“互联网是我们这个时代最具发展活力的领域。互联网快速发展,给人类的生产生活都带来了深刻变化,也给人类社会带来了一系列新机遇和新挑战。”
—————习近平
2016年11月16日,浙江乌镇再次成为全球关注的焦点。在乌镇,我们读懂互联网发展的未来,以及中国撑起这份未来的大国担当与高瞻远瞩。
目前,互联网的长尾效应在工业领域正在凸显。我们看到数以千万计的工业设备开始接入互联网形成工业物联网。随着“中国制造2025”国家战略的深入发展,工业物联网成为我国,乃至全球主要经济体,探求生产力变革,助推生产效率提升的关键。但同时,我们也意识到工业物联网安全面临着严峻挑战。高速发展必须有安全守望,安全性是工业物联网健康发展的重中之重。
如何摆脱在“在别人地基上盖房子”的尴尬与无奈,避免重蹈互联网安全滞后于应用的覆辙,是中国工业物联网安全领域致力于解决的迫切问题。工业物联网安全正在快速成长为一个战略新兴产业,我国有能力成为该领域的先进国家,并主导该领域的发展,建立全球影响力。在世界互联网大会召开之际,作为工业物联网安全领域的领军企业,匡恩网络实力诠释工业物联网安全,分享工业物联网安全应用之道。
“智”造升级 深思明辨工业物联网安全
2015年5月,经国务院总理李克强签批,国务院发布了《中国制造2025》,这是一项全面推进实施制造强国的战略规划,是中国实施制造强国战略第一个十年的行动纲领。
随着《中国制造2025》战略规划的实施,工业化与信息化的深度融合,企业内部及企业间生产控制系统和生产管理系统互联互通的需求剧增,通过接入网络进而达到提质增效的需求更为强烈,工业物联网应运而生。
工业物联网是工业系统与互联网,以及高级计算、分析、传感技术的高度融合,也是工业生产加工过程与物联网技术的高度融合。它将工业生产系统、工业监控系统、工业管理系统、物资运输系统、消费反馈信息系统等融为一体,通过数据中心的智能处理结果,从而提高工业生产效率,提高产品质量和用户满意度,使工业生产更快速、更安全、更清洁、更经济。
工业物联网的建设要与安全并行,探讨工业物联网安全防护之道,首先要明辨工业物联网与其他物联网之间存在的差异。首先,二者在安全防护的主要需求上存在的本质差异。工业物联网系统与许多其他物联网行业的主要区别是:(1)在工业物联网系统中涉及的工业生产设备,对系统响应的实时性要求高。无论感知数据的上传,还是控制指令的下发,都需要在很短的时间内完成,这就给安全防护技术的实施带来了挑战。(2)控制系统中的主机设备系统老旧,更新困难。在生产过程中,很难对一个控制系统进行维护和软件更新,包括对操作系统和安全防护软件的更新,以及硬件设备的添加,因此许多防护措施只能通过旁路方式进行。尽管这种方式可对一些非正常数据提供报警,对攻击行为实施隔离等措施还需辅以其他方案。
其次,针对物联网系统,特别是工业物联网系统发起的入侵攻击,与传统信息系统有着明显的区别。传统信息系统的入侵攻击,其攻击目标就是被入侵的主机系统,其表现行为从早期的破坏主机系统,到后来的获取主机系统信息,逐步到后来将主机系统变为攻击其他主机系统的僵尸节点。但工业物联网系统的入侵攻击,其攻击目标一般不是被入侵的主机系统。攻击者一般会通过入侵的主机系统,非法控制该主机系统所能控制的受控设备以达成既定攻击任务,而这些受控设备可能根本不具有智能判断能力。
“4+1安全保障体系”,工业物联网安全有效方法论
对于工业物联网安全的产业化发展,一个系统化安全保障体系将是其实践运营的核心支柱。企业想清晰地打造自己的工业物联网安全体系,必须系统化、立体化对其进行考量。匡恩网络对国内外各个行业的工业物联网系统进行大量深入调研,全面了解工业物联网的安全特性,总结出了涵盖“结构安全、本体安全、行为安全、基因安全四个安全性以及安全的时间持续性”的“4+1安全保障体系”。
