左英男：工业互联网安全 “理解工业”是第一位

工业互联网是数字浪潮下，工业和互联网体系深度融合的产物，更是新一轮工业革命的关键支撑。

工业和信息化部部长苗圩，在2月21日北京召开的2019工业互联网峰会的开幕致辞中表示，工业互联网目前已广泛应用于石油石化、钢铁冶金、家电服装、机械、能源等行业。国内具有一定行业和区域影响力的工业互联网平台总数已超过了50家，重点平台平均连接的设备数量达到了59万台。

国家政策的推动，巨大的潜在市场（注：据前瞻产业研究院预计，到2025年，覆盖各地区、各行业的工业互联网网络设施基本建成时，中国工业互联网市场规模将达10.8万亿元。），使得工业互联网必将强势发展。

可以说，我国正步入工业互联网时代。

中国工程院院士邬贺铨在峰会上提出，相较于消费互联网，工业互联网有涉及终端种类多，业务链条长，要满足企业个性化需求，性能、安全和可靠性要求更高等特点。被迫暴露的工业生产网络，使得原来可以不在意的风险成为了实际生产的威胁。而且，威胁导致的严重后果已经开始显现。

工业环境中的勒索事件只是“误伤”

360企业安全集团副总裁左英男认为，工业互联网已经成为了网络攻击的首要目标。

左英男演讲标题《解决工业互联网安全的“四个新”》

网络攻击带来的严重的后果可以粗略分为两个大类，一是勒索攻击的蔓延，二是针对性、破坏性都要更强的APT攻击。

勒索攻击主要导致主机蓝屏、文件加密、被迫停产等后果。而且，左英男认为，大多是勒索攻击，不是针对工业（互联网）场景策划开发，而是IT环境下因管理不善而导致的蔓延。

现有大量的生产环境网络，充斥着老旧操作系统、已知高危漏洞暴露、计算资源匮乏等问题和特点。

也就是说，这些网络经不起这些恶意软件的折腾。

典型的案例是，2018年8月，芯片制造商台积电（TSMC）因勒索病毒（Wannacry变种）影响，导致数个厂区生产线停摆，多日，整个事件预计损失达17.6亿元。事件原因，台积电总裁魏哲家事后公开表示，认为是在装机过程中出现操作失误，导致新设备中的病毒蔓延到内部网络，而非黑客攻击所致。

左英男表示，360企业安全集团的工业互联网安全团队，在2018年就帮助处理了国内上百起工业环境中发生的勒索事件。其中30余起停产，严重的甚至超过了20天。

虽然这些时间在我们看来几乎都是误伤，但不难想象，这些事件的发生已经极大激发了黑产的想象力。未来，可能就是2020年，针对工业数据和工业互联网的勒索会显著增多。而且，赎金数额也会更大。

APT攻击在2018年并没有像勒索事件一样频繁，但一旦成功，就极有可能产生切实地产生物理破坏。因为这就是它的目的。

2017年12月，施耐德电气的Triconex安全仪表系统受到了一组国家支持黑客的攻击，入侵并远程控制该安全系统，可以让工厂再无力发现和阻拦破坏性攻击，为后续的入侵铺平道路。通过Triton恶意软件，攻击者可以重新编程这些生产安全监测单元（SIS），并配合其它恶意代码，实现更为深入的攻击——为PLC（可编程逻辑控制器）重置新的逻辑，而不是像乌克兰停电事件一样粗暴地篡改SCADA（数据采集与监视控制）系统的控制指令。Triconex系统广泛应用于包括核工业、石油、天然气等能源行业，这将可能引发难以想象的严重后果，比如说，爆炸。

工业生产环境中的信息安全工作，之前的思路更多是隔离和加密。生产网络和数据库本身就是独立于办公和互联网的，这就形成了一道天堑，易守难攻。但是，工业互联网的出现，打破了这个局势。

做好工业互联网安全 首要前提是“充分理解工业”

随着工业互联网的发展，业内一直有“姓‘工’还是姓‘网’”的讨论。这个讨论在"工业互联网安全“这个角度也有延伸。

从人才的角度，工业互联网的建设，既需要了解（网络）技术，又要了解企业的生产流程。工业互联网安全工作，自然也需要两手抓。专业安全厂商和本土/全球的自动化仪表以及过程控制厂商的紧密合作的必要性，不言而喻。

安全牛在此前就有报道，2018年12月，360企业安全集团和北京安控科技就签署了战略合作协议，围绕工业控制系统、工业互联网防护产品以及工业生产运营安全服务等方向，展开后续的合作。

但IT和OT对安全的理解极为不相同。技术路线上，究竟哪方应有更多的话语权？

对于这个问题，左英男表示，从技术角度看，目前工业互联网安全工作核心的思路，仍是将已经成熟的IT安全技术，移植到工业场景下应用。

任何一家安全厂商都应明确，工业场景下的安全是复杂且陌生的。加深对工业现场、各行业生产环节的控制逻辑，以及对事件处置经验的理解，是安全厂商首先要去学习和弥补的差距。

工业互联网安全的目的是要保障甚至提升生产效率。发挥各家在不同领域的优势，首先就要充实对工业场景的理解，这也是360做好工业互联网安全工作的基石。

邬贺铨院士在峰会上提出，数据加密不能解决工业互联网安全问题，安全能力的核心应是入侵防护。

在“充分理解工业”这一重要基础上，对于入侵防护能力的建设，360企业安全给出的技术思路，是结合白名单技术建立进程行为基线（新战具）。而工业互联网安全的切入点，左英男认为，是工业主机。

