新基建工業(yè)互聯(lián)網(wǎng)企業(yè)如何構(gòu)建網(wǎng)絡(luò)安全防線
2020年3月4日中共中央政治局常務(wù)委員會(huì)召開會(huì)議,指出要加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施的建設(shè)進(jìn)度。新型基礎(chǔ)設(shè)施建設(shè)(新基建)包括特高壓、新能源汽車充電樁、5G基站建設(shè)、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)、城際高速鐵路和城市軌道交通等七大領(lǐng)域。
近幾日,作為廣大工業(yè)互聯(lián)網(wǎng)安全從業(yè)者的一員,筆者的朋友圈毫無懸念的被“新基建”相關(guān)內(nèi)容刷了一波屏,繼而是工業(yè)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)安全等軟文刷到?jīng)]有興趣的“爆點(diǎn)”,剛好菜園約稿已有數(shù)周,臨時(shí)放棄了準(zhǔn)備許久的八股技術(shù)文,就想換個(gè)角度跟大家分享個(gè)人對(duì)工業(yè)互聯(lián)網(wǎng)安全的一些粗淺看法。
“單單按照事物外部的標(biāo)志,使用一大堆互相沒有內(nèi)部聯(lián)系的概念,排列成一篇文章,一篇演說,或者一個(gè)報(bào)告,這種辦法,他自己是在做概念游戲,也會(huì)引導(dǎo)人家都做這類游戲,使人不用腦筋想問題,不去思考事物的本質(zhì),而滿足于甲乙丙丁的現(xiàn)象羅列。”
——文字摘選自《毛澤東選集》
想起上述這番話,是偶然在近期看到了某篇工業(yè)互聯(lián)網(wǎng)安全文章時(shí)的閃念,有沒有一部分(可能是一小部分)相關(guān)企業(yè)在做著“工業(yè)互聯(lián)網(wǎng)安全”的概念游戲。在切入工業(yè)互聯(lián)網(wǎng)安全正題之前,筆者先與大家一起復(fù)習(xí)下功課。
自 2017年11月國務(wù)院正式印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》(后文簡稱“指導(dǎo)意見”)以來,我國工業(yè)互聯(lián)網(wǎng)相關(guān)工作加速落地實(shí)施,各項(xiàng)工作取得了積極進(jìn)展,工業(yè)互聯(lián)網(wǎng)的重要性也被社會(huì)各界充分肯定,在工業(yè)互聯(lián)網(wǎng)頂層設(shè)計(jì)、體系建設(shè)、產(chǎn)業(yè)生態(tài)等多層面都取得了一定的成效,為經(jīng)濟(jì)高質(zhì)量發(fā)展提供了有效助力。值得關(guān)注的是在新冠肺炎疫情爆發(fā)后,工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)借助網(wǎng)絡(luò)協(xié)同、遠(yuǎn)程服務(wù)、供需對(duì)接等優(yōu)勢(shì),在疫情防控和復(fù)工復(fù)產(chǎn)中發(fā)揮重要作用,為打贏疫情防控阻擊戰(zhàn)提供有效支撐。
指導(dǎo)意見中明確提出了構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)、平臺(tái)、安全三大功能體系,安全作為三大功能體系之一,其重要程度不言而喻,隨著近兩年工業(yè)互聯(lián)網(wǎng)的高速發(fā)展,筆者僅就安全部分與大家探討文章開始提到的“概念游戲”。
什么是工業(yè)互聯(lián)網(wǎng)?若隨機(jī)挑出100個(gè)業(yè)內(nèi)人士提問我們可能會(huì)很容易的得到50種以上的不同答案,在筆者接觸到的工業(yè)領(lǐng)域從業(yè)者中,也不乏并不愿談工業(yè)互聯(lián)網(wǎng)概念的管理者,雖然他們業(yè)務(wù)模式可能已經(jīng)是典型的工業(yè)互聯(lián)網(wǎng)應(yīng)用。但回歸對(duì)其本質(zhì)的思考,以“降本、提質(zhì)、增效、減存”為企業(yè)發(fā)展工業(yè)互聯(lián)網(wǎng)的核心目標(biāo),多少個(gè)哈姆雷特想必在這個(gè)論點(diǎn)上也能達(dá)成一致,工業(yè)互聯(lián)網(wǎng)是工業(yè)企業(yè)趕上第四次工業(yè)革命浪潮的重要途徑這一結(jié)論亦不容質(zhì)疑。
