工業互聯網(wǎng)需要同步建設安全底座
發布者:瀏(liú)覽次數:
以下文章來自 360集團董事長兼CEO 周鴻禕
國家大力(lì)推動(dòng)新(xīn)基建,將(jiāng)為我(wǒ)國數字經濟的(de)發(fā)展注入蓬勃動力,5G、人工智能、工業互(hù)聯網、網絡安全大腦等(děng)“基礎(chǔ)型技術”的(de)大規模應用(yòng),也將給大眾生(shēng)活帶來便利。身處網絡安全(quán)行業,我們既(jì)要看到機遇,更(gèng)要看到挑戰。
新(xīn)基建的本質是數字化基建,其背後是產業、經濟、政(zhèng)府、社會的全麵(miàn)數字化。它將進一步促進網絡空(kōng)間(jiān)與物理空間的連通和(hé)融合,加快大安全時代的(de)來臨。網(wǎng)絡安(ān)全不(bú)再隻影響虛擬空間,而是擴展到了現(xiàn)實世(shì)界,對國(guó)家安全、社會安全、民眾(zhòng)人身安全,都有可能造成嚴重影響。
網絡安全是新(xīn)基建的基建,將貫穿新基建的戰略安全、技術安全、應用安全和運行(háng)安全的始終。其(qí)中,最突出的,是“一(yī)套(tào)關(guān)鍵(jiàn)基(jī)礎設施”和“一個重度場景(jǐng)”的安全問題。
一套關鍵基礎型設施指5G建設,5G的價值並不簡單地的是讓我們手機看視頻更快,而是為我們(men)整個產業互聯網時代所打造;一個重度場景則指工業互(hù)聯網,通過互聯網攻擊(jī)工(gōng)業係統早已(yǐ)不是想象,而是不斷發生的現實,伊朗核工廠、委內瑞拉電廠、沙特(tè)煉油廠等(děng)都被來自網絡世界的攻擊破壞過。
工業互聯網是新基建最大的應用場景之一,保障新基建安全應重(chóng)點“盯防”工業互聯(lián)網安全。新(xīn)基建需要同步建設安全基建,工業互聯(lián)網需(xū)要同步築牢(láo)安全底座。隻有如此,才(cái)能讓新基建與工業互聯網的發(fā)展,走得更穩,走得更遠。
新基建(jiàn)助推傳統產業數字化轉型
中國互聯網曆經20年發展(zhǎn),上一個10年,主要是消費場(chǎng)景的數字化,體現在老百姓的吃喝玩樂、衣食住行;下一個10年,產業互聯網、工業互聯網、車聯網、智慧城市、智慧政府等(děng)麵向政府、麵(miàn)向企業的領域,也都會像消(xiāo)費互聯網一樣,充分利用互聯(lián)網技術進行數字化變革。
此(cǐ)次中央力推“新基建”,正是一項很有前瞻(zhān)性的舉措,短期內可(kě)以有效應對嚴峻的國內外經濟形勢(shì),長遠看更是有效助力了我(wǒ)國產業升(shēng)級和數字經濟(jì)的發展。新基建的意義就像上個世紀90年代的“信息高速公路”,它能夠產生和帶動的是未(wèi)來幾十年(nián)的產業變革,經濟發展模式變革(gé),以及人們生活交往方(fāng)式的變(biàn)革。“在危機中育新機,於變局中開新局”,新基建就是這樣的新機遇。
新基建的“新(xīn)”,核(hé)心體現為數字化特征。關於數字化(huà)技術,可以“IMABC”為總結。“I”是IoT,即物聯網技術(shù);“M”是mobiles Communication,即(jí)移動通信技術(shù),主(zhǔ)要指(zhǐ)5G通信(xìn)協議;“A”是AI,即人工智能;“B”是Big Data,即(jí)大數據;“C”是Cloud computing,即雲(yún)計算。
