無論是工業(yè)互聯(lián)網(wǎng),還是智慧城市管理,安全場景復(fù)雜且陌生,但安全防線不容有失。
《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》將“安全”定位于工業(yè)互聯(lián)網(wǎng)的三大功能體系之一,要求從設(shè)備安全、控制安全、平臺安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等層面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系。
無論是工業(yè)互聯(lián)網(wǎng),還是智慧城市管理,安全場景復(fù)雜且陌生,但安全防線不容有失。
《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》將“安全”定位于工業(yè)互聯(lián)網(wǎng)的三大功能體系之一,要求從設(shè)備安全、控制安全、平臺安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等層面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系。
充滿想象的工業(yè)互聯(lián)網(wǎng)百花齊放
工業(yè)企業(yè)不斷應(yīng)用互聯(lián)網(wǎng)技術(shù)提高效率和競爭力、互聯(lián)網(wǎng)企業(yè)不斷顛覆和重構(gòu)傳統(tǒng)產(chǎn)業(yè),在這雙重推力的推動下,工業(yè)互聯(lián)網(wǎng)自然而然被提出來,成為產(chǎn)業(yè)共識。很明顯,工業(yè)互聯(lián)網(wǎng)的快速發(fā)展是一個必然結(jié)果,信息與數(shù)據(jù)的高效協(xié)同極大釋放了工業(yè)制造的潛能,幫助企業(yè)實現(xiàn)更加快速精準(zhǔn)的決策、更高的生產(chǎn)效率以及更加優(yōu)質(zhì)的產(chǎn)品和服務(wù)。
工業(yè)互聯(lián)網(wǎng)的本質(zhì)是IT與OT的融合,其核心能力是匯聚海量數(shù)據(jù)并且通過各種手段產(chǎn)生新的價值。盡管現(xiàn)在仍處于工業(yè)互聯(lián)網(wǎng)發(fā)展的早期,但大家已經(jīng)能夠看到工業(yè)互聯(lián)網(wǎng)給企業(yè)帶來四個方面的價值:
第一,智能化生產(chǎn)。大量的數(shù)據(jù)匯聚到工業(yè)互聯(lián)網(wǎng)平臺上,工業(yè)企業(yè)可以基于海量數(shù)據(jù)以統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行建模分析,形成智能決策和動態(tài)優(yōu)化,顯著提升生產(chǎn)效率,降低生產(chǎn)成本。
第二,網(wǎng)絡(luò)化協(xié)同。產(chǎn)能過?;蛘弋a(chǎn)能不足的聲音都曾出現(xiàn)在工業(yè)領(lǐng)域。說白了很多企業(yè)的生產(chǎn)計劃都是根據(jù)局部市場和局部信息決策的,結(jié)果有一些工廠要么大量工人和設(shè)備閑置,要么就有白天黑夜連軸轉(zhuǎn)也做不完的單子。網(wǎng)絡(luò)化協(xié)同可以借助網(wǎng)絡(luò)整合供應(yīng)鏈,對接生產(chǎn)方和需求方,從而提高整個社會的生產(chǎn)效率。
第三,大規(guī)模定制。工業(yè)互聯(lián)網(wǎng)的一個重要能力就是可以把消費者和工廠連接在一起,基于消費者的個性化需求,在流水線上實現(xiàn)大規(guī)模的定制化生產(chǎn)。在這一點上,海爾的COSMO平臺和它的智能工廠就做得非常不錯。
第四,服務(wù)化延伸。最常用的就是根據(jù)設(shè)備的運轉(zhuǎn)數(shù)據(jù)來判斷設(shè)備的狀態(tài),從而實現(xiàn)對產(chǎn)品生產(chǎn)、故障的提前預(yù)測和檢修,減少非計劃的停產(chǎn)時間。
