筑牢网络安全屏障 智博会聚焦工业互联网安全
作为2020线上智博会的“前奏曲”,由奇安信承办的工业互联网安全专题会议在重庆正式召开,来自重庆长安汽车、深圳华龙讯达、云南昆船设计研究院、中兴通讯、重庆邮电大学等工业互联网领域重要产、学、研的相关机构专家,围绕当下工业互联网安全建设,从不同视角进行风险与需求分析,探讨一套完整的、切实可行的工业互联网安全解决方案。
内生安全框架护航工业互联网安全
工业互联网是新一代信息通信技术与工业经济深度融合的全新工业生态、关键基础设施和新型应用模式,通过人、机、物的全面互联,实现全要素、全产业链、全价值链的全面连接,将推动形成全新的工业生产制造和服务体系。当前,随着全球新一轮科技革命和产业革命加速发展,工业互联网技术不断突破,为经济创新发展注入新动能,也为促进全球产业融合发展提供了新机遇。
“安全是发展的前提,发展是安全的保障,推动工业互联网创新发展,必须筑牢网络安全屏障。”重庆市网信办副主任严兵在致辞时表示,数据是工业互联网创新发展的基础,安全是工业互联网创新发展的生命,数据安全是工业互联网安全的核心。
严兵认为,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济安全运行的神经中枢,是网络安全的重中之重,也是最可能遭到重点攻击的目标。没有网络安全就没有国家安全,没有网络安全保障就没有工业互联网的创新发展和壮大,甚至会影响工业互联网与国家经济命脉的深度融合而影响整个经济社会的运行,乃至整个国家的安全。因此,在工业互联网运行过程中,数据资源的存储、传输、处理、配置直到完成生产,整个过程都绝不能受到攻击污染和劫持,必须受到强有力地安全保护,因此加强数据安全保护是持续提升工业互联网创新发展能力的基本要求。
图:重庆市网信办副主任严兵
“在工业互联网快速发展的同时,我们尤其关注工业互联网的网络安全问题。”奇安信集团副总裁吕韬表示,近年来全球重大的工业网络安全事件呈高发趋势。对工业领域的网络攻击往往造成大量的经济损失甚至可能造成人员伤亡。因此,工业互联网安全防护体系需要采用内生安全的方式,让工业互联网系统不断从内生长出安全能力,这种能力就像免疫系统一样,它是自主的、自适应、自成长的,来保证工业生产的安全。
图:奇安信集团副总裁吕韬
今年8月,奇安信正式推出的内生安全框架,旨在以系统工程的方法论结合“内生安全”的理念,改变以往“局部整改”和产品堆叠为主的安全规划及建设模式,从顶层视角建立安全体系全景视图。内生安全框架,已在部委、能源央企、金融、航空、大型制造业和数字城市等40多家大型政企机构得到落地实践,并取得良好的效果。
就奇安信内生安全框架在工业互联网安全方面的实践,奇安信集团重庆分公司总经理马培月介绍到,作为国内领先的网络安全公司,奇安信已有工业控制系统安全国家地方联合工程实验室。同时,重庆作为传统制造业重镇,奇安信已协助重庆多个政企机构进行网络安全整体规划、建设,内生安全框架正在护航重庆工业互联网安全高质量发展。
图:奇安信集团重庆分公司总经理马培月
内生安全防护体系成趋势
在工业互联网安全专题会议上,与会专家也认为,建设IT/OT一体化的内生安全防护体系成趋势,并且从不同视角分享了工业互联网安全建设中的应用场景、关键技术与实践经验。
“随着IT/OT的深度融合,原来传统的网络边界已经变得模糊,数据不断流动加剧了安全风险。基于工业控制系统高可用性和实事交互、专有的操作系统、专有协议的特性,风控的安全需求和传统的IT需求发生了明显的变化。传统的措施已经不适于工业网络。”重庆长安汽车股份有限公司管理创新与IT中心专家戴志强分享了重庆长安汽车工业互联网安全建设经验。他说,按照等保三级的要求,重庆长安汽车围绕管理、技防和三大体系建设规划了工业互联网安全保障体系,管理上进一步健全完善组织机构、管理制度流程和管理能力,全面落实安全主体责任,同时构建基础安全防护和安全数据分析、综合安全管控三类防控体系,在运行上采取多措机制,提高工控安全主动防范技术和应急处置能力。
图:重庆长安汽车股份有限公司管理创新与IT中心专家戴志强
