搭建工业互联网的“防火墙”势在必行(下)

一般来说,工业信息安全产业规模和工业安全事件频呈反比,但是从实际数据上来看,在工业信息安全产业规模增长的同时,工业信息安全事件并没有减少反倒增加。

2020年3月,某大型化工集团发现多台服务器和主机文件被加密,遭受勒索病毒攻击;8月,某大型煤矿集团一服务器发现感染挖矿蠕虫病毒,往同段其它服务器445以及6379端口发送大量感染数据包;严重影响正常业务的使用;10月,某大型汽车制造企业重要服务器感染勒索病毒,导致业务系统无法正常运行;华为安全架构师王雨晨坦言,“对于工业互联网安全来说,防不住是正常的,防住是偶然的。”

1.jpg

无论是传统IT安全还是工业互联网安全主要分为攻防两个方面,二者如同硬币的两面,哪一方面都不可或缺,因此才出现了“以攻促防”,“未知攻,焉知防”之类的金句。但现实往往不尽如人意,实际上我们也只做到了前面一半,后一半则明显薄弱,最终成了“虎头蛇尾”,“强弩之末”。归根结底,安全问题本质是一场人才的较量。

有专业人士曾透露,目前,网络安全人才短缺问题日益突出,2020年缺口突破232%,缺口达140万,2021年缺口飙升至285%...现在安全人才在总数不够的前提下,防守人才更是极度匮乏,比例严重失调。

2.jpg

据奇安信发布的《2020工业互联网安全发展与实践分析报告》显示,仅有40.3%的企业设置了专职的工业网络安全部门或岗位;21.0%的企业表示正在规划,但现在没有专职负责人员;38.7%的企业即没有专职人员,也没有相关的安全规划。华为安全架构师王雨晨认为,一方面,我国网络安全从业人员也就几万人,极度匮乏,而且他们都在重复做防火墙,态势感知,很少有人能掌握关键技术,都在做安全方面的应用。

另一方面,在人散小而全的安全人才架构下,安全防御理论和技术手段均处于初级阶段,在对抗威胁时,存在严重的攻防不对称现象。产业、产品的能力都远远不能应对威胁挑战的要求,在此种条件下,防不住是必然的。

3.jpg

工业数字化转型,缺少“主角”的光辉

失去工业互联网安全,工业数字化转型就失去了金钟罩。“通过互联网就可以导致工业生产瘫痪,而且,当我们未来实现更深度的数字化转型,会更容易被攻击。”360集团首席安全官杜跃进博士这样说。

如今,工业互联网已成为工业制造业自动化、数字化、智能化转型的重要载体。在工业互联网与5G、大数据、人工智能等新一代信息技术的共同作用下,大量企业开始了数字化转型的探索。

工业数字化转型主要是通过IT与OT的充分融合来创造更大的价值,但正是二者的深度融合使工业的产业结构和体系建设发生了巨变,由此而来的“勒索事件”等安全“黑天鹅”情况在工业领域频发。

4.jpg

对于工业数字化转型面对的安全威胁,奇安信工业互联网安全事业部产品总监王弢这样解释,工业数字化转型中,个性化定制、网络化协同以及服务化延伸,生产连续性、可靠性以及核心数据都将面临更为严重的网络安全威胁。例如有制造企业生产系统联网后,大量计算机病毒涌入系统,导致大规模停产。

不言而喻,工业互联网安全建设的好坏,将直接影响工业数字化转型的快慢。如果工业互联网安全没有建设好,一方面,遭受网络攻击不仅单个企业受损,还可延伸至全产业链、全价值链,引发大规模物理设备损坏、生产停滞,影响经济社会的稳定运行。另一方面,工业生产、设计、工艺、经营管理等敏感信息保护不当将损害企业核心利益、影响行业发展,重要工业数据泄露还将导致国家利益受损。对此,六方云总裁李江力表示,工业互联网的本质与核心是利用信息化数字化手段提高工业生产效率,但信息化手段提升效率的同时也带来了安全隐患,保障信息安全是工业互联网业务发展的前提,没有安全就没有发展。

5.jpg

其实,国家早就认识到了工业互联网安全对工业数字化转型的重要性。近年来,相继下发了多部政策文件,以推进工业互联网安全综合保障能力提升工程,完善网络安全分类分级管理制度,提升工业企业本质安全水平。

任何一项产业的出现和发展,都少不了国家政策的支持,但是产业发展的好坏直接关乎着企业的经济效益,所以主体还是企业,在工业互联网安全领域亦是如此。

在奇安信工业互联网安全事业部产品总监王弢看来,工业互联网安全事件频发表明工业互联网领域的威胁越来越严重,黑产和黑客组织越来越多的关注到工业领域,主要原因在于企业工业互联网安全投入不足,不能有效面对威胁。

调研数据显示,国内相关企业在工业互联网安全方面的投入总体规模仍然较小。在工业互联网安全方面的年投入超过100万元的企业,不足被调研企业的三成,仅为27.6%。

6.jpg

华为安全架构师王雨晨认为,除了国家的政策引导和规范要求外,更重要的是企业要跟根据自身面临的安全威胁切实重视安全,加大安全投入,加强企业自身安全建设。

“工业互联网安全是工业化的基础,‘没有网络安全就没有国家安全’这句话对于工业数字化转型尤其重要。没有安全保障的工业数字化转型就是把万丈高楼建立在沙滩上,对整个工业化都是非常危险的。”

7.jpg