工業(yè)互聯(lián)網(wǎng):工業(yè)互聯(lián)網(wǎng)是新一代網(wǎng)絡(luò)信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,是實(shí)現(xiàn)人、機(jī)、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施,是助力產(chǎn)業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展的必要基礎(chǔ)。
什么是工業(yè)互聯(lián)網(wǎng)安全?向同樣的這100個(gè)業(yè)內(nèi)人士提問,筆者可以想象的提問現(xiàn)場(chǎng)場(chǎng)景只有兩種:一種是略顯冷場(chǎng)的尷尬,一種是零星幾人的答復(fù)后大家一副不置可否的表情圍觀。究其根本,網(wǎng)絡(luò)安全意識(shí)薄弱可能仍是主因之一,而“網(wǎng)絡(luò)安全工作是一項(xiàng)持續(xù)投入的成本中心”在很多企業(yè)管理者的思維中仍根深蒂固,缺乏內(nèi)、外部安全事件觸動(dòng)時(shí)難以真正重視企業(yè)內(nèi)網(wǎng)絡(luò)安全建設(shè),相信在工作過程中有過“要不讓人真的攻一次我們,出點(diǎn)事領(lǐng)導(dǎo)就真的重視了”類似念頭的安全工程師不在少數(shù)。
工業(yè)互聯(lián)網(wǎng)安全:工業(yè)互聯(lián)網(wǎng)安全是于2017年11月在《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》中作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一被正式提出,目標(biāo)建立是涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺(tái)安全和數(shù)據(jù)安全的工業(yè)互聯(lián)網(wǎng)多層次安全保障體系,從安全防護(hù)對(duì)象上涵蓋工業(yè)控制系統(tǒng)、智能網(wǎng)聯(lián)設(shè)備、工業(yè)互聯(lián)網(wǎng)平臺(tái)、工業(yè)數(shù)據(jù)等。
一個(gè)有意思的現(xiàn)象是,雖然安全是作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一,但筆者翻閱近兩年關(guān)于工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的研究報(bào)告,鮮有將安全作為工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈一環(huán)提出。另外,近日翻看A股在“新基建”火熱后關(guān)于工業(yè)互聯(lián)網(wǎng)的研報(bào)內(nèi)容中也極少看到對(duì)安全產(chǎn)業(yè)的重點(diǎn)關(guān)注,這些都似乎與我們的期望有所差距,但近幾年發(fā)生的工業(yè)安全事件又將我們拉回現(xiàn)實(shí),網(wǎng)絡(luò)安全是一項(xiàng)持續(xù)性的工作,在工業(yè)互聯(lián)網(wǎng)快速發(fā)展的過程中,網(wǎng)絡(luò)安全將扮演越來越重要的角色。
近兩年,工業(yè)和信息化部等主管部門在工業(yè)互聯(lián)網(wǎng)安全政策標(biāo)準(zhǔn)制定、多級(jí)安全保障平臺(tái)建設(shè)、產(chǎn)業(yè)應(yīng)用推廣、安全人才培育等多方面進(jìn)行了大量工作并取得了積極成效,同時(shí)工業(yè)領(lǐng)域發(fā)生的網(wǎng)絡(luò)安全事件(如臺(tái)積電勒索病毒事件)也警醒了部分企業(yè)管理者,業(yè)界對(duì)工業(yè)互聯(lián)網(wǎng)安全也逐漸重視,但筆者也看到業(yè)界有部分可能在“概念游戲”邊緣游走的企業(yè)與研究機(jī)構(gòu),下面就企業(yè)側(cè)工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)與大家分享,希望讀者有所收獲或思考。
