為2020線上智博會的“前奏曲”,由奇安信承辦的工業互聯網安全專題會議在重慶正式召開,來自重慶長安汽車、深圳華龍訊達、雲南昆船設計研究院、中興通訊、重慶郵電大學等工業互聯網領域重要產、學、研的相關機構專家,圍繞當下工業互聯網安全建設,從不同視角進行風險與需求分析,探討一套完整的、切實可行的工業互聯網安全解決方案。
內生安全框架護航工業互聯網安全
工業互聯網是新一代信息通信技術與工業經濟深度融合的全新工業生態、關鍵基礎設施和新型應用模式,通過人、機、物的全面互聯,實現全要素、全產業鏈、全價值鏈的全面連接,將推動形成全新的工業生產製造和服務體系。當前,隨着全球新一輪科技革命和產業革命加速發展,工業互聯網技術不斷突破,為經濟創新發展注入新動能,也為促進全球產業融合發展提供了新機遇。
“安全是發展的前提,發展是安全的保障,推動工業互聯網創新發展,必須築牢網絡安全屏障。”重慶市網信辦副主任嚴兵在致辭時表示,數據是工業互聯網創新發展的基礎,安全是工業互聯網創新發展的生命,數據安全是工業互聯網安全的核心。
圖 重慶市網信辦副主任嚴兵
嚴兵認為,金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟安全運行的神經中樞,是網絡安全的重中之重,也是最可能遭到重點攻擊的目標。沒有網絡安全就沒有國家安全,沒有網絡安全保障就沒有工業互聯網的創新發展和壯大,甚至會影響工業互聯網與國家經濟命脈的深度融合而影響整個經濟社會的運行,乃至整個國家的安全。
因此,在工業互聯網運行過程中,數據資源的存儲、傳輸、處理、配置直到完成生產,整個過程都絕不能受到攻擊污染和劫持,必須受到強有力的安全保護,因此加強數據安全保護是持續提升工業互聯網創新發展能力的基本要求。
圖 奇安信集團副總裁呂韜
“在工業互聯網快速發展的同時,我們尤其關注工業互聯網的網絡安全問題。”奇安信集團副總裁呂韜表示,近年來全球重大的工業網絡安全事件呈高發趨勢。對工業領域的網絡攻擊往往造成大量的經濟損失甚至可能造成人員傷亡。因此,工業互聯網安全防護體系需要採用內生安全的方式,讓工業互聯網系統不斷從內生長出安全能力,這種能力就像免疫系統一樣,它是自主的、自適應、自成長的,來保證工業生產的安全。
今年8月,奇安信正式推出的內生安全框架,旨在以系統工程的方法論結合“內生安全”的理念,改變以往“局部整改”和產品堆疊為主的安全規劃及建設模式,從頂層視角建立安全體系全景視圖。內生安全框架,已在部委、能源央企、金融、航空、大型製造業和數字城市等40多家大型政企機構得到落地實踐,並取得良好的效果。
圖 奇安信集團重慶分公司總經理馬培月
就奇安信內生安全框架在工業互聯網安全方面的實踐,奇安信集團重慶分公司總經理馬培月介紹到,作為國內領先的網絡安全公司,奇安信已有工業控制系統安全國家地方聯合工程實驗室。同時,重慶作為傳統制造業重鎮,奇安信已協助重慶多個政企機構進行網絡安全整體規劃、建設,內生安全框架正在護航重慶工業互聯網安全高質量發展。
內生安全防護體系成趨勢
在工業互聯網安全專題會議上,與會專家也認為,建設IT/OT一體化的內生安全防護體系成趨勢,並且從不同視角分享了工業互聯網安全建設中的應用場景、關鍵技術與實踐經驗。
“隨着IT/OT的深度融合,原來傳統的網絡邊界已經變得模糊,數據不斷流動加劇了安全風險。基於工業控制系統高可用性和實時交互、專有的操作系統、專有協議的特性,風控的安全需求和傳統的IT需求發生了明顯的變化。傳統的措施已經不適於工業網絡。”重慶長安汽車股份有限公司管理創新與IT中心專家戴志強分享了重慶長安汽車工業互聯網安全建設經驗。
圖 重慶長安汽車股份有限公司管理創新與IT中心專家戴志強
他説,按照等保三級的要求,重慶長安汽車圍繞管理、技防和三大體系建設規劃了工業互聯網安全保障體系,管理上進一步健全完善組織機構、管理制度流程和管理能力,全面落實安全主體責任,同時構建基礎安全防護和安全數據分析、綜合安全管控三類防控體系,在運行上採取多措機制,提高工控安全主動防範技術和應急處置能力。
圖 深圳華龍訊達信息技術股份有限公司董事長助理陳曦
