2019年5月29日 來源:科工網(wǎng)-產(chǎn)業(yè)互聯(lián)網(wǎng)創(chuàng)新服務(wù)平臺 瀏覽 1502 次 評論(0)
奇安信集團副總裁左英男
2019年5月27日數(shù)博會�,在由中國大數(shù)據(jù)產(chǎn)業(yè)博覽會組委會主辦�����、中國信息通信研究院承辦的工業(yè)互聯(lián)網(wǎng)應(yīng)用發(fā)展論壇(IAF)上,奇安信集團副總裁左英男工業(yè)互聯(lián)網(wǎng)條件下��,工業(yè)主機與大數(shù)據(jù)防護的重要性����。
演講中,左英男透露�����,奇安信去年處理過幾起因感染病毒導(dǎo)致公司停產(chǎn)的案例��,這些公司有的屬于電子制造領(lǐng)域有的屬于鋼鐵領(lǐng)域��,共同點都是工業(yè)主機感染�����。
感染的原因在于IT�����、OT聯(lián)結(jié)在了一起,使得病毒得以進(jìn)入工業(yè)網(wǎng)絡(luò)����,從而造成主機感染�����,造成了藍(lán)屏���、死機�����,甚導(dǎo)致停產(chǎn)�����。解決方案是首先要從工業(yè)主機防護開始�����,因為工業(yè)主機有自己的特點�,企業(yè)在工業(yè)主機安裝傳統(tǒng)的殺毒軟件是沒有辦法在這樣一個環(huán)境下正常運行的,需要采用單管控技術(shù)�����,采用入口攔截��、擴散攔截等��,才可以有效保護我們工業(yè)主機的���。
目前企業(yè)面臨的另外一個*重要的問題就是工業(yè)大數(shù)據(jù)的防護����。比如一些走在前面的大型企業(yè)已經(jīng)構(gòu)建了自己的私有云平臺�,又了自己的大數(shù)據(jù),有一些物聯(lián)網(wǎng)端采集的數(shù)據(jù)����。這些工業(yè)大數(shù)據(jù)蘊含一個企業(yè),可能是價值的資產(chǎn)�。
那么,如何來保護這些數(shù)據(jù)��?奇安信設(shè)定了三個目標(biāo):看得見數(shù)據(jù)的流動����,控得住訪問的權(quán)限����,管得好泄露的風(fēng)險�。
以下為奇安信集團副總裁左英男實錄,經(jīng)鈦媒體編輯整理:
各位來賓大家下午好����!我們中國工業(yè)互聯(lián)網(wǎng)在蓬勃發(fā)展�,互聯(lián)網(wǎng)應(yīng)用也在蓬勃發(fā)展,有一句話叫做是發(fā)展的前提�,發(fā)展是的保障。工業(yè)互聯(lián)網(wǎng)問題*重要����,也是我今天想和大家分享的這么一個主題。
工業(yè)互聯(lián)網(wǎng)技術(shù)本質(zhì)���、應(yīng)用場景*復(fù)雜�����,但是抽掉業(yè)務(wù)場景之后技術(shù)本質(zhì)就是新的一代信息技術(shù)和我們傳統(tǒng)工業(yè)的深度融合�����,這種融合會極大改變生產(chǎn)效率��、客戶體現(xiàn)����,同時也會為我們網(wǎng)絡(luò)帶來*大的挑戰(zhàn)。這種挑戰(zhàn)不僅是擴大了網(wǎng)絡(luò)的外延��,我們要保護的范圍也變得越來越大�����。
傳統(tǒng)的網(wǎng)絡(luò)的理念���、技術(shù)���、架構(gòu)、產(chǎn)品無法適應(yīng)新的IT技術(shù)的引入���,同時改變網(wǎng)絡(luò)的內(nèi)涵���。我們傳統(tǒng)網(wǎng)絡(luò)是保護業(yè)務(wù)和數(shù)據(jù)的機密性���、完整性、可用性�����。隨著工業(yè)互聯(lián)網(wǎng)的引入大量物聯(lián)網(wǎng)的終端自動化控制設(shè)備也會接入網(wǎng)絡(luò)���,我們談網(wǎng)絡(luò)會涉及到人員�����、環(huán)境、人生隱私��、個人隱私��、工人的��、物理等等新的性質(zhì)���,極大改變了網(wǎng)絡(luò)的外延和內(nèi)涵�。
