奇安信集团副总裁左英男：工业主机和工业大数据是工业互联网安全两大核心

徐恒

“新一代IT技术与传统工业OT技术的深度融合造就了工业互联网，而IT与OT的深度融合不仅拓展了网络安全的外延，也改变了其内涵。”近日，奇安信集团副总裁左英男在2019年中国工业信息安全大会上表示。据介绍，“工业安全+互联网安全”让工业互联网相较于消费互联网而言。其安全问题变得更为复杂。

工业互联网信息安全防护与消费互联网有哪些异同？左英男认为，工业互联网80%的网络攻击手段和防护方法与消费互联网大同小异，但剩下的20%则需要针对工业不同的场景进行个性化防护。毕竟工业门类众多，工业场景各不相同，而这20%非常关键，需要投入巨大精力进行研究。

当前，很多工业企业看到工业互联网带来的好处，但网络安全问题是工业企业在接触并应用工业互联网技术时关注的焦点。而对于工业互联网网络安全，左英男认为，企业关心的问题主要聚集在两个方面：一方面，工业互联网与外网连接后，如何保障网络安全不被黑客攻击从而保障安全生产的顺利进行。另一方面，随着企业上云走向深入，当数据上云并通过工业互联网向上下游供应链开放后，如何保障工业大数据的安全。

从工业主机安全防护开始

工业主机主要指生产管理层和过程监控层的电脑设备，它们被称为是信息世界通往物理世界的“大门”。

“工业主机的生命周期往往比较长，操作系统老旧，存在大量漏洞，并且由于工业生产连续性的特点，工业主机很难定期升级补丁，因此工业主机已成为各类网络攻击和安全事件的首要攻击目标。”左英男表示。

根据该公司应急响应处置的工业企业网络攻击事件发现，汽车生产、智能制造、能源电力、烟草等行业发生的数起工业安全事件，大多数攻击或影响的是工业主机，导致工业主机蓝屏死机，无法执行正常的生产作业流程，最终造成停产事件，给企业造成直接经济损失。

左英男表示，工业互联网安全应从工业主机安全防护开始，在利用白名单技术进行病毒拦截的基础上，提供“入口、运行、扩散”三层关卡拦截，进行全方位病毒拦截。同时，在无需打补丁、关端口的前提下，通过“桶洞利用分析-流量解析对比-可疑攻击阻断”引擎可以有效对病毒进行超前防御。

与此同时，左英男补充道，在防护工业主机的同时，还要研究针对工业底层也就是现场控制层如PLC的安全防护，以防范于未然。

工业大数据安全风险不容忽视

数据是企业的资产，代表着核心竞争力。数据的安全对工业企业生存发展而言至关重要。近几年，随着工业互联网的发展，企业上云的步伐加快，数据上云成为大势所趋，数据也开始在不同的平台间持续流动，工业大数据的开放、共享、流动创造了更大价值的同时，也加刷了安全风险。数据的安全问题在某种程度上阻碍了很多工业企业去拥抱工业互联网的步伐，这些企业担心一旦数据上云，数据的知识产权、工艺配方面临严峻的安全问题。

对于工业大数据的安全防护，左英男认为，工业大数据安全风险管理的核心目标是“看得见、控得住、管得好”，需要摸清数据资产、梳理数据使用、管控数据风险、强化安全运營，构建数据全生命周期的安全治理体系。

据介绍，在以工业云平台和大数据平台为特征的新技术环境下，需要构建全新的安全架构去解决工业大数据的访问控制问题，其关键手段就是构建基于“零信任”的动态可信安全访问平台。在工业大数据安全防护的应用场景下，首先需要梳理工业大数据中心的暴露面，然后部署相应的产品组件，形成动态的虚拟身份边界，使得工业大数据中心不再对外暴露任何物理的网络边界，有效管控内外部用户和终端设备、工厂内部的工业主机和边缘计算网关、工厂外部的工业互联网平台数据共享API调用等访问主体对工业大数据的访问行为，从而保护工业大数据的安全。