工業互聯網需要同步建設安全底座
發布者:瀏覽次數:
以下文章來自 360集團董事長兼CEO 周鴻祎
國家大力推動新基建,將為我國數字經濟的發展注入蓬勃動力,5G、人工智能、工業互聯網、網絡安全大腦等“基礎型技術”的大規模應用,也將給大眾生活帶來便利。身處網絡安全行業,我們既要看到機遇,更要看到挑戰。
新基建的本質是數字化基建,其背后是產業、經濟、政府、社會的全面數字化。它將進一步促進網絡空間與物理空間的連通和融合,加快大安全時代的來臨。網絡安全不再只影響虛擬空間,而是擴展到了現實世界,對國家安全、社會安全、民眾人身安全,都有可能造成嚴重影響。
網絡安全是新基建的基建,將貫穿新基建的戰略安全、技術安全、應用安全和運行安全的始終。其中,最突出的,是“一套關鍵基礎設施”和“一個重度場景”的安全問題。
一套關鍵基礎型設施指5G建設,5G的價值并不簡單地的是讓我們手機看視頻更快,而是為我們整個產業互聯網時代所打造;一個重度場景則指工業互聯網,通過互聯網攻擊工業系統早已不是想象,而是不斷發生的現實,伊朗核工廠、委內瑞拉電廠、沙特煉油廠等都被來自網絡世界的攻擊破壞過。
工業互聯網是新基建最大的應用場景之一,保障新基建安全應重點“盯防”工業互聯網安全。新基建需要同步建設安全基建,工業互聯網需要同步筑牢安全底座。只有如此,才能讓新基建與工業互聯網的發展,走得更穩,走得更遠。
新基建助推傳統產業數字化轉型
中國互聯網歷經20年發展,上一個10年,主要是消費場景的數字化,體現在老百姓的吃喝玩樂、衣食住行;下一個10年,產業互聯網、工業互聯網、車聯網、智慧城市、智慧政府等面向政府、面向企業的領域,也都會像消費互聯網一樣,充分利用互聯網技術進行數字化變革。
此次中央力推“新基建”,正是一項很有前瞻性的舉措,短期內可以有效應對嚴峻的國內外經濟形勢,長遠看更是有效助力了我國產業升級和數字經濟的發展。新基建的意義就像上個世紀90年代的“信息高速公路”,它能夠產生和帶動的是未來幾十年的產業變革,經濟發展模式變革,以及人們生活交往方式的變革。“在危機中育新機,于變局中開新局”,新基建就是這樣的新機遇。
新基建的“新”,核心體現為數字化特征。關于數字化技術,可以“IMABC”為總結。“I”是IoT,即物聯網技術;“M”是Mobile Communication,即移動通信技術,主要指5G通信協議;“A”是AI,即人工智能;“B”是Big Data,即大數據;“C”是Cloud computing,即云計算。
新基建就是用這五個主要技術,把我們過去的生產方式、城市治理和生活的方方面面都數字化。用IoT傳感器采集大數據,通過5G通信協議傳輸到云端,在云端匯成海量大數據之后,再根據大數據建立各種各樣的分析模型,然后再用AI進行分析判斷,最后通過各種IoT設備反饋到城市治理和老百姓的生產生活中去。
新基建必將帶來又一次技術、產業和社會經濟的變革。未來,如果傳統的制造業、工業、城市管理等領域,都能夠全面地采用“IMABC”這些 “數字化技術”,那一定能夠幫助這些傳統行業提升“內功”,迅速完成轉型升級。
工業互聯網面臨嚴峻安全形勢
伴隨新基建的發展以及工業的全面數字化,未來世界會產生三大特征,即軟件定義世界,萬物皆可互聯,數據驅動一切。在這種情況下,數字化也將帶來前所未有的安全風險和挑戰。
因此,安全不再是一個可有可無的輔助功能,而是變成了一個特別重要的基礎。如果安全基礎不牢,工業互聯網就無法運轉,甚至會崩塌。因此,要把網絡安全當作工業互聯網的“底座”,為工業互聯網建設做好安全基礎設施。
