【GT产研】云涌科技董事长高南：数字时代下的工业互联网安全

编者按：伴随数字化、智能化的不断发展，工业领域业务应用多样化，数据的开放、流动、共享，使数据保护面临诸多挑战；网络IP化、无线化以及组网灵活化，给工业互联网带来更大安全风险。本文整理自云涌科技董事长高南在“2022高成长企业TOP100年度盛典”颁奖典礼暨数字经济高峰论坛上发表的主旨演讲。以下，enjoy~

本文逻辑：01 数字时代：工业互联带来新的安全风险

02 技术赋能：为工业互联网安全保驾护航

03 自主可控：筑牢工业互联网安全防线

（正文3300字，6-8分钟）

01 数字时代：工业互联带来新的安全风险

伴随信息化、数字化、智能化高速发展，信息安全环节特别是工业信息安全将面临巨大挑战，信息安全问题亟需重点关注。这些年大家经常可以看到工业现场受到互联网攻击的情况，比如前一段时间非常热的美国天然气管道被勒索、国际上大的能源公司的设备厂商被攻击、委内瑞拉电网瘫痪等事件，可见保障工业安全的重要性。但这些网络安全风险往往被大家忽视，很大原因是因为这些网络攻击与我们在座的很多人关系甚远。相比于传统攻击，对于工业设备的攻击相对较少一些。然而，它的危害却是巨大的。

专业的黑客会发现工业互联网特别易于攻击，主要原因在于，目前的工业现场大多使用传统以太网，网络十分的落后，也因而带来带来诸多漏洞。据数据显示，工业互联网的高危漏洞占比64%，漏洞对关键制造、能源、水务、医疗健康、食品农业等领域造成的危害最为巨大，而这些领域一旦遭遇攻击，将会带来不可估量的后果。

从工业互联网安全漏洞产生的原因可以分析出（见上图），“任何一个网络安全都离不开管理”。但是，针对工业互联网的管理远比我们传统的互联网要复杂的多，因为它有更多的工业场景，需要有更多的工业专业知识。由上图可以看出，造成工业互联网安全漏洞的原因有很多，其中占比最大的一个产生原因叫“设计缺陷”。这是因为工业互联网从数据的采集到上云分析处理是一个很长的信息链，中间任何一个设计错误，或者任何一个设备自身的问题都会带来整个网络的瘫痪，因此工业互联网安全与传统网安不一样。

我们再看一下攻击的位置（见上图），远程的攻击占比最大这个好理解，但大家会很奇怪，为什么本地的攻击那么多？很多工业场景其实是内网环境下的，但依然受到攻击，这是因为整个工业互联网的信息链特别长，设备自身漏洞、设计缺陷、传输信息未经过加密保护等等，都会造成工业现场的运行出现这样那样的问题，这些攻击往往会工业互联网带来致命性的危害，所以说管理很重要。

当前，工业互联网安全防护面临很多挑战（见上图），例如工业互联网技术迭代慢，很多工业场景大概用了十几年一直在用；设备关联性强，一个工业现场，一台计算机可能跟周围很多设备都有关联，任何一个设备的非正常工作都会给周围设备带来巨大的影响；系统庞杂，边界多，从一个传感器采集，到边缘计算，再到通讯管理—计算机—服务器—云，每一个设备都有大量的边界……举例说明：比如智慧城市最核心的交通灯，夏天交通灯设备需要打开散热，任何一个人都可以把自己的电脑接上去，这是很可怕的。再比如，我们去过一个石油钻井平台，有的设备堆在机架上通过远程控制，任何人都可以用电脑连接进到设备。诸如此类的工业漏洞有很多，解决这些问题比传统的计算机网络更复杂，也因此挑战巨大。

02 技术赋能：为工业互联网安全保驾护航

工业互联网体系分为五个层级，包括设备层、网络层、平台层、软件层和应用层，安全体系贯穿在工业互联网五个层级之间。在云端安全、大数据安全上，工业互联网安全其实跟传统网络安全没有区别，主要差异在底层的安全上。在底层安全方面，云涌主要在边界管控、接入管理、安全监测审计、态势感知等研发了相关产品。