其中,结构安全即基础设施建设过程中网络结构,以及区域、层次的划分是否满足安全要求;本体安全是指工控设备自身的安全性,包括工控主机、安全设备、网络设备、移动介质等,这些设备普遍存在漏洞、后门等安全隐患;行为安全主要包括两部分:系统内部发起的行为是否具有安全隐患,系统外部发起的行为是否具有安全威胁;基因安全即CPU、存储、操作系统内核、基本安全算法与协议等基础软硬件的完整可信、自主可控;时间持续性是指通过建立长效的安全防护机制,从技术、设备、人员、管理、运维等多个维度,实现综合安全服务能力,保障工业控制系统及关键基础设施全生命周期的安全性。
“4+1安全保障体系”从影响工控安全的5个要素着手,将安全需求和部署与业务、应用和整体系统构架连接起来,有步骤地逐步实现从网络安全到功能安全到基础设施安全的综合防护能力,做到安全与互联随行。
“4+1安全保障体系”的建立,基于国资委、工信部、能源局等国家部委对于工控安全的监管要求、推荐标准和工控系统安全要素的分析,充分吸收现有工控安全体系的精髓,在结构安全方面吸纳专网专用、隔离认证等技术,在本体安全方面吸收设备加固与白名单控制等技术,在行为安全方面引入工业大数据技术,基因安全方面引入可信可控,时间持续性方面引入管理持续化等技术与管理体系,实现对现有工控安全体系的融合与发展。
“4+1安全保障体系”将工业物联网与工业基础设施安全相结合,为工业企业提供基于工业物联网的平台化专业安全服务,解决工业基础设施互联互通带来的安全问题;解决当前工控企业缺乏安全管理和专业化安全服务的问题;解决工业企业信息安全与生产安全脱节的问题。帮助工业企业建立、提升立体化主动防御能力,实现工业基础设施安全与生产安全相结合的一体化大安全。
点面结合,纵深推动工业物联网安全发展
工业物联网安全助力提升传统行业效能的潜力,毋庸置疑。激发潜力的前提是,具备可放之多行业且行之有效的方法论,将其在单一行业充分应用和纵向整合,并以此为起点,总结更多行业存在共性特点,充分考量细分行业特点和特定属性,为更多行业提供定制级解决方案,快速广泛应用与实施。
这是促进工业物联网安全规模化应用和产业发展的有效路径。在工业生产的实践中,匡恩网络将“4+1安全保障体系”作为有效方法论,将其与集合人工智能算法、工业协议深度分析、模式匹配、智能感知等前沿技术的多系列近二十款产品深度结合应用,为涉及关键基础设施、智能制造、智慧城市、军民融合四个领域的十多个重要行业提供定制级的一体化解决方案。
在2016年9月的国家网络安全周,匡恩网络重磅发布两款针对工业物联网安全的双子星新品:威胁态势感知平台和漏洞挖掘云服务平台,深度发力工业物联网感知与服务,有效解决工业物联网安全应用中存在的痛点和盲点,与跨行业、跨领域的解决方案深度融合,实现从感知到应用到服务的纵向整合。目前,匡恩网络已构建了丰富的产品体系,已完成包含检测、保护、审计、终端、管理、实训、E能互联及其他等8大系列、20多条产品线,成为国内首家以全产品线和服务覆盖智能工业安全全业务领域的公司。
从技术创新到管理模式创新,从单一产品到纵深联动,匡恩网络自主可控工业物联网安全解决方案改变了传统安全产品简单堆砌的被动防御模式,实现了风险提前预知、设备纵深联动、管理精准及时的主动防御方案,从网络安全、主机安全、应用安全、数据安全四个层面全面保障控制系统网络安全和设备安全。匡恩网络工业物联网安全解决方案广泛在水利、电力、交通、燃气、供水等关键基础设施保护,以及石油化工、冶金、烟草、智能汽车、智能制造等国家重点行业和领域成功应用,并深受好评。
