如何走出工业互联网安全困境 启明星辰集团提出解决之道

日前，2018年工业信息安全大会在京召开，启明星辰集团工业互联网安全事业部技术总监孟雅辉女士应邀出席并发表“工业互联网时代的安全最佳实践”主题演讲，从工业云平台、工业物联网、工控网、互联网、企业办公内网五个维度出发分析工业互联网安全困境，从工业互联网安全态势感知、安全通道、安全能力三个方面提出了基于云架构和智能工厂五层架构的安全解决之道，并分享典型落地案例。演讲引起现场专家们和观众的高度关注和热烈讨论。

技术总监孟雅辉做主题演讲

孟总演讲中表示工业互联网安全困境在以下几个方面尤为突出：首先，与传统的IT云平台相比，工业云平台中存储的数据具有较高的敏感性，涉及工业企业知识产权和商业机密，有些数据甚至关系到国家安全，因此对数据的窃取或者破坏将造成无法弥补的经济损失、负面的社会影响甚至国家安全等系列问题。所以在工业云安全防护上，需先意识到当前信息安全处于APT2.0时代，工业云平台甚至工控系统时刻处于被攻击中，必须更加重视安全性。

其次，工业物联网中设备种类庞杂、位置分散、缺乏安全设计，存在信息泄露、数据伪造、拒绝服务等大量威胁工业生产安全的问题。对于工业物联网设备的防护通过软/硬件的方式在物联网设备中部署安全模块，对端侧设备进行认证和数据加密，实现从端到云的安全接入。通过主动和被动发现方法识别物联网设备并进行分类，同时对安全状态进行评估，实现可视化管理。使用机器学习方法对物联设备行为建模，并对可信设备进行在线学习，对网络中的流量进行异常检测。自动生成网络拓扑图，并与现有的网络基础设施联动整合，实现可视化管控，支持交换机、路由器、FW的ACL管控机制等，完成端到云的安全防御。

再次，工控网络自身开放化、标准化导致工业控制系统易攻难守。工业控制系统与设备供应商越来越多地使用公开协议以及标准化的Windows或Unix技术架构。这些协议与模块的安全漏洞使攻击者的攻击门槛大为降低。企业生产和营销环节的互联互通导致网络攻击路径增多。传统互联网安全威胁延伸至工业生产领域，且攻击者从研发端、管理端、消费端、生产端都有可能实现对工业互联网的攻击。

经过多年在工控网络安全方向的耕耘，启明星辰积累出一套面向智能工厂的动态赋能的业互联网信息安全防护体系，该体系面向企业互联网云平台及工业控制系统的控制层、监控层及管理层，以工业控制信息安全管理系统为核心，建立全网工控设备的安全态势感知，建立全网、全局的威胁情报管理体系，全面呈现企业信息安全管理的短板，建立面向全局的统一安全监测和防护平台，通过安全事件关联分析，对安全风险集中分析和展现。

通过工业防火墙、工业网闸产品建立工控网络边界访问控制，对网络内的通讯信息进行内容过滤，防止非授权设备非法接入，对网络攻击行为检测和阻断;通过运维审计系统对工控系统用户实行三权分立，将工控系统的运维行为进行全面管理，利用操作站安全防护系统建立针对工控服务器网络端口、USB端口的全面管控，全方位的保护主机的资源使用。打造动态赋能的工业互联网信息安全防护体系，帮助用户建立工业控制系统全生命周期安全管理，实现工控安全风险可知、可防，可测。该体系已在城市轨道交通、烟草、电力调度、发电、石油石化、先进制造、工业物联网、车联网、城市管廊、市政供水、市政燃气、煤炭等多个领域进行试点示范项目的建设，完成了产品体系的验证并对各项防护技术进行了检验。

工业互联网是我国新工业革命的关键支撑和智能制造的重要基石，安全问题的解决是保障工业互联网良性发展的基础之一。启明星辰集团将与行业同仁一起携手并进，共同保障国家基础设施和国计民生生产领域中的工业互联网安全，实现网络空间战时代的国泰民安。