“智”造升級深思明辨工業物聯網安全

2016年11月16日，浙江烏鎮再次成為全球關注的焦點。在烏鎮，我們讀懂網際網路發展的未來，以及中國撐起這份未來的大國擔當與高瞻遠矚。

目前，網際網路的長尾效應在工業領域正在凸顯。我們看到數以千萬計的工業裝置開始接入網際網路形成工業物聯網。隨著“中國製造2025”國家戰略的深入發展，工業物聯網成為我國，乃至全球主要經濟體，探求生產力變革，助推生產效率提升的關鍵。但同時，我們也意識到工業物聯網安全面臨著嚴峻挑戰。高速發展必須有安全守望，安全性是工業物聯網健康發展的重中之重。

如何擺脫在“在別人地基上蓋房子”的尷尬與無奈，避免重蹈網際網路安全滯後於應用的覆轍，是中國工業物聯網安全領域致力於解決的迫切問題。工業物聯網安全正在快速成長為一個戰略新興產業，我國有能力成為該領域的先進國家，並主導該領域的發展，建立全球影響力。在世界網際網路大會召開之際，作為工業物聯網安全領域的領軍企業，匡恩網路實力詮釋工業物聯網安全，分享工業物聯網安全應用之道。

“智”造升級 深思明辨工業物聯網安全

2015年5月，經國務院總理李克強籤批，國務院釋出了《中國製造2025》，這是一項全面推進實施製造強國的戰略規劃，是中國實施製造強國戰略第一個十年的行動綱領。

隨著《中國製造2025》戰略規劃的實施，工業化與資訊化的深度融合，企業內部及企業間生產控制系統和生產管理系統互聯互通的需求劇增，通過接入網路進而達到提質增效的需求更為強烈，工業物聯網應運而生。

工業物聯網是工業系統與網際網路，以及高階計算、分析、感測技術的高度融合，也是工業生產加工過程與物聯網技術的高度融合。它將工業生產系統、工業監控系統、工業管理系統、物資運輸系統、消費反饋資訊系統等融為一體，通過資料中心的智慧處理結果，從而提高工業生產效率，提高產品質量和使用者滿意度，使工業生產更快速、更安全、更清潔、更經濟。

工業物聯網的建設要與安全並行，探討工業物聯網安全防護之道，首先要明辨工業物聯網與其他物聯網之間存在的差異。首先，二者在安全防護的主要需求上存在的本質差異。工業物聯網系統與許多其他物聯網行業的主要區別是：(1)在工業物聯網系統中涉及的工業生產裝置，對系統響應的實時性要求高。無論感知資料的上傳，還是控制指令的下發，都需要在很短的時間內完成，這就給安全防護技術的實施帶來了挑戰。(2)控制系統中的主機裝置系統老舊，更新困難。在生產過程中，很難對一個控制系統進行維護和軟體更新，包括對作業系統和安全防護軟體的更新，以及硬體裝置的新增，因此許多防護措施只能通過旁路方式進行。儘管這種方式可對一些非正常資料提供報警，對攻擊行為實施隔離等措施還需輔以其他方案。

其次，針對物聯網系統，特別是工業物聯網系統發起的入侵攻擊，與傳統資訊系統有著明顯的區別。傳統資訊系統的入侵攻擊，其攻擊目標就是被入侵的主機系統，其表現行為從早期的破壞主機系統，到後來的獲取主機系統資訊，逐步到後來將主機系統變為攻擊其他主機系統的殭屍節點。但工業物聯網系統的入侵攻擊，其攻擊目標一般不是被入侵的主機系統。攻擊者一般會通過入侵的主機系統，非法控制該主機系統所能控制的受控裝置以達成既定攻擊任務，而這些受控裝置可能根本不具有智慧判斷能力。

“4+1安全保障體系”，工業物聯網安全有效方法論

對於工業物聯網安全的產業化發展，一個系統化安全保障體系將是其實踐運營的核心支柱。企業想清晰地打造自己的工業物聯網安全體系，必須系統化、立體化對其進行考量。匡恩網路對國內外各個行業的工業物聯網系統進行大量深入調研，全面瞭解工業物聯網的安全特性，總結出了涵蓋“結構安全、本體安全、行為安全、基因安全四個安全性以及安全的時間持續性”的“4+1安全保障體系”。

