ISC2018观察：工业互联网成国家战略 安全需从顶层开始

举办到第六个年头的ISC互联网安全大会于9月4日在北京国家会议中心开幕，ISC2018正式由“中国互联网安全大会”改名为“互联网安全大会”，会议规模超过往届，会议议题更加国际化，会场的风格咋一看跟美国RSA大会一样，仔细一看比RSA大会更加具有现代感和科技感。

开幕式上多位重量级领导到场致辞，工信部副部长陈肇雄，中央网信办总工程师赵泽良，公安部网络安全保卫局总工程师郭启全，国家密码管理局商密管理办公室主任张平武，中国互联网协会理事长邬贺铨院士等领导致辞，在这些领导致辞中，工业互联网安全问题被反复提及并重点强调，让人印象深刻。

陈肇雄在致辞中强调：“加强网络基础设施防护，要聚焦电信网、互联网和工业互联网，积极防范网络安全风险，不断提升网络基础设施安全防护能力。确保关键数据资源和用户个人信息安全”强调了工业互联网安全体系和数据安全。

国务院的《深化互联网+先进制造业” 发展工业互联网的指导意见》中提出“工业互联网是以数字化、网络化、智能化为主要特征的新工业革命的关键基础设施”。公安部网络安全保卫局总工程师郭启全在致辞中透露：中央网信办和公安部双牵头，正在制定关键信息基础设施保护条例，正在走法律程序将很快会出台。

ISC名誉主席、中国工程院院士钨贺铨在致辞中提出：工业互联网是推动互联网、大数据、人工智能和实体经济深度融合的主要载体，成为数字经济的新动能和智慧社会的支柱。工业互联网的发展模糊和物理和虚拟的界限，由此引发的网络攻击往往会造成巨大的影响，因而未来需要更严格，更创新的安全防护技术，包括零信任的安全模式，区块链和人工智能等技术。

此外，为期三天的ISC2018已经进行两天，进程过半，关于工业互联网、IT与OT融合安全的话题，精彩观点频出。第一天下午的“智慧能源安全高峰论坛”多位国内能源巨头安全主管、第二天产业峰会的Gartner研究总监Zhang Jie、美国圣地亚哥市前首席安全官智慧城市计划发起人Gary Hayslip、Hyperloop Transportation Technology公司CEO Dirk Ahlborn先生，在演讲中均有提高工业互联网安全相关内容。

总结多位讲者的观点来看，可以总结为以下几点：

1、工业互联网安全应该从企业的高层开始，从规划开始

Gartner研究总监Zhang Jie分析了网络安全未来趋势：首先，包括工业互联网企业在内的商业高管最终会醒来，会清醒地意识到网络安全对于他们实现商业目标，保护公司声誉方面的能力会产生重大影响；不管企业的属性，每一个企业都会遭受一定程度的网络事件；我们需要把安全放在一个合理的背景下，那就是商业背景，也就是安全关系到企业的业务安全；他们也在高度关注数据安全问题；她认为：万物互联融合的安全不再是一个IT或者CISO的责任，也不是CIO的责任，而应该是一个CEO的功能。

国家电网信息通信部主任王继业在他的演讲中也强调，电网作为一个典型的“互联网 +”的新业态，将网络安全作为最顶层的工作，之前通过顶层规划设立电网安全防护“十六字”方针，取得良好效果后，针对新时代下的能源领域工业互联网，“十三五”规划提出了新的十六字方针“可管可控，精准防护、可视可信、智能防御”，相信指导未来十年的电网安全工作。

2、工业互联网应高度关注数据安全

数据是工业互联网的核心，工业互联网连接了人与机器、机器与机器、机器与产品，将汇聚大量的数据，通过数据分析和学习，用于提高生产效率、服务质量，争抢企业的竞争力。从已过半的ISC2018会议上我们可以看到多位重量级领导和嘉宾强调数据的重要性。中央网信办总工程师赵泽良，在致辞中指出“要抓紧建立有关数据安全个人信息保护的法律法规，要抓紧建立急需的安全管理制度，我们也应该对我们当前适应的以个人信息获取免费服务这种模式的合理性，公正性进行研究，进行讨论。”

法国TRUSTSEED公司创始人、执行总裁Eric Blot Lefevre博士也在大会上详细分析了欧洲对数据保护发展历程，介绍了今年最新实施欧洲GDPR （通用数据保护条例）对企业使用数据的影响，强调了数据安全对企业利润的影响，以及企业收集使用数据应该承担的责任。

3、 工业互联网要开放心态、马上行动

在智慧能源高峰上，多位智慧能源企业领导分享了他们在工业互联网在能源行业的安全实践。分析了工业互联网这类CPS系统需要强调跨层安全，包括跨物理层、软件层、硬件层、人类行为层等，认为通过网络广泛互联、数据大量融合、系统实时交互，使得现在的网络结构更加复杂，网络边界更加模糊，传统的防御技术难以应对新型威胁。需要利用安全监测、可视技术等措施提升态势感知能力；利用智能技术、大数据挖掘技术，对于信息系统、网络，包括边界、各类信息设备、通信设备运行过程中的各类数据进行综合的挖掘、分析、建模、深度学习，发现一丝丝的蛛丝马迹，发现问题及时处理，实现智能防御。中国石油天然气集团分享了石化行业建设工业互联网的经验，经过十年多按照整体解决方案运行，建设了13个项目，包括3个管理类的，3个控制类的和7个技术类的项目，这些项目建完以后，将基本解决传统的网络安全问题。并且应对现在工业互联网发展形势2017年设立了IT和OT融合安全的主管组织“网络与工控安全处”。360企业安全副总裁左英男从安全企业的角度分享了对工业互联网安全的3个建议：马上行动、开放心态、建立机制。

总结ISC2018两天的议程，众多网络安全的管理者、专家、实践者对工业互联网安全的观点，可以说综合诠释了ISC2018的主题，“安全从0开始、安全从这开始”，工业互联网安全要从顶层设计开始，要注意工业互联网核心——数据安全，要开放心态，马上行动，脚踏实地，以跬步千里。

（本文作者：360工业互联网安全业务线负责人  陶耀东博士）

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。