新基建工業(yè)互聯(lián)網(wǎng)企業(yè)如何構(gòu)建網(wǎng)絡(luò)安全防線
2020年3月4日中共中央政治局常務(wù)委員會召開會議,指出要加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施的建設(shè)進度。新型基礎(chǔ)設(shè)施建設(shè)(新基建)包括特高壓、新能源汽車充電樁、5G基站建設(shè)、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)、城際高速鐵路和城市軌道交通等七大領(lǐng)域。
近幾日,作為廣大工業(yè)互聯(lián)網(wǎng)安全從業(yè)者的一員,筆者的朋友圈毫無懸念的被“新基建”相關(guān)內(nèi)容刷了一波屏,繼而是工業(yè)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)安全等軟文刷到?jīng)]有興趣的“爆點”,剛好菜園約稿已有數(shù)周,臨時放棄了準備許久的八股技術(shù)文,就想換個角度跟大家分享個人對工業(yè)互聯(lián)網(wǎng)安全的一些粗淺看法。
“單單按照事物外部的標志,使用一大堆互相沒有內(nèi)部聯(lián)系的概念,排列成一篇文章,一篇演說,或者一個報告,這種辦法,他自己是在做概念游戲,也會引導(dǎo)人家都做這類游戲,使人不用腦筋想問題,不去思考事物的本質(zhì),而滿足于甲乙丙丁的現(xiàn)象羅列。”
——文字摘選自《毛澤東選集》
想起上述這番話,是偶然在近期看到了某篇工業(yè)互聯(lián)網(wǎng)安全文章時的閃念,有沒有一部分(可能是一小部分)相關(guān)企業(yè)在做著“工業(yè)互聯(lián)網(wǎng)安全”的概念游戲。在切入工業(yè)互聯(lián)網(wǎng)安全正題之前,筆者先與大家一起復(fù)習(xí)下功課。
自 2017年11月國務(wù)院正式印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》(后文簡稱“指導(dǎo)意見”)以來,我國工業(yè)互聯(lián)網(wǎng)相關(guān)工作加速落地實施,各項工作取得了積極進展,工業(yè)互聯(lián)網(wǎng)的重要性也被社會各界充分肯定,在工業(yè)互聯(lián)網(wǎng)頂層設(shè)計、體系建設(shè)、產(chǎn)業(yè)生態(tài)等多層面都取得了一定的成效,為經(jīng)濟高質(zhì)量發(fā)展提供了有效助力。值得關(guān)注的是在新冠肺炎疫情爆發(fā)后,工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)借助網(wǎng)絡(luò)協(xié)同、遠程服務(wù)、供需對接等優(yōu)勢,在疫情防控和復(fù)工復(fù)產(chǎn)中發(fā)揮重要作用,為打贏疫情防控阻擊戰(zhàn)提供有效支撐。
指導(dǎo)意見中明確提出了構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)、平臺、安全三大功能體系,安全作為三大功能體系之一,其重要程度不言而喻,隨著近兩年工業(yè)互聯(lián)網(wǎng)的高速發(fā)展,筆者僅就安全部分與大家探討文章開始提到的“概念游戲”。
什么是工業(yè)互聯(lián)網(wǎng)?若隨機挑出100個業(yè)內(nèi)人士提問我們可能會很容易的得到50種以上的不同答案,在筆者接觸到的工業(yè)領(lǐng)域從業(yè)者中,也不乏并不愿談工業(yè)互聯(lián)網(wǎng)概念的管理者,雖然他們業(yè)務(wù)模式可能已經(jīng)是典型的工業(yè)互聯(lián)網(wǎng)應(yīng)用。但回歸對其本質(zhì)的思考,以“降本、提質(zhì)、增效、減存”為企業(yè)發(fā)展工業(yè)互聯(lián)網(wǎng)的核心目標,多少個哈姆雷特想必在這個論點上也能達成一致,工業(yè)互聯(lián)網(wǎng)是工業(yè)企業(yè)趕上第四次工業(yè)革命浪潮的重要途徑這一結(jié)論亦不容質(zhì)疑。
工業(yè)互聯(lián)網(wǎng):工業(yè)互聯(lián)網(wǎng)是新一代網(wǎng)絡(luò)信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,是實現(xiàn)人、機、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施,是助力產(chǎn)業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展的必要基礎(chǔ)。
什么是工業(yè)互聯(lián)網(wǎng)安全?向同樣的這100個業(yè)內(nèi)人士提問,筆者可以想象的提問現(xiàn)場場景只有兩種:一種是略顯冷場的尷尬,一種是零星幾人的答復(fù)后大家一副不置可否的表情圍觀。究其根本,網(wǎng)絡(luò)安全意識薄弱可能仍是主因之一,而“網(wǎng)絡(luò)安全工作是一項持續(xù)投入的成本中心”在很多企業(yè)管理者的思維中仍根深蒂固,缺乏內(nèi)、外部安全事件觸動時難以真正重視企業(yè)內(nèi)網(wǎng)絡(luò)安全建設(shè),相信在工作過程中有過“要不讓人真的攻一次我們,出點事領(lǐng)導(dǎo)就真的重視了”類似念頭的安全工程師不在少數(shù)。