工业主机是信息世界通往物理世界的大门，是黑客进入工业互联网首先的落脚点，也是工业互联网安全防护的关键。

守好通往物理世界的大门

之前，对工业主机的安全防护思路主要是“进程白名单”。顾名思义，只有白名单上的进程被允许运行。由于工业现场使用的软件是有限的，白名单的防护思路在很长一段时间有很好的实用性。但随着攻防技术的发展，局限也很快显露。合法的进程，只要能拿到需要的权限，也可以被攻击者用来做不合法的事情。同时，白名单也需要频繁维护升级，这在一个软件周期超长的工业生产环境中很难实现。但威胁，却在不断演进更新。

所以，如果能够建立工业主机进程的行为基线，自动化的找出异常行为，再进行人工分析和处置，这样就能确保及时发现合法进程的异常行为，降低进程白名单被绕过的概率。这是360在工业主机防护的核心思路。

工业现场使用的软件，和这些进程对应的行为都是相对确定的。基于行为所需的权限、历史行为、生产网的流量和360的威胁数据，通过大数据分析建模，我们可以明确这些进程的行为基线。当然，这还需要双方长期运营和优化的配合。

白名单+行为基线”难点在于哪里？一是对不同工业流程、操作系统和应用的适配，二是要保证非停产部署。

无论是怎样的技术，都需要一个长期运营、优化的过程，来更好的应用到具体环境。工业互联网不像传统IT，协议、流程、控制设备都是不统一的，行业差异性大。所以，安全技术对各行业的适配是一个核心难点。

非停产部署，是解决适配问题后在实际部署过程中的一大拦路虎。

左英男介绍了比亚迪1万7千台工业主机部署安全防护系统的案例。

汽车工业是典型的离散制造，用的都是国外的控制设备。在主机上安装防护软件可以，但是不能为你安装调试停产，也不能因为你安装出了问题后回退重启。总之，生产不能断。所以在开始部署前，为了能应对可能发生的各种状况，就需要对所有节点进行充分模拟和仿真。

我们搭建的测试环境，和真实生产环境几乎一模一样，所有控制点用的都是真实的工控设备。这个工作量是非常大的。所有意外情况，都要有预见性，而且要有保障不停产的应急措施。除此以外，部属的时间也会错开生产高峰，或者挑选停产检修的间隙来进行。尽可能将部署防护系统给生产带来的影响降到最低。

在此次工业互联网峰会期间，360企业安全集团正式发布了这套工业主机安全防护系统。考虑工业主机的复杂性特点，这套安全防护系统兼容老旧操作系统和众多工业用软硬件，基于白名单和行为基线，针对勒索病毒进行有效的阻断，并且可以帮助对指定的网络分段进行周期性的工业资产发现和梳理。

可以看出，工业环境特有的复杂性使得，即使是处于国内安全攻防技术第一梯队的360也需要对安全方案在仿真场景中进行反复验证。

据了解，除了比亚迪的项目外，360企业安全集团工业互联网安全事业部还对航天、电力、石油、军工制造、轨道交通等行业的典型生产场景，也投入大量真实设备搭建了许多仿真度极高的模拟环境。

对此，左英男还表示，仅依靠360自身的力量是不够的，还需要和各行业专业机构展开更多交流和深度合作。工厂也无法仅靠企业自身解决工业互联网安全问题。而应在法律保护其商业利益的前提下，通过情报交换，利用安全厂商、政府的力量，提升工业互联网安全能力。

工业和安全两个业界的充分合作，将会为中国在工业互联网安全上带来重要的技术储备。

除了工业主机安全防护外，构建多级工业互联网安全监测平台（厂级-集团总部-行业/地区-国家），针对工业资产、安全漏洞、工控系统进行逐级的风险发现和态势感知（新战力），也是360企业安全已经着手去做的事情。

一个具体案例是和海尔，对5座城市，8个智能工厂，3条不同生产线，完成工业安全监测系统的建设，在厂区可以得到完整资产清单、安全漏洞发现以及工控系统的异常监测，在集团总部可以通过汇总分析各厂区数据，实现全网的态势感知。

零信任体系与持续运营

此外，左英男在峰会上还提出，要基于“零信任”的理念，应用新的安全架构，规划工业互联网安全体系（新战术）。这包括“全面的身份化、授权的动态化，风险度量化，以及管理的自动化”四点。

工业互联网可以看作物联网与互联网的交集。与互联网不同的最大特点，是工业互联网有更多（种）的物理设备的接入。同时，内部威胁、供应链安全，这些传统IT环境下的风险，也会随着工业互联网平台的建设，不可避免的引入到之前相对独立的生产网络。所以，左英男认为，无论是这个平台上的设备还是人员，都应按照零信任的原则，搭建安全体系，对人员和设备的身份的合法性，进行持续性的验证，基于行为度量风险，并动态的调整权限。

实现这些对于工业互联网安全是至关重要的，这也是后续开展安全工作的重要挑战。

同时，无论是IT安全，还是工业互联网安全，攻防的本质始终是对抗。建立一支“人和机器”能够充分协同的安全运营和应急响应团队，是动态安全体系的关键（新战法）。

最后，谈及360企业安全在未来工业互联网安全领域发力的重要优势，左英男这样概括：

攻防技术研究、安全大数据的相关能力、以及终端安全能力实现的经验，是我们的三个重要技术优势。在这三点基础上，针对具体工业场景和工业互联网平台的特点进行的安全研究和技术验证，是360企业安全工业互联网安全事业部发力未来的基石。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。