作為新基建最重要的應用場景之一,工業互聯網面臨的“大安全”挑戰可能包含以下多個層面。
首先是“戰場更大”。 軟件定義世界意味著一切皆可編程,漏洞無處不在;萬物皆可互聯等于開放了更多攻擊入口,一切皆可攻擊;數據驅動一切意味通過篡改數據、下達數據指令就可以控制一切業務、流程和設備,影響業務安全,產生物理傷害。好萊塢科幻電影中遠程控制汽車造成交通擁堵、控制機器殺人的場景將不再是科幻,而可能成為真實場景。所以,未來網絡攻擊能夠貫穿到各個場景,不分國家、企業和個人,包括工業互聯網在內的所有的領域都將面臨來自網絡世界的攻擊。
其次是“對手”變了。殺毒時代已經成為歷史,安全現在面對的不再是“白開心”、“純小偷”這樣的炫技小子和個人玩家,而是變成了網絡犯罪組織、網絡恐怖主義和國家級黑客組織這樣的“大玩家”。這樣的對手相當于“正規軍”,往往具有較高的“戰術修養”和攻擊資源,特別是國家級黑客組織和網軍,成組織,成建制,有布局,有戰術。一般的被攻擊目標無法與之抗衡。
其三,可能攻擊的目標范圍也更廣了。因為可攻擊的目標越來越多,網絡攻擊的目標已經不再只是一般的企業和個人,而是瞄準企業重要資產、國家關鍵基礎設施、重要政府部門,達到中斷工業生產、癱瘓電力、交通、能源等關鍵基礎設施的目的,工業互聯網已成為國家間網絡戰攻擊的重要目標。比如,2017年8月,某具有政治背景的黑客團體,對沙特阿美石油公司的煉油廠發起攻擊,差點引發工廠爆炸。2019年3月,委內瑞拉古里水電站遭受網絡攻擊導致其全國停電,該事件給全球所有國家敲響了網絡戰的警鐘。在未來,數字基建必然是首選的攻擊目標,一旦被攻擊將影響工業運行安全,進而影響社會正常運轉和老百姓安居樂業。
其四,網絡攻擊的布局更長遠、更隱蔽。針對重要目標的攻擊并非隨機偶然,一定是有周密準備和復雜策略,并且為達目的長期潛伏、持續滲透。典型代表就是APT攻擊,相比傳統網絡攻擊更加狡猾和沉默,攻擊鏈條復雜、持續時間長、隱蔽性強。為了達到這樣的目的,在產品中預制后門,或者利用供應鏈發起攻擊都已經是常規操作。所以,御敵人于國門之外已經很難做到,而是必須假設敵已在我,做最壞的打算。
其五,從網絡攻擊趨勢看,攻擊手法越來越高級化和多樣化,暗戰越來越多。除了后門,APT慣用的手法還包括0Day漏洞利用、定制化惡意代碼,以及社會工程學這樣針對人的攻擊手法。實踐表明,人往往是最薄弱的環節,利用線上滲透和線下情報、間諜手段結合,物理隔離都可以被打穿。因為攻擊手法越來越高級,傳統的單點檢測、碎片化越來越無能為力。
其六,受攻擊方的損失程度可能更加驚人。 因為數字化的滲透性和關聯性,一次網絡攻擊就可以造成重大損失,甚至造成物理傷害,動搖現實世界的基礎。2010年“震網”事件、2019年伊朗軍方情報數據庫被攻擊事件,就是未來網絡攻擊擴展到現實世界的預演。未來,最大的安全威脅不一定是來自物理空間,而是來自虛擬空間,對于網絡安全產生的后果,要建立“底線思維”,避免黑天鵝事件發生。
由此可見,網絡安全保護難度空前增大。一方面,防護對象擴大,防護難度增大。工業互聯網安全已經從傳統的互聯網安全,擴展至數據安全和業務安全等新領域,新老安全問題交織,解決起來更加困難;另一方面,工業互聯網協議種類繁多,加固難度大。工業互聯網運行著超過1000種缺乏安全機制的工業控制、現場總線、工業通信等協議,且不同企業接口不一、較為封閉等特點加大了安全協議分析與加固的難度。總而言之,數字化時代,攻防嚴重不平衡,聯網設備數以百億計,一點突破就可以打穿整個網絡,攻防資源向供給方傾斜,要發現、阻斷和溯源網絡攻擊都面臨更大難度,所以會出現“誰進來了不知道、是敵是友不知道、干了什么不知道”的被動局面。
