10月18日,由工业和信息化部、中国科协和辽宁省政府主办的2023全球工业互联网大会在沈阳举行。奇安信集团董事长齐向东在发表主旨演讲时表示,工业互联网是数字经济和实体经济深度融合的关键,要以内生为本,解决数智时代工业互联网安全难点,推动工业互联网安全实现“零事故”。
数智时代工业互联网安全防护有“四难”
数智时代,工业互联网事故的毁灭性增强,安全防护难度全面升级。水、电、油、气、通讯等领域一旦遭受攻击,对社会生产生活的破坏性都非常大。齐向东总结工业互联网安全防护有“四难”。
第一难,是勒索攻击防范难,工业企业陷入“进退两难”的境地。工业领域业务多,数据的流动方向和路径复杂,难以分辨正常业务操作和网络攻击。黑客可以模拟正常业务,披着合法的外衣做“坏事”。一旦得手,企业就会被迫陷入或缴纳赎金,或修复系统、运营中断带来经济损失的“两难”境地。
第二难,是漏洞、后门堵住难,单个工业设备受损将引发全局性风险。工业互联网的发展,让连入互联网的工业控制系统、工业设备越来越多,攻击暴露面也越来越大。黑客可以轻而易举地通过漏洞、后门攻破单个设备,进而扩大破坏范围。去年3月,工业软件提供商PTC的Axeda软件,被曝存在7个严重漏洞,这些漏洞或影响上百家不同厂商生产的150多种设备机型。
第三难,是“三员”风险化解难,工业企业对“内鬼”的破坏行为力不从心。“三员”是指内部的管理员、技术员和操作员。他们了解企业的系统运作原理,也懂得如何神不知鬼不觉地实施针对性网络攻击。如何对内部人员进行有效管控,是很多工业厂商面临的问题。
第四难,是生产和安全平衡难,业务连续性受到阻碍。过去在工业领域,解决网络数据安全都是从IT视角出发,业务系统和安全系统各自为战;随着数字经济和实体经济深度融合,从业务视角看安全,漏洞百出,而堵漏洞还要平衡好业务连续性和效率问题。
四招实现工业互联网安全“零事故”
“解决数智时代的工业互联网安全难点,关键要以内生为本。”齐向东表示,数智时代,数产生了智,智又产生了新的数,在螺旋式上升的循环中创造了一个繁荣的数字化、智能化的世界。工业互联网相关领域也要从规划、建设、体系运行到实战结果,再用实战结果评估指导新的规划、建设、体系运行,在螺旋式上升的循环中保卫工业互联网安全,做到内生安全。他还总结了与工业互联网安全建设的四招。
第一招是建设三级联动的网络安全运营指挥体系,有效制止勒索攻击。工业互联网的规模越大,主机规模越大,薄弱环节就越多,勒索攻击往往防不胜防。要主动开展三级联动的网络安全运营,同时,还要建立安全弹性恢复机制,做好IT系统和OT系统的数据备份,即使受到攻击,也能把损失降到最低。
目前,奇安信已经在国内很多大型工厂中开展了三级联动的网络安全运营实践,包括为三一重工亚洲最大的智能制造车间提供安全防护、为某超大型新能源企业系统提供安全建设等等,都取得了很好的防护效果。
第二招是建设完善的工业安全和漏洞协同治理体系,解决漏洞、后门等问题。工业主机系统普遍老旧,系统、应用更新缓慢,导致漏洞频发,可通过工业主机安全防护系统,通过三层拦截七重防护,可以对工业主机进行终端管理、级联管理、灵活配置和联动分析,显著降低漏洞利用带来的威胁。另外,针对工控系统的漏洞,工业自动化厂商、安全厂商和企业用户应当进行三方协同联动,建立工控漏洞的协同治理机制和应急响应机制,第一时间确保漏洞事件得到正确、恰当的处置,将漏洞后门的危害降至最低,共同保障工业网络安全。
第三招是建设全面的数据访问安全检测与保护体系,助力工业企业管好“内鬼”。数据访问接口设计不合理导致的未授权访问、内鬼被收买导致的故意越权操作、利用后门绕过权限管控的数据窃取与破坏等等,都亟需进行体系化的数据安全保护。
今年上半年奇安信发布的天盾数据安全保护系统,就是以数据资产为核心,形成一个集“事件监测、风险分析、策略调整、访问控制”为一体的全链条闭环体系,一个系统就能解决工业互联网面临的各种数据安全问题,全面地对数据访问进行安全检测与防护。
第四招是建设纵深防御的内生安全体系,让业务系统和安全系统深度融合。“功能强大的工业互联网,一定离不开纵深防御的内生安全体系。”齐向东介绍,内生,就是把安全能力内置到业务系统的全链条中,从而实现安全能力的无死角,为及时发现攻击打下基础;纵深,就是构建完整的安全技术防御体系,保证在“防御阵地”中具备全安全技术栈的网络安全防线联动。当一道防线被突破还有其它若干防线拦截攻击,从宏观管控到微观检测全面进行安全防护。防线层层叠加,管控逐级加强,确保即使网络被攻破情况下,也能尽最大可能控制损害的发生。
齐向东表示,工业互联网已成为推动实体经济高质量发展的关键支撑,而安全是工业互联网的底板和基石。接下来,奇安信将用好这四招,不断深化安全实践,为国家工业互联网建设做出更多安全贡献。(刘彤)