【數(shù)博會(huì)專欄】奇安信左英男:工業主機與大(dà)數(shù)據安全是工業互聯網時(shí)代需要關注的兩大(dà)問題 | 數(shù)博會(huì)(圖文)
- 工業互聯網标識智庫
- 2020-05-07
奇安信集團副總裁左英男
钛媒體(tǐ)5月27日消息,2019數(shù)博會(huì),在由中國國際大(dà)數(shù)據産業博覽會(huì)組委會(huì)主辦、中國信息通(tōng)信研究院承辦、钛媒體(tǐ)聯合承辦的工業互聯網應用發展論壇(IAF)上(shàng),奇安信集團副總裁左英男工業互聯網條件下,工業主機與大(dà)數(shù)據安全防護的重要性。
演講中,左英男透露,奇安信去年處理(lǐ)過幾起因感染病毒導緻公司停産的案例,這些(xiē)公司有(yǒu)的屬于電(diàn)子制(zhì)造領域有(yǒu)的屬于鋼鐵(tiě)領域,共同點都是工業主機感染。
感染的原因在于IT、OT聯結在了一起,使得(de)病毒得(de)以進入工業網絡,從而造成主機感染,造成了藍(lán)屏、死機,甚至導緻停産。解決方案是首先要從工業主機防護開(kāi)始,因為(wèi)工業主機有(yǒu)自己的特點,企業在工業主機安裝傳統的殺毒軟件是沒有(yǒu)辦法在這樣一個(gè)環境下正常運行(xíng)的,需要采用單管控技(jì)術(shù),采用入口攔截、擴散攔截等,才可(kě)以有(yǒu)效保護我們工業主機的安全。
目前企業面臨的另外一個(gè)非常重要的安全問題就是工業大(dà)數(shù)據的安全防護。比如一些(xiē)走在前面的大(dà)型企業已經構建了自己的私有(yǒu)雲平台,又了自己的大(dà)數(shù)據中心,有(yǒu)一些(xiē)物聯網端采集的數(shù)據。這些(xiē)工業大(dà)數(shù)據蘊含一個(gè)企業,可(kě)能是價值最高(gāo)的資産。
那(nà)麽,如何來(lái)保護這些(xiē)數(shù)據?奇安信設定了三個(gè)目标:看得(de)見數(shù)據的流動,控得(de)住訪問的權限,管得(de)好洩露的風險。
以下為(wèi)奇安信集團副總裁左英男實錄,經钛媒體(tǐ)編輯整理(lǐ):
各位來(lái)賓大(dà)家(jiā)下午好!我們中國工業互聯網在蓬勃發展,互聯網應用也在蓬勃發展,有(yǒu)一句話(huà)叫做(zuò)安全是發展的前提,發展是安全的保障。工業互聯網安全問題非常重要,也是我今天想和(hé)大(dà)家(jiā)分享的這麽一個(gè)主題。
工業互聯網技(jì)術(shù)本質、應用場(chǎng)景非常複雜,但(dàn)是抽掉業務場(chǎng)景之後技(jì)術(shù)本質就是新的一代信息技(jì)術(shù)和(hé)我們傳統工業的深度融合,這種融合會(huì)極大(dà)改變生(shēng)産效率、客戶體(tǐ)現,同時(shí)也會(huì)為(wèi)我們網絡安全帶來(lái)非常大(dà)的挑戰。這種挑戰不僅是擴大(dà)了網絡安全的外延,我們要保護的範圍也變得(de)越來(lái)越大(dà)。
傳統的網絡安全的理(lǐ)念、安全技(jì)術(shù)、安全架構、安全産品無法适應新的IT技(jì)術(shù)的引入,同時(shí)改變網絡安全的內(nèi)涵。我們傳統網絡安全是保護業務和(hé)數(shù)據的機密性、完整性、可(kě)用性。随着工業互聯網的引入大(dà)量物聯網的終端自動化控制(zhì)設備也會(huì)接入網絡,我們談網絡安全會(huì)涉及到人(rén)員、環境、人(rén)生(shēng)隐私、個(gè)人(rén)隐私、工人(rén)的安全、物理(lǐ)安全等等新的性質,極大(dà)改變了網絡安全的外延和(hé)內(nèi)涵。
