2018-02-01 17:00
彭卓:各位领导、各位嘉宾大家下午好。我非常荣幸今天给大家分享,我们作为一个跨行业的工业互联网平台的角度,来跟大家分享我们的安全是怎么做的,这是一个我们也很苦恼,包括我们2016年想这个事的时候,当时也是到处看人家的对标,所以我们这次简单地介绍一下。首先介绍一下根云平台,根云平台是2016年成立的,但是我们早在2008、2009年的时候就在三一集团内部跟三一重工的工程机械车辆做了物联网,我们刚开始从2008、2009年的第一个版本,我们工程车辆是高价值的设备,出售之后没有办法去一次性回款。为了保证每个月的按揭回款,我们就找了一个工程远程解锁,这是为了保证我们在外汇款的安全问题。所以我们当时做了这个事情,在我们的混凝土的车,还有挖掘机上做了这些事。
到了2012、2013年的时候,那个时候建筑业的高潮退潮了,我们做了第二版的升级,做了一个从20多个车辆上面,监控了近5千个参数,把我们的监控点扩展到了更多的领域,包括油压、油温转速,包括地理位置、工时、开机时间等等的东西,比如我们的挖掘机上有了接近70个参数,那个时候就开始扩张,把传感器检测得更多一些,主要是为了方便我们做售后服务。因为那个时候国产的车辆或者工程机械装备并不能说质量很好,跟国外的比我们是有很大差距的。但是我们有一个很好的售后服务体系,比如说卡特的挖掘机坏了,他修一下要两个月,对工程机械行业是非常大的损失。所以我们三一当时的挖掘机可能坏的频次比较高,但是我们会很快地把备件提前运送到你的施工地点,所以我们能够很快提前地做这个事情,甚至是预测性的维护,我们知道这个部件工作了200、300个小时就到了预损期,我们会提前把这个部件定制好。那时候重型装别的耗材是一级一测,备件不像汽车工业这么普遍。所以它需要提前定制,周期很长,所以我们提前把它预测好,在24小时的仓库里面就给你打电话,我们可以保养了。所以2012、2013年建立了很好的售后平台,导致了我们的市场在退潮期也是很高的。2016年做了第三个大版本的升级,把数据收集之后,不只做售后服务,还有研发质量的提升。2016年开始做保险、金融、融资租赁,特别是保险行业,我们三一也有九龙保险,也是国内的特种装备的保险台帐,然后我们可以元气地进行勘察,施工过程中出现的安全事故,车辆损失需要索赔的时候,我们的探勘人员很快就到达了。一个周期两三天去现场看完了之后拍照,然后定损,周期和成本很高。甚至我们还可以做到提前的预知天气的变化,去做预警,提醒他做好灾害的防护。这是过去的事情。
2012年我们成立之后,到2017年这一年多的时间,2018年接近两年的时间,我们在内化孵化成了互联网,输送到了其他的工业企业。我们现在已经接入的细分的行业有很多,有接近40个行业,我就不列举了,有100多个中小企业客户的设备已经接入到了我们的平台。我们是以机器为中心,连接相关的利益相关方,包括设备的运营商、生产厂商,包括服务提供商、售后服务提供商,包括一些金融机构解决方案,包括小的经销商,都可以以机器的纬度做智能连接的服务。每个行业的需求,对设备联网的需求是不太一样的,比如忙的时候可以做一些资产的转移租赁或者是代班,比如说新能源的装备风能,因为三一重能自己也有做风电设备的,我们也经营了一些工厂,可以提高这种风厂的经营效益。纺织器械方面,我们楼下展台有一个自动绣花机,我们跟大欧(音)合作,他是国内市场占有率最高的绣花机的上市公司,所以我们给他们做的更多的是花样办事以及生产现场的机件管理。我们提供的是端对端的产品解决方案,从机器、物联,到连接,到平台的PASS、数据的加工和数据工房、数据参考,包括我们的法律运用,以及我们的金融创新。