保障工業互聯網安全須打造安全大腦
面對嚴峻安全形勢,傳統的安全體系已經無力應對。因為傳統的網絡安全體系誕生于計算機安全時代,最大的問題是“頭痛醫頭、腳痛醫腳”,防護思路碎片化,面對不斷增加的安全威脅只是不斷地“堆盒子”,缺乏體系化思維。概括起來,傳統安全體系的問題是“七個缺”:缺“能力導向”的正確意識、缺“體系化”的頂層設計、缺有效運營、缺能力積累、缺全局情報、缺“一體化作戰”的協同聯防、缺實戰檢驗。
因此,保護工業互聯網安全需要新的方法。為了解決未來的安全挑戰,360在十多年網絡攻防對抗中,不斷抽象、沉淀了一套新的網絡安全框架體系。
這套新的網絡安全框架體系包括“6個1”。第一個“1”是一套網絡安全互聯標準,包括安全知識庫標準、威脅情報標準、實網靶場標準等,解決目前各安全節點間互不相通的問題;第二個“1”是一套安全基礎設施,整合現有安全節點能力,構造出一系列從應對威脅視角出發的能力中心,包括漏洞管理中心、情報運營中心、安全運營中心、實戰評測中心等,作為安全體系的能力載體;第三個“1”是一個安全大腦,安全大腦的核心組成是安全大數據中臺+全視檢測分析引擎+全景安全知識庫,它的作用相當于網絡空間的預警機和反導系統,所以在新的框架體系中,安全大腦是整個體系的中樞,能夠為安全基礎設施進行情報、知識、漏洞、專家賦能;第四個“1”是一套安全運營戰法,指導網絡安全整體規劃,以及網絡安全風險識別、防御、響應、恢復、預測的全生命周期;第五個“1”是一套安全專家團隊,網絡安全的本質是對抗,對抗的根本在人。通過安全專家團隊為工廠提供咨詢規劃、建設運營、應急響應、實網攻防、持續評估、教育培訓等專業定制服務,形成安全生產力;第六個“1”是一套實戰檢驗機制,網絡安全講百遍不如打一遍,實戰才是檢驗安全能力的唯一標準,利用實戰攻防積累經驗教訓,持續迭代能力。
此外,針對工業企業面臨的具體安全問題,我認為,還需要在網絡安全框架體系下做好以下兩點。
首先,鼓勵工業企業部署第三方網絡安全系統和服務。不少工業企業出于成本、當下運行的穩定等考慮,對網絡安全系統重視不夠。很多工業互聯網系統使用期已超過10年,但為了保證控制的穩定性和業務的連續性,沒有采取必要的安全手段,安全隱患極大,一旦被網絡攻擊,造成的影響不可估量。建議國家出臺相關政策,鼓勵工業企業部署專業的第三方網絡安全系統和服務,讓工業互聯網系統與網絡安全系統融為一體,確保工業發展長治久安。
其次,推進工業控制系統制造企業、工業企業和網絡安全企業間的深度合作。工業細分領域眾多,每個領域都有其業務需求和建設、運營規范,這種巨大的差異性導致難以形成通用的網絡安全解決方案。一方面,工業控制系統制造企業和工業企業多數不具備專業的網絡安全知識和技術手段,應對復雜網絡攻擊的能力較弱;另一方面,很多網絡安全專家也不具備工業細分領域的專業知識,在對工業互聯網了解不深的情況下,推出的安全解決方案也難以滿足需要。因此,建議制定促進工業控制系統制造企業、工業企業和網絡安全企業合作的鼓勵政策,協作研發高精尖安全解決方案,共同打造安全的工業互聯網。
新基建的發展與工業互聯網的建設,是未來國家在面臨日益復雜的國內外環境時,企業轉型升級的重要戰略步驟。因此,一定要同步建設新基建的安全基建,夯實工業互聯網的安全底座,這樣才能保證新基建與工業互聯網建設的長遠發展。