同时,匡恩网络吸收工业互联网的威胁态势感知平台,构建基于云技术和大数据技术的工业物联网安全态势中心,为大中型企业、地方政府、行业监管部门的工业物联网各层面网络提供全方位安全监测与防护,实现早期预警、态势感知、攻击溯源和有效应对。
经过近三年时间的深耕,从创建方法论,到产品和解决方案深度应用,再到构建工业物联网安全态势中心,匡恩网络“点面结合”纵深推进工业物联网安全的产业发展。2016年,匡恩网络在工业物联网安全领域的深耕,迎来蝶变,在工控网络安全领域的规模和市场份额均居榜首,成为中国工业物联网安全领域的创新先锋和重要支撑力量,得到中央网信办、公安部、工信部等中央和政府部门的高度认可;并做为第一第二单位负责牵头制定“工控漏洞挖掘”、“智慧城市安全”、“数控安全”、“工控网络监测"、"工控网络安全隔离与信息交换"等多项国家标准。
工业物联网安全发展的再思考
互联网是20世纪人类最伟大的发明之一 ,与彼此雀跃期待不同之处,是今时今日对于互联网我们有了更为深刻全面的认知,这份认知中既有对互联网与更多垂直行业碰撞融合进而带来创新变革的希冀,更有同心同向肩扛搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台的责任,砥砺前行的决心与赤诚。
工业物联网应用与发展亦如是。在通过工业物联网深度应用获得潜在效益的同时,工业物联网应用相关参与者也要做好安全管理。互联网的发展一日千里,建立在互联网之上的工业物联网技术早已有之,在网络化、智能化的趋势之下,工业物联网快速向着规模化的应用方向发展。而工业物联网安全体系的构建,是实现工业物联网健康发展美好愿景的重要前提。
工业物联网蕴含万亿市场,体量之大,安全厂商、运营商、科研机构或院校各自为战,无法真正意义上全面推动其发展。在这一过程中,监管部门、安全厂商、运营者和科研机构或院校都是参与其中的重要角色,将各方力量汇集形成强大合力,各司其职共促工业物联网安全管理与体系建设。
对于监管机构,鼓励产业化、鼓励创新、鼓励教育人才培养,强化链接上下游企业、整合产学研相关机构,共同推动行业创新与发展,推动相关国家标准和行业标准制定工作。
安全厂商是工业物联网安全防护创新的主体,这其中既包含通过技术创新完善产品设计、产品功能和产品体系,也需打破网络安全防护固有的思维模式,不断丰富防护手段和解决方案,最大化强化自身产品和解决方案的防御能力和实用性。
对于运营商,要竖立网络安全意识,与安全厂商协作管理系统安全。对于新装系统,应实现结构安全同步建设;对于再装系统,应进行结构安全改造;对于因条件限制无法进行改造的,应建立安全性补偿机制。同时,建立健全网络安全监督机制,落实相关责任。
最后,是专业人才培养机制的建立。工业物联网的潜在影响力,几乎横扫大多数涉及国计民生的重要行业和重要领域。可以预见,在工业物联网发展和规模化的应用过程中,对于专业人才的需求十分迫切。从工控网络安全发展人才需求引申看来,工业物联网安全专业人才不仅仅局限于传统的信息安全或电气自动化专业人才,更大程度上需要具备跨行业、跨领域知识储备的专业人才。
结语:
今年的世界互联网大会,匡恩网络受邀出席开幕式和网络安全闭门会议。乌镇归来,深刻感受到网络空间命运共同体既是发展共同体、利益共同体,也是安全共同体、责任共同体。网络安全是于构建网络空间命运共同体的基础,也是构建工业物联网体系的重要组成部分。世界互联网大会传递出网络空间发展的强音,为工业物联网安全的技术创新和产业规模化发展打开了新的篇章。工业物联网安全产业前景可期,只待书写!