1月4日，2020?年工業(yè)互聯網安全成果展在南京召開。在主論壇期間，奇安信集團總裁吳云坤分享了以內生安全框架建設工業(yè)互聯網安全體系的實踐，提出在新形勢下，工業(yè)互聯網安全要從“零散建設”走向“全局建設”。

??攻防兩側均發(fā)生巨大變化

??近些年來，受《關于深化“互聯網+先進制造業(yè)”發(fā)展工業(yè)互聯網的指導意見》和《工業(yè)互聯網發(fā)展行動計劃(2018—2020年)》等國家政策激勵，我國工業(yè)互聯網發(fā)展呈現良好勢頭。

??有媒體報道稱，面對新冠肺炎疫情發(fā)生等新形勢和新挑戰(zhàn)，工業(yè)互聯網發(fā)揮出積極顯著的作用，廣泛應用于生產制造、物資分配、工程建設、醫(yī)療救治、疫情防控等諸多場景。產業(yè)的高速發(fā)展和工業(yè)互聯網在經濟社會發(fā)揮的重要作用，也讓其成為網絡攻擊的重要目標。

??“工業(yè)互聯網領域的網絡攻擊造成的影響非常大，往往會造成停工停產甚至是人員傷亡。”吳云坤強調，最近兩年奇安信參與處置了超過百起工業(yè)企業(yè)網絡攻擊事件，涉及汽車生產、智能制造、能源電力、煙草等行業(yè)的幾十余家企業(yè)，大多數都導致了工業(yè)主機藍屏，重要文件被加密，其中的很多還導致了停工停產，給工業(yè)企業(yè)造成了重大損失。

??吳云坤認為，工業(yè)互聯網安全形勢近期呈現出兩大態(tài)勢：一是從攻擊側看，商業(yè)利益訴求和恐怖破壞目的交織，國家級攻擊和網絡犯罪交錯，攻擊呈現多樣性，攻擊理論和手段日臻成熟。美國知名研究機構MITRE的報告顯示，針對工業(yè)控制系統的攻擊已經形成了完整的矩陣，分為11個步驟，100多種戰(zhàn)術。攻擊者完全可以通過標準化、流程化的操作，控制生產系統。

??二是從防護側看，工業(yè)互聯網體系架構改變和新技術應用，安全防護的重心從基礎設施為中心轉向數據為中心，安全架構從邊界安全架構轉向零信任安全架構。

??從“零散建設”走向“融合內生”

??“在新形勢和新環(huán)境下，傳統防護手段已經失效，需要用內生安全來保障工業(yè)信息系統安全，擺脫安全能力的局部與外掛，實現網絡安全能力與工業(yè)信息化環(huán)境的融合內生。”吳云坤表示，實現內生安全的方法是奇安信推出的內生安全框架。

??內生安全框架源自于奇安信多年的政企安全服務實踐。它具有“1+1>2”的涌現效應，能讓安全產品和服務相互聯系、相互作用,在整體上具備單個產品和服務所沒有的功能，從而保障復雜系統的安全。

??據介紹，內生安全框架包含四大核心組件。第一是結合系統工程思想與EA方法進行網絡安全規(guī)劃設計，改變過去二十多年網絡安全零散發(fā)展，與信息化、數字化發(fā)展不匹配的情況;第二是借鑒滑動標尺模型梳理保障業(yè)務運營所需網絡安全能力，以能力為導向，以架構為驅動構建安全能力體系，實現與信息化系統融合內生;第三是在全景的網絡覆蓋區(qū)域融入縱深防御能力，通過安全技術與信息化技術聚合，實現安全能力全面內生于信息化技術環(huán)境;第四是企業(yè)運行體系架構，通過安全與信息化技術聚合、數據聚合、人才聚合，構建一體化的協同運行能力。

??目前，內生安全框架已經協助部委、央企、金融、電信等多個行業(yè)，40?+政企機構網絡安全體系規(guī)劃和建設。

??一個核心九項任務落地內生安全框架

??吳云坤介紹，內生安全框架能指導不同行業(yè)輸出符合其特點的體系化、實戰(zhàn)化的網絡安全架構，其落地有三個關鍵：盤家底、建系統、跑得贏。通過分解為可落地實施的“十大工程五大任務”，推動工業(yè)系統等不同應用場景的安全體系規(guī)劃、建設和運行，滿足數字化轉型和智能化升級的信息化保障需求。

??具體到工業(yè)互聯網安全而言，包括工業(yè)互聯網在內工業(yè)生產網防護是內生安全框架落地實現的十大工程之一，需要面向工控網絡內部、工控與IT網絡邊界、數據采集與運維、集團總部數據中心構建多層次安全措施，強化縱深防御，并全面掌握工業(yè)生產網的安全態(tài)勢，保護工控生產運行安全，保障業(yè)務運營。

??吳云坤說，實施該工程的關鍵包含了一個核心和九項重點任務。一個核心就是要實現體系化的安全防護，安全要從“零散建設”走向“全局建設”，建立全面覆蓋的網絡安全能力體系，將能力“調用”到工業(yè)生產信息化體系當中，融合覆蓋。

??而九項重點任務，則全面覆蓋工業(yè)生產網絡的各層面，其中包括：調整優(yōu)化工控網絡架構、增強工控主機安全防護、建立工業(yè)互聯網平臺防護體系、建立工控網絡安全監(jiān)測體系、建立工控網絡縱深防御體系、建設工控遠程訪問安全接入點、建設工業(yè)安全態(tài)勢感知平臺、建設工業(yè)互聯網安全接入點、建設工控安全仿真驗證平臺。

??在演講中，吳云坤還分享了多個成功案例。他說，基于奇安信內生安全框架的工業(yè)互聯網產品和解決方案已廣泛應用于能源電力、石油化工、智能制造等多行業(yè)場景，為2萬多臺工業(yè)主機，為包括比亞迪、航天云網等上百家工業(yè)企業(yè)和工業(yè)互聯網平臺進行的工業(yè)主機安全防護、工業(yè)互聯網平臺安全防護體系建設、工業(yè)安全態(tài)勢感知平臺建設。

??此外，吳云坤還重點強調了安全人員能力支撐。他說，保護工業(yè)互聯網安全需要大量的安全人才，尤其需要既懂業(yè)務又懂安全，既懂生產又懂大數據、人工智能等技術的復合型人才。吳云坤建議，需要根據實際情況設計企業(yè)網絡安全團隊、設置崗位與能力要求，開展能力實訓，建設網絡安全實戰(zhàn)訓練靶場，提升人員的實戰(zhàn)能力，形成安全團隊建制化，保障業(yè)務運營。

??據悉，目前奇安信已經具備了在內完善的實戰(zhàn)化人才培養(yǎng)體系，包括綿陽基地、DataCon大數據安全分析比賽、補天漏洞響應平臺、虎符網絡安全大學等人才培養(yǎng)平臺，在多次實戰(zhàn)攻防演習和重大活動網絡安全保障工作中，奇安信一線服務人員均表現優(yōu)異，多次獲得有關部門和客戶致謝。