深圳华龙讯达信息技术股份有限公司董事长助理陈曦表示,数字孪生平台让机器与人能够相互连接,赋予人机系统精确感知、精准控制、相互协同、智能决策的能力,提高系统的智能化水平,最终以崭新的方法将现实世界中的机器、设备、人员和网络通过先进的传感器、控制器和软件应用程序连接起来,并以数据流动、分析、决策,影响智能化变革的进程,形成新的模式和新的业态。同样,在网络安全建设方面,数字孪生通过与攻击欺骗结合,可实现更为广阔的应用场景和更为有效的攻击感知。
图:深圳华龙讯达信息技术股份有限公司董事长助理陈曦
“防护水平低,难度大,技术与管理未有机融合,重建设、轻运维,应急响应机制缺失,人才缺口较大。”这是云南昆船设计研究院有限公司工业软件所副所长胥强认为当前工业互联网安全建设面临的主要问题。在会上,他结合烟草行业的应用场景,分析了工业互联网安全建设的应对方案。他认为,从整体思路上应该包括安全规划、安全建设、建后评估、安全运营等内容;从建设阶段上,分为近期、中期、远期。
其中,近期在技术层面上,应把重点放在网络边界安全防范、设备运行及运维的相关审计、防病毒、网络准入以及核心网络冗余建设等方面;在管理层面上应落实安全责任,完善安全策略和安全制度建设,加强安全管理措施,对员工进行相关基础知识培训,提升日常运维及安全事件的应急处理能力。在“中期”的建设中,开始关注生产网安全域内部的安全防范、资产安全、应用安全及数据安全方面的要求,同时也会对物理环境、配置补丁管理、安全监测等方面进行全面考虑。“远期”建设是结合自身的发展状况及新的政策标准进行新一轮的建设和完善,形成PDCA的工作闭环,从而进一步提高生产网安全保障水平。
图:云南昆船设计研究院有限公司工业软件所副所长胥强
“应对5G+工业互联网安全挑战,应建设四个体系一个中心。”中兴通讯网络安全产品规划总工滕志猛博士指出,四个体系即安全技术体系、安全管理体系、安全运行体系、安全生态体系,一个中心是指安全运维管理中心。以此形成五大能力,即多元化信任链,支持企业自主控制业务安全策略;资源按需编排,满足网络安全隔离要求;UPF下沉+FlexE,可靠地支持企业高实时性业务;多重防护,提供端到端数据安全;微分段技术,持续监测与控制未知安全威胁。
图:中兴通讯网络安全产品规划总工滕志猛
“十大工程五大任务”打造工业互联网安全“样板间”
奇安信集团高级产品总监王弢则详细分享了内生安全框架落地到工业互联网安全领域的实践经验。“内生安全框架为工业互联网安全提供了新的保障。”他说,在机制保障方面,将控制系统建设与运维工作同网络安全的防护与响应过程结合,达到工作任务事项级别的深度绑定,实现二者的同步规划、同步建设、同步运营。在落地保障方面,为控制系统发展的各个领域、各个层面注入安全基因,融入多样化的安全防护机制,实现网络安全与信息化的深度结合,并覆盖信息化环境的方方面面,实现全面覆盖、深度结合、实战运行、协同响应。除了技术融合外,还实现数据融合以及人的融合,为工业行业构建起完善的网络安全协同联动防御体系,实现内生安全。
王弢介绍到,针对工业互联网安全,奇安信研究了新技术产品和服务体系,并为内生安全框架的落地设计并解构出了“十工五任”的落地手册,对每一个工程和任务都给出了具体的部署步骤和标准,工业行业可以结合自身信息化的特点,定义自己的关键工程和任务。依据“十工五任”手册,奇安信针对136个信息化组件,总结出了29个安全区域场景,部署了79类安全组件。
图:奇安信集团高级产品总监王弢
“只有从一体化纵深安全体系结构角度设计工业互联网安全机制,才能防止工业互联网在其发展进程中重蹈互联网覆辙。”重庆邮电大学教授魏旻现场分享了该校在工业物联网及现场网络安全方面的最新进展,即可信物联网安全系统及开发平台,该平台集成了轻量级密码算法等多项安全机制,支持不同网络设备的开发,实现全网设备端到端的IP数据安全传输;运行功耗低、开销小、时间和空间复杂度低的轻量级安全通信协议栈;集成在协议栈中的检测模块能实时检测分析攻击报文,迅速发现非法节点攻击源,攻击时间、次数,攻击目标及类型,并实时在监控系统中报警。
图:重庆邮电大学教授魏旻
据悉,工业互联网安全专题会议是2020工业互联网创新发展大会的重要组成部分。本次大会以“培育新动能,驱动新发展”为主题,共设有一个主会和4个专题会议。