工业互联网企业如何构建“万里长城”安全防线
信通院安全研究所副主任柯皓仁谈工业互联网安全。作者:柯皓仁
2020年3月4日中共中央政治局常务委员会召开会议,指出要加快5G网络、数据中心等新型基础设施的建设进度。新型基础设施建设(新基建)包括特高压、新能源汽车充电桩、5G基站建设、大数据中心、人工智能、工业互联网、城际高速铁路和城市轨道交通等七大领域。
近几日,作为广大工业互联网安全从业者的一员,笔者的朋友圈毫无悬念的被“新基建”相关内容刷了一波屏,继而是工业互联网、工业互联网安全等软文刷到没有兴趣的“爆点”,刚好菜园约稿已有数周,临时放弃了准备许久的八股技术文,就想换个角度跟大家分享个人对工业互联网安全的一些粗浅看法。
“单单按照事物外部的标志,使用一大堆互相没有内部联系的概念,排列成一篇文章,一篇演说,或者一个报告,这种办法,他自己是在做概念游戏,也会引导人家都做这类游戏,使人不用脑筋想问题,不去思考事物的本质,而满足于甲乙丙丁的现象罗列。”
——文字摘选自《毛泽东选集》
想起上述这番话,是偶然在近期看到了某篇工业互联网安全文章时的闪念,有没有一部分(可能是一小部分)相关企业在做着“工业互联网安全”的概念游戏。在切入工业互联网安全正题之前,笔者先与大家一起复习下功课。
自 2017年11月国务院正式印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(后文简称“指导意见”)以来,我国工业互联网相关工作加速落地实施,各项工作取得了积极进展,工业互联网的重要性也被社会各界充分肯定,在工业互联网顶层设计、体系建设、产业生态等多层面都取得了一定的成效,为经济高质量发展提供了有效助力。值得关注的是在新冠肺炎疫情爆发后,工业互联网相关企业借助网络协同、远程服务、供需对接等优势,在疫情防控和复工复产中发挥重要作用,为打赢疫情防控阻击战提供有效支撑。
指导意见中明确提出了构建工业互联网网络、平台、安全三大功能体系,安全作为三大功能体系之一,其重要程度不言而喻,随着近两年工业互联网的高速发展,笔者仅就安全部分与大家探讨文章开始提到的“概念游戏”。
什么是工业互联网?若随机挑出100个业内人士提问我们可能会很容易的得到50种以上的不同答案,在笔者接触到的工业领域从业者中,也不乏并不愿谈工业互联网概念的管理者,虽然他们业务模式可能已经是典型的工业互联网应用。但回归对其本质的思考,以“降本、提质、增效、减存”为企业发展工业互联网的核心目标,多少个哈姆雷特想必在这个论点上也能达成一致,工业互联网是工业企业赶上第四次工业革命浪潮的重要途径这一结论亦不容质疑。
工业互联网:工业互联网是新一代网络信息技术与制造业深度融合的产物,是实现人、机、物全面互联的新型网络基础设施,是助力产业数字化、网络化、智能化发展的必要基础。
什么是工业互联网安全?向同样的这100个业内人士提问,笔者可以想象的提问现场场景只有两种:一种是略显冷场的尴尬,一种是零星几人的答复后大家一副不置可否的表情围观。究其根本,网络安全意识薄弱可能仍是主因之一,而“网络安全工作是一项持续投入的成本中心”在很多企业管理者的思维中仍根深蒂固,缺乏内、外部安全事件触动时难以真正重视企业内网络安全建设,相信在工作过程中有过“要不让人真的攻一次我们,出点事领导就真的重视了”类似念头的安全工程师不在少数。
工业互联网安全:工业互联网安全是于2017年11月在《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》中作为工业互联网三大功能体系之一被正式提出,目标建立是涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系,从安全防护对象上涵盖工业控制系统、智能网联设备、工业互联网平台、工业数据等。
