业界要闻

360安全专家:工业互联网安全挑战与应对

2018-07-23 14:33:00 来源 超级管理员

      本次大讲堂人力资源社会保障部专业技术人员管理司司长俞家栋主持,中国信息通信研究院院长刘多出席致欢迎辞,人力资源社会保障部副部长汤涛出席并致辞,工业和信息化部副部长陈肇雄出席并做题为《加快推动工业互联网创新发展》的主旨报告。


1.png

      陈肇雄表示,我国工业互联网发展潜力巨大,前景广阔。要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大精神,把握高质量发展的根本要求,加快推进工业互联网创新发展。一是聚焦战略重点,加快网络基础设施建设、加快建设平台体系、加快提升安全保障水平。二是发挥主体作用,鼓励支持企业面向工业互联网发展需求,在技术、产业、应用等方面加大投入,不断提升工业互联网供给质量和效益。三是形成发展合力,充分发挥政产学研各方的协同作用,加强部校合作、产学研协同、产业联合。四是壮大人才队伍,着重培养高层次科技人才、优秀工程技术人才,吸引互联网、通信、软件等各领域技术人才参与工业互联网发展,壮大开发者队伍。


      此外,科研院所中国信息通信研究院余晓晖总工程师、清华大学软件学院王建民院长,企业代表富士康CEO郑弘孟、华为人工智能战略规划总监徐兴海、阿里巴巴副总裁刘松等均做了专题报告。


      360企业安全集团工业控制系统安全国家联合工程实验室主任陶耀东受邀发表了《工业互联网IT/OT融合的安全挑战与应对》的主题演讲。他强调企业要加强工业互联网安全防护要同时兼顾信息网络(IT)、工业网络(OT)、工业大数据和平台的安全应对,同时给出了工业互联网安全战略推进建议。


2.png


      陶耀东阐述了工业互联网IT/OT融合的驱动力,从工业企业和互联网企业两大视角综合分析了融合带来的四大安全挑战:


      第一、IT/OT融合后的工业互联网增加更多的端点,带来了更大的攻击面。

      

      第二、与IT相比,IIOT系统安全问题,可以造成物理伤害,生命和社会损失。

      

      第三、安全态势和资产可视性不足,无效的安全对策、合规性和互操作性减缓了在IOT中使用安全措施。

     

      第四、许多旧的工业协议都是专有的,设计初期未考虑到现代威胁和安全架构,带来互操作性和安全挑战。


      基于上述挑战,陶耀东给出了具体案例证实工业互联网存在的安全风险。他强调要保障工业互联网安全应树立新时代的工业网络安全理念,构建预测、预防、检测、修复的自适应防护架构,遵从安全能力滑动标尺模型,加强叠加演进的高位、中位、低位安全能力建设。


      工业互联网安全的三大防御技术路线:


      陶耀东表示,工业互联网安全主要遵循三大防御技术路线:

      

      第一、构建工业互联网企业安全共同体,建立多级安全服务体系。在全国范围内建立工业互联网安全威胁情报中心,与中小企业工业互联网安全公共服务平台对接,实时进行安全事件的上报和威胁情报的下发,掌握整个安全态势。


      第二、建立企业工业安全运营中心。通过搜索、筛选、关联、检测、评估等分析企业内部实时信息和历史信息,处置工业企业内部的威胁情报。


      第三、构建工控系统安全白环境。基于大数据,构筑工业互联网系统“安全白环境”整体防护体系,被动解决方案,不影响工控系统的“可用性”和“稳定性”。


      在企业构建工业互联网安全防护建议中,陶耀东介绍了360企业安全集团的整体安全解决方案。在信息网络(IT)中采用数据驱动安全的核心技术理念,实现协同响应,全流量监测以及安全运营。在工业网络(OT)中采用纵深防御理念实现从终端到边界、远程访问、漏洞等的安全防护。在工业云与大数据安全中,从大数据平台安全、云平台安全等方面提出安全应对策略。


3.png

      

      与此同时,陶耀东认为,工业互联网整体安全战略推进时间表,从高、中、低优先级循序渐进展开。


高优先级:统一IT/OT安全治理机构、充分管理OT资产、确定系统中存在的安全风险、实现资产可视化,持续实施安全监测。同时,加强OT人员的安全意识培训。


中优先级:建立共同的IT/OT安全运营模式,继续统一IT/OT安全治理工作正式化,修订现有安全策略框架、提高OT安全流程的成熟度等。


低优先级:定期进行渗透测试、漏洞扫描等安全测试工作,应用新的OT安全工具和技术,进行验证、实现、测试、部署、维护。


4.png


      陶耀东表示,工业互联网安全行业的本质是攻防对抗,是管理、人才、技术、基础设施等多方面的竞争。因此,搭建工业互联网安全防护体系仍然离不开以人为核心的安全运营。


      此次大讲堂中提到的工业互联网安全解决方案已经为工业用户和相关主管部门提供全方位的信息安全服务,并在政府监管、轨道交通、智能制造等领域成功应用。360企业安全集团让国家关键信息基础设施运行得更安全、更可靠,360工业信息安全为用户安全生产保驾护航。