近日,工信部联合多部委印发了《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),引起了行业人士的高度关注和热议。首先,十部门联合重磅发文体现了国家对工业互联网安全的重视程度之高、力度之大,工业互联网安全已经上升到国家战略层面。其次,该文件内容具体而详实,可以作为工业互联网安全产业发展的指导纲领。《安全指导意见》为我国工业互联网安全设定了非常具体的总体目标,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展、强化人才培育,提出了十七项明确的工作任务和四项保障措施。《安全指导意见》的逐步落实,必将全面提升我国工业互联网创新发展的安全保障能力和服务水平,促进工业互联网高质量发展,推动现代化经济体系建设。
作为工业互联网安全产业的从业者,本人通读了几遍《安全指导意见》,并深入理解和思考,以网络安全企业的视角,从产品技术的维度,谈一谈本人的几点思考,供大家参考和批评指正。
一、工业互联网安全保障体系建设,安全能力是基础
工业互联网是新一代信息技术与制造业深度融合的产物,是第四次工业革命的关键支撑,其本身的技术复杂度、面临的潜在安全威胁、安全事件造成的严重危害都对从事工业互联网安全工作的单位和企业提出了非常高的安全能力要求。《安全指导意见》高度重视安全能力建设,要求夯实工业设备和控制安全、提升网络设施安全、强化平台和工业应用安全、强化企业数据安全防护能力、建设工业互联网安全技术保障平台、建设工业互联网安全基础资源库、建设工业互联网安全测试验证环境、加强工业互联网安全公共服务能力、推动工业互联网安全科技创新与产业发展。这些要求体现在安全能力上包括但不限于:工业资产探查能力、工业设备漏洞挖掘与检测能力、工业控制协议深度解析能力、攻击发现和阻断能力、高级持续威胁(APT)发现和追踪溯源能力、网络安全攻防对抗能力、源代码安全检测能力、工业云平台防护能力、工业大数据安全防护能力、安全态势感知平台建设能力、大数据建模和分析处理能力、功能安全与信息安全融合能力等等。工业互联网是安全保障的目标和对象,安全保障体系建设本质上是安全能力的建设,全面、系统、有效的安全能力是安全保障体系建设的基础。因此,要建设好工业互联网安全保障体系,必须加大研发投入,加强技术创新,提升安全能力,并使安全能力与工业互联网业务场景充分融合,使工业互联网具备自适应、自主和自生长的“内生安全”能力。在这点上,我们作为工业互联网安全企业责无旁贷。
二、工业互联网设备和控制安全防护,工业主机是重点
《安全指导意见》的第6项主要任务要求夯实设备和控制安全。“督促工业企业部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全”。我们通过对大量工业企业的安全应急响应服务发现,目前对工业设备和工控系统威胁最大的是专门针对工业主机(指工业控制系统上位机,如操作员站、工程师站、历史数据库、实时数据库、MES服务器、HMI等等)的勒索病毒和网络攻击。工业主机往往运行常见的操作系统,攻击者很容易获得并进行研究。同时,由于工控系统生命周期较长,现存的工业主机大多是Windows7、Windows2000、WindowsXP等老旧的操作系统,版本升级困难,甚至无法更新,存在大量已知漏洞,很容易成为病毒和网络攻击的直接目标、攻击入口和关键跳板。工业主机是连接信息化系统和工业控制设备的“大门”,对工业主机的攻击可以直接影响工控系统的运行状况,甚至能够篡改控制器的操作指令,使信息安全事件转化为影响安全生产的功能安全事件,给工业企业甚至国计民生造成无法挽回的损失。我们研究发现针对主机的攻击方式有:通过网络攻击取得工业主机管理权限,加密关键文件,进行勒索;通过U盘对工业主机注入病毒篡改控制器上报数据,掩盖控制数据异常;通过鱼叉攻击实现多台工业主机提权,篡改下发控制指令;通过感染双网卡工业主机跨区传播计算机病毒;通过被控制的工业主机向控制器下发网络风暴数据,造成控制器运行周期异常甚至死机等。因此,工业主机是工业互联网设备和控制安全防护的重点,也是应该最先进行安全投资并且投资收益率最大的方向。
三、工业互联网大数据安全防护,内生安全是核心