工業互聯網是一個(gè)非常大(dà)的範疇,安全也是非常複雜的一個(gè)技(jì)術(shù)問題,工業互聯網安全從哪裏開(kāi)始談?接下來(lái)希望把視(shì)線收縮到工業互聯網最重要的一公裏,就是生(shēng)産制(zhì)造企業,一個(gè)工業企業面臨的2個(gè)非常重要的安全場(chǎng)景。一個(gè)是重要而緊急的安全場(chǎng)景,就是工業主機安全防護;另外一個(gè)重要的場(chǎng)景是工業大(dà)數(shù)據安全防護。
▋最難的問題不在網絡攻擊,而是在不停産基礎上(shàng)安裝防護軟件
第一個(gè)工業主機安全場(chǎng)景,什麽是工業主機,典型的生(shēng)産控制(zhì)網絡裏面指的是操作(zuò)原站(zhàn)、工程師(shī)站(zhàn)等等上(shàng)位機,或者安裝了工業軟件的工業服務器(qì),典型的特點是運行(xíng)标準的操作(zuò)系統。工業主機是通(tōng)往物理(lǐ)設備的大(dà)門(mén),我們的控制(zhì)指令、采集數(shù)據都要通(tōng)過它,同樣因為(wèi)生(shēng)命周期長,又因為(wèi)它需要24小(xiǎo)時(shí)持續的運轉沒有(yǒu)辦法持續修補,而且存在大(dà)量的漏洞。這些(xiē)漏洞是攻擊者發起攻擊想從物理(lǐ)世界到數(shù)字世界的一種方式,所以這個(gè)很(hěn)緊急很(hěn)重要。
緊急來(lái)說不是天方夜譚,過去幾年我們奇安信處理(lǐ)的工業網絡事件100多(duō)起,都對生(shēng)産起到了影(yǐng)響,涉及各行(xíng)各業,造成工業主機的感染,藍(lán)屏、死機,甚至生(shēng)産停滞。所以工業互聯網安全首先從工業主機防護做(zuò)起。工業主機有(yǒu)獨特的特點,工業主機安裝的傳統标準的殺毒軟件是沒有(yǒu)辦法在正常的環境下運行(xíng)的,所以我們需要在采用百名單管控技(jì)術(shù)、智能匹配的技(jì)術(shù)上(shàng),用如攔截、擴散攔截、關卡式的對抗病毒的關口。守護好數(shù)字世界通(tōng)往物理(lǐ)世界的大(dà)門(mén)。
這樣看似挺簡單的問題,對網絡安全公司來(lái)說有(yǒu)什麽挑戰?其實從奇安信在過去1年多(duō)時(shí)間(jiān)給比亞迪集團的幫助,到目前為(wèi)止17000台工業主機上(shàng)我們得(de)到一個(gè)啓示。網絡攻擊對我們不是難的問題,最大(dà)的問題是什麽?我們可(kě)以看到比亞迪集團17000多(duō)主機,涉及30多(duō)個(gè)園區(qū),十幾個(gè)零件的生(shēng)産,大(dà)家(jiā)可(kě)以看一下右邊的表格上(shàng)(上(shàng)圖),工業主機操作(zuò)系統的類型Windows7這樣老舊(jiù)系統占了70%。在工業場(chǎng)景下網絡公司最大(dà)的挑戰典型特點:老舊(jiù)系統的兼容,如何在不停産的基礎下安裝防護軟件的部署和(hé)實施,這些(xiē)需要對工業生(shēng)産有(yǒu)深刻的認識,積累大(dà)量的經驗才可(kě)以勝任這個(gè)工作(zuò)。
今天已經是第12天了,微軟發布了一個(gè)新的補丁,這個(gè)漏洞非常厲害,堪比2015年5月12号的病毒,攻擊者不需要輸入任何密碼的情況下,可(kě)以從遠程訪問服務可(kě)以執行(xíng)任何程序。起碼我們在實驗室發現至少(shǎo)可(kě)以做(zuò)到藍(lán)屏,希望大(dà)家(jiā)盡快去打這個(gè)補丁。如果你(nǐ)的主機沒有(yǒu)辦法可(kě)打補丁,建議你(nǐ)安裝工業防護軟件去防護這個(gè)軟件。
▋下了很(hěn)大(dà)決心做(zuò)成的大(dà)數(shù)據中心,安全性如何保障?