包括我们的跟浙江银行签订了战略合作伙伴,做了一些供应链金融的创新。安全保障体系,我讲一下我们之前在三一的工厂里面遇到的现状问题,其实是一个尽量隔离,不愿意去面对。当前老旧的工业系统,其实三一在全国有20多个园区,厂房有大几十个,这个我没有统计过。但是以前这些工业系统在智能制造车间,在搭建的时候,有很多的历史遗留问题,比如当时建的时候没有安全的设计,除了现在的18号工厂,是国家智能制造的示范车间,包括其他的一些比较早期的工厂,其实是缺乏这些示范的效应和案例界限的,包括我们也缺乏工业系统的风险预警和处置的预案。
防护思路就是各层之间隔离隔离再隔离,包括内外网的隔离,生产控制层的隔离,管理层的隔离,都是物理隔离为主。同样,因为现在互联网+智能制造,虽然滞后了,所以问题就暴露了。第一是工控设备智能化,工业系统逐步开放性工业以太网的占比越来越大。第二,终端的被挟持了,利用终端本身的弱点,不光是伤害自己,有可能会伤害别人,这也是很大的风险特点。第三,我们的工业互联网不光是面对传统的IT的威胁,更多的现在已经是工业互联了,有了ICT的威胁,包括网络的攻击会造成物理伤害,这是我们现在所判断的工业信息安全的风险研究性,包括全球的事件,包括国内的,工业信息安全的威胁,至少在我们企业,包括我们平台服务的中小企业的现场勘探的话是非常严峻的。平台安全是重中之重,为什么这么说?网络平台安全三大功能体系,平台很重要,平台又涉及到边缘侧,还扩展到了不得不去迎接互联的时候。所以安全这一块这一个体系,尤其是在平的安全,它贯穿到了整个工业互联网。我们也积极响应落实了国家的安全法规和指南以及标准,尤其是近一年多十九大的精神,包括防护指南,包括网络安全法,现在逼着我们不得不强制的作这个事情,以前是觉得先关起来,不愿意去面对。现在我们觉得,这个事情已经是责任很大了,现在跟很多安全厂商和解决方案厂商去聊所面对的风险怎么解决的时候,我恨不得把他拉进来和我一起扛。不能说只是卖一个简单的产品给我,因为我考虑到安全是很长期的运营的过程,很多公司或者企业设备买回来或者安全防护设备买回来,系统买回来,防护墙买回来,可能只是通电而已。很多情况下没有那么多的全职人员做策略的升级、规则的维护,所以我们更多的来看,安全是长期基础的工作。
平台的威胁特点,我总结了几个,第一就是保护以前的资产安全,到现在的实体安全,这是工业互联网的一个重要的特征,以前就是电脑数据被黑了,我们可能心会痛一下,数据丢了。但是实际上,在这个时代我的感觉就是虽然我每年会备份我的电脑资料,但是我细想一下我半年前的资料我都没看过,或者两年前三年前的资料我没有翻过,现在是信息爆炸的状态,每天的信息看不完,或者是手巾上的待阅的邮件或者是微信,我很少翻一年前的数据。所以说,个人的感觉传统的资产数据被黑了之后会很遗憾,但是如果说是资产实体安全,你开车的时候车被劫持了,这个时候给你带来的痛苦会更多,这是一个与传统互联网安全很大的跨越。也就是说,消费者或者终端用户愿意为这个买单,现在让我买一个,可能我会觉得360的也好了,为什么?因为便宜,或者不掏钱。我买一个海尔的冰箱,为什么比别人的贵?因为安全。但是我买车的时候,车联网的安全我会非常慎重考虑,因为考虑这个车辆给我带来的驾驶之中的人身威胁。第二就是传统的网络威胁延展到了产业应用,各种产业,包括我们说的汽车后市场,包括我们说的工程的不管是铸造厂还是缝纫机厂,还是食品加工厂,包括我们的传统的五金结构厂,产业应用所面临的安全的诉求也不一样了。比如我们传统的外部安全,感觉我们玩得套路已经很多了,无非就是由以前的版本掉下来了,其实还是常规的风险,包括防御、攻击。但是现在变成了多纬的,从网络安全到不同的产业应用里面,它的功能安全上面的一个防护的特点是不一样的。
