“面对工业生产的安全威胁,应该用内生安全的框架进行规划建设。”在11月19日武汉举行的2020中国5G+工业互联网大会上,奇安信集团助理总裁宋强在演讲表示,工业互联网应首选内生安全框架,将其作为标配,通过把安全能力与业务系统和生产流程紧密结合起来,进行深度融合,把原来静态的、局部的、外挂式的安全策略,升级为动态的、系统的、内生的防护措施,从而建立自适应的安全免疫体系。
图:奇安信集团助理总裁宋强发表演讲
5G+工业互联网带来三大新安全挑战
在新基建背景下,作为数字经济的发动机,5G+工业互联网无疑是最亮眼的两项。宋强认为,5G+工业互联网将极大地推动工业生产的转型升级,这意味着现有的生产形态和生产流程也将发生重大变化,但与此同时,5G和工业互联网也给网络安全带来三方面挑战。
首先是5G加剧了传统工业网络边界的瓦解。由于5G网络功能的虚拟化,模糊了网络安全的物理边界,虚拟的安全域还会动态变化,传统依赖物理边界防护的安全机制难以奏效。
其次是增大了传统工业控制系统受攻击面。过去由于工控领域相对封闭,暴露出来的漏洞仅是冰山一角,大量的隐患还藏在水面之下。工业互联网的发展,使原来生产网的漏洞暴露在外网,使工业生产面临巨大威胁。
最后是5G和工业互联网促进了工业大数据的非安全共享与流动。数据只有流动起来才能产生价值,但跨网络、跨平台的流动必然带来巨大的风险,如何保护数据不被非法使用、不被盗窃、不被篡改,是工业互联网安全的核心问题。
“从外部环境来看,攻击呈现多样性,攻击理论和手段日臻成熟。根据美国知名研究机构MITRE的报告,针对工业控制系统的攻击已经形成了完整的矩阵,分为11个步骤,100多种战术。攻击者完全可以通过标准化、流程化的操作,控制生产系统。”宋强表示,“而从内部防护来看,安全内涵变化,传统防护手段失效,需要考虑新的安全防护办法。”
宋强在会上透露,近几年奇安信应急响应过的工业企业网络攻击事件,涉及汽车生产、智能制造、能源电力、烟草等行业上百家企业,大多数都导致了工业主机蓝屏,文件加密,生产停工,给这些企业造成了重大损失。奇安信预测,随着IT/OT技术的深入融合,越来越多的工业主机与企业网络联通,中招的可能性也会越来越大。
内生安全框架在工业生产网领域加速落地
“工业互联网的开放性以及云大物移等新技术新平台在工业网络的应用,使得传统的安全模型无法适应快速的变化,需要新一代网络安全框架来保护工业生产网的安全。”宋强表示,新一代网络安全框架引入内生安全的理念,把安全能力与业务系统和生产流程紧密结合起来,进行深度融合,建立自适应的安全免疫体系。
奇安信将内生安全框架的落地总结为三个关键:盘家底、建系统、跑得赢。通过分解为可落地实施的“十大工程五大任务”,推动工业系统等不同应用场景的安全体系规划、建设和运行,满足数字化转型和智能化升级的信息化保障需求。
宋强重点介绍了十大工程中的“工业生产网安全防护”,并将其分解为了一个核心和九项重点任务:一个核心就是要实现体系化的安全防护,安全要从“零散建设”走向“全局建设”,建立全面覆盖的网络安全能力体系,将能力“调用”到工业生产信息化体系当中,融合覆盖。而九项重点任务则覆盖了工业生产网络的9个子场景,涵盖了网络架构、主机、边界防护、安全检测与态势感知等。
据介绍,基于奇安信内生安全框架的工业互联网产品和解决方案,已广泛应用于能源电力、石油化工、智能制造等多个行业场景中,其中包括比亚迪集团17,000台工业主机安全防护,三一重工中亚洲最大智能制造车间安全防护,以及廊坊管道局油气管道网络安全监测态势感知等等。这些项目分别针对工业互联网中的不同应用场景和需求,提供了内生安全框架的具体落地,并为工业互联网的安全防护打造了标杆性案例。