奇安信總裁吳雲坤:工業網絡安全要從局部整改模式升級為體系化規劃建設
釋出日期:2020-12-20 作者:奇安信
12月20日,“之江杯”工業互聯網內生安全防禦國際精英挑戰賽在杭州舉行,在同期舉行的工業網絡安全高峯論壇上,奇安信總裁吳雲坤發表了題為《新一代工業網絡安全體系建設》的主題演講,他提出,工業生產轉型升級使得工業生產網絡從封閉走向開放,工業網絡面臨更為嚴峻的安全挑戰,需要將安全與工業信息網絡系統融合,將“局部整改”的零散建設模式轉變為體系化規劃建設模式,以系統工程方法論來指導網絡安全體系的規劃、設計和建設工作,構建新一代網絡安全框架體系。
隨着5G、雲計算、大數據等新技術在工業網絡中的普及應用,工業環境中智能設備、工業應用、生產數據、系統運維都要與外網聯通,新舊技術和系統融合,新舊問題交織,讓工業網絡面臨着全新的挑戰,吳雲坤將其總結為四大挑戰。
挑戰一:新環境下的數據集中共享,加劇了數據泄露風險;
挑戰二:工控系統漏洞數量多、級別高,存在極大風險;
挑戰三:商業利益訴求和恐怖破壞目的交織,國家級攻擊與網絡犯罪交錯,針對工業系統的攻擊呈現多樣性未知性特徵,攻擊理論和手段日臻成熟;
挑戰四:工業生產場景的特殊性和工業控制網絡系統普遍存在的基礎脆弱性,造成了安全防護手段和運維缺失。
傳統的局部整改的網絡安全零散建設模式,是局部的、針對單點的,而不是徹底的和全面的,顯然無法滿足新型工業網絡的安全需求,吳雲坤認為需要將網絡安全與工業網絡信息系統融合,逐步升級轉變為體系化規劃建設模式,以系統工程方法論來指導網絡安全體系的規劃、設計和建設工作,構建新一代網絡安全框架體系。
在演講中,吳雲坤基於奇安信在工業網絡安全領域的大量實踐,介紹瞭如何基於新一代網絡安全框架建設工業網絡安全防護體系。
其總體思路是面向工控網絡內部、工控與IT網絡邊界、數據採集與運維、集團總部數據中心構建多層次、全面覆蓋的安全能力,將能力“調用”到工業生產信息化體系當中,融合覆蓋,同時全面掌握工業網絡安全態勢,保護工控生產運行安全。
而在這個過程中,首先要體系化梳理網絡資產和拓撲結構,設計出所需的安全能力。
其次建設全面覆蓋工業生產網各層面的安全體系,將安全能力嵌入到工業信息化系統的各層析。
最後通過安全與信息化技術聚合、數據聚合、人才聚合,構建一體化的協同運行能力,與工業信息化中的 IT運維、應用開發兩大運行過程相協同。
吳雲坤特別強調,人是安全的尺度,人的能力決定安全體系建設和運行的能力,所以保護工業網絡安全需要大量的安全人才,尤其需要既懂業務又懂安全,既懂生產又懂大數據、人工智能等技術的複合型人才。
據悉,“之江杯”工業互聯網內生安全防禦國際精英挑戰賽是由之江實驗室舉辦的工業互聯網內生安全防禦國際精英挑戰賽,以競賽方式發掘網絡安全頂尖人才,奇安信為本次比賽的工業場景攻防演習平台提供了技術支撐。