“我們的任務(wù)是過河,但是沒有橋或沒有船就不能過。不解決橋或船的問題,過河就是一句空話。不解決方法問題,任務(wù)也只是瞎說一頓。”
——文字摘選自《毛澤東選集》
毛主席的這段話時(shí)刻敲打著筆者,作為工業(yè)互聯(lián)網(wǎng)安全從業(yè)者,若是給我們服務(wù)的客戶只說問題不說解決方法,真的有可能被認(rèn)定為“江湖騙子”。有著“工業(yè)基因”的工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)(工業(yè)企業(yè)、由工業(yè)企業(yè)內(nèi)部業(yè)務(wù)發(fā)展演進(jìn)的工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)等),更加注重相關(guān)業(yè)務(wù)工作的“安全閉環(huán)”,對(duì)網(wǎng)絡(luò)安全工作更是如此。在此我們不再論述工業(yè)互聯(lián)網(wǎng)安全相關(guān)國家頂層設(shè)計(jì)進(jìn)展及體系建設(shè)思路,而從企業(yè)管理者的視角看看我們?nèi)绾伍_展相關(guān)安全建設(shè)工作及需要思考的問題。
1、不怕賊偷,就怕賊惦記
“增強(qiáng)網(wǎng)絡(luò)安全意識(shí)”可能是廣大網(wǎng)絡(luò)安全從業(yè)人員日常使用頻率排前五的一句話了,近幾年有了諸如《網(wǎng)絡(luò)安全法》等法律法規(guī)的約束及安全培訓(xùn)的普及,部分企業(yè)管理者和一線工程人員已逐步有了網(wǎng)絡(luò)安全意識(shí)。
而作為工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)管理者來說,最應(yīng)該有意識(shí)的“點(diǎn)”可能是“有賊惦記”。從近十多年的網(wǎng)絡(luò)安全攻擊趨勢(shì)來看,2005年流氓軟件泛濫、2009年木馬黑產(chǎn)形成規(guī)模、2011年個(gè)人信息倒賣產(chǎn)業(yè)火爆等現(xiàn)象突出網(wǎng)絡(luò)攻擊重點(diǎn)趨向于個(gè)人信息與C端獲利,而近幾年發(fā)生的如2017年“永恒之藍(lán)”勒索病毒、2019年委內(nèi)瑞拉大斷電、2019年鋁工業(yè)巨頭挪威海德魯公司遭到勒索軟件攻擊等安全事件讓大家看到有組織的、面向物理世界的網(wǎng)絡(luò)攻擊行為越來越多,特別是作為工業(yè)領(lǐng)域的相關(guān)企業(yè)從業(yè)者更應(yīng)意識(shí)到我們已成為了“賊惦記”的對(duì)象,要切實(shí)通過安全教育、培訓(xùn)等手段加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí),針對(duì)性實(shí)施企業(yè)網(wǎng)絡(luò)安全防御計(jì)劃以筑牢安全保障體系。
2、道高一尺,魔高一丈?
在企業(yè)管理者的網(wǎng)絡(luò)安全管理思維中,承認(rèn)“攻守能力不對(duì)稱”、“道高一尺,魔高一丈”也是繃緊網(wǎng)絡(luò)安全這根紅線的必要思維之一。作為以業(yè)務(wù)運(yùn)轉(zhuǎn)為主的企業(yè)主體來說,建立網(wǎng)絡(luò)安全防御“長城”成本高、維護(hù)大等問題,而作為潛在的攻擊方,突破“萬里長城”中任何一個(gè)點(diǎn)都可能給企業(yè)帶來巨大的危害或破壞。
對(duì)于工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)來說,由于工業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)涉及面廣,網(wǎng)絡(luò)安全防護(hù)范圍與對(duì)象的進(jìn)一步擴(kuò)大對(duì)安全防護(hù)提出了更高的要求。
在IT、OT深度融合的工業(yè)互聯(lián)網(wǎng)應(yīng)用發(fā)展中,筆者有以下幾點(diǎn)建議:
