2023年是工业互联网快速成长期的关键一年,为充分反映工业互联网已经取得的各方面成果,在2021-2022 年 “CITE工业互联网发展与安全峰会”成功举办的基础之上,主办方正式将峰会更名为“2023大湾区工业互联网发展与安全峰会”,期望在更高水平上汇聚高端智库资源,聚焦制造业数字化转型,打造覆盖“政产学研用”的高端合作交流平台,为加速推进工业互联网赋能制造业转型升级,实现制造业高质量发展助力。
峰会主办方特开展“工业互联网·百家谈”系列采访报道,邀请工业互联网发展与安全领域的专家、学者就工业互联网的创新发展发表真知灼见,借助峰会宣传平台讲好中国工业互联网故事,传递中国工业互联网声音!
我们邀请到北京珞安科技有限责任公司CEO、中国网络安全产业联盟技术专家、宁夏工业互联网产业联盟专家孔令武。他曾先后在中软、Websense等知名企业从事信息安全工作,在工控安全、数据安全、应用安全、信息安全、安全运营等相关领域拥有20多年经验积累,是国内工控安全领域的先行者之一,是国内较早的漏扫、DLP等相关领域的技术团队带头人,长期从事工业网络安全防御的技术、产品课题研究与探索并取得相应的技术成果。
一、两会期间,工业互联网被热议,您认为我国工业互联目前处于怎样的发展阶段?面临哪些主要问题?
孔令武:随着新一代信息技术的广泛应用,特别是我国产业数字化转型开启之后,网络强国、制造强国进程进一步加快,工业互联网产业环境整体向好,政府端、企业端双向发力,市场规模快速增长,技术体系不断完善,这使得工业互联网产业整体处于起步上升阶段。
安全与发展作为一体两翼紧密联系,要完成工业互联网建设以及数字化、智能化转型,势必离不开工业控制系统的整体安全保障。近年来,工控系统安全产业发展迎来多重利好:
一是政策层面,自2010年伊朗“震网”病毒事件之后,国家从政策法规层面进行系统规制,工控系统安全相关政策法规陆续出台,特别是2016年之后,工信部、公安部对关键信息基础设施保护方面给予高度关注,针对工控系统安全的政策逐层加码,标准落地逐渐加快,为我国的工控系统安全发展提供了良好的产业环境;
二是市场规模层面,国家政策的密集出台逐层传导至地方政府和相关行业,落实举措和安全建设投入逐渐增加,保证了工控系统安全产业的高速增长。最新研报数据显示,2022年工控系统安全产业的规模为67亿元左右,增长幅度达116%左右,预计到2025年,工控系统安全产业规模基本达到150亿元左右,在网络安全产业规模占比将达到10%;
三是技术研发层面,工控安全类厂商大量涌现,产品研发投入力量加大,不管是工业自动化厂商还是传统网安龙头企业,包括工控类厂商都有相关方面的布局,在各自的细分市场领域不断完善自身的产品与技术,安全产品逐步丰富,并开始出现差异化的竞争态势。
就目前整体状况而言,工业控制系统建设主要是国外厂商品牌在参与,关键组件和系统搭建国外厂商实施占比仍然比较高,从自主安全可控角度来讲,工业互联网的整体安全态势仍然比较严峻。
二、您认为“安全”是工业互联网发展面临的主要问题,可以这么说吗?
孔令武:安全与发展是一个辩证关系,彼此是相辅相成的,但毋庸置疑的是,安全是工业互联网发展的前提,因为没有安全,发展无从谈起。一方面工业制造业企业目前面临着数字化转型的重任,数字化和智能化产品开始大量在工业领域推广应用,为企业生产提供了便利、提升了效率,同时也为网络攻击提供了可乘之机。我们常说安全技术是伴生技术,那么在工业制造业企业数字化转型过程中,同步配套的安全建设方案是必须的,否则生产的连续性、可靠性将无法得到保障。
工业互联网发展到目前这一阶段,涉及产业链上下游协同问题,涉及到工业数据集中化后的安全存储与使用问题,这使得安全问题显得更为突出、更为复杂。由于牵涉主体不一,标准规范由谁来制定、安全投入由谁来负责等等诸多方面都是必须面对和解决的问题。
三、刚刚您提到工业数据的使用是重要的安全问题,请问珞安科技对工业互联网的数据保护有哪些探索和尝试?
孔令武:在工业生产环境下,面临的数据安全问题尤其突出。工控数据安全有几个特点:
一是场景化明显,因为所有的工控数据都和工业生产的场景息息相关;
二是数据种类复杂,梳理难度高,流程复杂,整个生命周期比较长。
珞安科技对工业数据安全在以下三方面进行了比较多的探索尝试:
一是数据的分类分级,二是数据全生命周期管理,三是数据的安全保密等。
珞安科技以产品解决方案加服务的形式,从数据安全轻治理角度出发,首先通过自动化工具与人工相结合的方式进行数据资产梳理与工业高敏数据的识别,构建分类分级的工业数据资产库;然后结合数据风险制定安全管理策略,逐步实施包括数据库审计、数据脱敏、数据加解密以及数据全生命周期的安全态势监控等安全防护手段。整体而言,数据安全保护在工业互联网领域要走的路还很长,还会面临更大的挑战。
四、面对工业互联网的发展大势,很多企业有意进行升级改造,但对安全问题多有顾虑。您能否结合珞安科技的实践经验对企业工业互联网安全防护提供一些建议?
孔令武:在IT与OT的深度融合过程中,工业企业确实享受到了开放互联带来的技术红利,包括生产效率提高、竞争力增强、产业链供应链协同等等,但确实也面临着现实的网络安全威胁,需要构建一套科学的安全防护体系。
首先,工业企业要通过资产识别、资产测绘对保护对象的价值和等级进行评定,即进行分类分级的判别,明确保护对象,然后制定相对应的安全目标,在这一前提下才能有侧重点、有针对性地制定网络安全防护策略及确定网络安全建设重点;
其次,工业企业在日常工作中要全面贯彻网络安全风险意识,建立常态化的安全评估风险识别机制,为企业网络安全风险管理活动提供准确的信息,通过确定防护工作优先级来应对不断变化的网络安全风险,进行响应和相应的安全处置,增强保护对象的安全防护措施以减少其脆弱性;
最后,工业企业要具备因地制宜的安全建设理念,要结合自己的业务特点和保护对象的特征,按照事前评估预防,事中响应控制,事后溯源分析,建立相应的安全运营的闭环思维来指导实践。制定企业安全防护的策略和安全解决方案,协调已经部署的各种安全平台和产品,通过建立企业的安全运营整合能力,来构建科学的安全防护体系。
五、珞安科技在大湾区的工业互联网建设上有些什么布局?
孔令武:目前,珞安科技实行的是“行业+区域”两翼齐飞的业务经营发展模式,重点围绕着能源、石油、石化、电网、轨道交通、智能制造等领域,在数字城市方面开展市政、燃气、水务等工控安全业务。
我们的发展思路是,首先在行业上做整体布局,做行业总体的安全规划,然后在区域内建重点。目前我们在华南区域,包括深圳、广州等地方建立相应的区域落地团队,能够把行业的先进经验、标准案例在区域内应用推广。同时,我们也希望在大湾区的工业互联网建设中与各方携手,践行为关键信息基础设施安全保驾护航、服务湾区的责任和使命。
2023大湾区工业互联网发展与安全峰会报名二维码
Copyright © 2005-2021 网信安全世界版权所有