工業(yè)互聯(lián)網(wǎng)安全:工業(yè)互聯(lián)網(wǎng)安全是于2017年11月在《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》中作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一被正式提出,目標建立是涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺安全和數(shù)據(jù)安全的工業(yè)互聯(lián)網(wǎng)多層次安全保障體系,從安全防護對象上涵蓋工業(yè)控制系統(tǒng)、智能網(wǎng)聯(lián)設(shè)備、工業(yè)互聯(lián)網(wǎng)平臺、工業(yè)數(shù)據(jù)等。
一個有意思的現(xiàn)象是,雖然安全是作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一,但筆者翻閱近兩年關(guān)于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的研究報告,鮮有將安全作為工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈一環(huán)提出。另外,近日翻看A股在“新基建”火熱后關(guān)于工業(yè)互聯(lián)網(wǎng)的研報內(nèi)容中也極少看到對安全產(chǎn)業(yè)的重點關(guān)注,這些都似乎與我們的期望有所差距,但近幾年發(fā)生的工業(yè)安全事件又將我們拉回現(xiàn)實,網(wǎng)絡(luò)安全是一項持續(xù)性的工作,在工業(yè)互聯(lián)網(wǎng)快速發(fā)展的過程中,網(wǎng)絡(luò)安全將扮演越來越重要的角色。
近兩年,工業(yè)和信息化部等主管部門在工業(yè)互聯(lián)網(wǎng)安全政策標準制定、多級安全保障平臺建設(shè)、產(chǎn)業(yè)應(yīng)用推廣、安全人才培育等多方面進行了大量工作并取得了積極成效,同時工業(yè)領(lǐng)域發(fā)生的網(wǎng)絡(luò)安全事件(如臺積電勒索病毒事件)也警醒了部分企業(yè)管理者,業(yè)界對工業(yè)互聯(lián)網(wǎng)安全也逐漸重視,但筆者也看到業(yè)界有部分可能在“概念游戲”邊緣游走的企業(yè)與研究機構(gòu),下面就企業(yè)側(cè)工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)與大家分享,希望讀者有所收獲或思考。
“我們的任務(wù)是過河,但是沒有橋或沒有船就不能過。不解決橋或船的問題,過河就是一句空話。不解決方法問題,任務(wù)也只是瞎說一頓。”
——文字摘選自《毛澤東選集》
毛主席的這段話時刻敲打著筆者,作為工業(yè)互聯(lián)網(wǎng)安全從業(yè)者,若是給我們服務(wù)的客戶只說問題不說解決方法,真的有可能被認定為“江湖騙子”。有著“工業(yè)基因”的工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)(工業(yè)企業(yè)、由工業(yè)企業(yè)內(nèi)部業(yè)務(wù)發(fā)展演進的工業(yè)互聯(lián)網(wǎng)平臺企業(yè)等),更加注重相關(guān)業(yè)務(wù)工作的“安全閉環(huán)”,對網(wǎng)絡(luò)安全工作更是如此。在此我們不再論述工業(yè)互聯(lián)網(wǎng)安全相關(guān)國家頂層設(shè)計進展及體系建設(shè)思路,而從企業(yè)管理者的視角看看我們?nèi)绾伍_展相關(guān)安全建設(shè)工作及需要思考的問題。
1、不怕賊偷,就怕賊惦記
“增強網(wǎng)絡(luò)安全意識”可能是廣大網(wǎng)絡(luò)安全從業(yè)人員日常使用頻率排前五的一句話了,近幾年有了諸如《網(wǎng)絡(luò)安全法》等法律法規(guī)的約束及安全培訓(xùn)的普及,部分企業(yè)管理者和一線工程人員已逐步有了網(wǎng)絡(luò)安全意識。
而作為工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)管理者來說,最應(yīng)該有意識的“點”可能是“有賊惦記”。從近十多年的網(wǎng)絡(luò)安全攻擊趨勢來看,2005年流氓軟件泛濫、2009年木馬黑產(chǎn)形成規(guī)模、2011年個人信息倒賣產(chǎn)業(yè)火爆等現(xiàn)象突出網(wǎng)絡(luò)攻擊重點趨向于個人信息與C端獲利,而近幾年發(fā)生的如2017年“永恒之藍”勒索病毒、2019年委內(nèi)瑞拉大斷電、2019年鋁工業(yè)巨頭挪威海德魯公司遭到勒索軟件攻擊等安全事件讓大家看到有組織的、面向物理世界的網(wǎng)絡(luò)攻擊行為越來越多,特別是作為工業(yè)領(lǐng)域的相關(guān)企業(yè)從業(yè)者更應(yīng)意識到我們已成為了“賊惦記”的對象,要切實通過安全教育、培訓(xùn)等手段加強網(wǎng)絡(luò)安全防范意識,針對性實施企業(yè)網(wǎng)絡(luò)安全防御計劃以筑牢安全保障體系。
2、道高一尺,魔高一丈?
