工業(yè)互聯(lián)網(wǎng)的開放、互聯(lián)、跨域、融合，打破了以往相對清晰的安全邊界，使工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境趨向開放，來自互聯(lián)網(wǎng)的外部威脅，將與工業(yè)生產(chǎn)系統(tǒng)的安全問題相互交融。這就是IT/OT一體化融合帶來的安全挑戰(zhàn)。

在近日舉行的2019年中國工業(yè)信息安全大會上，奇安信集團(tuán)副總裁左英男指出，工業(yè)互聯(lián)網(wǎng)的安全問題需要從政策、標(biāo)準(zhǔn)、規(guī)范、體系框架角度進(jìn)行全盤考慮，但落地的路會很長。他同時表示，“打蛇要打七寸”。

這個“七寸”是什么？不同的企業(yè)、服務(wù)商的看法一定存在差異。近年來，新PLC產(chǎn)品的安全屬性獲得大幅增強(qiáng)，施耐德、西門子等PLC提供商在工業(yè)協(xié)議、認(rèn)證通信加密、協(xié)議安全保護(hù)等方面做了很多提升，但工業(yè)存量設(shè)備規(guī)模很大，意味著替換成本很高。

在考慮體系框架的同時，如何用成本相對較低的手段解決大量存量工業(yè)控制設(shè)備本身的安全問題，恐怕就成為當(dāng)下工業(yè)互聯(lián)網(wǎng)安全的“七寸”。對此，左英男提出了從工業(yè)主機(jī)防護(hù)和工業(yè)大數(shù)據(jù)兩大場景切入的解決思路。

場景一：工業(yè)主機(jī)防護(hù)

為什么是工業(yè)主機(jī)？因?yàn)楣I(yè)主機(jī)是IT/OT技術(shù)融合的連接點(diǎn)，是連接信息世界和物理世界的紐帶。所有生產(chǎn)控制的指令、數(shù)據(jù)的獲取都要通過工業(yè)主機(jī)下發(fā)給具體的工業(yè)控制設(shè)備。

但是，包括工業(yè)主機(jī)在內(nèi)的工業(yè)設(shè)備，其使用原則是“用到不能用為止”，這固然有成本的考慮，但更多的是保證生產(chǎn)的穩(wěn)定性和持續(xù)性。如此一來，工業(yè)主機(jī)的生命周期往往比較長,操作系統(tǒng)老舊，存在大量漏洞,并且由于工業(yè)生產(chǎn)連續(xù)性的特點(diǎn)，工業(yè)主機(jī)很難定期升級補(bǔ)丁，因此，工業(yè)主機(jī)已成為各類網(wǎng)絡(luò)攻擊和安全事件的首要攻擊目標(biāo)。

近年來，汽車生產(chǎn)、智能制造、能源電力、煙草等行業(yè)發(fā)生的數(shù)起工業(yè)安全事件，大多數(shù)攻擊或影響的就是工業(yè)主機(jī)，導(dǎo)致工業(yè)主機(jī)藍(lán)屏死機(jī)，無法執(zhí)行正常的生產(chǎn)作業(yè)流程，最終造成停產(chǎn)或更嚴(yán)重的安全，給企業(yè)造成直接經(jīng)濟(jì)損失。

據(jù)悉，在拜訪工業(yè)企業(yè)過程中，左英男發(fā)現(xiàn)CIO關(guān)注的有兩點(diǎn)，第一，不管是什么防護(hù)手段，最好是低成本；第二，不要因?yàn)榫W(wǎng)絡(luò)安全的攻擊事件影響企業(yè)的工業(yè)生產(chǎn)運(yùn)行的穩(wěn)定。低成本與穩(wěn)定，是工業(yè)企業(yè)最核心的訴求。

毫無疑問，工業(yè)互聯(lián)網(wǎng)安全應(yīng)從工業(yè)主機(jī)安全防護(hù)開始。左英男表示，在利用白名單技術(shù)進(jìn)行病毒攔截的基礎(chǔ)上，提供“入口、運(yùn)行、擴(kuò)散”三層關(guān)卡攔截，進(jìn)行全方位病毒攔截。同時，在無需打補(bǔ)丁、關(guān)端口的前提下，通過“漏洞利用分析-流量解析對比-可疑攻擊阻斷”引擎可以有效對“永恒之藍(lán)”勒索病毒進(jìn)行超前防御。

2018年，奇安信工業(yè)安全團(tuán)隊(duì)用了整整一年的時間，幫助中國最大的電動新能源汽車制造企業(yè)比亞迪集團(tuán)完成了17000臺工業(yè)主機(jī)，涉及到十幾種工業(yè)場景和十幾種操作系統(tǒng)，一百多種工業(yè)軟件復(fù)雜環(huán)境下的工業(yè)主機(jī)防護(hù)。

在這個案例中，最大的問題是低配硬件的支持、老舊系統(tǒng)的兼容、工業(yè)軟件的適配。“真正的工業(yè)場景適配是最大的挑戰(zhàn)?！弊笥⒛斜硎?。該技術(shù)方案自部署以來運(yùn)行穩(wěn)定，為比亞迪工業(yè)主機(jī)創(chuàng)建安全的運(yùn)行環(huán)境，讓比亞迪信息基礎(chǔ)設(shè)施運(yùn)行的更安全、更可靠。

