中国工业互联网安全产业高峰论坛札记
作者: 日期:2018年03月30日 阅:6,315

工业控制系统安全(简称“工控安全”)在智能制造2025的大旗下,无论是对于信息安全行业从业者,还是工厂的IT/OT系统负责人,都早已耳熟能详。但“工业互联网(Industrial Internet)安全”则还是一个不那么熟悉的新面孔。

如何理解工业互联网安全和工控安全的区别和联系?目前又有哪些实践案例和解决方案?本周三,安全牛记者参加了由中国信息产业商会大数据产业分会主办,长扬科技承办的中国工业互联网安全产业高峰论坛,并将部分参会嘉宾的主要观点有选择的记录如下。

1. 工业互联网安全中最突出的还是工控安全问题

中国工程院院士倪光南作为致辞嘉宾之一,做了题为“工业互联网安全与掌握核心技术”的演讲。倪院士在会上提及,目前业内工业互联网、智能制造、工业物联网三者的关系梳理还没有定论,但无论是哪种思路,工控系统安全的重要性都是不言而喻的。保障工控安全,对于以上三者的安全性,都具有重大意义。

倪光南

工业互联网无疑是各国以互联网为载体的新一轮工业革命的重要着力点。中国也在2017年11月,由国务院印发了《关于深化互联网+先进制造业发展工业互联网的指导意见》,将工业互联网定位为工业转型升级的顶层设计。信息安全的关注点由工控系统向工业互联网的延伸也是必然。但目前,倪院士表示,即使是最为基础和核心的工控系统的安全防御体系建设,中国也有88.3%的企业用户仍处于相对落后的试验和局部推广阶段。而这离拥有应对监管管理和内部安全风险评估,并在风险早期发现并处理的能力还具有很远的距离。

2. 实践分享:工业互联网与工控系统发展给石油石化行业带来的安全挑战

作为石油石化行业实践的先行者,来自中国石油化工集团信管部的孙维副主任分享了中石化在工业互联网和工控系统发展过程中所积累的安全经验和遇到的安全挑战。

孙维

孙维表示,其安全挑战在于原本独立、封闭的工控系统,随着工业互联网和工控系统的发展,暴露面不断扩大;同时,工控网与管理网的融合已是大势所趋,工控网中也开始大量采用通用的标准和操作系统,但现有的安全防护手段对工控系统却又不能完全适用,这让管理网中的攻击手段可以出现在工控网中并切实有效。

相较于更关心保密性的传统网络安全,工控安全将可用性排在最前面,其次是完整性和保密性,还有网络安全没有的实时性。这是传统网络安全在工控安全这里不能完全适用的根本原因。但是,工业互联网的发展所带来的开放性,使得原本封闭的系统不得不暴露在管理网和互联网中,风险剧增。

对于应对措施,孙维给出的建议是:

  • 加强工控网络边界防护;
  • 建立全方位的技术防护体系,包括上位机防护(补丁分发、漏洞扫描)、安全审计(数据监测、合规检查、事件追溯)、风险分析预评估(威胁发现、风险确定)以及综合监控(安全设备和策略的统一管理、动态感知);
  • 建设并完善工控管理制度;
  • 强化员工的工控安全意识。

在推进策略方面,孙维特别强调,要根据企业的业务板块,划分最小安全区域,来设计安全策略和防护方案,并对具体的实施条件进行分析。同时,结合企业实际各部门的责任制情况,合理规划设备的部署,安排实施计划。

孙维还建议应优先考虑隔离防护和主机防护,因为这种方式投入较小,安全效益高,且不影响生产装置的运行。同时,还应尽己所能做旁路的监测和审计工作,为将工控安全防护能力推进到动态威胁感知阶段做铺垫。

3. 长扬科技牵头,工业互联网安全院士工作站启动

此次会议还有一个重要启动仪式,就是由长扬科技和倪光南院士牵头的”工业互联网安全院士工作站“正式启动,之后会陆续有更多相关领域的院士加入。

此次论坛,也是这家主打”工业互联网安全“的安全厂商——长扬科技的首次公开亮相。

长扬科技常务副总裁范宇在会上介绍,长扬科技的主要团队来自原来的匡恩网络,但在人员和产品体系上,有了新的整合。其战略重点,包括全国覆盖的技术支持、对工业场景提供更具适应性的安全防护产品、为泛自动化控制提供安全感知和防护能力和更重运营(而非运维)的安全防护体系建设。

范宇

产品方面,长扬科技产品副总裁汪义舟在会上向记者介绍,长扬科技在产品设计的总体原则主要有四点:故障导向、高性能无打扰、系统可靠性、技术与管理结合。而这四点中,特别是最后一点——安全技术和安全管理的协同,是长扬科技尤为重视的。同样,技术与管理的结合也会在风险评估、应急响应等安全服务中有所体现。

汪义舟

在安全态势感知的能力建设方面,长扬科技研发副总裁闫印强在会上做了简单介绍。闫印强表示,态势感知平台更侧重运营和管理,从安全策略、风险、资产、漏洞、威胁、合规等角度,通过量化的风险指数,上到中央集团,下到地级市、厂区甚至每个资产,提供不同角度的态势,来辅助管理决策。目前,该安全态势感知平台的应用主要有三个方向,分别为监管部门(情报共享)、城市(政府监管)和企业集团(大安全:网络+设备+视觉)。

闫印强

安全牛评

工控市场难以打开一直是该领域的发展难题,但IT与OT融合的必然趋势,电力、石油石化等特定工业领域的合规要求,再加上工业互联网这面来自国家的“大旗”,更多的安全厂商参与角逐,之后市场的变化值得期待。当然,无论是工业互联网安全还是工控安全,在技术实现和产品思路上都是有其复杂性的,需要持续的研究、尝试和沟通合作,不可能一蹴而就。企业级用户勇于尝试和了解的心态,已经是一个较好的开始。稳步前进,特别是在工业这一尤为重视“安全”的领域,更加重要。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!

上一篇

做好工控安全 要回答这8个问题!

下一篇

英国政府公布新政策 帮助本国网络安全公司出口

安全牛编辑

相关文章

牛聘

牛聘 | 2023年度岗位招聘第20期—长扬科技2024校园招聘

厂商供稿

国利网安精彩亮相2023智博会 “工控安全盾”引领工控安全新路径

厂商供稿

聚焦工控安全与可信计算 沈昌祥院士一行到中电安科指导调研