新基建(jiàn)就是用這五個主要技術,把我們過去的生產方(fāng)式、城市治理和(hé)生(shēng)活的方方麵麵都數字化。用IoT傳感器采集大數據,通過5G通信協議傳輸(shū)到雲端,在雲端匯成海量大數據之後,再根據大數(shù)據建立各種各(gè)樣(yàng)的分析模型(xíng),然後再用AI進行分析(xī)判斷,最後通過各種IoT設備反饋到城市(shì)治理和老百姓的生產生活中去。
新基(jī)建必將帶來又一次技術、產業(yè)和社會經濟的變革。未來,如果傳統的製造業、工業、城市管理等領域,都能夠全麵地(dì)采用“IMABC”這(zhè)些(xiē) “數字化技術”,那一定能夠幫(bāng)助這些傳統行業提升(shēng)“內功”,迅速完成轉型升級。
工業互聯網麵臨嚴峻安全形勢
伴隨新基建的發展(zhǎn)以及工(gōng)業的全麵數字化,未來世界會產生三大特征,即軟件定義世界,萬物皆可互聯,數據驅動一切(qiē)。在這種情況下,數字化也將帶來前所未有的安全風險和挑戰。
因此(cǐ),安全不再是一個可有可無的輔助功能,而是變成了一個特別重要的基礎。如果安(ān)全基礎不牢,工業互聯(lián)網就無法運轉,甚至會崩塌。因此,要把網絡安全當作工業互聯網的“底座”,為工業互聯網建設做好安全基礎設施。
作為新基建最重要的應用(yòng)場景之一,工業互聯網麵臨(lín)的“大安全”挑戰可能包含以下多個層麵。
首先是“戰(zhàn)場更大”。 軟件定義世界意味(wèi)著一切皆可編程,漏洞無處不在;萬物皆可互聯等於開(kāi)放了更多攻擊入口,一切皆可攻擊;數據驅動一切意味通過篡改數據、下達數據指令就可以控製一切業務、流(liú)程和設備,影響業務安全,產生物理傷害。好萊塢(wù)科幻電影中遠程控製汽車造成交(jiāo)通擁堵、控(kòng)製機器殺人的場景(jǐng)將不再是科幻,而可能成為真實(shí)場景(jǐng)。所以,未來網絡攻(gōng)擊能夠貫穿到各個場景,不分國家(jiā)、企業和個人(rén),包括工業互聯網在內的所有的領域都將麵臨來自網絡世界(jiè)的攻擊。
其次是“對手(shǒu)”變了。殺毒時代已經成為曆史,安(ān)全現在麵對的不再(zài)是“白(bái)開心”、“純小偷”這樣的炫技小子和個人玩(wán)家,而是變成了網(wǎng)絡犯罪(zuì)組織、網絡恐怖主義和國家級黑客組織這樣的“大玩家”。這樣的對手相當於“正規軍”,往往具有較高的“戰術修養(yǎng)”和攻擊資源,特別是國家級黑客組織和網軍,成組織,成建製,有布(bù)局,有戰術。一般的被攻擊目(mù)標無法與之抗衡。
其三,可能攻擊的目標(biāo)範圍也更廣了。因(yīn)為(wéi)可攻擊的目(mù)標越來越多,網絡攻擊的(de)目標已經不再隻(zhī)是一般的企業和個人,而是瞄準企(qǐ)業重(chóng)要資產、國家關(guān)鍵基礎設施、重要政府部門,達(dá)到中斷工業(yè)生產、癱瘓電力、交通、能源等(děng)關鍵基礎設施的目(mù)的,工業互聯網已(yǐ)成為國家間網絡戰攻擊的重要目標。比如,2017年8月,某具有政治背景的黑客團體,對沙特阿美石油公司(sī)的煉油(yóu)廠發起攻擊,差點引發工廠爆炸。2019年3月,委內瑞拉古裏水電站遭受網絡攻擊導致(zhì)其全國停電,該事件給全球所有國家敲響(xiǎng)了網絡戰的警鍾。在未來,數字基建必然是首選的(de)攻擊目標,一旦被攻擊(jī)將影響工業運行安全,進而影響社會正常運轉和老百姓安居樂業。