一个有意思的现象是,虽然安全是作为工业互联网三大功能体系之一,但笔者翻阅近两年关于工业互联网产业发展的研究报告,鲜有将安全作为工业互联网产业链一环提出。另外,近日翻看A股在“新基建”火热后关于工业互联网的研报内容中也极少看到对安全产业的重点关注,这些都似乎与我们的期望有所差距,但近几年发生的工业安全事件又将我们拉回现实,网络安全是一项持续性的工作,在工业互联网快速发展的过程中,网络安全将扮演越来越重要的角色。
近两年,工业和信息化部等主管部门在工业互联网安全政策标准制定、多级安全保障平台建设、产业应用推广、安全人才培育等多方面进行了大量工作并取得了积极成效,同时工业领域发生的网络安全事件(如台积电勒索病毒事件)也警醒了部分企业管理者,业界对工业互联网安全也逐渐重视,但笔者也看到业界有部分可能在“概念游戏”边缘游走的企业与研究机构,下面就企业侧工业互联网安全能力建设与大家分享,希望读者有所收获或思考。
“我们的任务是过河,但是没有桥或没有船就不能过。不解决桥或船的问题,过河就是一句空话。不解决方法问题,任务也只是瞎说一顿。”
——文字摘选自《毛泽东选集》
毛主席的这段话时刻敲打着笔者,作为工业互联网安全从业者,若是给我们服务的客户只说问题不说解决方法,真的有可能被认定为“江湖骗子”。有着“工业基因”的工业互联网相关企业(工业企业、由工业企业内部业务发展演进的工业互联网平台企业等),更加注重相关业务工作的“安全闭环”,对网络安全工作更是如此。在此我们不再论述工业互联网安全相关国家顶层设计进展及体系建设思路,而从企业管理者的视角看看我们如何开展相关安全建设工作及需要思考的问题。
1、不怕贼偷,就怕贼惦记
“增强网络安全意识”可能是广大网络安全从业人员日常使用频率排前五的一句话了,近几年有了诸如《网络安全法》等法律法规的约束及安全培训的普及,部分企业管理者和一线工程人员已逐步有了网络安全意识。
而作为工业互联网相关企业管理者来说,最应该有意识的“点”可能是“有贼惦记”。从近十多年的网络安全攻击趋势来看,2005年流氓软件泛滥、2009年木马黑产形成规模、2011年个人信息倒卖产业火爆等现象突出网络攻击重点趋向于个人信息与C端获利,而近几年发生的如2017年“永恒之蓝”勒索病毒、2019年委内瑞拉大断电、2019年铝工业巨头挪威海德鲁公司遭到勒索软件攻击等安全事件让大家看到有组织的、面向物理世界的网络攻击行为越来越多,特别是作为工业领域的相关企业从业者更应意识到我们已成为了“贼惦记”的对象,要切实通过安全教育、培训等手段加强网络安全防范意识,针对性实施企业网络安全防御计划以筑牢安全保障体系。
2、道高一尺,魔高一丈?
在企业管理者的网络安全管理思维中,承认“攻守能力不对称”、“道高一尺,魔高一丈”也是绷紧网络安全这根红线的必要思维之一。作为以业务运转为主的企业主体来说,建立网络安全防御“长城”成本高、维护大等问题,而作为潜在的攻击方,突破“万里长城”中任何一个点都可能给企业带来巨大的危害或破坏。
对于工业互联网相关企业来说,由于工业互联网相关业务涉及面广,网络安全防护范围与对象的进一步扩大对安全防护提出了更高的要求。
在IT、OT深度融合的工业互联网应用发展中,笔者有以下几点建议:
一、是研究确定企业的网络安全目标:应对持续变化的网络安全风险。工业互联网企业有着复杂的业务基因,明确“保护什么”是企业构建安全保障体系的第一步,通过资产识别、保护对象价值评定等多种方式确定企业的各类保护对象与安全目标设定,如部分工业互联网企业最大的安全目标是保护工厂侧“生产业务不断”、部分企业重点关注平台侧“工业数据不丢”,每种安全目标的制定所对应的安全防护策略与建设重点都应有所区别。