一、是研究確定企業(yè)的網(wǎng)絡(luò)安全目標(biāo):應(yīng)對(duì)持續(xù)變化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。工業(yè)互聯(lián)網(wǎng)企業(yè)有著復(fù)雜的業(yè)務(wù)基因,明確“保護(hù)什么”是企業(yè)構(gòu)建安全保障體系的第一步,通過資產(chǎn)識(shí)別、保護(hù)對(duì)象價(jià)值評(píng)定等多種方式確定企業(yè)的各類保護(hù)對(duì)象與安全目標(biāo)設(shè)定,如部分工業(yè)互聯(lián)網(wǎng)企業(yè)最大的安全目標(biāo)是保護(hù)工廠側(cè)“生產(chǎn)業(yè)務(wù)不斷”、部分企業(yè)重點(diǎn)關(guān)注平臺(tái)側(cè)“工業(yè)數(shù)據(jù)不丟”,每種安全目標(biāo)的制定所對(duì)應(yīng)的安全防護(hù)策略與建設(shè)重點(diǎn)都應(yīng)有所區(qū)別。
二、是充分重視安全評(píng)估工作:減少企業(yè)保護(hù)對(duì)象脆弱性。通過常態(tài)化的安全評(píng)估工作及相應(yīng)的安全處置,識(shí)別并減少企業(yè)安全保護(hù)對(duì)象的脆弱性,評(píng)估不斷變化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),為企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理活動(dòng)提供準(zhǔn)確信息與確定防護(hù)工作的優(yōu)先級(jí)。工業(yè)互聯(lián)網(wǎng)相關(guān)應(yīng)用場(chǎng)景下,網(wǎng)絡(luò)攻擊從IT層滲透到OT層帶來的安全威脅加劇,而就企業(yè)管理者來說,不應(yīng)以保護(hù)對(duì)象(如工廠側(cè)生產(chǎn)控制系統(tǒng))是否連接為公共互聯(lián)網(wǎng)為判定標(biāo)準(zhǔn),而是應(yīng)充分識(shí)別企業(yè)安全保護(hù)對(duì)象的脆弱性并制定相應(yīng)的修復(fù)措施或防護(hù)工作,近幾年直接由生產(chǎn)側(cè)相關(guān)系統(tǒng)與終端(非聯(lián)網(wǎng)狀態(tài))感染病毒或遭受破壞的安全事件并不少見。
三、是體系化構(gòu)建自身安全保障體系:工業(yè)互聯(lián)網(wǎng)時(shí)代下的企業(yè)安全防護(hù)工作,單純以安全產(chǎn)品“堆”、“壘”式的解決方案已不適用于不同類型工業(yè)互聯(lián)網(wǎng)企業(yè)的安全防護(hù)需求。結(jié)合自身業(yè)務(wù)類型與保護(hù)對(duì)象,制定本企業(yè)的安全防護(hù)策略與安全解決方案,協(xié)同內(nèi)外部資源落實(shí)部署相關(guān)安全產(chǎn)品、平臺(tái)。以事前評(píng)估預(yù)防、事中響應(yīng)控制、事后溯源分析的安全運(yùn)營閉環(huán)思維指導(dǎo)安全建設(shè)工作,具體實(shí)施中可考慮如下幾點(diǎn):
①.針對(duì)安全保護(hù)對(duì)象建設(shè)企業(yè)自身的安全防護(hù)指南或標(biāo)準(zhǔn)規(guī)范
基于充分的安全評(píng)估與檢測(cè),結(jié)合主管部門的網(wǎng)絡(luò)安全管理要求及相關(guān)領(lǐng)域的技術(shù)標(biāo)準(zhǔn)規(guī)范,制定適應(yīng)于企業(yè)自身業(yè)務(wù)特點(diǎn)與安全保護(hù)對(duì)象的安全防護(hù)指南、標(biāo)準(zhǔn)規(guī)范,使企業(yè)的安全管理與建設(shè)工作更具針對(duì)性與實(shí)效性。
落實(shí)企業(yè)內(nèi)部安全評(píng)估、安全檢查、應(yīng)急響應(yīng)等常態(tài)化工作機(jī)制,推動(dòng)企業(yè)加強(qiáng)動(dòng)態(tài)掌握自身安全狀況、問題發(fā)現(xiàn)、安全處置能力。同時(shí)制定業(yè)務(wù)連續(xù)性計(jì)劃,確保安全事件發(fā)生后企業(yè)能夠采取及時(shí)與恰當(dāng)?shù)膽?yīng)急響應(yīng)以減少業(yè)務(wù)影響、降低損失、快速恢復(fù)關(guān)鍵服務(wù)能力等。
②.重視工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知能力建設(shè)
