Top
首页 > 新闻 > 滚动新闻 > 正文

破解“阿喀琉斯之踵”:融合成工联网安全应对之道

也是企业智能化转型的重要保障,需要融合包括工业设备厂商、网络安全厂商、工业互联网安全厂商等上下游的机构,构筑全面的防护体系,才能有效保护工业互联网安全。
发布时间:2018-11-26 16:25        来源:通信产业网        作者:王改静

近日,某知名晶圆体厂商披露了数月前勒索病毒入侵造成的损失金额高达25.96亿新台币,约合人民币5.84亿元!由于遭遇勒索病毒入侵,该公司生产线被迫停产,类似的工业企业安全事件已经不再是个案。

随着工业互联网的建设,安全问题日益成为焦点。日前,在2018合肥网络安全大会的工业互联网安全论坛上,来自国内研究机构、制造业企业、工业互联网安全企业等领域的专家,在现场探讨了工业互联网安全现状、安全需求、解决方案和安全实践,对工业互联网安全发展趋势进行预测和展望。

针对新形势下的网络安全行业发展趋势与挑战,新华三在业界率先提出主动安全理念,整合包括前沿科技研发力量、人才培养、网络安全重大基础设施、产业基金、生态合作伙伴等在内的多方力量,通过打造产业集群进行“升维”创新,为中国的数字化转型保驾护航。

互联网攻击瞄准工业网络

在当前我国正在推动产业升级,大力发展工业互联网之际,工业互联网安全问题愈发突出。据专家介绍,在制造业、能源、交通等领域高危漏洞达到59%,尤其是国产率不高的工控设备会留下更多安全隐患,面临更多安全威胁。

安全专家透露,当前工控的安全事件不断发生,主要集中在能源行业。影响最大的就是所谓的勒索病毒,仅仅北京圣博润公司就接到过十几件关于工业企业的勒索病毒事件,包括化工厂、汽车制造厂、钢铁冶金厂,对企业造成了非常大的影响。专家看到,随着工业互联网平台的出现,工业网络越来越互联互通,导致来自互联网一些新的攻击手段瞄准工业企业、瞄准工业网络。

对于工业控制以及工业互联网领域的安全问题,国内主管机构与安全厂商已进行了有益的探索。工业和信息化部副部长陈肇雄曾表示,在工业互联网安全保障方面,要重点加强工业互联网安全技术手段建设,形成国家、行业、企业协调联动的工业互联网安全工作格局,建设覆盖产业全生命周期的安全保障体系。

跨界的挑战

与传统网络安全不同,工业互联网安全是个跨界领域:一方面工业控制安全对于传统网络公司有一定的门槛,存在“跨界”问题。另一方面,每一个工业领域都千差万别,很难适用同一个安全产品或者很难去套用传统IT安全去解决工业互联网安全问题。

中国科学院信息工程研究所主任黄伟庆谈了两方面的风险,一是高安全等级网络与数控网络互联扩大了安全防护边界;二是互联互通可能带来的风险和隐患。

在业务层面,工业互联网强调业务协同、设计协同、供应链的协同,需要做好安全防护和隔离,满足百万级客户上云的需要。在网络层面正由封闭网络向IT互联网融合、OT互联网融合、产品服务与互联网融合转变。整个工业互联网的安全防护面临从静态安全防护变成动态安全防护的转变。

黄伟庆表示,传统工业控制网络内部存在防护能力不足的问题,比如缺乏流量审计、日志审计工具,大量主机之前没有安装防病毒的措施。同时,一些老旧工业系统本身存在很多漏洞,大量国外设备通过远程方式进行运维故障诊断,直接造成网络开放、连通。

要解决工业互联网安全需要将传统的安全技术以及工业互联网平台云安全的技术、工控技术结合起来。工业互联网安全一定要建在云管端相结合的多维度立体化的安全之上。

工业互联网安全提供商广州安加互联总经理彭卓则表示,面对复杂的工业互联网安全,希望更多跟专业安全厂商深入合作,从而可以把IT安全产品和解决方案,以及理念和框架融合到工业领域。安加互联也提出了构建多层次、端对端安全防御体系,涵盖云、管、端、网联设备等四个层面的生命周期。

加强工业网互联网安全的三个举措

中国信息通信研究院安全研究所主任田慧蓉在演讲中介绍加强工业网互联网安全研究的三个举措。

第一个方面是抓顶层,健全安全管理制度框架,提升互联网安全防护能力。具体包括工业互联网安全整体管理制度,相应的行业技术研发成果的转化,相关安全产业在这个行业应用和推广,以及工业互联网安全评估认证体系的构建,从整体提升防护能力管理。

第二个方面是建立工业互联网数据安全保护体系,主要是建立工业互联网全产业链数据安全管理体系,涉及到各个环节,各个角色,包括数据处理各个环节,收集、存储等。

第三个方面是推动工业互联网安全技术手段建设,企业层面就是督促工业互联网落实网络安全主体责任,包括安全防护、监测体制相关手段,工业互联网安全试点示范等服务。

工业互联网安全关系到国家关键基础设施安全、环境保护、经济建设等多个方面,是国家网络安全和现代工业发展的重要组成部分。也是企业智能化转型的重要保障,需要融合包括工业设备厂商、网络安全厂商、工业互联网安全厂商等上下游的机构,构筑全面的防护体系,才能有效保护工业互联网安全。

合作站点
stat