工業(yè)互聯(lián)網(wǎng)是一個*大的范疇��,也是*復(fù)雜的一個技術(shù)問題,工業(yè)互聯(lián)網(wǎng)從哪里開始談���?接下來希望把視線收縮到工業(yè)互聯(lián)網(wǎng)重要的一公里�,就是生產(chǎn)制造企業(yè)���,一個工業(yè)企業(yè)面臨的2個*重要的場景�����。一個是重要而緊急的場景���,就是工業(yè)主機防護;另外一個重要的場景是工業(yè)大數(shù)據(jù)防護�。
難的問題不在網(wǎng)絡(luò)攻擊,而是在不停產(chǎn)基礎(chǔ)上安裝防護軟件
個工業(yè)主機場景�,什么是工業(yè)主機,典型的生產(chǎn)控制網(wǎng)絡(luò)里面指的是*作原站����、工程師站等等上位機,或者安裝了工業(yè)軟件的工業(yè)服務(wù)器�����,典型的特點是運行標(biāo)準(zhǔn)的*作系統(tǒng)。工業(yè)主機是通往物理設(shè)備的大門�,我們的控制指令、采集數(shù)據(jù)都要通過它���,同樣因為生周期長�����,又因為它需要24小時持續(xù)的運轉(zhuǎn)沒有辦法持續(xù)修補�,而且存在大量的漏洞���。這些漏洞是攻擊者發(fā)起攻擊想從物理到數(shù)字的一種方式����,所以這個很緊急很重要���。
緊急來說不是天方夜譚,過去幾年我們奇安信處理的工業(yè)網(wǎng)絡(luò)事件100多起��,都對生產(chǎn)起到了影響�,涉及各行各業(yè),造成工業(yè)主機的感染�,藍(lán)屏��、死機��,甚生產(chǎn)停滯���。所以工業(yè)互聯(lián)網(wǎng)首先從工業(yè)主機防護做起。工業(yè)主機有獨特的特點�����,工業(yè)主機安裝的傳統(tǒng)標(biāo)準(zhǔn)的殺毒軟件是沒有辦法在正常的環(huán)境下運行的�,所以我們需要在采用百名單管控技術(shù)、智能匹配的技術(shù)上�,用如攔截、擴散攔截�、關(guān)卡式的對抗病毒的關(guān)口。守護好數(shù)字通往物理的大門��。
這樣看似挺簡單的問題����,對網(wǎng)絡(luò)公司來說有什么挑戰(zhàn)?其實從奇安信在過去1年多時間給比亞迪集團的幫助�,到目前為止17000臺工業(yè)主機上我們得到一個啟示。網(wǎng)絡(luò)攻擊對我們不是難的問題,的問題是什么�����?我們可以看到比亞迪集團17000多主機��,涉及30多個園區(qū)�,十幾個零件的生產(chǎn),大家可以看一下右邊的表格上(上圖)��,工業(yè)主機*作系統(tǒng)的類型Windows7這樣老舊系統(tǒng)占了70%�。在工業(yè)場景下網(wǎng)絡(luò)公司的挑戰(zhàn)典型特點:老舊系統(tǒng)的兼容,如何在不停產(chǎn)的基礎(chǔ)下安裝防護軟件的部署和實施�����,這些需要對工業(yè)生產(chǎn)有深刻的認(rèn)識�,積累大量的經(jīng)驗才可以勝任這個工作。
今天已經(jīng)是第12天了�����,微軟發(fā)布了一個新的補丁�����,這個漏洞*厲害�����,堪比2015年5月12號的病毒���,攻擊者不需要輸入密碼的情況下�����,可以從遠(yuǎn)程訪問服務(wù)可以執(zhí)行程序���。起碼我們在實驗室發(fā)現(xiàn)少可以做到藍(lán)屏,希望大家盡快去打這個補丁�����。如果你的主機沒有辦法可打補丁���,建議你安裝工業(yè)防護軟件去防護這個軟件����。
下了很大決心做成的大數(shù)據(jù)�,性如何保障?
