工业互联网安全需要创新发展的动力和支撑

发布时间 2019-06-26
工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网 + 先进制造业”的重要基石,对未来工业发展产生全方位、深层次、革命性影响。工业互联网产业正在形成和快速推进。
 
面对当前工业互联网生态企业的所面临的系统性风险和攻击威胁,我们认为工业企业和工业互联网平台企业,在实现业务运行开展三同步建设的同时,需要开展网络安全的系统性建设,应逐步将安全与业务进行融合和创新,在此过程中需要面临的突出挑战包括以下几个方面:
 
1
摸清楚自身存在的包括各种漏洞、安全配置薄弱项等在内的安全脆弱性风险,及时掌握其分布、危险等级、修复状态、利用难易程度等。需要针对信息化系统的包括主机、操作系统、中间件、数据库、应用程序、网络协议等方方面面的基础性安全研究,需要沉下心来能够做好基础性网络安全工作的积累和验证,了解攻击行为的原理、路径和影响。

2
针对保护对象开展整体性、系统性的安全防护技术措施建设,通过系统性安全建设以减少受保护对象存在的单点薄弱项被利用进行以点扩面的内外网入侵攻击。网络安全的整体性、动态性、相对性、开放性、共同性需要我们进行系统性的安全技术措施与管理措施的建设,尽可能减少安全管理体系和安全技术体系的弱点,通过动态的安全检测技术、安全可信技术、态势感知平台等技术产品实现主动监测、整体保护、动态防御。
 
3
通过安全服务人员、技术服务做好安全管理、安全技术的有效结合,充分认识到网络安全工作的长期有效需要坚持不懈的做好安全防护的持续策略优化调整、入侵预警分析、及时响应和处置以及不断完善的知识积累,同时需要借助外部、行业内威胁情报分享,实现早发现、早响应、早处置的攻击行为动态管理与响应。
 
4
工业互联网相较于传统网络安全具备更加明显的行业化、企业化特征,一方面需要做好通用性安全的研究与防护,同时也需要投入极大的人力、物力进行行业性信息系统和设备资产的安全研究,对于发现的行业特定开发系统、协议、设备,及时通过安全实验室开展针对性网络安全攻防研究,及时发现其存在的0Day漏洞、系统性缺陷、私有协议漏洞等,避免单纯针对通用漏洞安全加固,而对行业 / 企业特有的系统安全漏洞视而不见,造成致命风险隐患。积极开展工控安全实验室、工业互联网安全实验室,推动产学研用管的基础性和行业针对性安全实验室建设和课题研究,是对工业互联网迅速发展提供安全保驾护航能力的有效性基础保障。
 
5
网络安全同样存在明显的区域发展不均问题,专业的网络安全公司基本在北上广深等中心城市,而在大量的二三四线城市,由于其自身经济因素和网络安全人才严重不足的情况,导致其存在安全设备使用、安全服务支撑响应、安全建设咨询服务等明确需求的情况下,市场有效供给不足,因此创新型的开展区域级城市安全运营中心可以有效地提升二三四线城市的网络安全基础性需求满足,同时借助城市级安全运营中心的区域性特征,可以为二三四线城市大量的工业企业、工业互联网企业提供专家级网络安全服务响应与应急能力,能够极大地满足我国借助工业互联网推动大量中小型工业企业转型升级、创新发展,推动其利用工业互联网手段实现转型升级和快速发展。

6
工业互联网安全必须依托于中国民族安全企业的自主可控技术、产品、服务来提供支撑,斯诺登事件清晰地告诉我们,从通信网络基础服务、业务关键系统支撑都需要依靠我们自己具备自主可控的产品,提供支撑,网络安全、信息安全毋庸置疑必须依靠国内安全企业、技术力量的支撑,对党、对国家、对民族的忠诚可靠更是对国内网络安全企业的底线要求,只有我们自己的网络安全企业强大起来才可能有坚守工业互联网安全,才能有坚实的网络空间保障能力,也才能为我国工业互联网生态企业的安全、持续、稳定的生存与发展提供有利的安全保障。
 

工控信息安全领域涉及的行业范围广泛,每个行业均有其生产流程和独特需求,要想将产品和解决方案真正落地,与客户需求相结合是其中关键。启明星辰以发展完全自主可控、安全可靠的网络安全技术、产品、解决方案为己任,坚持网络安全的独立、智能、互联。集团在工控安全领域投入很早且持续投入,于 2014 年 4 月成立了贯穿前、中、后场的针对工控安全领域负责统一协调、直接面向客户需求的工控安全特别任务组,有效支撑了石油炼化、烟草、先进制造、轨道交通、电力、钢铁、输油、煤炭等行业性客户的工控安全需求。
 
经过多年的技术发展与积累,启明星辰集团已建立完整的网络安全技术、产品、解决方案支撑能力,能够满足我国工业互联网生态企业网络安全的基础保障需要,在工控产品研发上持续加大资金和研发投入,已经形成了国内较为完整的工业控制信息安全产品体系,该体系以工业控制信息安全管理系统为核心,以旁路检测、串联防护、现场防护、安全审计为支撑,全面实现全网工控设备的统一安全监测和防护,安全风险集中分析和展现,辅助以贯穿工业控制系统需求、设计、建设、运营、废除全生命周期的工控安全风险评估平台,实现信息安全风险的动态管理。
 
同时,启明星辰通过建立超过 10 个以上的行业性事业部、VF 专家团、行业性技术支撑团队等工作,形成了在工业互联网等重要行业性用户的业务覆盖广度和覆盖深度同时推进的网络安全服务支撑能力,从国家法律法规、国内外网络安全 / 信息安全标准落地、到不同行业业务安全需求等提供针对性有深度的网络安全解决方案,具备全面覆盖的网络安全务解决支撑能力。




|本文刊发于《中国信息安全》2019年第6期|