能夠預(yù)見的是,服務(wù)化延伸的方向非常多,充滿了各種想象,需要工業(yè)企業(yè)、集成商、互聯(lián)網(wǎng)企業(yè)、安全提供商、通信企業(yè)聚集一起,多維探索,百花齊放。
安全邊界進(jìn)一步模糊
工業(yè)互聯(lián)網(wǎng)讓生產(chǎn)、網(wǎng)絡(luò)不再與世隔絕,而是與“外網(wǎng)”相連,使線上、線下安全風(fēng)險疊加放大,和消費互聯(lián)網(wǎng)的“謀財”隱患相比,工業(yè)互聯(lián)網(wǎng)的安全隱患就是“圖財害命”。
工信部信息化和軟件服務(wù)業(yè)司系統(tǒng)安全處處長廖凱說:“筑牢工業(yè)控制系統(tǒng)安全、平臺安全和數(shù)據(jù)安全三道防線,是保障工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵環(huán)節(jié)和重要挑戰(zhàn)。”
然而,令人憂心的是,從某種角度看,我們幾乎沒有自主可控的工控系統(tǒng)。
穆森在今年的工業(yè)互聯(lián)網(wǎng)峰會上透露了這樣一組數(shù)據(jù):全國5000多個重要的工業(yè)控制系統(tǒng)中,90%以上的工業(yè)控制操作系統(tǒng)均采用國外系統(tǒng),基礎(chǔ)軟件、中間件國外產(chǎn)品超過70%,PC服務(wù)器操作系統(tǒng)中,微軟的系統(tǒng)超過90%,芯片國產(chǎn)化率不足1%。
穆森說:“如果芯片和基礎(chǔ)軟件等‘斷供’,芯片和基礎(chǔ)軟件的漏洞就無法及時修補,芯片和基礎(chǔ)軟件的后門就敞開著,將對我們工業(yè)互聯(lián)網(wǎng)產(chǎn)生重大安全威脅。”
IT與OT的融合病毒入侵
從前,工業(yè)網(wǎng)絡(luò)長期處于一個封閉狀態(tài)。一個封閉的網(wǎng)絡(luò),自然而然也不存在太多的網(wǎng)絡(luò)安全威脅。甚至,在挖礦木馬和勒索病毒出現(xiàn)之前,即便那些工業(yè)互聯(lián)網(wǎng)的先行者實現(xiàn)了IT與OT的互聯(lián)互通,很多時候問題看似也不太大。帶“毒”生產(chǎn)的工業(yè)主機比比皆是。所以,大量的企業(yè)在OT網(wǎng)絡(luò)建設(shè)過程中,不會特別考慮到相應(yīng)的網(wǎng)絡(luò)安全問題,相關(guān)的運維人員的安全意識和能力參差不齊。
我們針對四百家工業(yè)互聯(lián)網(wǎng)應(yīng)用較好的企業(yè)展開了調(diào)研,結(jié)果超過半數(shù)的企業(yè)出現(xiàn)過藍(lán)屏或者重啟的現(xiàn)象(藍(lán)屏是勒索病毒感染的一種常見表現(xiàn)),但卻有接近七成的企業(yè)認(rèn)為自己沒有發(fā)生過網(wǎng)絡(luò)安全事件。
可以打這樣一個簡單的比喻,OT網(wǎng)絡(luò)是一個封閉的“溫室”,當(dāng)我們打開了通向外界的大門,大量的“細(xì)菌”和“病毒”蜂擁而至。其中,勒索病毒和挖礦木馬讓工業(yè)企業(yè)苦不堪言。勒索病毒進(jìn)入到工業(yè)網(wǎng)絡(luò)后,可以迅速鎖死重要工業(yè)主機的文件,或使工業(yè)主機藍(lán)屏、死機、無法啟動,從而導(dǎo)致產(chǎn)品線停工。即便企業(yè)災(zāi)備做得再好,可災(zāi)難恢復(fù)和應(yīng)急處置的這段時間仍然會給企業(yè)帶來巨大的經(jīng)濟損失。尤其是2017年“永恒之藍(lán)”大規(guī)模暴發(fā),更是給很多工業(yè)企業(yè)上了一課,2018年8月臺積電中了勒索病毒變種,損失近2億元美金。
挖礦木馬是伴隨著數(shù)字貨幣發(fā)展而逐漸興起的一種黑產(chǎn)獲利工具。就目前而言,個人PC中了挖礦木馬問題倒不是很大,因為現(xiàn)在個人PC性能已經(jīng)很好了,即便挖礦木馬占用一些資源,頂多運行速度稍慢,不會產(chǎn)生特別嚴(yán)重的后果。但是工業(yè)主機就不一樣了,由于工業(yè)主機產(chǎn)品型號復(fù)雜,更換的周期也非常長,有的主機硬件配置相對較低,一旦被利用來“挖礦”,勢必大大拖慢生產(chǎn)效率,嚴(yán)重的會導(dǎo)致產(chǎn)品線停產(chǎn)。
