11月28日，坐標(biāo)湖南長(zhǎng)沙。在中共湖南省委網(wǎng)絡(luò)安全和信息化委員會(huì)、湖南省工業(yè)和信息化廳等共同舉辦的“2020長(zhǎng)沙網(wǎng)絡(luò)安全·智能制造大會(huì)”期間，一場(chǎng)“工業(yè)互聯(lián)網(wǎng)賦能智能制造高峰論壇”在長(zhǎng)沙國(guó)際會(huì)展中心舉辦。

會(huì)上，來(lái)自中國(guó)工業(yè)互聯(lián)網(wǎng)研究院總工程師王寶友以《工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)與思路》為主題，從工業(yè)互聯(lián)網(wǎng)安全形勢(shì)，工業(yè)互聯(lián)網(wǎng)安全新挑戰(zhàn)，以及工業(yè)互聯(lián)網(wǎng)安全新思路等層面，對(duì)當(dāng)前工業(yè)互聯(lián)網(wǎng)行業(yè)所面臨的安全問(wèn)題給出了自己的解讀。

?[[354774]]?

從工業(yè)互聯(lián)網(wǎng)安全的含義出發(fā)，王寶友表示：

• “安全”是工業(yè)互聯(lián)網(wǎng)健康發(fā)展的保障，通過(guò)建立工業(yè)互聯(lián)網(wǎng)安全保障體系，能夠有效識(shí)別和抵御各類安全威脅，化解多種安全風(fēng)險(xiǎn)，為工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展保駕護(hù)航。

企業(yè)安全包括安全合規(guī)、生產(chǎn)安全、資產(chǎn)安全、業(yè)務(wù)安全、數(shù)據(jù)安全等。

工業(yè)互聯(lián)網(wǎng)本身的安全包括：設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全。

接著，王寶友從一系列工業(yè)互聯(lián)網(wǎng)安全事件為出發(fā)點(diǎn)，比如2017年12月，火眼公司披露最新一款專門針對(duì)工控系統(tǒng)的惡意軟件Triton，中東某能源工廠的安全儀表系統(tǒng)遭攻擊，并導(dǎo)致工業(yè)生產(chǎn)線停運(yùn);2018年8月，臺(tái)灣地區(qū)積體電路制造三大廠區(qū)出現(xiàn)電腦大規(guī)模勒索病毒事件，約造成17.6億元的營(yíng)收損失，股票市值下跌78億元等，解讀了工業(yè)互聯(lián)網(wǎng)安全方面整體的形勢(shì)。

對(duì)于工業(yè)互聯(lián)網(wǎng)安全面臨的新挑戰(zhàn)，他分別從工業(yè)數(shù)據(jù)的安全保護(hù)問(wèn)題、工業(yè)控制系統(tǒng)的安全防護(hù)問(wèn)題，以及萬(wàn)物互聯(lián)的信任體系問(wèn)題進(jìn)行剖析，最后給出了解決工業(yè)互聯(lián)網(wǎng)安全問(wèn)題的新思路。

以下為 王寶友 現(xiàn)場(chǎng)演講的部分要點(diǎn)內(nèi)容，雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))作了不改變?cè)獾木庉嫼驼恚?/p>

網(wǎng)絡(luò)是基礎(chǔ)，安全是保障。綜合實(shí)踐里面工業(yè)互聯(lián)網(wǎng)的安全，它的影響應(yīng)該更大，一旦發(fā)生事故以后，它可能造成的后果會(huì)更加嚴(yán)重，所以說(shuō)，網(wǎng)絡(luò)安全和生產(chǎn)安全是交織在一起的。一旦發(fā)生事故以后，可能就影響了一些國(guó)際歷史，甚至國(guó)家的安全。

下面是列舉了我們近幾年業(yè)內(nèi)發(fā)生的一些工業(yè)互聯(lián)網(wǎng)的安全事件，當(dāng)然大家在網(wǎng)絡(luò)上還能查到非常多其它的例子，而且影響力非?？膳隆?/p>

????