其四,網絡攻擊的布局更長(zhǎng)遠、更隱蔽。針對重要目標的攻擊並非(fēi)隨機偶然,一定是(shì)有周密準備和複雜策略,並且為達目的長期潛(qián)伏、持續滲透。典型代表就(jiù)是APT攻擊(jī),相比傳(chuán)統網絡攻擊更加狡(jiǎo)猾(huá)和沉默,攻(gōng)擊鏈條複雜、持(chí)續時間(jiān)長、隱蔽性強(qiáng)。為了達到這樣的(de)目的,在(zài)產品中預製後門,或者利用供應鏈發(fā)起攻擊都已經是常規操作。所以,禦敵人於國門之外已經很難做到,而是必(bì)須假設敵已在我,做最壞的打算。
其五,從網絡攻擊趨勢看,攻擊手法越來越高級化和多樣化,暗(àn)戰越來越多。除了後門,APT慣用的手法還包括0Day漏洞利用(yòng)、定製化惡(è)意代碼,以及社會工程學這樣針對(duì)人的攻擊手法。實踐表明,人往往是最薄弱的環節,利用線上滲透和線下(xià)情報、間諜手段結合,物理(lǐ)隔離都可以被打穿。因(yīn)為攻擊(jī)手法越來越高級,傳統的單點檢測、碎片化越來越無能為力。
其六,受攻擊方的損失程度可能更加驚人。 因為數字(zì)化的滲透性和關聯(lián)性,一次網絡攻擊就可以造成重大損失,甚至造成物理傷害,動搖現(xiàn)實(shí)世界的基礎。2010年(nián)“震網”事件、2019年伊朗軍方情報數據庫被攻擊事件,就是未(wèi)來網絡攻擊擴展到現實世界的預演。未來,最大的安全威脅不(bú)一定(dìng)是來自物理空間,而(ér)是(shì)來自虛擬空間,對於網絡(luò)安全產生的後果,要建立“底線思(sī)維”,避免黑天鵝事件發(fā)生。
由此可見,網絡安全保護難度空前增大。一方麵,防護對象擴大,防護(hù)難度增大。工業互聯網安全已經從(cóng)傳統的互聯網安全,擴展至數據安全和業務安全等新領域,新老安全問題交織,解決起來更加困難;另一方麵,工業互聯網協議種類繁多,加固難(nán)度大。工業互聯網運行著超過1000種缺乏安全(quán)機製的工業控製、現場總線、工業通(tōng)信等協議,且不同企業接口不一、較為封閉等特點加大(dà)了安全協(xié)議分析(xī)與加固的難度。總而言之,數字化時代,攻防嚴重不平衡,聯(lián)網設備數以百億計,一點突破就可以打穿整個網絡,攻防資源向供給方傾(qīng)斜,要發(fā)現、阻斷和(hé)溯(sù)源網絡攻擊都麵臨更大難度,所以會出現“誰進來了不知道、是敵是友不知道、幹了(le)什麽不知(zhī)道”的被動局麵(miàn)。
保障工業互聯網安全須(xū)打造安全大腦
麵對嚴峻安全形勢,傳統的安(ān)全體係已經無(wú)力(lì)應對。因(yīn)為傳統的網絡安全體係誕生於計算(suàn)機安(ān)全時代,最大的(de)問題是“頭痛醫頭、腳痛醫腳”,防護(hù)思路碎片化,麵對不斷增加的安全威脅隻是不斷地“堆盒子”,缺乏體係化(huà)思維。概括起來,傳統(tǒng)安全體係的問題是“七個缺”:缺“能力(lì)導向”的正確意(yì)識、缺“體係化”的頂層設計、缺(quē)有效運營、缺能力積累、缺全局(jú)情報、缺“一(yī)體化作戰”的協(xié)同(tóng)聯(lián)防、缺實(shí)戰檢驗。
因此(cǐ),保護工業(yè)互聯網安(ān)全(quán)需要新的方法。為了解決未來的安全挑戰,360在十多(duō)年網絡攻防對抗(kàng)中,不斷抽象、沉澱了一套新的網絡安全(quán)框架體係。
