来源:亚布力中国企业家论坛
责编:严莉
2020年9月20日,2020世界工业互联网产业大会在青岛开幕。360集团董事长兼CEO周鸿祎在会上发表题为“安全是工业互联网发展的先决条件”主题演讲。
他表示,工业数字化会带来一个很大的安全问题——工业系统中存在着大量已知或者未知的安全漏洞,为网络攻击打开了方便之门。未来,每个工业企业都将是大数据企业,拥有海量的数据。但是,开发利用数据必然离不开数据的共享、交换,但越是共享、交换面临的安全风险就越大。
他认为,网络安全讲百遍不如打一遍,要把实战对抗演练作为检验安全能力的唯一标准,通过实战发现问题、磨练队伍、完善响应机制,形成能力不断进化提升的闭环。
以下为周鸿祎演讲全文(有删减)。
来源 | 科记汇
今年,突如其来的新冠肺炎疫情,带来了物理空间阻隔、人员交通隔离,但这些困难反而更刺激了工业互联网的发展,让我们更加清晰地看到了数字化转型的大趋势。网络安全和信息化是一体之两翼、驱动之双轮,工业互联网的建设和发展,必然离不开安全的保驾护航。
第四次工业革命正在以空前的深度、广度和速度席卷全球,无论是德国的“工业4.0”,美国的“再工业化”,还是中国的“智能制造”,核心都是将工业互联网作为核心着力点。
今年,国家提出“新基建”,其中工业互联网就是新基建的重要组成部分,是推动工业经济走向数字化、网络化、智能化、融合化的新动能,工业互联网必然将成为全球数字经济发展的主战场。
我们已经看到,工业互联网的广泛应用带来了巨大的经济社会效应。据测算,2020年中国的工业互联网产业经济将达到3.1万亿元,占GDP比重接近3%,而且工业互联网还将带动超过 255 万个新增就业岗位。未来,工业互联网的带动作用还将更加突出、更加明显。
从技术角度看,工业互联网的本质是实现工业的数字化。在这样的趋势下,我们也能看到工业互联网也将出现更多新的安全风险。
工业数字化的第一个特征是一切皆可编程,工业互联网的设备、控制系统、平台、应用都将架构在软件之上,都将由成千上万行、甚至百万行、千万行的软件代码来实现。这就带来一个很大的安全问题——工业系统中存在着大量的已知或者未知的安全漏洞,为网络攻击打开了方便之门。事实已经证明,漏洞不可避免,国际上统计每一千行代码平均有4~6个缺陷,就有可能导致安全漏洞。网络安全发展到今天,安全最大的风险就是漏洞,漏洞一旦被网络攻击者利用,就可以悄无声息地侵入系统或者控制整个系统。工业互联网还将引入5G、NBIoT、边缘计算等等许多新技术,这些新技术也存在大量漏洞,新技术用的越多,漏洞也就越多,工业互联网系统的安全隐患也就越大。
第二个特征是万物均要互联。工业互联网不仅打破了原来的局域网、隔离网方式,实现工厂内部设备的连接,而且还将连接上下游供应链企业,形成一个巨大的开放网络。比如,智能工厂里的互联网车床、互联网生产线,甚至在动力传输线上的一个发动机,可能也都联网。联网设备越多就意味着网络攻击面的扩大,当攻击目标指数级增长,单点防护的思路就难以为继。同时,工业互联网设备种类繁多,网络协议不统一,增大了安全防护难度。工业互联网运行着超过1000种缺乏安全机制的工业控制、现场总线、工业通信协议,联网将带来非常复杂的安全问题。此外,工业互联网也将打通虚拟世界和物理世界的边界,过去只能在虚拟世界里发起的网络攻击,今天都可以通过物联网把网络攻击直达生产一线,把网络攻击变成物理伤害。
第三个特征就是数据驱动业务。工业互联网使得工业企业从过去的业务为中心、以流程为中心,转向大数据为中心。数据流将驱动业务流程、打通供应链、产业链和价值链,并且随着数据的共享、交换、开发和利用,带来越来越多的业务创新。未来,每个工业企业都将是大数据企业,拥有海量的数据。但是,开发利用数据就必然离不开数据的共享、交换,数据只有共享、交换才能发挥价值,但越是共享、交换面临的安全风险就越大。数据安全不仅面临外部的网络攻击威胁,还面临着内部数据泄漏,包括是否越权访问、是否有内贼偷窃、是否滥用等问题。数据安全将直接影响业务安全,造成生产的停顿、混乱甚至是巨大的经济损失。