工业互联网边界管控-网络隔离：以网络隔离为例，工业安全里面最常用的产品叫隔离。以电力行业为例，电力的网络，按安全要求从高到低进行分区，在对于设备的管理上，首先要把设备根据安全级别的要求分成不同的安全等级，同一等级的设备在同一区域，可以分成一区、二区、三区、四区甚至五区，不同区域内数据传输用不同的方式，跨数据传输的核心就是 “隔离”，这种隔离跟传统的互联网中的隔离不太一样。

工业互联网安全接入-运维网关：传统网络运维很简单，可以用计算机来做运维。传统的工业信息场景可以跟互联网割断，也可以是独立的，但必须有运维。运维过程存在很多风险，比如伊朗的核电站被攻击的时候，极有可能是运维过程中通过U盘进行的木马植入。我们怎么保证运维时候的安全呢？我们需要有一些运维的手段，比如通过运维网关的接入去保证在运维过程中不会被任何的非安全措施影响。

工业互联网安全接入—零信任：零信任技术大部分用在云端跟移动端，随着互联网越来越智能化，很多智能设备需要用到该技术。但跟传统的互联网区别在于，工业互联网有工业现场、工业协议及工业信息体系等方面的特殊要求，往往要根据不同场景做一些定制化的开发。

工业互联网态势感知：其核心是我们对任何一个场景要了解它的所有设备运行情况，了解它的网络运行情况，要了解它真实的状态，知己知彼方能百战不殆。以上这些产品都是针对工业场景的，需要对工业场景非常熟悉，不但要了解网络的状态，还需要了解工业现场设备运行的状态，从而了解这些设备是怎么工作的，现在是什么状况，它会对我们未来的安全、甚至网络安全带来什么损伤和损害。

03 自主可控：筑牢工业互联网安全防线

工业互联网牵涉到国家安全等核心利益。因此，与一般网络应用相比，对于承载各行各业全方位全天候运作的工业互联网，其安全性要求更高，同时必须特别强调自主可控。实现工业互联网安全，要尽可能把关键核心技术掌握在自己手里，才能避免处于被动地位。

尽管自主可控不属于传统信息安全，但在现在的大环境下，它是工业互联网安全的必要条件。设备中可能存在“后门”隐患的部件有关键芯片、操作系统和应用软件。实现这些设备部件的国产化，能最大程度的避免“后门”隐患。

近年来“信创”的话题很热，其在工业安全领域的推广其实很早就开始了，但实现的路依旧艰难，国内与国外的差距还是很大。信创虽难，但是给每一个有志于从事信息安全产业的公司提供了大量的机会。传统的安全一定会发展成为几个头部厂商掌握市场，所有的产品可以应用到不同的领域。但在工业领域，针对不同的工业场景，设备完全不一样，不太可能出现由头部厂商垄断的局面。比如，在建筑上、跟在加油站或便利店用的安全产品是不一样的，因为它们的设备要求不一样，工业协议不一样。

在中国，从安全芯片到嵌入式板卡，再到安全硬件、应用软件，国家都有完整的要求，工业安全企业可以结合自身的情况，自身的技术优势做一些产品。云涌科技是做嵌入式起家的，我们不但可以设计各种各样的计算机，从简单的单片机到复杂的多核的计算机，同时我们结合自己的优势做了很多工业安全相关的一些产品，在新能源、智慧交通、通讯、电力监控领域都有完整的针对现场的解决方案。

企业简介：北京云涌科技发展有限责任公司是江苏云涌电子科技股份公司的全资子公司，云涌科技专注于工业互联网安全领域的高新技术企业，公司以嵌入式技术为核心，致力于为电子政务、网络安全、智慧能源、数字交通等行业，提供专业化的技术服务和解决方案。在“市场导向”与“技术创新”的双驱动下，我们秉持“平等、协作、开放、分享”的发展理念，与各位合作伙伴共同努力，云程万里、涌动未来！

END

[中东服务器网图文来源于网络,如有侵权,请联系删除]