奇安信集團副總裁左英男：工業主機和工業大數據是工業互聯網安全兩大核心

徐恒

“新一代IT技術與傳統工業OT技術的深度融合造就了工業互聯網，而IT與OT的深度融合不僅拓展了網絡安全的外延，也改變了其內涵。”近日，奇安信集團副總裁左英男在2019年中國工業信息安全大會上表示。據介紹，“工業安全+互聯網安全”讓工業互聯網相較于消費互聯網而言。其安全問題變得更為復雜。

工業互聯網信息安全防護與消費互聯網有哪些異同？左英男認為，工業互聯網80%的網絡攻擊手段和防護方法與消費互聯網大同小異，但剩下的20%則需要針對工業不同的場景進行個性化防護。畢竟工業門類眾多，工業場景各不相同，而這20%非常關鍵，需要投入巨大精力進行研究。

當前，很多工業企業看到工業互聯網帶來的好處，但網絡安全問題是工業企業在接觸并應用工業互聯網技術時關注的焦點。而對于工業互聯網網絡安全，左英男認為，企業關心的問題主要聚集在兩個方面：一方面，工業互聯網與外網連接后，如何保障網絡安全不被黑客攻擊從而保障安全生產的順利進行。另一方面，隨著企業上云走向深入，當數據上云并通過工業互聯網向上下游供應鏈開放后，如何保障工業大數據的安全。

從工業主機安全防護開始

工業主機主要指生產管理層和過程監控層的電腦設備，它們被稱為是信息世界通往物理世界的“大門”。

“工業主機的生命周期往往比較長，操作系統老舊，存在大量漏洞，并且由于工業生產連續性的特點，工業主機很難定期升級補丁，因此工業主機已成為各類網絡攻擊和安全事件的首要攻擊目標。”左英男表示。

根據該公司應急響應處置的工業企業網絡攻擊事件發現，汽車生產、智能制造、能源電力、煙草等行業發生的數起工業安全事件，大多數攻擊或影響的是工業主機，導致工業主機藍屏死機，無法執行正常的生產作業流程，最終造成停產事件，給企業造成直接經濟損失。

左英男表示，工業互聯網安全應從工業主機安全防護開始，在利用白名單技術進行病毒攔截的基礎上，提供“入口、運行、擴散”三層關卡攔截，進行全方位病毒攔截。同時，在無需打補丁、關端口的前提下，通過“桶洞利用分析-流量解析對比-可疑攻擊阻斷”引擎可以有效對病毒進行超前防御。

與此同時，左英男補充道，在防護工業主機的同時，還要研究針對工業底層也就是現場控制層如PLC的安全防護，以防范于未然。

工業大數據安全風險不容忽視

數據是企業的資產，代表著核心競爭力。數據的安全對工業企業生存發展而言至關重要。近幾年，隨著工業互聯網的發展，企業上云的步伐加快，數據上云成為大勢所趨，數據也開始在不同的平臺間持續流動，工業大數據的開放、共享、流動創造了更大價值的同時，也加刷了安全風險。數據的安全問題在某種程度上阻礙了很多工業企業去擁抱工業互聯網的步伐，這些企業擔心一旦數據上云，數據的知識產權、工藝配方面臨嚴峻的安全問題。

對于工業大數據的安全防護，左英男認為，工業大數據安全風險管理的核心目標是“看得見、控得住、管得好”，需要摸清數據資產、梳理數據使用、管控數據風險、強化安全運營，構建數據全生命周期的安全治理體系。

據介紹，在以工業云平臺和大數據平臺為特征的新技術環境下，需要構建全新的安全架構去解決工業大數據的訪問控制問題，其關鍵手段就是構建基于“零信任”的動態可信安全訪問平臺。在工業大數據安全防護的應用場景下，首先需要梳理工業大數據中心的暴露面，然后部署相應的產品組件，形成動態的虛擬身份邊界，使得工業大數據中心不再對外暴露任何物理的網絡邊界，有效管控內外部用戶和終端設備、工廠內部的工業主機和邊緣計算網關、工廠外部的工業互聯網平臺數據共享API調用等訪問主體對工業大數據的訪問行為，從而保護工業大數據的安全。