安全資訊

2020年3月4日中共中央政治局常務(wù)委員會(huì )召開(kāi)會(huì )議，指出要加快5G網(wǎng)絡(luò )、數據中心等新型基礎設施的建設進(jìn)度。新型基礎設施建設（新基建）包括特高壓、新能源汽車(chē)充電樁、5G基站建設、大數據中心、人工智能、工業(yè)互聯(lián)網(wǎng)、城際高速鐵路和城市軌道交通等七大領(lǐng)域。

近幾日，作為廣大工業(yè)互聯(lián)網(wǎng)安全從業(yè)者的一員，筆者的朋友圈毫無(wú)懸念的被“新基建”相關(guān)內容刷了一波屏，繼而是工業(yè)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)安全等軟文刷到?jīng)]有興趣的“爆點(diǎn)”，剛好菜園約稿已有數周，臨時(shí)放棄了準備許久的八股技術(shù)文，就想換個(gè)角度跟大家分享個(gè)人對工業(yè)互聯(lián)網(wǎng)安全的一些粗淺看法。

想起上述這番話(huà)，是偶然在近期看到了某篇工業(yè)互聯(lián)網(wǎng)安全文章時(shí)的閃念，有沒(méi)有一部分（可能是一小部分）相關(guān)企業(yè)在做著(zhù)“工業(yè)互聯(lián)網(wǎng)安全”的概念游戲。在切入工業(yè)互聯(lián)網(wǎng)安全正題之前，筆者先與大家一起復習下功課。

自 2017年11月國務(wù)院正式印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》（后文簡(jiǎn)稱(chēng)“指導意見(jiàn)”）以來(lái)，我國工業(yè)互聯(lián)網(wǎng)相關(guān)工作加速落地實(shí)施，各項工作取得了積極進(jìn)展，工業(yè)互聯(lián)網(wǎng)的重要性也被社會(huì )各界充分肯定，在工業(yè)互聯(lián)網(wǎng)頂層設計、體系建設、產(chǎn)業(yè)生態(tài)等多層面都取得了一定的成效，為經(jīng)濟高質(zhì)量發(fā)展提供了有效助力。值得關(guān)注的是在新冠肺炎疫情爆發(fā)后，工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)借助網(wǎng)絡(luò )協(xié)同、遠程服務(wù)、供需對接等優(yōu)勢，在疫情防控和復工復產(chǎn)中發(fā)揮重要作用，為打贏(yíng)疫情防控阻擊戰提供有效支撐。

指導意見(jiàn)中明確提出了構建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )、平臺、安全三大功能體系，安全作為三大功能體系之一，其重要程度不言而喻，隨著(zhù)近兩年工業(yè)互聯(lián)網(wǎng)的高速發(fā)展，筆者僅就安全部分與大家探討文章開(kāi)始提到的“概念游戲”。

什么是工業(yè)互聯(lián)網(wǎng)？若隨機挑出100個(gè)業(yè)內人士提問(wèn)我們可能會(huì )很容易的得到50種以上的不同答案，在筆者接觸到的工業(yè)領(lǐng)域從業(yè)者中，也不乏并不愿談工業(yè)互聯(lián)網(wǎng)概念的管理者，雖然他們業(yè)務(wù)模式可能已經(jīng)是典型的工業(yè)互聯(lián)網(wǎng)應用。但回歸對其本質(zhì)的思考，以“降本、提質(zhì)、增效、減存”為企業(yè)發(fā)展工業(yè)互聯(lián)網(wǎng)的核心目標，多少個(gè)哈姆雷特想必在這個(gè)論點(diǎn)上也能達成一致，工業(yè)互聯(lián)網(wǎng)是工業(yè)企業(yè)趕上第四次工業(yè)革命浪潮的重要途徑這一結論亦不容質(zhì)疑。

工業(yè)互聯(lián)網(wǎng)：工業(yè)互聯(lián)網(wǎng)是新一代網(wǎng)絡(luò )信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，是實(shí)現人、機、物全面互聯(lián)的新型網(wǎng)絡(luò )基礎設施，是助力產(chǎn)業(yè)數字化、網(wǎng)絡(luò )化、智能化發(fā)展的必要基礎。