二、是充分重视安全评估工作:减少企业保护对象脆弱性。通过常态化的安全评估工作及相应的安全处置,识别并减少企业安全保护对象的脆弱性,评估不断变化的网络安全风险,为企业网络安全风险管理活动提供准确信息与确定防护工作的优先级。工业互联网相关应用场景下,网络攻击从IT层渗透到OT层带来的安全威胁加剧,而就企业管理者来说,不应以保护对象(如工厂侧生产控制系统)是否连接为公共互联网为判定标准,而是应充分识别企业安全保护对象的脆弱性并制定相应的修复措施或防护工作,近几年直接由生产侧相关系统与终端(非联网状态)感染病毒或遭受破坏的安全事件并不少见。
三、是体系化构建自身安全保障体系:工业互联网时代下的企业安全防护工作,单纯以安全产品“堆”、“垒”式的解决方案已不适用于不同类型工业互联网企业的安全防护需求。结合自身业务类型与保护对象,制定本企业的安全防护策略与安全解决方案,协同内外部资源落实部署相关安全产品、平台。以事前评估预防、事中响应控制、事后溯源分析的安全运营闭环思维指导安全建设工作,具体实施中可考虑如下几点:
①.针对安全保护对象建设企业自身的安全防护指南或标准规范
基于充分的安全评估与检测,结合主管部门的网络安全管理要求及相关领域的技术标准规范,制定适应于企业自身业务特点与安全保护对象的安全防护指南、标准规范,使企业的安全管理与建设工作更具针对性与实效性。
落实企业内部安全评估、安全检查、应急响应等常态化工作机制,推动企业加强动态掌握自身安全状况、问题发现、安全处置能力。同时制定业务连续性计划,确保安全事件发生后企业能够采取及时与恰当的应急响应以减少业务影响、降低损失、快速恢复关键服务能力等。
②.重视工业互联网安全态势感知能力建设
利用在线监测、诱捕探测、结构化/非结构化威胁数据感知等手段,建设企业侧全保护对象的网络安全态势感知能力,了解企业核心业务安全运行情况、实时监测流量、及时识别威胁并提供溯源分析能力。加强与上一级主管部门、国家级工业互联网安全监测与态势感知平台的信息安全共享与机制协同。
③.重视IT、OT融合过程中的安全防护策略变化及工业数据安全
在企业开展IT、OT深度融合过程中,应对所涉及设备、控制、网络、平台、数据各层面的保护对象进行持续性安全评估,对融合过程中衍生的新连接、新服务、新接口等充分评估安全威胁并进行安全保护,特别涉及到工业数据的开放共享与深度应用,应建立工业数据分类分级机制,明确数据收集、存储、处理、转移、删除等环节安全保护要求,制定对应数据安全保护措施。
四、是切实提升企业网络安全实战能力:培育企业核心安全技术人才。近年来,各国为提高网络空间的实战能力,军事强国纷纷建设网络靶场并组织多国、多部门、多情景的网络演习,包括美国网络风暴、网络卫士、网络旗帜和网络盾牌等。网络安全演习在增强安全意识、实践协调机制、检验防护效果、促进提升攻防能力、实践应急响应机制、实践技术发展等方面有着重要作用。工业互联网企业在目前逐渐严峻动态安全态势下,应对具有自我特色的企业工业互联网基因及出于自身业务敏感性保护的考虑,建设企业安全攻防靶场是提升安全防护能力及培养企业安全人才的重要可行手段。
“一时办不到的事,必须允许逐步去办。”
——文字摘选自《毛泽东选集》
企业如何应对工业互联安全威胁及进行有效的安全保障能力建设,笔者在本文仅分享了部分思路,如工业互联网安全技术能力构建、安全可控、国内工业互联网安全技术产品同质化等诸多笔者想探讨的问题并未展开。
工业互联网的快速发展确实给企业带来了极大机遇,同时也带来了更严峻的网络安全挑战和更迫切的安全需求,期望工业互联网企业管理者们能够充分重视网络安全问题、充分认识自身安全现状、切实做好安全能力建设,但网络安全工作从不是一蹴而就,企业管理者也切忌剑走偏锋急于求成,如同毛主席所说“ 一时办不到的事,必须允许逐步去办”。
声明:本文来自工业菜园,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。