第三就是传统的工业网络结构天生就没有考虑安全这一块,比如说它对强电磁干扰,实时性,工业系统的实时性,对这一块就忽略了,现在又要去做安全的时候是一个很痛苦的事情。第三就是这些传统的设备厂商,包括五莲接入厂商,他做物联网端、设备,其实是抢市场,成本或者技术效率更多的是这个,他少于做安全的事情,其实安全是被忽视的。包括有一个设备,有一个工厂做的时候还会留后门,感觉自己会用,但是自己没有利用起来,被黑客利用了,也是一个很大的风险。还有就是终端的脆弱性,个体的脆弱性会被CTS网络无限放大,有可能一台设备他是一个非常计算性能比较弱的,但是他有1千万点连接起来产生了攻击,这个攻击会成几何的增长。包括这个设备是动态的、循环反馈的,包括人机互动,这些东西都会考虑到。设备感知层、网络层、平台层,我就不说了,特别是接口,还有固定的密码,包括调试的命令。我对标了国外的几个知名的平台,他有他的一个安全的特点,我就不说名字了,大家基本上可以了解一下。其中美国的这个平台在上层做得非常好,包括监管,包括有效性,包括隐私做得非常好,还有标准,有他自己的安全系统。德国的这个平台,他是一个更注重工业现场的,工业安全做得非常好,满足了一些国家的标准。
我列举的这些对标之后,我得出来我们要做的十个功能点,我们在安全需求上,目标其实是构建多层次的端对端的安全保障体系,从三个视角,第一个视角就是我们要从组建者到创建者,系统创建者和用户这三个角度来构建安全,这三个角度简而言之就是从原材料商到建筑商和开发商,包括用户,包括维护者,比如说物业,这几个角度全部要考虑安全,比如盖一栋大楼,从原材料到施工,到物业,包括我们安全的使用,四层面这块我们要从云、管、端三个概念,然后再加一个设备的全生命周期的管理,包括设备初始化,怎么给他发凌派,最后设备的服役周期,他的周期是8到10年,设备发出去之后没有人上门给他做维护,因为维护成本太高了,所以我们通过轻量级的软件的方式去用它。五领域就是我们的标准体系经常提到的设备安全、控制安全、网络安全、平台安全和数据安全,安全组织我们内部也成立了专业的安全机构,或者是我们的专职机构,我们现在的安全团队比三一集团的人员还要多,为什么?因为我重视这一块,现在要加强物联网的安全能力了,包括安全规划、威胁建模、策略导入、预估评测、风险跟踪,我们也成立了公司级的高层管理者参与的突发事件的应急响应机制,这个设计原则我就不一一列举了,我们对这个平台设计的一些理念,如果要发的话这个时间就比较长了。总体而言,我们更重视端测这一块,利用端侧的边缘计算来实现安全。
我们的防御体系,当时的落脚点就是采取了三个措施,尤其是端测我们提出了分级的适度防御,不要过度防御,因为现在比较乱的话做过度防御是不现实的,而且成本也比较高,特别是我们非军用的设备,民用设备更讲的是效率,安全是适度的,又是比较弹性的,可以滑动的,如果我们牺牲一些性能,可以弹性滑动的话也是可以的。当然,高性能的设备我们还是可以加一些TEE或者TKMs芯片级的加密或者加固。这是我们的一些安全的功能体系,上面是云端,我们对平台云这一块的安全的功能设计,下面是我们对端侧的插件的安全设计。设备名生命周期管理我们接借鉴的是DPRR这样的纬度做了各种测试,也借鉴了J3061和26262的标准,因为我们是工程车,所以版本会简单一些,但是我们也实现了一点。