什么是工業(yè)互聯(lián)網(wǎng)安全？向同樣的這100個(gè)業(yè)內人士提問(wèn)，筆者可以想象的提問(wèn)現場(chǎng)場(chǎng)景只有兩種：一種是略顯冷場(chǎng)的尷尬，一種是零星幾人的答復后大家一副不置可否的表情圍觀(guān)。究其根本，網(wǎng)絡(luò )安全意識薄弱可能仍是主因之一，而“網(wǎng)絡(luò )安全工作是一項持續投入的成本中心”在很多企業(yè)管理者的思維中仍根深蒂固，缺乏內、外部安全事件觸動(dòng)時(shí)難以真正重視企業(yè)內網(wǎng)絡(luò )安全建設，相信在工作過(guò)程中有過(guò)“要不讓人真的攻一次我們，出點(diǎn)事領(lǐng)導就真的重視了”類(lèi)似念頭的安全工程師不在少數。

工業(yè)互聯(lián)網(wǎng)安全：工業(yè)互聯(lián)網(wǎng)安全是于2017年11月在《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》中作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一被正式提出，目標建立是涵蓋設備安全、控制安全、網(wǎng)絡(luò )安全、平臺安全和數據安全的工業(yè)互聯(lián)網(wǎng)多層次安全保障體系，從安全防護對象上涵蓋工業(yè)控制系統、智能網(wǎng)聯(lián)設備、工業(yè)互聯(lián)網(wǎng)平臺、工業(yè)數據等。

一個(gè)有意思的現象是，雖然安全是作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一，但筆者翻閱近兩年關(guān)于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的研究報告，鮮有將安全作為工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈一環(huán)提出。另外，近日翻看A股在“新基建”火熱后關(guān)于工業(yè)互聯(lián)網(wǎng)的研報內容中也極少看到對安全產(chǎn)業(yè)的重點(diǎn)關(guān)注，這些都似乎與我們的期望有所差距，但近幾年發(fā)生的工業(yè)安全事件又將我們拉回現實(shí)，網(wǎng)絡(luò )安全是一項持續性的工作，在工業(yè)互聯(lián)網(wǎng)快速發(fā)展的過(guò)程中，網(wǎng)絡(luò )安全將扮演越來(lái)越重要的角色。

近兩年，工業(yè)和信息化部等主管部門(mén)在工業(yè)互聯(lián)網(wǎng)安全政策標準制定、多級安全保障平臺建設、產(chǎn)業(yè)應用推廣、安全人才培育等多方面進(jìn)行了大量工作并取得了積極成效，同時(shí)工業(yè)領(lǐng)域發(fā)生的網(wǎng)絡(luò )安全事件（如臺積電勒索病毒事件）也警醒了部分企業(yè)管理者，業(yè)界對工業(yè)互聯(lián)網(wǎng)安全也逐漸重視，但筆者也看到業(yè)界有部分可能在“概念游戲”邊緣游走的企業(yè)與研究機構,下面就企業(yè)側工業(yè)互聯(lián)網(wǎng)安全能力建設與大家分享，希望讀者有所收獲或思考。

毛主席的這段話(huà)時(shí)刻敲打著(zhù)筆者，作為工業(yè)互聯(lián)網(wǎng)安全從業(yè)者，若是給我們服務(wù)的客戶(hù)只說(shuō)問(wèn)題不說(shuō)解決方法，真的有可能被認定為“江湖騙子”。有著(zhù)“工業(yè)基因”的工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)（工業(yè)企業(yè)、由工業(yè)企業(yè)內部業(yè)務(wù)發(fā)展演進(jìn)的工業(yè)互聯(lián)網(wǎng)平臺企業(yè)等），更加注重相關(guān)業(yè)務(wù)工作的“安全閉環(huán)”，對網(wǎng)絡(luò )安全工作更是如此。在此我們不再論述工業(yè)互聯(lián)網(wǎng)安全相關(guān)國家頂層設計進(jìn)展及體系建設思路，而從企業(yè)管理者的視角看看我們如何開(kāi)展相關(guān)安全建設工作及需要思考的問(wèn)題。

1、不怕賊偷，就怕賊惦記

“增強網(wǎng)絡(luò )安全意識”可能是廣大網(wǎng)絡(luò )安全從業(yè)人員日常使用頻率排前五的一句話(huà)了，近幾年有了諸如《網(wǎng)絡(luò )安全法》等法律法規的約束及安全培訓的普及，部分企業(yè)管理者和一線(xiàn)工程人員已逐步有了網(wǎng)絡(luò )安全意識。