其中，結構安全即基礎設施建設過程中網路結構，以及區域、層次的劃分是否滿足安全要求;本體安全是指工控裝置自身的安全性，包括工控主機、安全裝置、網路裝置、移動介質等，這些裝置普遍存在漏洞、後門等安全隱患;行為安全主要包括兩部分：系統內部發起的行為是否具有安全隱患，系統外部發起的行為是否具有安全威脅;基因安全即CPU、儲存、作業系統核心、基本安全演算法與協議等基礎軟硬體的完整可信、自主可控;時間持續性是指通過建立長效的安全防護機制，從技術、裝置、人員、管理、運維等多個維度，實現綜合安全服務能力，保障工業控制系統及關鍵基礎設施全生命週期的安全性。

“4+1安全保障體系”從影響工控安全的5個要素著手，將安全需求和部署與業務、應用和整體系統構架連線起來，有步驟地逐步實現從網路安全到功能安全到基礎設施安全的綜合防護能力，做到安全與互聯隨行。

“4+1安全保障體系”的建立，基於國資委、工信部、能源局等國家部委對於工控安全的監管要求、推薦標準和工控系統安全要素的分析，充分吸收現有工控安全體系的精髓，在結構安全方面吸納專網專用、隔離認證等技術，在本體安全方面吸收裝置加固與白名單控制等技術，在行為安全方面引入工業大資料技術，基因安全方面引入可信可控，時間持續性方面引入管理持續化等技術與管理體系，實現對現有工控安全體系的融合與發展。

“4+1安全保障體系”將工業物聯網與工業基礎設施安全相結合，為工業企業提供基於工業物聯網的平臺化專業安全服務，解決工業基礎設施互聯互通帶來的安全問題;解決當前工控企業缺乏安全管理和專業化安全服務的問題;解決工業企業資訊保安與生產安全脫節的問題。幫助工業企業建立、提升立體化主動防禦能力，實現工業基礎設施安全與生產安全相結合的一體化大安全。

點面結合，縱深推動工業物聯網安全發展

工業物聯網安全助力提升傳統行業效能的潛力，毋庸置疑。激發潛力的前提是，具備可放之多行業且行之有效的方法論，將其在單一行業充分應用和縱向整合，並以此為起點，總結更多行業存在共性特點，充分考量細分行業特點和特定屬性，為更多行業提供定製級解決方案，快速廣泛應用與實施。

這是促進工業物聯網安全規模化應用和產業發展的有效路徑。在工業生產的實踐中，匡恩網路將“4+1安全保障體系”作為有效方法論，將其與集合人工智慧演算法、工業協議深度分析、模式匹配、智慧感知等前沿技術的多系列近二十款產品深度結合應用，為涉及關鍵基礎設施、智慧製造、智慧城市、軍民融合四個領域的十多個重要行業提供定製級的一體化解決方案。

在2016年9月的國家網路安全周，匡恩網路重磅釋出兩款針對工業物聯網安全的雙子星新品：威脅態勢感知平臺和漏洞挖掘雲服務平臺，深度發力工業物聯網感知與服務，有效解決工業物聯網安全應用中存在的痛點和盲點，與跨行業、跨領域的解決方案深度融合，實現從感知到應用到服務的縱向整合。目前，匡恩網路已構建了豐富的產品體系，已完成包含檢測、保護、審計、終端、管理、實訓、E能互聯及其他等8大系列、20多條產品線，成為國內首家以全產品線和服務覆蓋智慧工業安全全業務領域的公司。

從技術創新到管理模式創新，從單一產品到縱深聯動，匡恩網路自主可控工業物聯網安全解決方案改變了傳統安全產品簡單堆砌的被動防禦模式，實現了風險提前預知、裝置縱深聯動、管理精準及時的主動防禦方案，從網路安全、主機安全、應用安全、資料安全四個層面全面保障控制系統網路安全和裝置安全。匡恩網路工業物聯網安全解決方案廣泛在水利、電力、交通、燃氣、供水等關鍵基礎設施保護，以及石油化工、冶金、菸草、智慧汽車、智慧製造等國家重點行業和領域成功應用，並深受好評。