所以,工业互联网、工业数字化将导致工业网络基础设施将变得更加复杂、漏洞将无所不在、攻击面将无限扩大,脆弱性前所未有。
同时,工业互联网导致关键基础设施联网,例如电网、机场、石化、医院以及大型制造企业,为网络攻击提供了以前没有的高价值目标。所以,工业互联网面临着高级持续威胁(APT)、网络犯罪组织、网络恐怖主义的威胁,这些攻击或者出于政治目的,或者出于经济目的,一旦攻击得手,将可以为国家、城市、工厂造成巨大的伤害。以城市为例,因为网络攻击能够造成全局性的破坏后果,它的威力将超越传统的安全威胁。对于一个城市,传统的危化品爆炸、交通事故虽然也能造成重大伤害,但一般不至于影响全局,但是如果对城市的水、电、煤、气等基础设施发动高级威胁攻击或者勒索攻击,就会造成整个城市整体停摆、引起全局性混乱。所以,今天我们要面对的已远不再是原来的小毛贼、小黑产了,目前我们面临的巨大风险可用“七个大”来概括:战场变大,对手变大,目标变大,布局变大,手法变大,最重要的是危害变大,挑战变大。
工业互联网的安全威胁就在眼前。以下是近两年重要基础设施受攻击的例子,包含对电网、制造业、能源部门、钢铁企业、水利设施、海港的攻击,攻击数量愈演愈烈。
面对工业互联网安全的风险和威胁,必须承认的是,安全行业还没有真正做好准备。
面对前所未有的安全威胁和复杂情况,面对前所未有的复杂网络基础设施,客观的说,传统安全还停留在碎片化产品层面,没有指挥体系,没有互通机制,没有能力衡量,没有对抗意识,幻想银弹,忽视人的作用,重视买产品,忽视长期持续运营。
所以,工业互联网建设不能只是先考虑如何做好数字化,等数字化做好了,再买点安全软件、买点安全设备,这种思路实际上已经不能适应今天的发展。今天,需要把安全作为发展工业互联网的先决条件,如果缺少科学的安全设计和体系建设,工业互联网就相当于“裸奔”。
面对变化的环境和安全,要解决这些问题,就需要以新的理念为指导思想,构建新一代的安全能力体系。
安全前置、底层设计,构建安全能力体系。大安全时代的网络环境安全问题非常复杂,如果仍是孤立和补丁式地解决安全问题,最终就是头疼医头、脚疼医脚,治标不治本,需要用系统思维找寻解决方案,要考虑体系、框架、系统、组件、产品各层次,做体系化的安全底层设计,构建安全能力体系。
能力导向、基建先行,建设安全基础设施,积累安全能力。安全能力需要养成和积累,首先夯实安全基础设施,安全能力才能有依托,才能实现运营能力的培养、队伍的锻炼、生态和产业的持续发展;只有积累了安全能力,才能形成公共基础服务,更好地赋能工业互联网生态。
全域连接、全维数据,建设安全大数据智能计算分析中心。安全大数据和威胁情报是发现高级威胁的关键,首先要连接安全域内所有的安全设备,获得全时、全视角、全维度的安全数据,叠加全网大安全大数据,才能真正看见网络空间发生的事件。没有安全大数据,就只能基于局部数据进行感知,看不到攻击全貌,就像是在螺蛳壳里做道场。
以人为本,持续运营,建设以安全专家团队为核心的安全运营中心。安全的本质是人和人的攻防对抗,决定对抗胜负的因素中,人第一、理念第二、物第三,人的作用始终是第一位的;安全基础设施的运转必须要有专业安全人员去持续运营它,形成本地化的安全运营能力,持续保障安全。
实战检验、能力闭环,建立以实战攻防演练为核心的能力检验进化机制。网络安全讲百遍不如打一遍,要把实战对抗演练作为检验安全能力的唯一标准,通过实战发现问题、磨练队伍、完善响应机制,形成能力不断进化提升的闭环。
未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。
如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”