做好工业互联网安全首先要保证业务安全

● 奇安信集团工业安全事业部副总经理 李航

近年，随着工业领域“企业上云”步伐加快，工业云已成为企业标配。与此同时，工业互联网已经成为工业经济数字化转型的重要驱动力量，工业互联网平台价值已被越来越多的工业企业意识到，但随着安全事件频出，如何保障工业云和工业互联网平台安全，让企业数字化转型更安心，成为工业企业当前考虑的焦点。

工业企业数字化转型面临的网络安全风险

新一代信息技术的出现和大量应用，促进了工业企业的数字化转型。企业的数字化，不仅仅停留在企业的管理侧，更多精力在于生产的数字化。但是，工业企业主要负责生产的管理者，往往精于生产自动化，他们只关心信息技术带来的优势和高效，对信息技术所带来的安全问题了解极为有限。因此，工业企业数字化转型面临的网络安全风险主要有以下几个方面：

1.网络安全意识严重缺失

自动化技术，主要目的是排除人员的不利干扰和失误，依靠自动化设备进行连续高效生产，本质上是不相信人。这有一个前提，就是固定的业务场景和生产流程，是完全按照设计要求进行有序的逻辑控制。但是网络安全却是多样和复杂的，完全没有固定的模式可以参考，人的安全意识及主动性格外的重要。因此，对于数字化转型过程的工业企业，最大的安全风险是人员的网络安全意识和能力的缺失。

2.融而不合，安全防护形同虚设

工控安全已经不是新的概念，针对工业企业生产系统的网络安全解决方案不断推出，但都大同小异，且工业企业自身网络安全运营存在意识和能力的严重不足，网络安全产品与工控系统兼容性差，只重有无，不看效果，这种现象普遍存在。有安全设备、无安全防护是比较常见的现象。

3.互联互通，增大了攻击面

在工业企业本身安全建设严重不足的前提下，通过工业云和工业互联网平台的应用，工业企业封闭的状态被打开。在还未做好充分安全准备的前提下，互联互通更是加大了工业企业被攻击的界面，尤其是工业互联网的整体标准还未确定的前提下，未做好安全防护的工业企业，通过数字化转型上云、上工业互联网平台，就容易出现问题。工信部及部属机构在互联网上已发现了大量暴露的工控系统及其安全漏洞。

4.工业企业是网络黑客的重点

网络黑客的关注点，已经转向了更高价值的工业企业。自2017年“永恒之蓝”爆发后，勒索病毒导致工业企业停产已经不是个案。这充分说明了工业企业的安全脆弱性，同时也验证了数字化转型过程中的工业企业网络安全设计和建设的缺失，工业企业已成为网络黑客的重点攻击目标。

如何保障工业企业的网络安全

数字化转型过程中的工业企业，不能孤立的只看待工业云和工业互联网的安全。简单来说，工业云和工业互联网，只是工业企业业务通过云、互联网的方式进行向产业链的需求方、消费方、设计方以及供应方进行连接和外展，只是工业企业业务的外延。工业云和工业互联网只是工业企业获取业务的平台和手段，其最根本的目的是提高企业的生产和供给效率、降低企业成本。从网络安全来说，本质上依然是工业企业的整体安全，具体就是工业企业的生产和运营，不能被网络安全问题干扰、打断。因此，奇安信集团工业安全事业部在总结以往工作经验，提出了保障工业企业的网络安全，需要做到以下几点：

1.人是安全的尺度

网络安全的复杂性和技术的快速迭代，和工业企业固化的生产业务，思维方式是截然不同的。因此，解决数字化转型过程中工业企业的网络安全问题，首要的任务就是提高人的安全意识和安全能力，自己组织或联合安全公司组建专业的安全团队，保护工业企业的生产。

2.工业安全是业务安全

工业的核心，是生产，更是业务。网络安全技术需要和工业企业的工艺流程、生产流程以及运营流程相结合。脱离业务做安全，就会出现有安全防护、无安全效果的现象。因此，工业安全会根据不同的领域、行业，有不同的形式和解决之道，不能一概而论。因此，工业安全的核心是业务安全。

3.工业主机是安全重点

在数字化转型的过程中，信息世界越来越丰富，但工业产品存在于物理世界。信息世界的高效和多样化，丰富了物理世界的需求和产出，指导了工业企业的生产；同时，工业产品满足客户后带来的反馈，又成为新的需求，输入到信息世界里。因此，连接信息世界和物理世界的桥梁——工业主机，成为了工业安全的重点。工业主机“裸奔”、无法更新补丁、杀毒软件无法兼容更新、漏洞百出，是工业企业的老大难问题。近一年多的工业安全事件，特别是勒索软件的攻击目标，就是工业主机，如台积电、合晶科技的安全事件。因此，工业主机安全防护是解决工业企业安全的重点。

4.安全监测是基本手段

工业企业上云、上工业互联网平台，传统的纵深防御安全防护手段和策略已经不适应了。云端和工业互联网平台的业务和数据，是成级数增长的。因此，针对业务的旁路数据和信息流的监测预警和分析，是基本的手段，也是建立安全基准的依据。

5.应急处置是安全保障

网络安全是动态的、持续的，不是一蹴而就的。所以，对于数字化转型过程中的工业企业，安全演练和应急处置就成了必须具备的机制和流程。对于工业企业来说，安全演练的最终目的是出现安全问题时，可以快速地进行应急处置，以降低网络安全事件带来的企业损失，验证企业的应急处置机制是否有效。以近几年的情况来看，工业企业网络安全事件数量持续上涨，应急处置的快速、合理，已经是工业企业网络安全工作追求的目标之一。

综上所述，在数字化转型的浪潮下，工业企业要做好网络安全，必须要有深刻的安全意识，有意识地进行安全人员的能力培养，在建立以业务为基线的安全机制，通过保护工业主机、监测工业网络以及云、工业互联网平台，配合安全机制和流程，快速发现、定位网络安全问题、及时处置，才是工业企业网络安全建设的正道。

（本文刊登于《中国信息安全》杂志2019年第6期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。