华山论剑·2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)于10月14日至15日在西安高新国际会议中心举办。本次大会以“数字新基建·安全新未来”为主题,由中国信息安全测评中心、中共陕西省委网信办、陕西省公安厅指导,西安市人民政府主办,中共西安市委网信办、西安市大数据资源管理局、西安高新技术产业开发区管理委员会、中国信息产业商会信息安全产业分会等承办。天融信科技集团全面参加此次大会。

10月14日上午,华山论剑·2020网络安全大会(第三届全国信息安全企业家高峰论坛暨第五届SSC安全峰会)在西安高新国际会议中心-首善厅举行,西安市人民政府副市长马鲜萍、陕西省委网信办二级巡视员王创、中国信息安全测评中心主任张峰为大会致辞,中国工程院倪光南院士、中国工程院沈昌祥院士作主旨演讲。

天融信科技集团CEO李雪莹博士出席大会,并作《新基建驱动下的工业互联网安全发展与变革之路》主题演讲。李雪莹博士表示,中国的工业产品将近占世界工业产品的一半,是一个名副其实的工业大国。在两化融合的过程中,工业企业都已逐渐普及信息化,如何利用信息化的优势和技术提高产能是工业发展的重要方向,工业互联网是实现上述效果的重要途径,而在这其中,安全是重中之重,是一切工业企业信息化发展的基石。

工业互联网作为新基建的重要内容,其发展也必将推进新基建的进程。在新基建中,工业互联网起到枢纽的作用,5G、大数据中心、人工智能的运用能够促进工业互联网的发展。5G的应用使工业互联网连网接入效率更高;大数据中心提高工业互联网计算的算力,同时数据的汇集也对其应用有着非常重要的价值;人工智能也对工业互联网模型构建及工业控制流程优化起到加速的作用,对整个产业优化带来至关重要的效果。在新技术的推动下,工业互联网的发展使工业产业供应链更短,能耗更低,产出得到优化,反过来推动特高压、智能充电、城际轨道与城市轨道等以自动化为基础的新基建的建设。

工业互联网涉及云计算、数学建模、数字孪生、自动控制等相关技术,多样化的技术应用也必将带来多样的安全威胁。对于工业互联网平台,其包括工艺模型、生产优化、流程管理、供应链等相关数据,一旦平台遭受攻击,其可用性将受到影响,从中包含工业生产过程优化模型,一旦模型被篡改,不仅会影响平台自身的效益,也会影响具体企业的生产。通过工业互联网平台,跨过数据采集点攻入工业企业内部,可能会造成整个生产过程的破坏,并且一旦某个接入的企业被攻破,攻击者可以利用此平台做横向攻击平移,去攻击其他企业,造成生产过程的破坏。

在上述整个过程中涉及到多方面的安全问题,包括云安全、应用安全、接入安全、主机安全、数据安全及工业控制系统信息安全的问题等。控制系统信息安全过程相对简单、对象相对固定、业务组件较为单一,通常基于可信、白名单、行为的管控,即基于可信的安全推断。然而,我国的工业互联网不仅有设备层、接入层,还有企业层和产业层。在企业接入的过程中将整个工业产业链全部打通,在涉及企业层和产业层时就跨入了传统的IT领域,在此领域对象众多、过程复杂、组件庞大,如果再基于可信的推断,很多工作就变得异常复杂,因此需要考虑零信推断。从简单的控制系统信息安全到工业互联网安全有着巨大的变化,即在传统可信的推断基础上引入零信推断。

工业企业接入网络之后需尽量减少与生产相关的资产在互联网上的暴露,单点登录、应用代理在一定的防护基础上可以暴露于网上,应用于业务间的协同,其自身的资产、设备应该在企业的内网侧。在企业侧基于零信推断框架构建安全体系,最大限度减少非必要资产在互联网上的暴露面,达到安全的要求。在产业层面,把工业业务分为可见区域和不可见区域,生产过程是不可见的,而企业间的业务协同是可见的。企业间的业务协同通过零信的方式构建和串联起来,各企业间基于零信推断安全体系架构进行交互。

通常各企业使用的是集中化的认证授权体系,然而其权限过于集中,一旦集中授权中心被利用,将影响整个系统;同时认证体系过重,工业互联网设备终端大部分算力较弱,轻量级PKI认证身份伪造问题很难解决。因此,对于拥有已建认证体系的工业企业,算力不足的边缘设备需要接入网络过程,可采用轻量级密码或无秘钥方式,再以区块链的方式连接起来,这就是在工业互联网下零信任技术体系的发展和变化。

最后,李雪莹博士总结,在工业互联网领域,基于可信的推断,同时引入在零信推断安全技术的体系,构建零信推断+可信推断的双体系安全框架。在零信体系内,要考虑到工业互联网设备的计算能力,及工业互联网中平台与企业独立运营的产业结构,因此引入基于区块链的分布式零信架构;在可信领域内,在基于原有的行为基线基础上,引入内生安全、可信计算,实现强化控制过程“韧性”的目标。

工业互联网的应用类似于共享经济,不仅有益于大型工业企业,更多普惠于中小企业。中小企业通过工业互联网利用信息化技术和产业整合资源提高产能;然而,其安全投入成本不高,人员运维能力低,因此在工业互联网领域构建公共安全服务体系平台,能够普惠所有工业企业的安全。在公共安全服务架构中,不只是信息的监测和远程服务,一定要与合规性保障、监测、服务、运营结合起来,即通过线上+线下服务,构成面向工业互联网的公共安全服务平台。

工业互联网既是新基建的重要部分,其发展也必将推动新基建整体的发展,在这其中安全是重要的基石。作为网络安全企业,25年来天融信一直致力于网络安全工作,愿和客户及业界同仁一起为工业互联网安全作出贡献。