“未來工業(yè)互聯網主要面臨四大安全問題，即物聯網安全、大數據安全、云安全和供應鏈安全，需要打造面向數字化轉型的工業(yè)互聯網安全能力框架。”8月2日，三六零(股票代碼：601360.SH，簡稱360)創(chuàng)始人、董事長周鴻祎在2021全球數字經濟大會平行分論壇——“京津冀工業(yè)互聯網協(xié)同發(fā)展論壇”上發(fā)表了題為《新一代安全能力框架護航工業(yè)互聯網安全發(fā)展》的主題演講。

周鴻祎表示，在互聯網的下半場，政府、城市、制造業(yè)將成為數字經濟的主角，成為大數據的主要玩家，而工業(yè)互聯網作為驅動數字化轉型、支撐制造業(yè)高質量發(fā)展的重要抓手，將面臨新的安全挑戰(zhàn)。

四大安全問題威脅工業(yè)互聯網健康發(fā)展

在論壇上，周鴻祎表示，數字化有三個特征：一切皆可編程、萬物均要互聯、大數據驅動業(yè)務，本質是軟件定義世界。他認為，工業(yè)互聯網的本質是在制造業(yè)甚至工業(yè)場景里，用數字化技術驅動數字化轉型、支撐高質量發(fā)展。

但從安全角度看，數字化程度越高，安全挑戰(zhàn)越大，需要大家重新審視其背后的脆弱性。周鴻祎認為，未來工業(yè)互聯網主要面臨四大安全問題，即物聯網安全、大數據安全、云安全和供應鏈安全。

比如，在物聯網安全方面，一些工業(yè)控制設備在設計支持就未考慮過自己會暴露在工業(yè)互聯網上，缺乏防護設計，存在很大的漏洞隱患，一旦在線運行極易被攻擊，直接威脅物聯網安全。像近幾年委內瑞拉大停電、烏克蘭大停電等事實證明，網絡攻擊可以直接通過工業(yè)物聯網設備，利用攻擊代碼操縱變電站，造成業(yè)務中斷。

在數據安全方面，因工業(yè)互聯網發(fā)展產生的數據采集、匯聚，也會導致和增加數據被泄露、被勒索攻擊和被濫用的風險。周鴻祎介紹，前段時間，美國最大燃油運輸管道商遭受勒索軟件攻擊，導致美國東海岸燃油供應受到嚴重影響，“此次攻擊的原理很簡單，黑客把這家公司的財務賬本數據加密，導致無法記賬，公司也就無法給客戶輸送燃料。”

值得關注的是，企業(yè)云已成為工業(yè)互聯網安全的重大薄弱環(huán)節(jié)。“在未來企業(yè)普遍上云，云端服務器成為企業(yè)的資源池神經中樞。”周鴻祎說，屆時公有云、私有云、混合云架構共存，企業(yè)網絡邊界消失，云端服務器可以遠程操控工控設備，設備產生數據后又源源不斷匯集到云端，因此也讓資源管控變得更加困難。

此外，供應鏈的打通導致網絡防護出現新短板。為實現產業(yè)協(xié)同和效率提升，工業(yè)互聯網將供應商、銷售商網絡和企業(yè)生產網絡連在一起，形成一張新的供應鏈大網。一旦黑客將惡意代碼和漏洞植入到受信任的供應商和第三方軟硬件產品中，那么這個大網中的所有企業(yè)都將面臨被攻擊的風險。

工業(yè)互聯網建設需要新一代安全能力框架

周鴻祎表示，面對復雜多樣的安全挑戰(zhàn)，工業(yè)互聯網在建設過程中，把安全作為信息化、數字化的附庸方法已不能應對新的挑戰(zhàn)，需要整體施策、融合設計、系統(tǒng)解決，打造面向數字化轉型的工業(yè)互聯網安全能力框架。

簡單來講，解決工業(yè)互聯網安全問題，需要一套以作戰(zhàn)、對抗、攻防思維為指導的新戰(zhàn)法。而這套新戰(zhàn)法理念的內核，可以用“體系作戰(zhàn)、數據制勝、安全基建、攻防兼?zhèn)?、以人為本、運營為王、服務賦能、生態(tài)共建”等32個字進行總結。周鴻祎表示，依據這套戰(zhàn)法，三六零公司構建了新一代的安全能力框架，形成服務化安全能力，為工業(yè)互聯網安全建設賦能。

具體來看，360新一代安全能力框架包括建設工業(yè)互聯網安全大腦，采集匯集傳感器、工控設備、生產設備上的安全大數據，進行集中統(tǒng)一分析計算，建設融合覆蓋物聯網安全、數據安全、云安全、供應鏈安全的基礎設施。

周鴻祎表示，在360云端安全大腦賦能下，新一代安全能力框架可以快速發(fā)現針對工業(yè)互聯網的網絡攻擊，精細化管控網絡、應用、數據等資源，并不斷提升安全基礎設施的持續(xù)運營能力，以安全服務驅動協(xié)同檢測響應和應急處置，護航工業(yè)互聯網乃至數字經濟的安全發(fā)展。

事實上，360一直重視工業(yè)互聯網安全能力建設，并且從實戰(zhàn)視角體系化檢驗工業(yè)網絡防護能力的有效性，在不斷的攻防對抗中提升防護系統(tǒng)的防護能力，得到了市場的驗證。在2021全球數字經濟大會京津冀工業(yè)互聯網協(xié)同發(fā)展論壇上，中關村科技園區(qū)朝陽園管理委員會評選的《北京市朝陽區(qū)工業(yè)互聯網解決方案和示范案例集》正式發(fā)布，由360工業(yè)互聯網安全研究院提報的《基于攻擊視角的工業(yè)企業(yè)網絡安全評估解決方案》成功入選。

關鍵詞： 工業(yè)互聯網 數字化轉型 制造業(yè) 大數據安全