而作為工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)管理者來(lái)說(shuō)，最應該有意識的“點(diǎn)”可能是“有賊惦記”。從近十多年的網(wǎng)絡(luò )安全攻擊趨勢來(lái)看，2005年流氓軟件泛濫、2009年木馬黑產(chǎn)形成規模、2011年個(gè)人信息倒賣(mài)產(chǎn)業(yè)火爆等現象突出網(wǎng)絡(luò )攻擊重點(diǎn)趨向于個(gè)人信息與C端獲利，而近幾年發(fā)生的如2017年“永恒之藍”勒索病毒、2019年委內瑞拉大斷電、2019年鋁工業(yè)巨頭挪威海德魯公司遭到勒索軟件攻擊等安全事件讓大家看到有組織的、面向物理世界的網(wǎng)絡(luò )攻擊行為越來(lái)越多，特別是作為工業(yè)領(lǐng)域的相關(guān)企業(yè)從業(yè)者更應意識到我們已成為了“賊惦記”的對象，要切實(shí)通過(guò)安全教育、培訓等手段加強網(wǎng)絡(luò )安全防范意識，針對性實(shí)施企業(yè)網(wǎng)絡(luò )安全防御計劃以筑牢安全保障體系。

2、道高一尺，魔高一丈？

在企業(yè)管理者的網(wǎng)絡(luò )安全管理思維中，承認“攻守能力不對稱(chēng)”、“道高一尺，魔高一丈”也是繃緊網(wǎng)絡(luò )安全這根紅線(xiàn)的必要思維之一。作為以業(yè)務(wù)運轉為主的企業(yè)主體來(lái)說(shuō)，建立網(wǎng)絡(luò )安全防御“長(cháng)城”成本高、維護大等問(wèn)題，而作為潛在的攻擊方，突破“萬(wàn)里長(cháng)城”中任何一個(gè)點(diǎn)都可能給企業(yè)帶來(lái)巨大的危害或破壞。

對于工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)來(lái)說(shuō)，由于工業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)涉及面廣，網(wǎng)絡(luò )安全防護范圍與對象的進(jìn)一步擴大對安全防護提出了更高的要求。

在IT、OT深度融合的工業(yè)互聯(lián)網(wǎng)應用發(fā)展中，筆者有以下幾點(diǎn)建議：

一、是研究確定企業(yè)的網(wǎng)絡(luò )安全目標：應對持續變化的網(wǎng)絡(luò )安全風(fēng)險。工業(yè)互聯(lián)網(wǎng)企業(yè)有著(zhù)復雜的業(yè)務(wù)基因，明確“保護什么”是企業(yè)構建安全保障體系的第一步，通過(guò)資產(chǎn)識別、保護對象價(jià)值評定等多種方式確定企業(yè)的各類(lèi)保護對象與安全目標設定，如部分工業(yè)互聯(lián)網(wǎng)企業(yè)最大的安全目標是保護工廠(chǎng)側“生產(chǎn)業(yè)務(wù)不斷”、部分企業(yè)重點(diǎn)關(guān)注平臺側“工業(yè)數據不丟”，每種安全目標的制定所對應的安全防護策略與建設重點(diǎn)都應有所區別。

二、是充分重視安全評估工作：減少企業(yè)保護對象脆弱性。通過(guò)常態(tài)化的安全評估工作及相應的安全處置，識別并減少企業(yè)安全保護對象的脆弱性，評估不斷變化的網(wǎng)絡(luò )安全風(fēng)險，為企業(yè)網(wǎng)絡(luò )安全風(fēng)險管理活動(dòng)提供準確信息與確定防護工作的優(yōu)先級。工業(yè)互聯(lián)網(wǎng)相關(guān)應用場(chǎng)景下，網(wǎng)絡(luò )攻擊從IT層滲透到OT層帶來(lái)的安全威脅加劇，而就企業(yè)管理者來(lái)說(shuō)，不應以保護對象（如工廠(chǎng)側生產(chǎn)控制系統）是否連接為公共互聯(lián)網(wǎng)為判定標準，而是應充分識別企業(yè)安全保護對象的脆弱性并制定相應的修復措施或防護工作，近幾年直接由生產(chǎn)側相關(guān)系統與終端（非聯(lián)網(wǎng)狀態(tài)）感染病毒或遭受破壞的安全事件并不少見(jiàn)。

三、是體系化構建自身安全保障體系：工業(yè)互聯(lián)網(wǎng)時(shí)代下的企業(yè)安全防護工作，單純以安全產(chǎn)品“堆”、“壘”式的解決方案已不適用于不同類(lèi)型工業(yè)互聯(lián)網(wǎng)企業(yè)的安全防護需求。結合自身業(yè)務(wù)類(lèi)型與保護對象，制定本企業(yè)的安全防護策略與安全解決方案，協(xié)同內外部資源落實(shí)部署相關(guān)安全產(chǎn)品、平臺。以事前評估預防、事中響應控制、事后溯源分析的安全運營(yíng)閉環(huán)思維指導安全建設工作，具體實(shí)施中可考慮如下幾點(diǎn)：