第二個(gè)場(chǎng)景,這個(gè)問題并沒有(yǒu)那(nà)麽緊急但(dàn)是非常重要,就是工業大(dà)數(shù)據安全防護問題。随着工業制(zhì)造企業數(shù)字化、網絡化、智能化的發展,工業互聯網是近幾年提的概念,事實上(shàng)很(hěn)多(duō)領先的特别是大(dà)中型的生(shēng)産制(zhì)造企業,很(hěn)早就開(kāi)始智能化工廠的建設。這種建設打破了傳統的工廠網絡邊界。
舉一個(gè)例子,大(dà)家(jiā)右邊看圖,很(hěn)多(duō)大(dà)型的企業構建了自己私有(yǒu)化的大(dà)數(shù)據平台,我們叫做(zuò)工業大(dà)數(shù)據中心,這些(xiē)大(dà)數(shù)據中心會(huì)聚了從工業主機采集的數(shù)據,也有(yǒu)從物聯網采集的數(shù)據。很(hěn)多(duō)企業下了很(hěn)多(duō)決心,把生(shēng)産控制(zhì)網和(hé)工業信息化聯結在一起,工業大(dà)數(shù)據蘊含一個(gè)企業價格最高(gāo)的知識産權、生(shēng)産流程、工藝配方,每一個(gè)企業都重視(shì)自己的數(shù)據安全保護。下了很(hěn)大(dà)決心把工業生(shēng)産配置網和(hé)管理(lǐ)控制(zhì)網聯結在一起。
随着互聯網發展,出于對數(shù)據安全保護的擔心,是不是要連接互聯網?要連接到供應鏈上(shàng)下遊企業,甚至連接到共有(yǒu)的互聯網平台,實現工業大(dà)數(shù)據的流動。這是他們的擔憂問題,這種擔憂在某種程度上(shàng)阻礙了工業互聯網的發展。我覺得(de)這個(gè)問題不緊急,但(dàn)是非常重要,工業大(dà)數(shù)據安全保護是工業互聯網發展過程當中,特别是大(dà)中型工業企業需要投入的核心保護對象。
舉幾個(gè)數(shù)據安全和(hé)數(shù)據洩露的例子,這裏面沒有(yǒu)出現大(dà)型工業企業,是幾個(gè)工藝生(shēng)産流程、工藝配方洩露的事件。随着互聯程度越來(lái)越高(gāo)、開(kāi)放的流動程度越來(lái)越高(gāo),攻擊者一定會(huì)盯上(shàng)高(gāo)價值的工業大(dà)數(shù)據,工業大(dà)數(shù)據安全防護應該成為(wèi)我們工業互聯網安全、首要、核心目标。
怎麽做(zuò)呢?我們總結工業大(dà)數(shù)據安全風險管理(lǐ)三個(gè)目标:看得(de)見數(shù)據流動;控得(de)住訪問權限;管得(de)好洩露的風險。為(wèi)了達成這個(gè)目标我們需要摸清企業的數(shù)據資産、梳理(lǐ)不同人(rén)怎麽樣使用數(shù)據、如何管控數(shù)據風險,并且強化安全運營。我們核心要素是做(zuò)好訪問控制(zhì)權限的管理(lǐ),因為(wèi)傳統基于網絡邊界安全實效的情況下,我們提出零信任的安全架構。
默認的情況下網內(nèi)網外訪問業務數(shù)據的人(rén)都不信任,重新基于身份為(wèi)中心的手段,給我訪問業務的每一個(gè)人(rén)、每一個(gè)用戶、每一個(gè)設備甚至每一個(gè)接口都賦予新的身份,隻有(yǒu)授權才可(kě)以訪問。并且零信任架構裏面很(hěn)重要的概念,再強的認證,因為(wèi)開(kāi)放、用戶多(duō)樣性、設備多(duō)樣性,一次認證也不可(kě)以保證持續的合法性。在你(nǐ)訪問我數(shù)據的同時(shí),要持續對人(rén)、設備、ATI訪問調用的風險進行(xíng)持續的信任評估。發起風險就及時(shí)調整甚至切斷訪問的控制(zhì)權限。
基于這個(gè)理(lǐ)念我們服務企業當中基于零信任的控制(zhì)訪問平台,我們梳理(lǐ)暴露面不同的路徑,不同的暴露面部署訪問的措施,在可(kě)信訪問的智慧下,可(kě)以構建虛拟的邊界,所有(yǒu)訪問請(qǐng)求都會(huì)在虛拟的身份條件下進行(xíng)嚴格的檢查和(hé)動态的訪問控制(zhì)。極大(dà)加強了我們對工業大(dà)數(shù)據安全保護的力度。
奇安信我們就是之前的360企業安全,今年5月份我們才正式更名為(wèi)奇安信集團。我們是一家(jiā)年輕的公司,過去僅僅成立4年時(shí)間(jiān),但(dàn)是發展很(hěn)迅速。從2015年我們隻有(yǒu)幾百名員工,現在有(yǒu)超過6000名員工。我們希望用奇安信這幾年積累的安全和(hé)産品技(jì)術(shù)以及服務,可(kě)以更好為(wèi)我們工業互聯網安全保駕護航。謝謝!