和工業(yè)互聯(lián)網(wǎng)相關(guān)的安全問(wèn)題，不是說(shuō)今天才有的。在進(jìn)入工業(yè)互聯(lián)網(wǎng)時(shí)代，提的更多的是我們網(wǎng)絡(luò)空間的安全，基礎(chǔ)設(shè)施的安全，公共設(shè)備的安全。

接著他提到，從我們經(jīng)歷的農(nóng)業(yè)革命、工業(yè)革命、信息革命和數(shù)字革命，當(dāng)前我們所面臨的工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全是網(wǎng)絡(luò)安全的新領(lǐng)域。

????

工業(yè)互聯(lián)網(wǎng)安全威脅現(xiàn)狀

當(dāng)前，全球網(wǎng)絡(luò)攻防對(duì)抗的強(qiáng)度、頻率、規(guī)模和影響力不斷升級(jí)，攻擊對(duì)象逐步從公共互聯(lián)網(wǎng)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)移，國(guó)家網(wǎng)絡(luò)空間安全和利益面臨更深層次挑戰(zhàn)。

美國(guó)網(wǎng)絡(luò)司令部升格為一級(jí)聯(lián)合作戰(zhàn)司令部，對(duì)認(rèn)為可能威脅到其安全的國(guó)家實(shí)施網(wǎng)絡(luò)空間打擊，據(jù)稱美國(guó)總統(tǒng)特朗普近期同意對(duì)伊朗發(fā)起網(wǎng)絡(luò)戰(zhàn);重點(diǎn)打擊目標(biāo)逐步從公共互聯(lián)網(wǎng)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)移，工業(yè)互聯(lián)網(wǎng)已經(jīng)成為美國(guó)實(shí)施網(wǎng)絡(luò)安全威懾、制衡他國(guó)經(jīng)濟(jì)發(fā)展、鞏固全球霸主地位的新重點(diǎn)。

王寶友表示，現(xiàn)階段工業(yè)互聯(lián)網(wǎng)安全威脅主要呈現(xiàn)三大特點(diǎn)，分別是攻擊專業(yè)化、行為國(guó)家化、波及關(guān)聯(lián)嚴(yán)重。

具體情況整理如下：

• 攻擊專業(yè)化，首先是攻擊手段日趨復(fù)雜多變，從漏洞后門、社會(huì)工程學(xué)到木馬和僵尸網(wǎng)絡(luò)、拒絕服務(wù)、APT;再者，網(wǎng)絡(luò)攻擊工具化、規(guī)?；纛愋蛷亩虝r(shí)、突發(fā)攻擊向高級(jí)別、持續(xù)性攻擊轉(zhuǎn)變。
• 行為國(guó)家化，使得攻擊來(lái)源多樣化。從來(lái)自普通黑客、網(wǎng)絡(luò)恐怖分子的攻擊，到國(guó)家級(jí)、有組織的，甚至是來(lái)自政府、軍隊(duì)、網(wǎng)絡(luò)部隊(duì)的攻擊。美國(guó)泄露方程式網(wǎng)絡(luò)武器庫(kù)包含對(duì)基礎(chǔ)設(shè)施的打擊武器。
• 波及關(guān)聯(lián)嚴(yán)重，是指攻擊后果嚴(yán)重。從2010年“震網(wǎng)”到2019年委內(nèi)瑞拉大規(guī)模停電事件，工業(yè)安全事件潛在破壞性、毀滅性、威脅性對(duì)國(guó)家經(jīng)濟(jì)和社會(huì)的深度影響不可預(yù)期。

而國(guó)內(nèi)，多家企業(yè)也發(fā)生一些工業(yè)互聯(lián)網(wǎng)安全威脅事件。據(jù)了解，多家國(guó)內(nèi)企業(yè)遭受工業(yè)主機(jī)勒索病毒攻擊，損失嚴(yán)重涉及汽車生產(chǎn)、智能制造、能源電力、煙草等行業(yè)幾十余家，大多數(shù)都導(dǎo)致了工業(yè)主機(jī)藍(lán)屏、文件加密、生產(chǎn)停工。

??