①.針對安全保護對象建設企業(yè)自身的安全防護指南或標準規范

基于充分的安全評估與檢測，結合主管部門(mén)的網(wǎng)絡(luò )安全管理要求及相關(guān)領(lǐng)域的技術(shù)標準規范，制定適應于企業(yè)自身業(yè)務(wù)特點(diǎn)與安全保護對象的安全防護指南、標準規范，使企業(yè)的安全管理與建設工作更具針對性與實(shí)效性。

落實(shí)企業(yè)內部安全評估、安全檢查、應急響應等常態(tài)化工作機制，推動(dòng)企業(yè)加強動(dòng)態(tài)掌握自身安全狀況、問(wèn)題發(fā)現、安全處置能力。同時(shí)制定業(yè)務(wù)連續性計劃，確保安全事件發(fā)生后企業(yè)能夠采取及時(shí)與恰當的應急響應以減少業(yè)務(wù)影響、降低損失、快速恢復關(guān)鍵服務(wù)能力等。

②.重視工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力建設

利用在線(xiàn)監測、誘捕探測、結構化/非結構化威脅數據感知等手段，建設企業(yè)側全保護對象的網(wǎng)絡(luò )安全態(tài)勢感知能力，了解企業(yè)核心業(yè)務(wù)安全運行情況、實(shí)時(shí)監測流量、及時(shí)識別威脅并提供溯源分析能力。加強與上一級主管部門(mén)、國家級工業(yè)互聯(lián)網(wǎng)安全監測與態(tài)勢感知平臺的信息安全共享與機制協(xié)同。

③.重視IT、OT融合過(guò)程中的安全防護策略變化及工業(yè)數據安全

在企業(yè)開(kāi)展IT、OT深度融合過(guò)程中，應對所涉及設備、控制、網(wǎng)絡(luò )、平臺、數據各層面的保護對象進(jìn)行持續性安全評估，對融合過(guò)程中衍生的新連接、新服務(wù)、新接口等充分評估安全威脅并進(jìn)行安全保護，特別涉及到工業(yè)數據的開(kāi)放共享與深度應用，應建立工業(yè)數據分類(lèi)分級機制，明確數據收集、存儲、處理、轉移、刪除等環(huán)節安全保護要求，制定對應數據安全保護措施。

四、是切實(shí)提升企業(yè)網(wǎng)絡(luò )安全實(shí)戰能力：培育企業(yè)核心安全技術(shù)人才。近年來(lái)，各國為提高網(wǎng)絡(luò )空間的實(shí)戰能力，軍事強國紛紛建設網(wǎng)絡(luò )靶場(chǎng)并組織多國、多部門(mén)、多情景的網(wǎng)絡(luò )演習，包括美國網(wǎng)絡(luò )風(fēng)暴、網(wǎng)絡(luò )衛士、網(wǎng)絡(luò )旗幟和網(wǎng)絡(luò )盾牌等。網(wǎng)絡(luò )安全演習在增強安全意識、實(shí)踐協(xié)調機制、檢驗防護效果、促進(jìn)提升攻防能力、實(shí)踐應急響應機制、實(shí)踐技術(shù)發(fā)展等方面有著(zhù)重要作用。工業(yè)互聯(lián)網(wǎng)企業(yè)在目前逐漸嚴峻動(dòng)態(tài)安全態(tài)勢下，應對具有自我特色的企業(yè)工業(yè)互聯(lián)網(wǎng)基因及出于自身業(yè)務(wù)敏感性保護的考慮，建設企業(yè)安全攻防靶場(chǎng)是提升安全防護能力及培養企業(yè)安全人才的重要可行手段。

企業(yè)如何應對工業(yè)互聯(lián)安全威脅及進(jìn)行有效的安全保障能力建設，筆者在本文僅分享了部分思路，如工業(yè)互聯(lián)網(wǎng)安全技術(shù)能力構建、安全可控、國內工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品同質(zhì)化等諸多筆者想探討的問(wèn)題并未展開(kāi)。

工業(yè)互聯(lián)網(wǎng)的快速發(fā)展確實(shí)給企業(yè)帶來(lái)了極大機遇，同時(shí)也帶來(lái)了更嚴峻的網(wǎng)絡(luò )安全挑戰和更迫切的安全需求，期望工業(yè)互聯(lián)網(wǎng)企業(yè)管理者們能夠充分重視網(wǎng)絡(luò )安全問(wèn)題、充分認識自身安全現狀、切實(shí)做好安全能力建設，但網(wǎng)絡(luò )安全工作從不是一蹴而就，企業(yè)管理者也切忌劍走偏鋒急于求成，如同毛主席所說(shuō)“ 一時(shí)辦不到的事，必須允許逐步去辦”。