《电子技术应用》
您所在的位置:首页 > 通信与网络 > 高端访谈 > 工控信息安全体系建设筑牢“新基建”安全底座

工控信息安全体系建设筑牢“新基建”安全底座

——专访北京神州慧安科技有限公司首席科学家 张友平
2021-03-11
作者:于寅虎
来源:电子技术应用

【编者按】在“新基建“浪潮的推动下,中国工业互联网产业发展驶入快车道。原本处于”孤岛状态“的工业控制系统暴露在联网环境下,不可避免地要面临严峻的信息安全风险考验。如何建设完备的工控信息安全体系已成为”新基建“领域的新课题,本刊通过专访北京神州慧安科技有限公司首席科学家张友平,针对工控信息安全体系建设的重要意义、机遇与挑战进行了深入探讨,希望能够为业界同仁提供实用的意见参考。


Screen Shot 2021-03-11 at 11.31.42 am.png

 

在工业互联网快速发展的背景下,对工控系统安全技术的关注日益增强,您如何看待工控系统安全的重要意义,以及行业当前面临哪些机遇和挑战?

 

张友平:随着国家新基建战略的快速落地实施,5G、人工智能、云计算、大数据、区块链等新兴技术得以加速普及运用,工业控制系统安全面临着前所未有的机遇与挑战。

 

首先,前期工控系统的安全措施历史欠帐很多。由于早期的工控系统追求简单实用、快速小闭环控制,几乎从未考虑过信息安全问题,因此大部分工业企业直至现在也没有建成系统的工控安全体系。另一方面,工控安全产业在我国起步时间不长,随着近几年新基建的高速建设,同时叠加弥补之前安全建设的历史欠帐,导致整个工控安全产业的供给侧面临严重不足。


其次,新兴技术应用挑战和对外技术高依存度并存。我国前期工业控制技术基本上都是依赖国外技术,造成产业链极度脆弱。在现阶段,我们面临的不单是追上新技术的发展,还面临着如何迅速填补空白,实施信息产业创新,消除“卡脖子”的威胁和隐患等问题,实际上面临着“追上”和“领跑”的双重压力和任务。

 

第三,国家战略和经济层面的支持使工控安全领域从业者面临百年未有的机遇。作为工控信息安全供应商,唯有奋发图强,以严谨的科学态度,发挥老一辈科技工作者创立的“两弹一星”精神,完成工控安全体系建设的历史使命,为国家关健基础设施的安全保驾护航。

 

传统工业控制系统繁杂而多样,在实施数字化改造过程中,该如何分步骤来实施安全体系建设?

 

张友平:由于工业生产的分类、工艺、生产环境和产品形态的不同,系统集成商只涉足某一自己熟悉的工业领域,尚未出现在所有工业领域都能提供强大综合服务的工控系统集成公司。工业控制系统形成了协议众多、设备多样、传输方式、控制模式五花八门等情况,系统参数不公开,标准不统一,横向不打通。

 

这就形成了对安全公司业务部署的挑战。要适应这种挑战和需求,必须从以下几个层面入手:

第一,熟悉工业生产领域流程,针对其生产过程的控制系统,订制化设计工控安全体系。


第二,由浅入深,根据不断增长的安全需求和不断加剧的安全威胁,以及使用人员逐步提高的安全技术素质,来分步骤扩充安全域、确定实施策略的深度及广度。

 

第三,根据实际需求,提供不同层面和维度的安全服务。

 

神州慧安公司从事工业控制系统安全防护工作多年,请问工业企业在进行安全体系建设方面,目前还面临着哪些难题和瓶颈?

 

张友平:作为最早基于龙芯、飞腾和鲲鹏系列国产化处理器硬件系统开展技术研发的工控安全公司之一,神州慧安率先将工控安全系列产品和体系应用于烟草、电力等工业生产领域,通过安全系统部署实施和运维服务实践,深刻体会到工业控制系统安全体系建设面临重大挑战,任重而道远。

 

首先,工控系统运营者的信息安全的意识亟待提高,这成为探索高质量工控安全系统体系建设的最大障碍之一。

 

其次,工控安全与传统信息安全在体系建设上区别巨大,传统信息安全理念并不能照般适用于种类繁多的工控系统。

 

第三,由于国产化处理器大规模推广应用的时间较短,创建安全产品及体系的道路仍面临诸多困难,生态建设需做大量基础工作。

 

第四,随着新兴技术不断加速应用于工业控制系统,使得工控安全体系建设不断迭代更新,因此满足后期运维需求的难度、广度、深度和复杂度逐渐增大。

 

众所周知,过去几年工控信息安全防护较多采用隔离分区和白名单等策略,面对工业互联网新安全形势,安全防护理念有何新变化?