在企業(yè)管理者的網(wǎng)絡(luò)安全管理思維中,承認“攻守能力不對稱”、“道高一尺,魔高一丈”也是繃緊網(wǎng)絡(luò)安全這根紅線的必要思維之一。作為以業(yè)務(wù)運轉(zhuǎn)為主的企業(yè)主體來說,建立網(wǎng)絡(luò)安全防御“長城”成本高、維護大等問題,而作為潛在的攻擊方,突破“萬里長城”中任何一個點都可能給企業(yè)帶來巨大的危害或破壞。
對于工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)來說,由于工業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)涉及面廣,網(wǎng)絡(luò)安全防護范圍與對象的進一步擴大對安全防護提出了更高的要求。
在IT、OT深度融合的工業(yè)互聯(lián)網(wǎng)應(yīng)用發(fā)展中,筆者有以下幾點建議:
一、是研究確定企業(yè)的網(wǎng)絡(luò)安全目標:應(yīng)對持續(xù)變化的網(wǎng)絡(luò)安全風(fēng)險。工業(yè)互聯(lián)網(wǎng)企業(yè)有著復(fù)雜的業(yè)務(wù)基因,明確“保護什么”是企業(yè)構(gòu)建安全保障體系的第一步,通過資產(chǎn)識別、保護對象價值評定等多種方式確定企業(yè)的各類保護對象與安全目標設(shè)定,如部分工業(yè)互聯(lián)網(wǎng)企業(yè)最大的安全目標是保護工廠側(cè)“生產(chǎn)業(yè)務(wù)不斷”、部分企業(yè)重點關(guān)注平臺側(cè)“工業(yè)數(shù)據(jù)不丟”,每種安全目標的制定所對應(yīng)的安全防護策略與建設(shè)重點都應(yīng)有所區(qū)別。
二、是充分重視安全評估工作:減少企業(yè)保護對象脆弱性。通過常態(tài)化的安全評估工作及相應(yīng)的安全處置,識別并減少企業(yè)安全保護對象的脆弱性,評估不斷變化的網(wǎng)絡(luò)安全風(fēng)險,為企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理活動提供準確信息與確定防護工作的優(yōu)先級。工業(yè)互聯(lián)網(wǎng)相關(guān)應(yīng)用場景下,網(wǎng)絡(luò)攻擊從IT層滲透到OT層帶來的安全威脅加劇,而就企業(yè)管理者來說,不應(yīng)以保護對象(如工廠側(cè)生產(chǎn)控制系統(tǒng))是否連接為公共互聯(lián)網(wǎng)為判定標準,而是應(yīng)充分識別企業(yè)安全保護對象的脆弱性并制定相應(yīng)的修復(fù)措施或防護工作,近幾年直接由生產(chǎn)側(cè)相關(guān)系統(tǒng)與終端(非聯(lián)網(wǎng)狀態(tài))感染病毒或遭受破壞的安全事件并不少見。
三、是體系化構(gòu)建自身安全保障體系:工業(yè)互聯(lián)網(wǎng)時代下的企業(yè)安全防護工作,單純以安全產(chǎn)品“堆”、“壘”式的解決方案已不適用于不同類型工業(yè)互聯(lián)網(wǎng)企業(yè)的安全防護需求。結(jié)合自身業(yè)務(wù)類型與保護對象,制定本企業(yè)的安全防護策略與安全解決方案,協(xié)同內(nèi)外部資源落實部署相關(guān)安全產(chǎn)品、平臺。以事前評估預(yù)防、事中響應(yīng)控制、事后溯源分析的安全運營閉環(huán)思維指導(dǎo)安全建設(shè)工作,具體實施中可考慮如下幾點:
①.針對安全保護對象建設(shè)企業(yè)自身的安全防護指南或標準規(guī)范
基于充分的安全評估與檢測,結(jié)合主管部門的網(wǎng)絡(luò)安全管理要求及相關(guān)領(lǐng)域的技術(shù)標準規(guī)范,制定適應(yīng)于企業(yè)自身業(yè)務(wù)特點與安全保護對象的安全防護指南、標準規(guī)范,使企業(yè)的安全管理與建設(shè)工作更具針對性與實效性。