從整體性上來(lái)講，中國(guó)工業(yè)互聯(lián)網(wǎng)的安全威脅應(yīng)該從4個(gè)方面進(jìn)行考慮。具體情況如下：

1. 外部威脅：工業(yè)互聯(lián)網(wǎng)打破了傳統(tǒng)網(wǎng)絡(luò)安全界限。工業(yè)企業(yè)IT和OT不斷融合，企業(yè)內(nèi)部工業(yè)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)與互聯(lián)網(wǎng)逐步打通，大量工業(yè)互聯(lián)網(wǎng)資產(chǎn)在公網(wǎng)暴露，導(dǎo)致大量網(wǎng)絡(luò)安全威脅從外網(wǎng)向工業(yè)內(nèi)網(wǎng)延伸滲透。
2. 內(nèi)部風(fēng)險(xiǎn)：工控系統(tǒng)設(shè)備等網(wǎng)絡(luò)安全防護(hù)能力不足。與傳統(tǒng)網(wǎng)絡(luò)安全相比，工控系統(tǒng)設(shè)備更關(guān)注系統(tǒng)的實(shí)時(shí)性與業(yè)務(wù)連續(xù)性，系統(tǒng)提供商提供的系統(tǒng)軟件更加關(guān)注功能的實(shí)現(xiàn)，往往忽略安全的因素。大多數(shù)傳統(tǒng)工業(yè)控制系統(tǒng)和設(shè)備受其內(nèi)存和處理能力的限制，其保護(hù)能力較弱，受制于工業(yè)生產(chǎn)連續(xù)性、穩(wěn)定性等要求，系統(tǒng)升級(jí)改造難度大。
3. 工業(yè)數(shù)據(jù)泄露成為直接威脅隱私乃至國(guó)家安全的問(wèn)題。傳統(tǒng)制造領(lǐng)域不涉及用戶隱私，工業(yè)互聯(lián)網(wǎng)協(xié)同制造倡導(dǎo)的個(gè)性化定制、服務(wù)化轉(zhuǎn)型都涉及大量用戶隱私，用戶隱私極易被泄露。關(guān)鍵工業(yè)數(shù)據(jù)成為國(guó)家關(guān)鍵數(shù)據(jù)資源，一旦被竊取將直接威脅國(guó)家安全。
4. OT與IT差異明顯，傳統(tǒng)安全手段不適用工業(yè)網(wǎng)絡(luò)。差異項(xiàng)主要從可用可靠、管理目標(biāo)、安全焦點(diǎn)、交互時(shí)效、系統(tǒng)操作、資源限制、通信標(biāo)準(zhǔn)、生命周期這幾方面進(jìn)行對(duì)比。

??

工業(yè)互聯(lián)網(wǎng)安全新挑戰(zhàn)

對(duì)于工業(yè)互聯(lián)網(wǎng)安全新挑站 ，王寶友分別從工業(yè)數(shù)據(jù)的安全保護(hù)問(wèn)題、工業(yè)控制系統(tǒng)的安全防護(hù)問(wèn)題，以及萬(wàn)物互聯(lián)的信任體系問(wèn)題進(jìn)行剖析。

??

第一個(gè)挑戰(zhàn)是圍繞這個(gè)數(shù)據(jù)方面，就是工業(yè)數(shù)據(jù)的安全防護(hù)問(wèn)題。

首先，當(dāng)我們數(shù)據(jù)打通后，導(dǎo)致風(fēng)險(xiǎn)加劇。內(nèi)外網(wǎng)的數(shù)據(jù)進(jìn)行交互流通，這樣有可能造成數(shù)據(jù)被外網(wǎng)感染，大家已經(jīng)看到風(fēng)險(xiǎn)比較大。