深圳華龍訊達信息技術股份有限公司董事長助理陳曦表示,數字孿生平台讓機器與人能夠相互連接,賦予人機系統精確感知、精準控制、相互協同、智能決策的能力,提高系統的智能化水平,最終以嶄新的方法將現實世界中的機器、設備、人員和網絡通過先進的傳感器、控制器和軟件應用程序連接起來,並以數據流動、分析、決策,影響智能化變革的進程,形成新的模式和新的業態。同樣,在網絡安全建設方面,數字孿生通過與攻擊欺騙結合,可實現更為廣闊的應用場景和更為有效的攻擊感知。
圖 雲南昆船設計研究院有限公司工業軟件所副所長胥強
“防護水平低,難度大,技術與管理未有機融合,重建設、輕運維,應急響應機制缺失,人才缺口較大。”這是雲南昆船設計研究院有限公司工業軟件所副所長胥強認為當前工業互聯網安全建設面臨的主要問題。在會上,他結合煙草行業的應用場景,分析了工業互聯網安全建設的應對方案。他認為,從整體思路上應該包括安全規劃、安全建設、建後評估、安全運營等內容;從建設階段上,分為近期、中期、遠期。
其中,近期在技術層面上,應把重點放在網絡邊界安全防範、設備運行及運維的相關審計、防病毒、網絡准入以及核心網絡冗餘建設等方面;在管理層面上應落實安全責任,完善安全策略和安全制度建設,加強安全管理措施,對員工進行相關基礎知識培訓,提升日常運維及安全事件的應急處理能力。
在“中期”的建設中,開始關注生產網安全域內部的安全防範、資產安全、應用安全及數據安全方面的要求,同時也會對物理環境、配置補丁管理、安全監測等方面進行全面考慮。
“遠期”建設是結合自身的發展狀況及新的政策標準進行新一輪的建設和完善,形成PDCA的工作閉環,從而進一步提高生產網安全保障水平。
圖 中興通訊網絡安全產品規劃總工滕志猛
“應對5G+工業互聯網安全挑戰,應建設四個體系一箇中心。”中興通訊網絡安全產品規劃總工滕志猛博士指出,四個體系即安全技術體系、安全管理體系、安全運行體系、安全生態體系,一箇中心是指安全運維管理中心。以此形成五大能力,即多元化信任鏈,支持企業自主控制業務安全策略;資源按需編排,滿足網絡安全隔離要求;UPF下沉+FlexE,可靠地支持企業高實時性業務;多重防護,提供端到端數據安全;微分段技術,持續監測與控制未知安全威脅。
“十大工程五大任務”打造工業互聯網安全“樣板間”
奇安信集團高級產品總監王弢則詳細分享了內生安全框架落地到工業互聯網安全領域的實踐經驗。“內生安全框架為工業互聯網安全提供了新的保障。”
他説,在機制保障方面,將控制系統建設與運維工作同網絡安全的防護與響應過程結合,達到工作任務事項級別的深度綁定,實現二者的同步規劃、同步建設、同步運營。在落地保障方面,為控制系統發展的各個領域、各個層面注入安全基因,融入多樣化的安全防護機制,實現網絡安全與信息化的深度結合,並覆蓋信息化環境的方方面面,實現全面覆蓋、深度結合、實戰運行、協同響應。除了技術融合外,還實現數據融合以及人的融合,為工業行業構建起完善的網絡安全協同聯動防禦體系,實現內生安全。
圖 奇安信集團高級產品總監王弢
王弢介紹到,針對工業互聯網安全,奇安信研究了新技術產品和服務體系,併為內生安全框架的落地設計並解構出了“十工五任”的落地手冊,對每一個工程和任務都給出了具體的部署步驟和標準,工業行業可以結合自身信息化的特點,定義自己的關鍵工程和任務。依據“十工五任”手冊,奇安信針對136個信息化組件,總結出了29個安全區域場景,部署了79類安全組件。
圖 重慶郵電大學教授魏旻
“只有從一體化縱深安全體系結構角度設計工業互聯網安全機制,才能防止工業互聯網在其發展進程中重蹈互聯網覆轍。”重慶郵電大學教授魏旻現場分享了該校在工業物聯網及現場網絡安全方面的最新進展,即可信物聯網安全系統及開發平台,該平台集成了輕量級密碼算法等多項安全機制,支持不同網絡設備的開發,實現全網設備端到端的IP數據安全傳輸;運行功耗低、開銷小、時間和空間複雜度低的輕量級安全通信協議棧;集成在協議棧中的檢測模塊能實時檢測分析攻擊報文,迅速發現非法節點攻擊源,攻擊時間、次數,攻擊目標及類型,並實時在監控系統中報警。
據悉,工業互聯網安全專題會議是2020工業互聯網創新發展大會的重要組成部分。本次大會以“培育新動能,驅動新發展”為主題,共設有一個主會和4個專題會議。