Menu

工业互联网时代的安全挑战与对策



左英男介绍,工业互联网作为新一代信息技术与传统工业深度融合的产物,日益成为新工业革命的关键支撑和重要基石,对未来以工业大数据为核心的工业发展将产生全方位、深层次、革命性的影响。

零信任架构建立了端到端的动态访问控制机制,极大收缩攻击面,能够有效应对内部威胁和外部攻击;同时提供了有效管理风险的框架,有助于敏感业务、数据和基础设施的开放共享。

中国石油石化企业云计算、大数据及信息安全技术应用研讨会由中国石油学会石油科技装备专业委员会主办,围绕石油石化企业云计算、大数据技术及信息安全应用展开,分享石油石化企业信息化建设经验,助力石油石化单位企业网、生产网、业务系统、工控系统信息化工作的开展,提升石油石化行业信息化应用与安全技术保障能力。来自国内各大石油公司、研究院、高校等单位的信息化及技术负责人近300人参加了会议。

360企业安全作为工业互联网安全领域的领军者,为工业用户和相关主管部门提供全方位的信息安全服务,并在政府监管、轨道交通、智能制造、电力等领域成功应用。同时,360企业安全集团将长期以“让网络更安全,让世界更美好”为使命,与政府、工业企业、安全行业、高校和研究机构合作,共同打造工业互联网安全生态,全面提升我国工业互联网的安全防护整体能力和水平。

左英男表示,工业互联网时代,传统护城河似的边界安全架构已经无法满足企业客户的需求,需要重新审视边界安全架构的认知盲点,构建全新的安全架构去解决企业的问题。

其次,工业企业为了实现管理和控制的一体化,实现生产和管理的高效率、高效益,将IT/OT技术进一步深度融合,在拓展了工业控制系统发展空间的同时,也带来了一系列的工业网络安全问题,这类安全问题不仅影响数据和业务的安全性,还可能影响工业设备的功能安全,影响工业生产的连续性,甚至影响环境安全和人身安全,这也是工业互联网时代工业企业面临的又一大挑战。

零信任架构针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,其核心思想是:默认情况下不应该信任网络内部和外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础。零信任引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行动态访问控制。

360企业安全集团副总裁左英男受邀参会并发表了《工业互联网时代的安全挑战与对策》的主题演讲。针对工业互联网时代的安全挑战,左英男重点指出了网络安全的两大核心驱动力。

3月28日,中国石油石化企业云计算、大数据及信息安全技术应用研讨会在西安举行。360企业安全集团副总裁左英男出席了此次大会,并以工业互联网时代的网络安全新战术为主题做主旨演讲。

近期,2019互联网岳麓峰会在长沙圆满落幕。据当地媒体报道,从2014年300余人参会到2018年吸引了近3万人报名参加,从最初6位湘籍大咖发展到283位业界重点嘉宾齐聚,从岳麓书院到梅溪湖国际文化艺术中心,互联网岳麓峰会越办越精彩。

工业互联网在提高生产和管理效率的同时,也会给工业企业带来全新的安全挑战。最重要的安全挑战来自两个方面,一是以“云大移物智”为代表的新一代信息技术架构的演进必然会驱动网络安全架构理念的变革;二是随着IT/OT技术的深度融合,勒索软件、APT攻击等新型安全威胁层出不穷,给工业控制网络安全和工业生产的连续性带来巨大的挑战。

首先,随着云计算、大数据、物联网、人工智能等新IT技术与传统工业的深度融合,更多机器和设备实现互联,工业互联网应用需要采集各类设备和机器的数据,实现多种数据的集中,工业大数据的集中也意味着风险的高度集中。同时,随着工业互联网业务、平台、设备、用户的多样性不断丰富,传统的网络安全边界加速瓦解,传统的边界安全架构无法满足工业互联网时代的安全需求。