《安全指导意见》特别把“强化工业互联网数据安全保护能力”单独列出,作为主要任务之一,充分说明了数据安全在工业互联网安全中的重要地位。数字孪生、工业大数据是工业互联网的重要应用创新,也是制造业和互联网深度技术融合的产物,承载着工业企业的核心知识产权。毫不夸张地说,随着工业互联网应用的发展,我们所做的一切安全防护措施,根本目的都是为了保护工业互联网企业的核心资产——工业大数据。工业大数据的安全防护是一个复杂的、体系化的系统工程。同时,工业大数据业务应用大多构架在云平台、大数据平台、微服务架构等新兴IT技术基础之上,这使得业务应用与基础设施、运维与开发、业务与安全天然地高度耦合,所以工业大数据安全防护体系需要特别重视其“内生安全”问题,要做到“内生安全”,安全特性必须能够无缝嵌入工业大数据的软件技术架构,需要具备自适应安全特性的大数据安全架构。安全自适应具有充分的系统自诊断功能,在遇到安全风险和系统异常时可以及时发现进行告警,同时具备自动化的策略调整和安全修复功能,使得工业大数据系统具备充分的“弹性”,可以关闭部分服务保证关键业务的执行。工业大数据的安全防护体系应当是一个运营体系,通过持续的安全运营,不断提升优化安全策略、提升安全防护能力,实现安全防护能力的自生长。
四、工业互联网安全技术保障平台建设,协同联动是关键
《安全指导意见》第11项主要任务,要求建设国家、省、企业三级协同的工业互联网安全技术保障平台,特别强调强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。我司近年来承担了工信部部分重要平台建设专项工作,对此深有体会。近两年,地方政府相关主管部门和部分工业企业陆续开始建设工业互联网安全技术保障平台,取得了很好的应用效果。但在应用过程中也暴露出一些问题。这类平台最大的特点是可以对安全风险进行集中监测,进而实现响应处置甚至态势预判和追踪溯源。从集中监测角度,没有互联互通的孤立平台无法做到有效的集中监测和信息共享。例如,政府主管部门的平台目前缺乏与工业企业平台的互联互通,缺乏对工业企业内部工控网络安全状况的实时感知和监测。又比如目前还未有效整合行业的安全大数据,形成行业平台对行业整体安全态势的监测和感知。从应急处置角度,目前还存在三方面的协同问题:政府部门与工业企业的协同联动、工业企业与网络安全企业的协同联动、工业企业与工业互联网厂商的协同联动。只有工业互联网安全的这四个关键角色建立规范化的应急处置工作机制,制定联合处置预案,定期举行有效的应急处置演练,才能在遭受网络攻击时做好应急响应处置工作。
五、工业互联网安全产业发展,人才培养是保障
《安全指导意见》第四条保障措施指出,“加强宣传教育,加快人才培养。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。”我们在主办2017年互联网安全大会时就提出“人是安全的尺度”。网络安全本质是人与人的对抗,大量的安全事件是由于人的因素造成的,问题的解决最终也离不开人的参与。工业互联网安全保障体系的建设离不开大量的专业网络安全人员,工业互联网安全产业的发展更离不开高水平、高素质的网络安全从业人员。高校是人才培养的源头,产教融合、校企合作相关落地政策的推出,一定会激励网络安全企业在人才培养方面有更大的投入,把高校的通识教育和企业的网络安全实战经验结合起来,共同培养实战能力更强的多层次网络安全人才。
大力发展工业互联网是我国的一项重要国策,近年来工信部出台了一系列相关政策和具体行动推动工业互联网产业的发展,网络、平台、安全是工业互联网的三大体系。在网络建设方面,IPV6和5G应用于工业领域,已经看到可落地的技术支撑与建设运营计划;在平台建设方面,也涌现出几十家具备雏形的工业互联网平台,并且在努力验证应用效果,提升应用价值。但是,客观地说,工业互联网的安全是进展较慢的一个环节,工业互联网安全体系一直处于摸索探讨阶段,工业互联网安全市场也尚未看到爆发的迹象。《安全指导意见》的及时出台,可以说是一场“及时雨”,给工业互联网安全产业打了一剂“强心针”,相信随着相关具体措施的逐步落地,一定会激发工业互联网安全产业的快速发展,必将大大提升我国工业互联网的安全防护水平,为工业互联网的高速稳定发展保驾护航。