用體系解決供應鏈安全 將工業(yè)互聯(lián)網被攻擊的概率降低到萬分之一

一段代碼就能癱瘓一座智能工廠;平均每個智能工廠就有52.5個安全漏洞……隨著數(shù)字化轉型的加速，工業(yè)互聯(lián)網應用場景在快速落地的同時，安全風險成了最大挑戰(zhàn)。

在第四屆數(shù)字中國建設峰會上，如何解決工業(yè)互聯(lián)網安全成了一大焦點話題。奇安信集團董事長齊向東在演講時表示，傳統(tǒng)的安全技術手段已經過時，無法解決工業(yè)互聯(lián)網面臨的安全問題。需要創(chuàng)新網絡安全技術，將安全和工業(yè)生產深度融合，提高工控系統(tǒng)的免疫力。從網絡、身份、應用、數(shù)據(jù)和行為五個層面，將威脅層層過濾，把網絡攻擊的概率降低到萬分之一，真正實現(xiàn)內生安全。

一段代碼就能癱瘓一座智能工廠

數(shù)據(jù)異常、設備損壞、工廠停產……工業(yè)互聯(lián)網企業(yè)遇到的這一系列問題背后，可能只是電腦另一端的幾行代碼或幾個指令，但卻能給工業(yè)企業(yè)帶來無法承受的經濟損失甚至更加嚴重的后果。隨著工業(yè)互聯(lián)網時代的到來，網絡安全形勢日趨嚴峻。

在第四屆數(shù)字中國峰會現(xiàn)場，奇安信復現(xiàn)了工業(yè)互聯(lián)網攻防的全過程。一套生產有機農藥的化工裝置，在網絡攻擊發(fā)生之前，指標一切正常。但隨著一條條攻擊指令傳輸?shù)搅斯I(yè)自動化系統(tǒng)中，大屏幕也不斷彈出了網絡安全告警。

受到攻擊后，這套化工裝置的控制器邏輯和參數(shù)被篡改，改變了原料配比產生廢品，且使得有毒原料罐液位不斷上升，超出閥值大量溢出，不但造成了浪費更造成了環(huán)境污染。隨后，安全工程師開啟了相應的防護策略，所有攻擊指令隨即被攔截下來，工業(yè)自動化系統(tǒng)也恢復正常運行。

奇安信集團董事長齊向東表示，工業(yè)互聯(lián)網是高安全、弱開放的工業(yè)生產系統(tǒng)，與弱安全、高開放的互聯(lián)網系統(tǒng)，兩大系統(tǒng)的融合，這直接打破了傳統(tǒng)工業(yè)相對封閉可信的生產環(huán)境，導致攻擊路徑大大增加，攻擊者可以從研發(fā)端、管理端、消費端、生產端都有可能實現(xiàn)對工業(yè)互聯(lián)網的攻擊或病毒傳播。如果沒有做好安全防護，那么價值巨大、牽連過廣的工業(yè)互聯(lián)網，就成了黑客唾手可得的“香餑餑”，尤其是智能工廠將是黑客勒索攻擊的頭號目標。

今年以來，就有多家智能工廠遭遇勒索攻擊。在3月，電腦巨頭宏碁遭到勒索軟件攻擊，財務電子表格、銀行往來郵件等敏感數(shù)據(jù)被盜，黑客開出了迄今為止最高數(shù)額的贖金，約合3.25億元。根據(jù)全球網絡安全軟件公司趨勢科技數(shù)據(jù)顯示，僅2020年第三季度就有150家制造企業(yè)牽涉勒索軟件，多于其他任何行業(yè)。這個數(shù)字只是冰山一角，九成以上的企業(yè)因為害怕對自己的品牌造成傷害，都在支付贖金以后選擇了靜默。

供應鏈安全是工業(yè)互聯(lián)網躲不開的挑戰(zhàn)

“在網絡攻擊面前，沒有哪個機構可以幸免。身處數(shù)字化轉型中的智能工廠，需要投入更多資源，避免自己成為下一次網絡攻擊的受害者。”齊向東認為，工業(yè)互聯(lián)網時代，供應鏈環(huán)環(huán)相扣，牽扯到的上下游企業(yè)眾多一個點遭受攻擊，很可能會把整個產業(yè)鏈拖下水。供應鏈安全注定是工業(yè)互聯(lián)網逃不開的挑戰(zhàn)。

