1月4日，2020?年工業(yè)互聯(lián)網(wǎng)安全成果展在南京召開。在主論壇期間，奇安信集團總裁吳云坤分享了以內(nèi)生安全框架建設工業(yè)互聯(lián)網(wǎng)安全體系的實踐，提出在新形勢下，工業(yè)互聯(lián)網(wǎng)安全要從“零散建設”走向“全局建設”。

??攻防兩側均發(fā)生巨大變化

??近些年來，受《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》和《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2018—2020年)》等國家政策激勵，我國工業(yè)互聯(lián)網(wǎng)發(fā)展呈現(xiàn)良好勢頭。

??有媒體報道稱，面對新冠肺炎疫情發(fā)生等新形勢和新挑戰(zhàn)，工業(yè)互聯(lián)網(wǎng)發(fā)揮出積極顯著的作用，廣泛應用于生產(chǎn)制造、物資分配、工程建設、醫(yī)療救治、疫情防控等諸多場景。產(chǎn)業(yè)的高速發(fā)展和工業(yè)互聯(lián)網(wǎng)在經(jīng)濟社會發(fā)揮的重要作用，也讓其成為網(wǎng)絡攻擊的重要目標。

??“工業(yè)互聯(lián)網(wǎng)領域的網(wǎng)絡攻擊造成的影響非常大，往往會造成停工停產(chǎn)甚至是人員傷亡?！眳窃评娬{(diào)，最近兩年奇安信參與處置了超過百起工業(yè)企業(yè)網(wǎng)絡攻擊事件，涉及汽車生產(chǎn)、智能制造、能源電力、煙草等行業(yè)的幾十余家企業(yè)，大多數(shù)都導致了工業(yè)主機藍屏，重要文件被加密，其中的很多還導致了停工停產(chǎn)，給工業(yè)企業(yè)造成了重大損失。

??吳云坤認為，工業(yè)互聯(lián)網(wǎng)安全形勢近期呈現(xiàn)出兩大態(tài)勢：一是從攻擊側看，商業(yè)利益訴求和恐怖破壞目的交織，國家級攻擊和網(wǎng)絡犯罪交錯，攻擊呈現(xiàn)多樣性，攻擊理論和手段日臻成熟。美國知名研究機構MITRE的報告顯示，針對工業(yè)控制系統(tǒng)的攻擊已經(jīng)形成了完整的矩陣，分為11個步驟，100多種戰(zhàn)術。攻擊者完全可以通過標準化、流程化的操作，控制生產(chǎn)系統(tǒng)。

??二是從防護側看，工業(yè)互聯(lián)網(wǎng)體系架構改變和新技術應用，安全防護的重心從基礎設施為中心轉向數(shù)據(jù)為中心，安全架構從邊界安全架構轉向零信任安全架構。

??從“零散建設”走向“融合內(nèi)生”

??“在新形勢和新環(huán)境下，傳統(tǒng)防護手段已經(jīng)失效，需要用內(nèi)生安全來保障工業(yè)信息系統(tǒng)安全，擺脫安全能力的局部與外掛，實現(xiàn)網(wǎng)絡安全能力與工業(yè)信息化環(huán)境的融合內(nèi)生?！眳窃评け硎荆瑢崿F(xiàn)內(nèi)生安全的方法是奇安信推出的內(nèi)生安全框架。

??內(nèi)生安全框架源自于奇安信多年的政企安全服務實踐。它具有“1+1>2”的涌現(xiàn)效應，能讓安全產(chǎn)品和服務相互聯(lián)系、相互作用,在整體上具備單個產(chǎn)品和服務所沒有的功能，從而保障復雜系統(tǒng)的安全。

??據(jù)介紹，內(nèi)生安全框架包含四大核心組件。第一是結合系統(tǒng)工程思想與EA方法進行網(wǎng)絡安全規(guī)劃設計，改變過去二十多年網(wǎng)絡安全零散發(fā)展，與信息化、數(shù)字化發(fā)展不匹配的情況;第二是借鑒滑動標尺模型梳理保障業(yè)務運營所需網(wǎng)絡安全能力，以能力為導向，以架構為驅動構建安全能力體系，實現(xiàn)與信息化系統(tǒng)融合內(nèi)生;第三是在全景的網(wǎng)絡覆蓋區(qū)域融入縱深防御能力，通過安全技術與信息化技術聚合，實現(xiàn)安全能力全面內(nèi)生于信息化技術環(huán)境;第四是企業(yè)運行體系架構，通過安全與信息化技術聚合、數(shù)據(jù)聚合、人才聚合，構建一體化的協(xié)同運行能力。