同時，匡恩網路吸收工業網際網路的威脅態勢感知平臺，構建基於雲技術和大資料技術的工業物聯網安全態勢中心，為大中型企業、地方政府、行業監管部門的工業物聯網各層面網路提供全方位安全監測與防護，實現早期預警、態勢感知、攻擊溯源和有效應對。

經過近三年時間的深耕，從建立方法論，到產品和解決方案深度應用，再到構建工業物聯網安全態勢中心，匡恩網路“點面結合”縱深推進工業物聯網安全的產業發展。2016年，匡恩網路在工業物聯網安全領域的深耕，迎來蝶變，在工控網路安全領域的規模和市場份額均居榜首，成為中國工業物聯網安全領域的創新先鋒和重要支撐力量，得到中央網信辦、公安部、工信部等中央和政府部門的高度認可;並做為第一第二單位負責牽頭制定“工控漏洞挖掘”、“智慧城市安全”、“數控安全”、“工控網路監測”、”工控網路安全隔離與資訊交換”等多項國家標準。

工業物聯網安全發展的再思考

網際網路是20世紀人類最偉大的發明之一 ，與彼此雀躍期待不同之處，是今時今日對於網際網路我們有了更為深刻全面的認知，這份認知中既有對網際網路與更多垂直行業碰撞融合進而帶來創新變革的希冀，更有同心同向肩扛搭建中國與世界互聯互通的國際平臺和國際網際網路共享共治的中國平臺的責任，砥礪前行的決心與赤誠。

工業物聯網應用與發展亦如是。在通過工業物聯網深度應用獲得潛在效益的同時，工業物聯網應用相關參與者也要做好安全管理。網際網路的發展一日千里，建立在網際網路之上的工業物聯網技術早已有之，在網路化、智慧化的趨勢之下，工業物聯網快速向著規模化的應用方向發展。而工業物聯網安全體系的構建，是實現工業物聯網健康發展美好願景的重要前提。

工業物聯網蘊含萬億市場，體量之大，安全廠商、運營商、科研機構或院校各自為戰，無法真正意義上全面推動其發展。在這一過程中，監管部門、安全廠商、運營者和科研機構或院校都是參與其中的重要角色，將各方力量彙集形成強大合力，各司其職共促工業物聯網安全管理與體系建設。

對於監管機構，鼓勵產業化、鼓勵創新、鼓勵教育人才培養，強化連結上下游企業、整合產學研相關機構，共同推動行業創新與發展，推動相關國家標準和行業標準制定工作。

安全廠商是工業物聯網安全防護創新的主體，這其中既包含通過技術創新完善產品設計、產品功能和產品體系，也需打破網路安全防護固有的思維模式，不斷豐富防護手段和解決方案，最大化強化自身產品和解決方案的防禦能力和實用性。

對於運營商，要豎立網路安全意識，與安全廠商協作管理系統安全。對於新裝系統，應實現結構安全同步建設;對於再裝系統，應進行結構安全改造;對於因條件限制無法進行改造的，應建立安全性補償機制。同時，建立健全網路安全監督機制，落實相關責任。

最後，是專業人才培養機制的建立。工業物聯網的潛在影響力，幾乎橫掃大多數涉及國計民生的重要行業和重要領域。可以預見，在工業物聯網發展和規模化的應用過程中，對於專業人才的需求十分迫切。從工控網路安全發展人才需求引申看來，工業物聯網安全專業人才不僅僅侷限於傳統的資訊保安或電氣自動化專業人才，更大程度上需要具備跨行業、跨領域知識儲備的專業人才。

結語：

今年的世界網際網路大會，匡恩網路受邀出席開幕式和網路安全閉門會議。烏鎮歸來，深刻感受到網路空間命運共同體既是發展共同體、利益共同體，也是安全共同體、責任共同體。網路安全是於構建網路空間命運共同體的基礎，也是構建工業物聯網體系的重要組成部分。世界網際網路大會傳遞出網路空間發展的強音，為工業物聯網安全的技術創新和產業規模化發展開啟了新的篇章。工業物聯網安全產業前景可期，只待書寫!

本文轉自d1net（轉載）