場景二：工業(yè)大數(shù)據(jù)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)的安全防護(hù)成為工業(yè)企業(yè)第二個最大的痛點(diǎn)。

一方面，很多大型工業(yè)企業(yè)都在積極擁抱互聯(lián)網(wǎng)，建立了私有化的工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺，把很多分散在不同車間的應(yīng)用集中到平臺上去。應(yīng)用和數(shù)據(jù)在集中。

另一方面，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，平臺需要和與供應(yīng)鏈平臺交互，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界被打破，以前的安全架構(gòu)、安全思路已經(jīng)不能適應(yīng)新需求，這就給數(shù)據(jù)安全問題造成非常大的挑戰(zhàn)。

在新的技術(shù)環(huán)境下，解決工業(yè)大數(shù)據(jù)安全的問題，“首先要解決訪問控制問題”，左英男提出了“零信任架構(gòu)”的新理念。在默認(rèn)情況下，無論是內(nèi)網(wǎng)或外網(wǎng)，任何訪問企業(yè)的業(yè)務(wù)和大數(shù)據(jù)的用戶、人、設(shè)備，甚至是應(yīng)用的調(diào)用都不能相信。企業(yè)要利用認(rèn)證、密鑰，重新構(gòu)建信任基礎(chǔ)，這就是“零信任架構(gòu)”。

重要的是，“零信任架構(gòu)”授權(quán)和訪問不是靜態(tài)而是動態(tài)的，是基于風(fēng)險持續(xù)度量和信任的持續(xù)評估進(jìn)行動態(tài)的訪問授權(quán)，這是“零信任架構(gòu)”非常重要的理念。

“零信任架構(gòu)”有四個很重要的特性：第一是以身份為中心。第二是業(yè)務(wù)安全訪問，需要把業(yè)務(wù)和數(shù)據(jù)隱藏起來，只有完成一系列基于風(fēng)險的持續(xù)信任評估和動態(tài)訪問控制授權(quán)之后才能夠允許訪問業(yè)務(wù)和數(shù)據(jù)資源。第三是持續(xù)信任評估，一次性的認(rèn)證無法保證一個訪問主體的身份及持續(xù)的合法性。第四即使經(jīng)過了認(rèn)證，也要對訪問時間、空間、行為、周邊的環(huán)境等等進(jìn)行數(shù)據(jù)實(shí)時采集進(jìn)行風(fēng)險度量。一旦發(fā)現(xiàn)信任度降低，就要降低權(quán)限甚至中斷訪問。

“零信任架構(gòu)”落地的方式也很簡單，首先梳理工業(yè)大數(shù)據(jù)中心的暴露面，然后部署相應(yīng)的產(chǎn)品組件，形成動態(tài)的虛擬身份邊界，使得工業(yè)大數(shù)據(jù)中心不再對外暴露任何物理的網(wǎng)絡(luò)邊界，有效管控內(nèi)外部用戶和終端設(shè)備、工廠內(nèi)部的工業(yè)主機(jī)和邊緣計算網(wǎng)關(guān)、工廠外部的工業(yè)互聯(lián)網(wǎng)平臺數(shù)據(jù)共享API調(diào)用等訪問主體對工業(yè)大數(shù)據(jù)的訪問行為，從而保護(hù)工業(yè)大數(shù)據(jù)的安全。

工業(yè)互聯(lián)網(wǎng)安全的機(jī)會

安全是工業(yè)互聯(lián)網(wǎng)三大要素之一，而發(fā)展工業(yè)互聯(lián)網(wǎng)是全球各國搶占產(chǎn)業(yè)競爭新制高點(diǎn)、重塑工業(yè)體系的共同選擇，這意味著，如果不能解決工業(yè)互聯(lián)網(wǎng)的安全問題，工業(yè)轉(zhuǎn)型升級將會成為一句空話。

根據(jù)6月22日發(fā)布的《中國工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書(2018-2019年)》，電力行業(yè)、石油石化、煙草、軌道交通、先進(jìn)制造等領(lǐng)域在工業(yè)互聯(lián)網(wǎng)安全方面走在前面。不過，有專家表示，大部分企業(yè)防控能力較弱，安全意識薄弱，安全投入不足。中國工控系統(tǒng)大多數(shù)情況是犧牲安全性、換取穩(wěn)定性，安全更新維護(hù)不及時。

工業(yè)和信息化部副部長陳肇雄在6月22日的2019年中國工業(yè)信息安全大會上指出，工業(yè)信息安全是國家網(wǎng)絡(luò)安全的重要組成部分，是工業(yè)和信息化高質(zhì)量發(fā)展的重要保障。要準(zhǔn)確把握工業(yè)互聯(lián)網(wǎng)快速發(fā)展面臨的安全新挑戰(zhàn)，努力開創(chuàng)工業(yè)信息安全工作新局面：一要完善工業(yè)信息安全政策法規(guī)體系，二要提升工業(yè)信息安全技術(shù)保障能力，三要打造工業(yè)信息安全產(chǎn)業(yè)生態(tài)，四要壯大工業(yè)信息安全人才隊(duì)伍。

中國信通院總工程師、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟秘書長余曉暉曾告訴筆者，工業(yè)互聯(lián)網(wǎng)的安全問題是一個世界性難題，總體上全球還處于摸索階段。也就是說，這既是中國安全產(chǎn)業(yè)的機(jī)會，也是中國工業(yè)互聯(lián)網(wǎng)的機(jī)會。