??目前，內(nèi)生安全框架已經(jīng)協(xié)助部委、央企、金融、電信等多個行業(yè)，40?+政企機構網(wǎng)絡安全體系規(guī)劃和建設。

??一個核心九項任務落地內(nèi)生安全框架

??吳云坤介紹，內(nèi)生安全框架能指導不同行業(yè)輸出符合其特點的體系化、實戰(zhàn)化的網(wǎng)絡安全架構，其落地有三個關鍵：盤家底、建系統(tǒng)、跑得贏。通過分解為可落地實施的“十大工程五大任務”，推動工業(yè)系統(tǒng)等不同應用場景的安全體系規(guī)劃、建設和運行，滿足數(shù)字化轉型和智能化升級的信息化保障需求。

??具體到工業(yè)互聯(lián)網(wǎng)安全而言，包括工業(yè)互聯(lián)網(wǎng)在內(nèi)工業(yè)生產(chǎn)網(wǎng)防護是內(nèi)生安全框架落地實現(xiàn)的十大工程之一，需要面向工控網(wǎng)絡內(nèi)部、工控與IT網(wǎng)絡邊界、數(shù)據(jù)采集與運維、集團總部數(shù)據(jù)中心構建多層次安全措施，強化縱深防御，并全面掌握工業(yè)生產(chǎn)網(wǎng)的安全態(tài)勢，保護工控生產(chǎn)運行安全，保障業(yè)務運營。

??吳云坤說，實施該工程的關鍵包含了一個核心和九項重點任務。一個核心就是要實現(xiàn)體系化的安全防護，安全要從“零散建設”走向“全局建設”，建立全面覆蓋的網(wǎng)絡安全能力體系，將能力“調(diào)用”到工業(yè)生產(chǎn)信息化體系當中，融合覆蓋。

??而九項重點任務，則全面覆蓋工業(yè)生產(chǎn)網(wǎng)絡的各層面，其中包括：調(diào)整優(yōu)化工控網(wǎng)絡架構、增強工控主機安全防護、建立工業(yè)互聯(lián)網(wǎng)平臺防護體系、建立工控網(wǎng)絡安全監(jiān)測體系、建立工控網(wǎng)絡縱深防御體系、建設工控遠程訪問安全接入點、建設工業(yè)安全態(tài)勢感知平臺、建設工業(yè)互聯(lián)網(wǎng)安全接入點、建設工控安全仿真驗證平臺。

??在演講中，吳云坤還分享了多個成功案例。他說，基于奇安信內(nèi)生安全框架的工業(yè)互聯(lián)網(wǎng)產(chǎn)品和解決方案已廣泛應用于能源電力、石油化工、智能制造等多行業(yè)場景，為2萬多臺工業(yè)主機，為包括比亞迪、航天云網(wǎng)等上百家工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺進行的工業(yè)主機安全防護、工業(yè)互聯(lián)網(wǎng)平臺安全防護體系建設、工業(yè)安全態(tài)勢感知平臺建設。

??此外，吳云坤還重點強調(diào)了安全人員能力支撐。他說，保護工業(yè)互聯(lián)網(wǎng)安全需要大量的安全人才，尤其需要既懂業(yè)務又懂安全，既懂生產(chǎn)又懂大數(shù)據(jù)、人工智能等技術的復合型人才。吳云坤建議，需要根據(jù)實際情況設計企業(yè)網(wǎng)絡安全團隊、設置崗位與能力要求，開展能力實訓，建設網(wǎng)絡安全實戰(zhàn)訓練靶場，提升人員的實戰(zhàn)能力，形成安全團隊建制化，保障業(yè)務運營。

??據(jù)悉，目前奇安信已經(jīng)具備了在內(nèi)完善的實戰(zhàn)化人才培養(yǎng)體系，包括綿陽基地、DataCon大數(shù)據(jù)安全分析比賽、補天漏洞響應平臺、虎符網(wǎng)絡安全大學等人才培養(yǎng)平臺，在多次實戰(zhàn)攻防演習和重大活動網(wǎng)絡安全保障工作中，奇安信一線服務人員均表現(xiàn)優(yōu)異，多次獲得有關部門和客戶致謝。