利用在線監(jiān)測(cè)、誘捕探測(cè)、結(jié)構(gòu)化/非結(jié)構(gòu)化威脅數(shù)據(jù)感知等手段,建設(shè)企業(yè)側(cè)全保護(hù)對(duì)象的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力,了解企業(yè)核心業(yè)務(wù)安全運(yùn)行情況、實(shí)時(shí)監(jiān)測(cè)流量、及時(shí)識(shí)別威脅并提供溯源分析能力。加強(qiáng)與上一級(jí)主管部門、國家級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)的信息安全共享與機(jī)制協(xié)同。
③.重視IT、OT融合過程中的安全防護(hù)策略變化及工業(yè)數(shù)據(jù)安全
在企業(yè)開展IT、OT深度融合過程中,應(yīng)對(duì)所涉及設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)各層面的保護(hù)對(duì)象進(jìn)行持續(xù)性安全評(píng)估,對(duì)融合過程中衍生的新連接、新服務(wù)、新接口等充分評(píng)估安全威脅并進(jìn)行安全保護(hù),特別涉及到工業(yè)數(shù)據(jù)的開放共享與深度應(yīng)用,應(yīng)建立工業(yè)數(shù)據(jù)分類分級(jí)機(jī)制,明確數(shù)據(jù)收集、存儲(chǔ)、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)安全保護(hù)要求,制定對(duì)應(yīng)數(shù)據(jù)安全保護(hù)措施。
四、是切實(shí)提升企業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)能力:培育企業(yè)核心安全技術(shù)人才。近年來,各國為提高網(wǎng)絡(luò)空間的實(shí)戰(zhàn)能力,軍事強(qiáng)國紛紛建設(shè)網(wǎng)絡(luò)靶場(chǎng)并組織多國、多部門、多情景的網(wǎng)絡(luò)演習(xí),包括美國網(wǎng)絡(luò)風(fēng)暴、網(wǎng)絡(luò)衛(wèi)士、網(wǎng)絡(luò)旗幟和網(wǎng)絡(luò)盾牌等。網(wǎng)絡(luò)安全演習(xí)在增強(qiáng)安全意識(shí)、實(shí)踐協(xié)調(diào)機(jī)制、檢驗(yàn)防護(hù)效果、促進(jìn)提升攻防能力、實(shí)踐應(yīng)急響應(yīng)機(jī)制、實(shí)踐技術(shù)發(fā)展等方面有著重要作用。工業(yè)互聯(lián)網(wǎng)企業(yè)在目前逐漸嚴(yán)峻動(dòng)態(tài)安全態(tài)勢(shì)下,應(yīng)對(duì)具有自我特色的企業(yè)工業(yè)互聯(lián)網(wǎng)基因及出于自身業(yè)務(wù)敏感性保護(hù)的考慮,建設(shè)企業(yè)安全攻防靶場(chǎng)是提升安全防護(hù)能力及培養(yǎng)企業(yè)安全人才的重要可行手段。
“一時(shí)辦不到的事,必須允許逐步去辦。”
——文字摘選自《毛澤東選集》
企業(yè)如何應(yīng)對(duì)工業(yè)互聯(lián)安全威脅及進(jìn)行有效的安全保障能力建設(shè),筆者在本文僅分享了部分思路,如工業(yè)互聯(lián)網(wǎng)安全技術(shù)能力構(gòu)建、安全可控、國內(nèi)工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)品同質(zhì)化等諸多筆者想探討的問題并未展開。
工業(yè)互聯(lián)網(wǎng)的快速發(fā)展確實(shí)給企業(yè)帶來了極大機(jī)遇,同時(shí)也帶來了更嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)和更迫切的安全需求,期望工業(yè)互聯(lián)網(wǎng)企業(yè)管理者們能夠充分重視網(wǎng)絡(luò)安全問題、充分認(rèn)識(shí)自身安全現(xiàn)狀、切實(shí)做好安全能力建設(shè),但網(wǎng)絡(luò)安全工作從不是一蹴而就,企業(yè)管理者也切忌劍走偏鋒急于求成,如同毛主席所說“ 一時(shí)辦不到的事,必須允許逐步去辦”。