PKI可以说是很成熟的互联网安全的健全的体系,以及证书分发体系,所以我们受限要选取性能根源,设备安全与否,无论它做的安全功能,首先有一个性能根源,以前我们更多的是硬件芯片这一块,但是我们觉得在民用做芯片太重了,我们就做PKI的证书,1KB、2KB的下发下去。包括有些设备做弹性的,可以更新的证书,我们从安全介入的证书,安全部件更新的证书,包这个证书用来签名进程,包括保护,都是通过证书来实现的。同样,维护这个证书的时候我们要建立很多的RSE,CI和RA,包括设备初始化注册的时候怎么做角色的管理,也引进了一些4A的管理体系。第二个场景就是远程控制,我们原始最简单的就是解锁机,所以我们当时做的比较重一些,在设备上做了指令加密服务,利用的是设备本身的通信模块的加密芯片,把它放进去,把我们的证书和加密算法放到芯片里安全存储,两端进行对频,保证我们的指令是安全的,因为我们的指令不是自动除法的,是后台人工做的,我们不是突然让这个设备不能用的,这会导致生产事故,所以我们有一个过度的过程。一级可能就是0.5倍速度,你会用得很不爽,生产效率就低了。二级的是第二天开不了机,但是当天还可以动。我们有专门的TSP的远程指令控制的平台。
第三就是我们支持安全的交互上云,这是我们的中间键或者是我们自己研发的产品,我号召广大中小企业或者是设备商可以用我们的中间键,我们支持Modbus、TCP、OPCDA、OPC大家熟悉自动化领域的OPC有天生的安全风险,要上云不容易,我们传完数据以后要关门,要保护起来,要避免存在,本身存在安全漏洞的工业协议,他们恢复原来的安全状态,所以我们这已经是包括我们做了很多的安全工作,包括线程、进程三级可靠运行保护,包括我们的数据的读写的权限的健全,弥补了80多个问题,还有一些OBC的问题,比如我们可以做白名单的保护控制,包括我们的三级用户的权限反映与审计的问题,还有我们的数据完整性,我们支持证书加密,我们用这些措施来保证工业协议、组网的设备,现有既有的工业设备快速安全,应用我们的中间键,10分钟设备上云。
挑战方面,我们现在新型的风险不断涌现,尤其是工业勒索软件,包括我们的僵尸网络,还有量子计算,量子计算会对我们的传统平台体系有挑战的特别是加密解密、破解的速度会更快。我们的人工智能的自动化的算法,当然我们用得好就好了,用得不好会存在偏见,算错了怎么办?这是我们要干预的包括传感器的漏洞,他走的更多的是红外,有可能就是进去以后装了一个心脏的起搏器,我可能不用跨进去就把你损坏了,这是传统的传感器的风险。这是新的风险,还包括硬件虚拟化,现在做安全的时候很头疼,因为要花钱。这是一个成本的事情,但是随着计算性能与硬件的成本降低,可以把原来分别处于两个不同载体上的硬件融合在一起,通过虚拟化融合在一起。但是安全的技术就来了,融合在一起以后我们要做安全的工作,以前两个介入版现在合成一个,你拿50块钱做安全?这是安全行业的成长机会。主要是两个点,一个是落实主体作为,提升安全保障能力,前面讲过更多的持续地加大攻防,以及漏洞发现、安全审计、可信认证等技术系统布局,以及构建我们的安全实验平台,和打造我们的安全实验区。也呼吁更多的一些安全解决方案厂商,能够和我们一起来给三一,给云平台上的租户做好安全的防御工作解决方案。保障安全是一个定制化的工程,不是一个简单的安全产品的堆砌,超过了就可以了,需要很强的定制性。以及它有一些跨界跨行业的碰撞,传统的网络安全到了业务功能安全,以及它针对这些以前的安全技术、安全,要在OT环境下做一些调整和适配,有很多的工作。所以它不是一个大而全的一个产品就可以通杀的解决方案。所以我们希望我们有更权威的规范的机构和根据不同工业的安全解决方案一起结合,一起去推动中国的工业互联网安全的快速弥补差距的步伐,谢谢大家!