第二個場景,這個問題并沒有那么緊急但是*重要��,就是工業(yè)大數(shù)據(jù)防護問題��。隨著工業(yè)制造企業(yè)數(shù)字化�、網(wǎng)絡(luò)化、智能化的發(fā)展����,工業(yè)互聯(lián)網(wǎng)是近幾年提的概念,事實上很多領(lǐng)先的特別是大中型的生產(chǎn)制造企業(yè)�,很早就開始智能化工廠的建設(shè)。這種建設(shè)打破了傳統(tǒng)的工廠網(wǎng)絡(luò)邊界���。
舉一個例子����,大家右邊看圖���,很多大型的企業(yè)構(gòu)建了自己私有化的大數(shù)據(jù)平臺�����,我們叫做工業(yè)大數(shù)據(jù)�,這些大數(shù)據(jù)會聚了從工業(yè)主機采集的數(shù)據(jù),也有從物聯(lián)網(wǎng)采集的數(shù)據(jù)�。很多企業(yè)下了很多決心����,把生產(chǎn)控制網(wǎng)和工業(yè)信息化聯(lián)結(jié)在一起,工業(yè)大數(shù)據(jù)蘊含一個企業(yè)價格的知識產(chǎn)權(quán)�、生產(chǎn)流程、配方���,每一個企業(yè)都重視自己的數(shù)據(jù)保護��。下了很大決心把工業(yè)生產(chǎn)配置網(wǎng)和管理控制網(wǎng)聯(lián)結(jié)在一起�。
隨著互聯(lián)網(wǎng)發(fā)展��,出于對數(shù)據(jù)保護的擔(dān)心�����,是不是要連接互聯(lián)網(wǎng)�����?要連接到供應(yīng)鏈上下游企業(yè)�,甚連接到共有的互聯(lián)網(wǎng)平臺����,實現(xiàn)工業(yè)大數(shù)據(jù)的流動�����。這是他們的擔(dān)憂問題�����,這種擔(dān)憂在某種程度上阻礙了工業(yè)互聯(lián)網(wǎng)的發(fā)展���。我覺得這個問題不緊急����,但是*重要��,工業(yè)大數(shù)據(jù)保護是工業(yè)互聯(lián)網(wǎng)發(fā)展過程當(dāng)中�,特別是大中型工業(yè)企業(yè)需要投入的核心保護對象。
舉幾個數(shù)據(jù)和數(shù)據(jù)泄露的例子���,這里面沒有出現(xiàn)大型工業(yè)企業(yè)����,是幾個生產(chǎn)流程、配方泄露的事件����。隨著互聯(lián)程度越來越高、開放的流動程度越來越高�,攻擊者一定會盯上高價值的工業(yè)大數(shù)據(jù)����,工業(yè)大數(shù)據(jù)防護應(yīng)該成為我們工業(yè)互聯(lián)網(wǎng)、首要���、核心目標(biāo)�。
怎么做呢��?我們總結(jié)工業(yè)大數(shù)據(jù)風(fēng)險管理三個目標(biāo):看得見數(shù)據(jù)流動�;控得住訪問權(quán)限;管得好泄露的風(fēng)險��。為了達(dá)成這個目標(biāo)我們需要摸清企業(yè)的數(shù)據(jù)資產(chǎn)�����、梳理不同人怎么樣使用數(shù)據(jù)����、如何管控數(shù)據(jù)風(fēng)險�����,并且強化運營����。我們核心要素是做好訪問控制權(quán)限的管理��,因為傳統(tǒng)基于網(wǎng)絡(luò)邊界實效的情況下����,我們提出零信任的架構(gòu)。
默認(rèn)的情況下網(wǎng)內(nèi)網(wǎng)外訪問業(yè)務(wù)數(shù)據(jù)的人都不信任��,重新基于身份為的手段���,給我訪問業(yè)務(wù)的每一個人�����、每一個用戶��、每一個設(shè)備甚每一個接口都賦予新的身份�����,只有授權(quán)才可以訪問����。并且零信任架構(gòu)里面很重要的概念,再強的認(rèn)證����,因為開放���、用戶多樣性�����、設(shè)備多樣性�����,一次認(rèn)證也不可以保證持續(xù)的合法性�。在你訪問我數(shù)據(jù)的同時����,要持續(xù)對人�、設(shè)備�����、ATI訪問調(diào)用的風(fēng)險進(jìn)行持續(xù)的信任評估�����。發(fā)起風(fēng)險就及時調(diào)整甚切斷訪問的控制權(quán)限���。
基于這個理念我們服務(wù)企業(yè)當(dāng)中基于零信任的控制訪問平臺����,我們梳理暴露面不同的路徑��,不同的暴露面部署訪問的措施����,在可信訪問的智慧下,可以構(gòu)建虛擬的邊界�,所有訪問請求都會在虛擬的身份條件下進(jìn)行嚴(yán)格的檢查和動態(tài)的訪問控制。極大加強了我們對工業(yè)大數(shù)據(jù)保護的力度���。
奇安信我們就是之前的360企業(yè)���,今年5月份我們才正式更名為奇安信集團���。我們是一家年輕的公司,過去僅僅成立4年時間���,但是發(fā)展很迅速���。從2015年我們只有幾百名員工,現(xiàn)在有超過6000名員工�����。我們希望用奇安信這幾年積累的和產(chǎn)品技術(shù)以及服務(wù)�����,可以更好為我們工業(yè)互聯(lián)網(wǎng)保駕護航�。謝謝����!