齊向東表示，工業(yè)互聯(lián)網供應鏈安全挑戰(zhàn)來自兩大方向，一是開源軟件代碼存在巨大隱患，二是源代碼天然存在缺陷，也給供應鏈安全埋下隱患。

根據(jù)公開信息顯示，此前奇安信開源衛(wèi)士對2188個軟件開發(fā)項目進行了調研，100%的項目都用了開源軟件，其中有1695個項目都存在開源軟件漏洞，占比高達77.5%，平均每個項目有52.5個漏洞。而奇安信代碼衛(wèi)士對1838個軟件項目的源代碼進行分析時，總計發(fā)現(xiàn)330萬個安全缺陷，其中高危安全缺陷36萬個。統(tǒng)計顯示，程序員每敲一千行原始代碼,會出現(xiàn)10.13個缺陷,其中有1.08個高危缺陷。

用安全體系將網絡攻擊的概率降到萬分之一

齊向東表示，傳統(tǒng)的殺毒、木馬檢測、防火墻等技術，解決是通用的系統(tǒng)和軟件安全，常常用誤報率和漏報率來衡量，這種方式無法解決工業(yè)互聯(lián)網面臨的安全問題。所以，要創(chuàng)新網絡安全技術，將安全和工業(yè)生產深度融合，提高工控系統(tǒng)的免疫力。從網絡、身份、應用、數(shù)據(jù)和行為五個層面，將威脅層層過濾，把網絡攻擊的概率降低到萬分之一，真正實現(xiàn)內生安全。

如何在具體的業(yè)務場景下，實現(xiàn)工業(yè)互聯(lián)網的內生安全，尤其是解決供應鏈安全問題?在數(shù)字中國峰會上，奇安信集團總裁吳云坤給出了具體的方案，即“依托內生安全框架，從系統(tǒng)觀念出發(fā)考慮供應鏈安全問題，從工業(yè)軟件、工業(yè)互聯(lián)網視角，以系統(tǒng)工程方法論結合內生安全理念，構建包括工業(yè)軟件在內的工業(yè)信息系統(tǒng)整體防護體系。”

吳云坤表示，奇安信基于長期的網絡安全實踐提出了內生安全框架，以系統(tǒng)工程方法論結合內生安全理念，用“十大工程五大任務”建動態(tài)綜合的網絡安全防御體系，讓網絡安全從局部整改外掛式建設模式轉向安全與工業(yè)信息系統(tǒng)深度融合體系化建設模式。

其中，針對工業(yè)互聯(lián)網安全解構了九大重點任務，可全面覆蓋工業(yè)生產網絡的各層面，包括：調整優(yōu)化工控網絡架構、增強工控主機安全防護、建立工業(yè)互聯(lián)網平臺防護體系、建立工控網絡安全監(jiān)測體系、建立工控網絡縱深防御體系、建設工控遠程訪問安全接入點、建設工業(yè)安全態(tài)勢感知平臺、建設工業(yè)互聯(lián)網安全接入點、建設工控安全仿真驗證平臺。

吳云坤表示，在九大重點任務基礎上，奇安信融合軟件空間測繪能力、源代碼成分風險分析技術能力、源代碼安全缺陷及后門分析能力以及聯(lián)網設備成分風險分析，設計開發(fā)可一個軟件供應鏈生命周期安全解決方案，在整個軟件生命周期融入安全培訓、安全需求評估、安全設計、安全開發(fā)、安全測試、安全部署運行、安全使用等八大流程和措施，來保障軟件從開發(fā)、交付到應用的全過程、全生命周期安全，在監(jiān)管側和企業(yè)側同步實現(xiàn)供應鏈安全。

據(jù)悉，奇安信不僅承擔了工信部工業(yè)互聯(lián)網創(chuàng)新發(fā)展工程中的工業(yè)軟件源代碼漏洞檢測工具項目，同時已為北京冬奧會整個應用系統(tǒng)進行全生命周期的安全管理。此外，在重慶早已布局奇安信工業(yè)互聯(lián)網網絡安全西部中心總部，并協(xié)助比亞迪、航天云網等多家工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺進行安全護航。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）