落實企業(yè)內(nèi)部安全評估、安全檢查、應(yīng)急響應(yīng)等常態(tài)化工作機制,推動企業(yè)加強動態(tài)掌握自身安全狀況、問題發(fā)現(xiàn)、安全處置能力。同時制定業(yè)務(wù)連續(xù)性計劃,確保安全事件發(fā)生后企業(yè)能夠采取及時與恰當(dāng)?shù)膽?yīng)急響應(yīng)以減少業(yè)務(wù)影響、降低損失、快速恢復(fù)關(guān)鍵服務(wù)能力等。
②.重視工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力建設(shè)
利用在線監(jiān)測、誘捕探測、結(jié)構(gòu)化/非結(jié)構(gòu)化威脅數(shù)據(jù)感知等手段,建設(shè)企業(yè)側(cè)全保護對象的網(wǎng)絡(luò)安全態(tài)勢感知能力,了解企業(yè)核心業(yè)務(wù)安全運行情況、實時監(jiān)測流量、及時識別威脅并提供溯源分析能力。加強與上一級主管部門、國家級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺的信息安全共享與機制協(xié)同。
③.重視IT、OT融合過程中的安全防護策略變化及工業(yè)數(shù)據(jù)安全
在企業(yè)開展IT、OT深度融合過程中,應(yīng)對所涉及設(shè)備、控制、網(wǎng)絡(luò)、平臺、數(shù)據(jù)各層面的保護對象進行持續(xù)性安全評估,對融合過程中衍生的新連接、新服務(wù)、新接口等充分評估安全威脅并進行安全保護,特別涉及到工業(yè)數(shù)據(jù)的開放共享與深度應(yīng)用,應(yīng)建立工業(yè)數(shù)據(jù)分類分級機制,明確數(shù)據(jù)收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)安全保護要求,制定對應(yīng)數(shù)據(jù)安全保護措施。
四、是切實提升企業(yè)網(wǎng)絡(luò)安全實戰(zhàn)能力:培育企業(yè)核心安全技術(shù)人才。近年來,各國為提高網(wǎng)絡(luò)空間的實戰(zhàn)能力,軍事強國紛紛建設(shè)網(wǎng)絡(luò)靶場并組織多國、多部門、多情景的網(wǎng)絡(luò)演習(xí),包括美國網(wǎng)絡(luò)風(fēng)暴、網(wǎng)絡(luò)衛(wèi)士、網(wǎng)絡(luò)旗幟和網(wǎng)絡(luò)盾牌等。網(wǎng)絡(luò)安全演習(xí)在增強安全意識、實踐協(xié)調(diào)機制、檢驗防護效果、促進提升攻防能力、實踐應(yīng)急響應(yīng)機制、實踐技術(shù)發(fā)展等方面有著重要作用。工業(yè)互聯(lián)網(wǎng)企業(yè)在目前逐漸嚴峻動態(tài)安全態(tài)勢下,應(yīng)對具有自我特色的企業(yè)工業(yè)互聯(lián)網(wǎng)基因及出于自身業(yè)務(wù)敏感性保護的考慮,建設(shè)企業(yè)安全攻防靶場是提升安全防護能力及培養(yǎng)企業(yè)安全人才的重要可行手段。
“一時辦不到的事,必須允許逐步去辦。”
——文字摘選自《毛澤東選集》
企業(yè)如何應(yīng)對工業(yè)互聯(lián)安全威脅及進行有效的安全保障能力建設(shè),筆者在本文僅分享了部分思路,如工業(yè)互聯(lián)網(wǎng)安全技術(shù)能力構(gòu)建、安全可控、國內(nèi)工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品同質(zhì)化等諸多筆者想探討的問題并未展開。
工業(yè)互聯(lián)網(wǎng)的快速發(fā)展確實給企業(yè)帶來了極大機遇,同時也帶來了更嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)和更迫切的安全需求,期望工業(yè)互聯(lián)網(wǎng)企業(yè)管理者們能夠充分重視網(wǎng)絡(luò)安全問題、充分認識自身安全現(xiàn)狀、切實做好安全能力建設(shè),但網(wǎng)絡(luò)安全工作從不是一蹴而就,企業(yè)管理者也切忌劍走偏鋒急于求成,如同毛主席所說“ 一時辦不到的事,必須允許逐步去辦”。