 

张友平:第一代工控安全防护产品是由传统信息安全产品转化而来。由于以前的工控网络绝大多数是封闭独立的,安全设备普遍被设计为独立工作,所以重点是网络和主机的防护,关注点在于访问控制,防犯的主要是病毒和人为不必要的有害访问。

 

但是随着工业互联网的发展和智能制造需求,工业控制系统被置于一个广域的网络和泛安全层面,多种设备和软件交织,威胁潜伏在海量的设备和软件产生的数据中,极难筛选分辨。有些数据单角度看是正常的,但通过关联分析和积累的大数据模型解析就会发现异常,再通过深度回溯挖掘和长时间监测,最终有可能被印证为潜在的威胁和攻击。

 

所以,面对新的工业互联网安全态势威胁,我们要来用新的理念和对策才能正确应对。

 

第一,要建设零信任、全栈式、全系统的工控安全防护体系。


第二,要以发现未知威胁为主,已知威胁为辅的理念构建发现机制。


第三,要安全技术体系和安全服务体系同步构建。


第四,随着工控安全需求的不断发展,将传统工控安全向工业互联网安全和工业应用系统安全延伸。


第五,推进工控系统全系产品国产化和工控安全产品国产化,实现真正的自主安全,保障工业全线信息化体系基因安全。

 

近几年,信息安全行业快速发展,在资本市场助推下已经有数家安全企业开始规模扩张,请问中小型工控安全企业将采用何种发展策略?

 

张友平:由于工业控制安全市场需求的爆发和产业供给侧的严重不足,除了国家政策层面大力支持外,资本市场的先期启动是这一产业的有力助推和保障。但是路怎么走,怎么才能快速发展壮大?

 

第一,不能走传统安全卖产品的老路,过往不同的安全产品供应商在出现问题时往往相互推卸责任。这并不能从根本上解决客户工控系统的安全问题。


第二,要根据工业产业的特殊需求,以订制化的角度去构建工控安全体系。


第三,中小型安全企业要以聚焦安全服务为理念来经营,面向工控系统提供体系化安全服务。


第四,在安全技术研究方向上,要专注未知的威胁。基于基本防护理念,尽量不干涉原有的工控系统。


第五,不要急功近利,注重技术基础和技术体系的积累,以求厚积薄发。

 

「编后:网络安全技术是一种特殊的伴生技术,它随着所服务主体对象的技术更迭而不断发展,适用于原有服务主体的安全技术,并不一定完全满足另一服务主体的需求。具体到工控信息安全领域,上述特征表现得更为明显,工业控制系统安全解决方案必然呈现动态发展,工控企业向安全厂商以“购买安全服务”替代“购买安全产品”将成为未来市场主流趋势。」


 

北京神州慧安科技有限公司2020年发展大事记


1月

●为“某省发电公司生产控制系统信息安全监管与预警平台”项目提供产品技术及安全服务。

●为“某中烟公司工业控制生产系统安全服务体系建设”项目提供产品及安全服务,单体项目金额达千万级。

5月

●公司总部迁入北京亦庄国家信创园,成为首批入驻企业,助力经开区信息产业发展。

●经龙芯中科的严格测试,取得了基于龙芯3A3000处理器的9款工控安全产品的《产品兼容互认证明》。

6月

●经飞腾公司的严格测试,取得了基于FT-2000/4和FT-2000+/64两款处理器的9款工控安全产品的《产品兼容性证明》。

●荣获“国家高新技术企业证书”。

7月

●正式加入北京信创工作委员会,与园区内企业开展协同协作。

8月

●公司9款工控安全产品与华为Kunpeng 920完成兼容性测试,被授予HUAWEI证书《鲲鹏技术认证书》。

●与安天科技签署战略合作协议,共同加强工控信创安全产品的互补研发,融合发展,共同构建绿色信创生态。

●启动北京经开区科技创新基金的信创专项研发投资申报,多渠道挖掘行业资源。

●当选为能源信创工作组副组长单位,助力能源行业革新,为能源信创体系的加速落地贡献力量。

9月

●参加“首届2020全国信创产业生态创新大赛”,获得最终优胜奖。

11月

●参加组建“工业互联网底层技术信创工作组”研讨,助力突破技术壁垒。

12月

●正式加入国家信创工委会,以实际行动支持信创工委会相关工作,共建工业互联网创新生态圈。

●在“飞腾2020生态伙伴大会”全面展示基于飞腾平台的创新系列产品,与生态伙伴达成技术共识。

●参与国家发改委试点项目,获国务院国资委优秀项目案例展示。

此内容为AET网站原创,未经授权禁止转载。