體系化的工業(yè)安全多方聯(lián)動
去年年中,工信部發(fā)布的《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2018-2020年)》提出,要培育一批獨立經(jīng)營的企業(yè)級平臺以此推動30萬家以上工業(yè)企業(yè)上云,上海、廣東、浙江等各省市也推出了推動工業(yè)企業(yè)上云的相關(guān)政策。很明顯的是,隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用的深入,工業(yè)企業(yè)不斷上云,企業(yè)面臨的安全問題同樣會隨之增加。
所以我們倡導(dǎo)的安全理念是,新的工業(yè)互聯(lián)網(wǎng)的安全問題,就要用新的數(shù)據(jù)驅(qū)動安全的理念去解決,建立高中低三位一體的網(wǎng)絡(luò)安全體系。在低位,每一個端點、每一個網(wǎng)絡(luò)都應(yīng)該部署相應(yīng)的防護(hù)手段,收集安全數(shù)據(jù),并根據(jù)中位平臺指揮調(diào)整安全防御策略;中位要利用大數(shù)據(jù)平臺能力,匯總并分析處理安全數(shù)據(jù),并且利用安全運營的手段,使低位的安全設(shè)備協(xié)同聯(lián)動;在高位,我們還要有態(tài)勢感知和工業(yè)威脅情報,在事前、事中、事后做到持續(xù)的監(jiān)測和響應(yīng)。
但是,工業(yè)互聯(lián)網(wǎng)安全單憑某一家或者一類企業(yè)是做不好的,必須有工業(yè)企業(yè)、平臺企業(yè)、安全企業(yè)、自動化企業(yè)還有監(jiān)管方等多方聯(lián)合在一起,形成一個多方聯(lián)動的生態(tài)體系。
提升安全意識做好主機安全防護(hù)
調(diào)研過程中,我們還得到了一個非常有意思的結(jié)果:阻礙工業(yè)互聯(lián)網(wǎng)安全建設(shè)的兩大原因分別是“短時間內(nèi)看不到收益”和“缺乏相應(yīng)的人才”。針對這兩點,我也想給工業(yè)企業(yè)提幾點安全建議和優(yōu)先步驟。
第一,提升相關(guān)人員的安全意識。安全意識是過去工業(yè)信息化建設(shè)的“后遺癥”,從沒有什么安全問題到勒索病毒滿天飛,企業(yè)首先得從企業(yè)董事會到生產(chǎn)一線對安全有足夠的重視,不要等哪天生產(chǎn)線開不了工,才悔不當(dāng)初。
第二,做好主機安全防護(hù)。根據(jù)我們處理過的上百起工業(yè)安全事件來看,很多病毒、木馬的入侵最終都落在工業(yè)主機上,那么在投入有限的條件下,做好工業(yè)主機的安全防護(hù)事半功倍。所以,我們提出了工業(yè)互聯(lián)網(wǎng)安全應(yīng)從主機防護(hù)開始,這樣能解決80%的工業(yè)網(wǎng)絡(luò)安全問題。前不久舉辦的工業(yè)互聯(lián)網(wǎng)峰會上,我們也發(fā)布了360工業(yè)主機安全防護(hù)系統(tǒng),采用三重關(guān)卡攔截的模式,幫助企業(yè)告別帶毒生產(chǎn)。
第三,做好資產(chǎn)梳理。這幾年,工業(yè)互聯(lián)網(wǎng)的發(fā)展非常迅速,相應(yīng)的網(wǎng)絡(luò)資產(chǎn)規(guī)模也在迅速擴張。在這個過程中,很多企業(yè)的生產(chǎn)網(wǎng)絡(luò)基本處于相對“混亂”的狀態(tài),企業(yè)看不清楚他們的資產(chǎn)有哪些,也沒有生產(chǎn)網(wǎng)絡(luò)拓?fù)?,都不知道保護(hù)的對象是什么樣,如何進(jìn)行安全防護(hù)?做好工業(yè)資產(chǎn)的梳理,應(yīng)該是工業(yè)安全體系化建設(shè)的第一步。
第四,采購相應(yīng)的服務(wù)。隨著安全即服務(wù)的快速發(fā)展,采購安全服務(wù)也是解決安全人才缺乏的一種手段。另一方面,網(wǎng)絡(luò)安全保險也是一種很好的風(fēng)險量化轉(zhuǎn)移的手段,在一定程度上可以轉(zhuǎn)移非計劃外停產(chǎn)帶來的經(jīng)濟損失。