這(zhè)套新的網絡安全框架體係包括“6個1”。第一個“1”是一套網絡安全互聯標準,包括安全知識庫標準、威脅情報標(biāo)準、實網靶場標準等,解(jiě)決目前各安(ān)全節(jiē)點間互不相通的問(wèn)題;第二個“1”是一套安全基礎設施,整合現有安全節點能力,構造出一係列從應對威脅視角出發的能力(lì)中心,包括漏洞管理中心、情報運營中心、安全運營中心、實戰評測中心等,作為安全體係(xì)的能力載(zǎi)體(tǐ);第三個“1”是一個安全大腦,安全(quán)大腦的核心組成是安全大數據中台+全視檢測分(fèn)析引擎+全景安全知識庫,它的作用相當於(yú)網(wǎng)絡空間(jiān)的預警(jǐng)機(jī)和反導係統,所以(yǐ)在新的框架體係中,安全大腦是整個體係的(de)中樞,能夠(gòu)為安全基礎設施進行情報(bào)、知識(shí)、漏洞、專家賦能;第四個“1”是一套安全運營戰法,指(zhǐ)導網絡安(ān)全整體規劃,以及網絡安全風險(xiǎn)識別、防禦、響(xiǎng)應、恢複、預測的全(quán)生命周(zhōu)期;第五個“1”是一套安全專家團隊(duì),網絡安全(quán)的本質是對抗(kàng),對(duì)抗的根本在人。通(tōng)過安全專家團隊為工廠提(tí)供谘詢(xún)規(guī)劃、建(jiàn)設運營、應急(jí)響應、實網攻防、持續評估、教育培訓(xùn)等專(zhuān)業定製服務,形成安全生產力;第六個“1”是一套實戰(zhàn)檢驗(yàn)機製,網絡安全講百遍不如(rú)打一(yī)遍,實戰(zhàn)才(cái)是檢驗安全能力的唯一標準,利(lì)用實戰攻防積累(lèi)經驗教訓(xùn),持續迭代能力。
此外,針對工業企業麵臨的具體安全問題,我認為,還需要在網絡安全框架體係下做好以下兩點。
首先,鼓勵工業企業部(bù)署第(dì)三方網絡安全係統和服務(wù)。不少工業企業出於成本(běn)、當下(xià)運行的穩(wěn)定等考慮,對網絡安全係統重視不(bú)夠。很多工業互聯網係統使用期已超過10年,但為了保證控製的穩定性和(hé)業務(wù)的連續性,沒有采取必要的安全手(shǒu)段,安全隱患極大,一(yī)旦被網絡攻擊,造成的影響不可估量。建議國家出台相關政策,鼓勵工業企業部署專業的(de)第三方網(wǎng)絡安全係統和服務,讓工業互(hù)聯網係統與網絡安全係統融為一體,確保工業發展長治久安。
其次,推進工業控(kòng)製係統製造企業(yè)、工業企業和(hé)網絡安全企業間的深度(dù)合(hé)作。工業細(xì)分領域眾(zhòng)多(duō),每個領域都有其業(yè)務需求和建設、運營規範(fàn),這種(zhǒng)巨大(dà)的差異性導致難以形成(chéng)通用的網絡安(ān)全解決方案。一方麵,工業控製係(xì)統製造企業和工業企業多數不具備專業的網絡安全知識和技術手段,應對複雜(zá)網絡攻擊的能力較弱;另一方麵,很多網絡安全專家也不具備工業(yè)細分領(lǐng)域(yù)的(de)專(zhuān)業知識,在對工業互聯(lián)網了解不深的情況下,推出的安全解決方案也(yě)難以滿(mǎn)足需要。因此,建議製定促進工業(yè)控製係統製造企業、工業企業和網(wǎng)絡安全企業(yè)合(hé)作的(de)鼓勵政策,協作研發高精尖(jiān)安全解決(jué)方案,共同打造安全的工業(yè)互(hù)聯網。
新基建的發展(zhǎn)與工業互(hù)聯網的建(jiàn)設,是未來國家在麵臨日益複雜的國內外環境時,企業轉型升級的(de)重(chóng)要戰略步驟。因此,一定要同步建設新基建的安全基建,夯實工業互聯網的(de)安全底座,這(zhè)樣才能保證新(xīn)基建與工業互聯網建設(shè)的長(zhǎng)遠發展。
