协同联动,共建安全+工业互联网命运共同体
2017-07-07文齐向东
□ 文齐向东
关注
协同联动,共建安全+工业互联网命运共同体
□ 文齐向东
现在全世界都在关注人工智能,也在关注正在进行的第四次工业革命,德国叫工业4.0,美国叫智能制造,中国推出了中国制造2025。其实我更喜欢用工业互联网这个词,因为它更容易理解,也更能够揭示未来我们所面临的时代本质。互联网在之前的20年发展风起云涌,互联网的背后是人,所以互联网所面临的网络安全和黑客攻击会导致我们的隐私丢失或者财产损失。工业互联网的背后是自动生产线、是控制系统,是汽车、是老百姓每天衣食住行的各种东西,所以工业互联网一旦出现漏洞、遭受攻击,可能会导致流水线停断、控制失灵,我们的汽车可能出现事故,可能导致车毁人亡。从这意义上来说,工业互联网的安全比起面向大众服务的消费互联网更加重要。
“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”。第一,现在越来越多的工业互联网暴露在互联网上,也就是越来越多的工业系统暴露在工业网上。工业越发达的国家,这种暴露的程度就越严重。最近360公司和东北大学工业控制实验室联合做了一次全网的调查,我们扫描了部分互联网的网络,发现在全球有77700多个工业控制系统和控制协议暴露在互联网上。这样的系统如果一旦出现漏洞,遭受网络攻击的后果就是会影响我们的生产安全,或者影响我们的产品安全。
经过我们的安全检查发现,这里面的绝大多数站点就是暴露的工业控制系统,它是有安全漏洞的。在暴露的这些站点里面,几乎涵盖了所有工业控制系统里面的协议,包括采用S7协议的西门子系统、施耐德系统,从离散控制系统到连续控制系统都有。所以这些系统一旦被操控即被远程操控,就可能会引发灾难性的后果。
第二,从工业互联网发展的趋势上来看,工业系统在互联上的暴露会从常态化走向标准化。这样的一种暴露会给工业控制系统带来不安全,但让工业和互联网隔离是不现实的。我国在提出工业互联网的四个应用场景里面就包括了智能生产、网络化协同、个性化定制和服务化延伸。其中网络化的协同、个性化定制和服务化延伸天然地和互联网融为一体。智能化制造目前大体可以分为两类,一类是和互联网不连接,一类是和互联网连接。即使是不连接互联网的智能化制造也得需要监控的网络连接、和工厂管理系统即IT系统相连接,实际本质上就是通过各种各样的迂回途径还是连接在互联网上。这四个应用的系统需要连接在一起,也可以认为智能制造实际上变相地连接在互联网上。
要想实现一个工业系统的智慧,离开一个强大的有计算能力的云是做不到的。不管是产品终端还是流水线,连接云的方法只能通过互联网。比如卖出去的卡车、挖掘机,为了实现其更大的智能那就只能把它变成物联网的设备或者车联网的设备。所以在这些系统当中,从网络层上来看,它一定是把IT(信息技术)网络和OT(运营技术)网络连接在一起,才能够实现未来工业互联网一个美好的前景。从逻辑层上来看,都是把控制的操作系统通过中间的这些网络来连接在IT系统上。
第三,暴露在工业互联网上的安全隐患巨大,安全现状还是令人担忧。来自360补贴漏洞的报告:工业互联网联盟82家联盟内的企业,其中有28.5%都出现过漏洞,超过23%的漏洞都是高危漏洞,遭遇网络攻坚的风险非常大。这些漏洞还仅仅是所有漏洞的一部分,因为这些漏洞的发现方式是通过补添平台的白帽子,主动发现、主动上传给360平台。并且这些漏洞仅针对工业互联网的应用站点,不包括对应用站点后面的系统进行深度扫描,因为深度扫描需要客户的授权。
卡巴斯基去年扫描了全球170个国家和地区的近20万套ICS工业控制系统,其中92%都存在安全漏洞,有遭遇黑客攻击、接管甚至破坏设备正常运行的风险。2015年12月,黑客利用BlackEnergy等相关恶意代码攻击工具侵入了乌克兰一家电力系统,导致7个110KV的变电站和23个35KV的变电站出现故障;同样是一年之后,2016年12月,黑客组织对乌克兰另一家电力公司网络进行攻击,攻击方法为数据篡改,也导致了这家电力公司部分地区的停电;2016年4月,德国核电站负责燃料装卸的系统被黑客控制,尽管黑客没有进行破坏性的操作,但是核电站的工作人员为了保证核电站的安全,不得已临时关闭了核电站。所以通过智能生产和互联网隔离这种方式解决安全的问题,是不成立的。
工业互联网带领我们进入一个人工智能的时代,给我们带来了非常美好生活的同时,可能因为存在的安全问题,也给我们带来了很大的困扰。所以我们在发展工业互联网的同时,一定要解决或者优先来解决可能存在的问题。以下对工业互联网安全治理提出六条建议和措施:
第一、提高安全意识。将工业互联网的安全上升到最高级。例如一个智能的汽车一旦出现问题,可能会导致相应的工厂倒闭。因此,让安全成为工业互联网的前提,成为顶层设计。
第二、全面提高工业互联网安全感知能力。一个网络攻击者可能不单纯攻击某个国家的网络,网络攻击是全球,我们要提高对全球的网络安全态势和感知能力,防患于未然。
第三、建立跨越物理世界、商业世界的操作网络和信息网络。就是建立OT和AT一体化防御体系,不能把AT和OT网络安全隔离对待。
第四、建立工业互联网安全运营分析中心,对工业互联网里面的数据进行全流量的收集。用大数据的技术进行分析,解决以大数据为核心的工业互联网安全问题。
第五、重点保障关键技术设施的安全。很多工业互联网的企业都在为民生提供服务,即关键技术设施,所以有更大的概率会遭受定向攻击,需要重点防御。
第六、协同防御,共建安全+工业互联网联合共同体。去年360公司在2016中国互联网安全大会上提出了联动体系,通过数据协同、智能协同、产业协同建立安全生态,得到了全球安全行业的响应。所以工业互联网产业联盟可以通过提供基础的安全服务,建立共同的联盟协同机制,维护整个工业互联网的安全水平。360作为联盟安全组的组长单位,在联盟的领导下,将支持联盟来建立服务于全国工业互联网的安全态势和预警平台,为联盟提供服务,也将联合联盟安全组的全体成员共同为工业互联网保驾护航,提供安全服务。■
(作者系360企业安全集团董事长兼CEO)