针对IT/OT一体化融合场景下的工业网络安全问题,左英男给出了工业网络安全“三板斧”的建议。首先,采用工业防火墙、工业网闸等技术将工业生产控制网络和管理信息网络进行有效地隔离是基础防护手段。其次,工业网络安全防护的重点应当从工业主机防护开始,在利用白名单技术进行防护的基础上,提供入口、运行、扩散三层“关卡式”拦截技术,针对类似“永恒之蓝”的勒索病毒进行全方位的超前防御,有效应对勒索病毒对工业控制设备的“误伤”。最后,“恐惧源于未知,看见才能安全”,左英男强调,在做好网络隔离与工业主机防护的基础上,还需要解决工业网络安全管理缺少“抓手”的痛点问题,通过部署工业安全监测系统,帮助工业企业的安全管理部门全面掌握工业资产、工业网络安全威胁、工业生产异常和故障,应对工业资产数量、类型、分布不清楚,设备断线、设备停机、异常操作难定位的安全管理问题。

恐惧源于未知,看见才能安全。左英男强调,在做好工业主机安全防护的基础上,也应解决工业网络安全管理缺少“抓手”的痛点问题。工业企业应全面掌握工业资产、工业网络安全威胁、工业生产异常和故障,才能解决资产数量、类型、分布不清楚,设备断线、设备停机、异常操作难定位的安全问题。因此,作为安全企业也应该联合工业企业、工控系统厂商和网络安全厂商,协同联动,建立工业网络安全应急响应协同机制,实现从工业主机安全防护到工业安全监测再到工业安全态势感知的闭环运营。

图片 1

左英男表示,工业互联网安全应从主机防护开始,利用白名单技术进行病毒拦截的基础上,提供入口、运行、扩散三层关卡拦截,进行全方位病毒拦截。尤其针对工业主机“永恒之蓝”勒索病毒在无需打补丁、关端口的前提下,在入口处通过“漏洞利用分析-流量解析对比-可疑攻击阻断”引擎进行“永恒之蓝”勒索病毒的超前防御。

零信任架构针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议,其核心思想是:默认情况下不应该信任网络内部和外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础。零信任引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行动态访问控制。

零信任架构是应对网络安全新挑战的新战术。通过建设统一身份源,将全网用户、设备、应用、API接口形成统一身份,统一权限梳理,实现全面身份化;在业务访问过程中基于风险对用户和设备进行持续的风险度量,评估身份的合法性,实现认证持续化;通过访问控制细粒度授权,基于风险度量和信任评估,动态调整授权,实现授权动态化;采用先进的机器学习算法,汇聚分析各类数据源,支撑风险度量化和管理自动化,实现分析智能化;基于智能化分析,对人和设备的环境数据、访问行为数据,进行风险建模,度量潜在的安全风险,实现风险度量化;基于智能化策略分析和工作流引擎,实现管理自动化。

面对如此严峻的工业互联网安全挑战,左英男表示,传统护城河似的边界安全架构已经无法满足企业客户的需求,需要重新审视边界安全架构的认知盲点,构建全新的安全架构去解决企业的问题。

图片 2

同时,该技术方案已在比亚迪工业主机防护应用项目中成功应用,在全国各地园区生产线上部署17000台工业主机安全防护软件,自部署以来运行稳定,为比亚迪工业主机创建安全的运行环境,让比亚迪信息基础设施运行的更安全、更可靠。

针对IT/OT一体化融合场景下的工业网络安全问题,左英男指出:根据360企业安全集团应急响应处置的工业企业网络攻击事件发现,汽车生产、智能制造、能源电力、烟草等行业发生的数起工业网络安全事件,大多数攻击或影响的是工业主机。2018年,台积电多个工厂及营运总部工业主机遭遇勒索软件攻击,导致在台湾北、中、南三处重要生产基地生产线停摆等事件均已说明工业主机成为首要网络攻击目标。

360企业安全集团副总裁左英男演讲

标签:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图