再者就是我們的工業(yè)數(shù)據(jù)龐雜，安全保護(hù)難度加大。包括經(jīng)營(yíng)的數(shù)據(jù)，運(yùn)營(yíng)的數(shù)據(jù)，底層的一些控制數(shù)據(jù)......種類非常多，數(shù)據(jù)的協(xié)議也非常多。

另外我們說(shuō)了，工業(yè)數(shù)據(jù)關(guān)乎國(guó)家安全。一旦遭受攻擊，將有可能造成國(guó)家的一些產(chǎn)業(yè)鏈、供應(yīng)鏈的安全問(wèn)題，包括今年我們?cè)谝咔槠陂g，那么關(guān)鍵的時(shí)候，我們有些生產(chǎn)和防疫物資的產(chǎn)能還是受到了一些影響，造成了一些設(shè)備的停工。

??

第二個(gè)挑戰(zhàn)，就是我們工業(yè)控制系統(tǒng)的安全防護(hù)問(wèn)題。首先是工業(yè)控制安全風(fēng)險(xiǎn)的持續(xù)提升，因?yàn)楸┞对? 互聯(lián)網(wǎng)的公網(wǎng)上的節(jié)點(diǎn)越來(lái)越多，第二個(gè)是我們目前國(guó)內(nèi)工業(yè)控制安全現(xiàn)狀令人擔(dān)憂。

??

第三個(gè)挑戰(zhàn)就是我們進(jìn)入工業(yè)互聯(lián)網(wǎng)時(shí)代，人機(jī)物一步一步要上網(wǎng)，上網(wǎng)以后連進(jìn)去具體的身份，如何認(rèn)證是萬(wàn)物互聯(lián)的一個(gè)信任問(wèn)題，以及海量設(shè)備的安全接入等。另外就是，企業(yè)和企業(yè)之間，行業(yè)和行業(yè)之間要解決跨區(qū)域、跨行業(yè)的交叉互信的問(wèn)題。還有一個(gè)就是，基于我們的核心密碼算法的自主可控。

工業(yè)互聯(lián)網(wǎng)安全新思路

王寶友表示，面對(duì)這三個(gè)挑戰(zhàn)，我們提出了三個(gè)思路。

在思路一的建立監(jiān)測(cè)與防護(hù)體系框架，雷鋒網(wǎng)了解到，是從數(shù)據(jù)安全治理、數(shù)據(jù)安全監(jiān)測(cè)與處理、數(shù)據(jù)全生命周期安全防護(hù)等幾個(gè)層面進(jìn)行考慮。

??

在思路二的建設(shè)工控安全監(jiān)測(cè)識(shí)別能力，雷鋒網(wǎng)了解到，主要是加大關(guān)鍵技術(shù)研發(fā)、提升工控安全風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別能力，以及加大工控安全政策宣傳，提升企業(yè)工控安全意識(shí)。

??

在思路三的構(gòu)建基于商密的工業(yè)互聯(lián)網(wǎng)信任體系中，雷鋒網(wǎng)了解到，主要是基于商用密碼技術(shù)，從統(tǒng)一身份管理、跨信任域、跨協(xié)議信任，以及多級(jí)信任體系進(jìn)行考慮。

??

在建立健全國(guó)家級(jí)的工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)的平臺(tái)，因?yàn)楣I(yè)數(shù)據(jù)安全問(wèn)題事關(guān)國(guó)家的安全。

目前中國(guó)工業(yè)互聯(lián)網(wǎng)研究院連同相關(guān)的部門在開(kāi)展國(guó)家級(jí)工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)安全檢測(cè)和平臺(tái)的建設(shè)，針對(duì)工控設(shè)備的安全，去建立工控設(shè)備安全風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別能力，加大關(guān)鍵技術(shù)的研究等一系列舉措。

最終，通過(guò)上面的建設(shè)體系，我們統(tǒng)一相對(duì)認(rèn)識(shí)這樣一種跨領(lǐng)域的，把協(xié)議的信任體系最后形成一個(gè)國(guó)際信任體系，為我們的跨國(guó)互聯(lián)構(gòu)建一個(gè)基礎(chǔ)。

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。