工業互聯網的開放、互聯、跨域、融合，打破了以往相對清晰的安全邊界，使工業控制系統網絡環境趨向開放，來自互聯網的外部威脅，將與工業生產系統的安全問題相互交融。這就是IT/OT一體化融合帶來的安全挑戰。

在近日舉行的2019年中國工業信息安全大會上，奇安信集團副總裁左英男指出，工業互聯網的安全問題需要從政策、標準、規范、體系框架角度進行全盤考慮，但落地的路會很長。他同時表示，“打蛇要打七寸”。

這個“七寸”是什么？不同的企業、服務商的看法一定存在差異。近年來，新PLC產品的安全屬性獲得大幅增強，施耐德、西門子等PLC提供商在工業協議、認證通信加密、協議安全保護等方面做了很多提升，但工業存量設備規模很大，意味著替換成本很高。

在考慮體系框架的同時，如何用成本相對較低的手段解決大量存量工業控制設備本身的安全問題，恐怕就成為當下工業互聯網安全的“七寸”。對此，左英男提出了從工業主機防護和工業大數據兩大場景切入的解決思路。

場景一：工業主機防護

為什么是工業主機？因為工業主機是IT/OT技術融合的連接點，是連接信息世界和物理世界的紐帶。所有生產控制的指令、數據的獲取都要通過工業主機下發給具體的工業控制設備。

但是，包括工業主機在內的工業設備，其使用原則是“用到不能用為止”，這固然有成本的考慮，但更多的是保證生產的穩定性和持續性。如此一來，工業主機的生命周期往往比較長,操作系統老舊，存在大量漏洞,并且由于工業生產連續性的特點，工業主機很難定期升級補丁，因此，工業主機已成為各類網絡攻擊和安全事件的首要攻擊目標。

近年來，汽車生產、智能制造、能源電力、煙草等行業發生的數起工業安全事件，大多數攻擊或影響的就是工業主機，導致工業主機藍屏死機，無法執行正常的生產作業流程，最終造成停產或更嚴重的安全，給企業造成直接經濟損失。

據悉，在拜訪工業企業過程中，左英男發現CIO關注的有兩點，第一，不管是什么防護手段，最好是低成本；第二，不要因為網絡安全的攻擊事件影響企業的工業生產運行的穩定。低成本與穩定，是工業企業最核心的訴求。

毫無疑問，工業互聯網安全應從工業主機安全防護開始。左英男表示，在利用白名單技術進行病毒攔截的基礎上，提供“入口、運行、擴散”三層關卡攔截，進行全方位病毒攔截。同時，在無需打補丁、關端口的前提下，通過“漏洞利用分析-流量解析對比-可疑攻擊阻斷”引擎可以有效對“永恒之藍”勒索病毒進行超前防御。

2018年，奇安信工業安全團隊用了整整一年的時間，幫助中國最大的電動新能源汽車制造企業比亞迪集團完成了17000臺工業主機，涉及到十幾種工業場景和十幾種操作系統，一百多種工業軟件復雜環境下的工業主機防護。

在這個案例中，最大的問題是低配硬件的支持、老舊系統的兼容、工業軟件的適配?！罢嬲墓I場景適配是最大的挑戰?！弊笥⒛斜硎?。該技術方案自部署以來運行穩定，為比亞迪工業主機創建安全的運行環境，讓比亞迪信息基礎設施運行的更安全、更可靠。

場景二：工業大數據

隨著工業互聯網的發展，數據的安全防護成為工業企業第二個最大的痛點。

一方面，很多大型工業企業都在積極擁抱互聯網，建立了私有化的工業云平臺、工業大數據平臺，把很多分散在不同車間的應用集中到平臺上去。應用和數據在集中。

另一方面，隨著工業互聯網的發展，平臺需要和與供應鏈平臺交互，導致傳統網絡邊界被打破，以前的安全架構、安全思路已經不能適應新需求，這就給數據安全問題造成非常大的挑戰。

在新的技術環境下，解決工業大數據安全的問題，“首先要解決訪問控制問題”，左英男提出了“零信任架構”的新理念。在默認情況下，無論是內網或外網，任何訪問企業的業務和大數據的用戶、人、設備，甚至是應用的調用都不能相信。企業要利用認證、密鑰，重新構建信任基礎，這就是“零信任架構”。

重要的是，“零信任架構”授權和訪問不是靜態而是動態的，是基于風險持續度量和信任的持續評估進行動態的訪問授權，這是“零信任架構”非常重要的理念。

“零信任架構”有四個很重要的特性：第一是以身份為中心。第二是業務安全訪問，需要把業務和數據隱藏起來，只有完成一系列基于風險的持續信任評估和動態訪問控制授權之后才能夠允許訪問業務和數據資源。第三是持續信任評估，一次性的認證無法保證一個訪問主體的身份及持續的合法性。第四即使經過了認證，也要對訪問時間、空間、行為、周邊的環境等等進行數據實時采集進行風險度量。一旦發現信任度降低，就要降低權限甚至中斷訪問。

“零信任架構”落地的方式也很簡單，首先梳理工業大數據中心的暴露面，然后部署相應的產品組件，形成動態的虛擬身份邊界，使得工業大數據中心不再對外暴露任何物理的網絡邊界，有效管控內外部用戶和終端設備、工廠內部的工業主機和邊緣計算網關、工廠外部的工業互聯網平臺數據共享API調用等訪問主體對工業大數據的訪問行為，從而保護工業大數據的安全。

工業互聯網安全的機會

安全是工業互聯網三大要素之一，而發展工業互聯網是全球各國搶占產業競爭新制高點、重塑工業體系的共同選擇，這意味著，如果不能解決工業互聯網的安全問題，工業轉型升級將會成為一句空話。

根據6月22日發布的《中國工業信息安全產業發展白皮書(2018-2019年)》，電力行業、石油石化、煙草、軌道交通、先進制造等領域在工業互聯網安全方面走在前面。不過，有專家表示，大部分企業防控能力較弱，安全意識薄弱，安全投入不足。中國工控系統大多數情況是犧牲安全性、換取穩定性，安全更新維護不及時。

工業和信息化部副部長陳肇雄在6月22日的2019年中國工業信息安全大會上指出，工業信息安全是國家網絡安全的重要組成部分，是工業和信息化高質量發展的重要保障。要準確把握工業互聯網快速發展面臨的安全新挑戰，努力開創工業信息安全工作新局面：一要完善工業信息安全政策法規體系，二要提升工業信息安全技術保障能力，三要打造工業信息安全產業生態，四要壯大工業信息安全人才隊伍。

中國信通院總工程師、工業互聯網產業聯盟秘書長余曉暉曾告訴筆者，工業互聯網的安全問題是一個世界性難題，總體上全球還處于摸索階段。也就是說，這既是中國安全產業的機會，也是中國工業互聯網的機會。