奇安信左英男：工业主机和工业大数据是安全防护的两大重点

中新网5月28日电 27日，工业互联网应用发展论坛在贵阳数博会期间召开，奇安信集团副总裁左英男受邀出席此次论坛，并发表主题为“工业互联网安全护航工业企业数字化转型”的演讲。

图：奇安信副总裁左英男

工业互联网作为新一代信息技术与传统工业深度融合的产物，在提高工业企业生产和管理效率的同时，也会带来全新的网络安全挑战。左英男表示，工业企业面临的安全挑战主要来自两个方面，一是工业主机的安全防护，二是工业大数据的安全风险。

工业主机(工控上位机/工业服务器)是IT/OT技术融合的连接点，一侧连接工业企业的信息化基础设施，另一侧连接PLC等工业控制设备，可以说是信息世界通往物理世界的“大门”。工业主机的生命周期往往比较长，操作系统老旧，存在大量漏洞，并且由于工业生产连续性的特点，工业主机很难定期升级补丁，因此成为攻击者的首选目标。

奇安信集团在应急处置过的100多起工业企业网络安全事件中发现，这些事件大多数是因为“永恒之蓝”勒索病毒及其变种感染了工业主机，导致工业主机系统崩溃，无法执行正常的生产作业流程，最终造成停产事件，给企业造成直接经济损失。勒索病毒在很大程度上已经成为了工业主机的最大威胁。

因此左英男强调，工业互联网安全应当首先从工业主机防护开始，在工控上位机和工业服务器上安全奇安信工业主机安全防护系统，基于白名单智能匹配技术和“入口-运行-扩散”三重关卡式拦截技术，无需打补丁、关端口，就能够有效防御类似“永恒之蓝”勒索病毒的攻击。同时，工业主机安全防护系统还能够自动发现和管理工业网络中的工业资产、控制USB移动设备的非法接入，为工业控制软件的可靠、稳定运行提供安全的环境。

另一方面，随着智能工厂和工业互联网的发展，以工业大数据为核心的工业互联网应用正在逐渐普及。工厂的工业控制网络也从封闭走向开放，工业大数据的开放和共享成为价值再创造的必然趋势。数据在不同的工业互联网平台间持续流动，加剧了工业大数据的安全风险，工业大数据的安全保护成为网络安全的核心目标。

工业大数据安全风险管理的核心目标是“看得见、控得住、管得好”，需要摸清数据资产、梳理数据使用、管控数据风险、强化安全运营，构建数据全生命周期的安全治理体系。在传统网络边界瓦解、工业大数据开放共享的场景下，如何在工业大数据的使用和共享环节部署访问控制措施就变得尤为重要。

左英男认为，在以工业云平台和大数据平台为特征的新技术环境下，需要构建全新的安全架构去解决工业大数据的访问控制问题，其关键手段就是构建基于“零信任“的动态可信安全访问平台。在工业大数据安全防护的应用场景下，首先需要梳理工业大数据中心的暴露面，然后部署相应的产品组件，形成动态的虚拟身份边界，使得工业大数据中心不再对外暴露任何物理的网络边界，有效管控内外部用户和终端设备、工厂内部的工业主机和边缘计算网关、工厂外部的工业互联网平台数据共享API调用等访问主体对工业大数据的访问行为，从而保护工业大数据的安全。

安全是发展的前提，发展是安全的保障，解决好工业主机安全防护和工业大数据访问控制这两大痛点问题，工业企业就可以更加放心地拥抱工业互联网，在数字化转型之路上越走越远。