2019-02-22 11:15

　　非常有幸来跟大家分享一下我们对工业互联网安全体系建设的具体实践，前面各位嘉宾对体系的整个架构等等做了非常详细的阐述，我这边来给出一些数据，再给出一些我们具体的实践。数据方面我们因为是安全组，同时我们还组织过很多会议，所以我们在不断地搜集业内的动态。这些数据是搜集了大概400个工业互联网的企业，经过筛选得到200个左右的数据样本，先用最快的速度给大家分享一下。

　　我们先对现在整体的工业互联网安全现状先有一个概览，首先是漏洞，工业漏洞今年达到442个，去年才351个，这个数量是一个创历史新高。而在这里面高危漏洞达到了53%以上，超过一半是高危漏洞。在这里面漏洞又分布在哪些行业？30.6%的漏洞分布在制造行业，可见这跟我们工业互联网是极其相关的。

　　具体来看现在的事件是层出不穷的，我们来看看国内的事件，这些事件都是我们直接到现场处置的，包括2017年5月一个汽车的模具厂，2018年年产值50亿的钢板厂，还有国内很有名的好几个钢厂的勒索病毒事件，还有国内的关键IC厂的勒索+挖矿的事件。

　　这里面有一个共性的问题主要都是永恒之蓝和永恒之蓝的变种，它主要攻击多是工业主机。再看我们国家的安全体系其实是加速推进，咱们国家出台一系列的安全指南法规，这一块我们推进的还算是快的。

　　再来看看数据，我们在调研时发现61%，有50%要大大加大投入，其中有28%的企业说我要加大投入，所以大家对加大投入是一个共识，并且66.7%的企业认为应该在多大范围内投入？应该是工业互联网安全投入的6-10%，这已经趋近于国际的企业了。

　　大家对工业互联网防护产品的需求原来都是老三样，现在来看大家趋势是多样化的，开始从业务的安全保障方面来考虑，对安全监测类、服务类、评估类的要求也多了，28.8%的企业愿意购买服务，27.9%的企业愿意工业企业跟安全企业深度合作来做这样的事情。

　　再看企业对自身安全风险的感知是怎样的？调研发现53%的企业说我没遇上过设备故障停产，但是70%的企业认为我没发生过网络安全问题，很多可能会被企业认为是生产的问题，但是跟网络安全，跟信息安全没有关系。所以我们来看是什么原因导致安全建设是阻碍的？其中重要的原因一是看不到明显收益，二是人才匮乏，但现在我们在调研过程中发现其实很多企业如果遭受过工业安全事件的时候，他觉得这些钱花的是非常值得，后面还有案例。后面我讲的这些案例在360的展台上大家可以看到系统化多演示。

　　分享一下360在安全防护体系建设上的一些思考和具体实践。

　　在安全体系上面360一直秉承着三位一体，即要有底层的安全监测防护，还要有安全运营以及上面的态势感知和管理，我们按照这个理念一直在践行。下面这张图我在很多场合多次来讲，中间要有企业，有地方级，有国家级，这一块是践行咱们部里面提出的整个监管体系，这个过程中我们在跟很多监管部门在交流的过程当中发现他们还是有些痛点的，他们的痛点是什么？家底摸不清，互联网上的无监测，安全态势难感知，事前无告警，事后来处理，这块就提出来他们的建设思路，要做到是突出重点、摸清家底、持续监测、预警通报、情报共享、支持经办，这是监管部门的，我们就相应的也提出来了一个监测平台应该具备的一些能力，包括发现、识别、监测、分析、预警，这是前面的发现这块，后面还有服务类的，怎么帮助企业，帮助这个事是目前比较难解决的，是通报、服务、检查、验证、共享，这个过程还要解决的一个问题就是企业为什么有动力把这些信息上报给监管机构，这是目前的状态。

　　后面还有介绍我们一个案例，在这块对于企业来讲他有什么问题？企业他在他的IT网的安全防护基本上做得已经非常不错了，但是在企业里面负责信息安全的这些团队几乎对模型从01到02这些层面没有可视化能力，工业自动化的主管部门大概知道网络怎么回事，但是作为安全管理的部门基本上不懂，或者看不清，所以这里面他是缺少可见性的，另外缺少监测能力，另外缺少及时的问题处置和解决的能力，这是工业企业的痛点。这块我们在座的过程中一般来说是这么做的，先要给他做资产梳理，保护对象都搞不清楚，很多企业甚至连自己准确的网络拓扑都拿不出来，还有他的资产数量也盘不清楚。然后再做安全的隔离、防护，安全的监测审计，还有管理和运营以及态势感知。

　　在这个过程中我们就提出了一套运营体系，这个体系昨天在邬院士的总结报告里面也有类似的说法，可以看到这里面要做好工业互联网的保护体系绝对不是一个单方面的，就是说监管方+企业方，他还有安全力量要进来，还要有工业自动化的原厂，只有他们才真的懂得他们的安全生产，或者工业生产的核心的要求，所以这部分一定是多方的力量要进来，同时还有监管部门，在这个过程中他的监测，他的事件报上去，报到监管部门或者报到服务平台，他一定是希望得到相应的服务，所以他上报之后监管部门可能会提供一些服务，提供安全服务的企业要形成协同的响应机制。在这里可能我们的监管机构还要提供一些城市公共的安全服务力量，这里包括整个工业互联网安全云防护还有本身的代码，APP的检测，第三方应急资源，整个以安全运营为中心，以业务服务为目标的一个体系。

　　这个过程中我们来看看两个例子

　　从工业企业的内网到工业企业的内部监测再到整个监测。比亚迪是国内非常优秀的企业，在2017年也遭受了勒索病毒，而且导致重要生产线，比如电池、汽车生产线受到严重影响，这块从2017年到现在我们一直在解决他的问题。这里解决的业内的一个不可能，就是认为工业的安全只能是外围加强，内部生产线是不能动什么的。但是各位注意，比亚迪37个园区里面的工业主机全部我们给他一起实施了17000点的工业组织防护，覆盖所有的园区，这件事在国内是应用规模最大的，也是突破了不可能，而且是非停产实施，就是说他现在是边停产我们边为他实施，中间比亚迪客户非常好，我们也有把他们生产线弄瘫的时候，但是他也有帮我们一起打磨，所以比亚迪能做得这么好是有他的优点和原因的。

　　另外一家企业就是海尔，他的COSMMPlat大家耳熟能详，他也是智能制造的标杆企业，但是内部如何来看到他的生产工厂里面的问题，我们帮他一起合作打磨了8个智能工厂的内网监测，这个监测我们知道了他的生产，知道他的漏洞以及里面的一些异常，所以有了这个才能知道怎么去采取相应的处理措施，这个是他们集团极力的打拼，这也是海安的安全防护的一部分。

　　再看城市级的监管是怎么做的，这个是我们给一个城市做的一个监测服务平台，我们上线不久发现他们41万IP里面有78家资产原来是不掌握的，还发现大量的漏洞，并且把这些漏洞通报给这个企业，在这个过程中我们整体评估给了他一个打分是中等，这个城市是国内重要的二线工业城市。

　　刚才说了这些，我们对于企业来开展工业互联网安全防护应该有个过程，方方面面全做资金效应都跟不上，怎么办？我们提出了战略推进的过程，它也是要一步一步做。最先做的是要让领导看到收益，所以要加强领导层的安全意识，第二要把他的工业自动化的人员意识纳进来，作人员培训，第三要进行工业端点的防护。刚才我分析了，近两年来最多的事件都是因为勒索病毒造成的停产，把它防护了就是解决了重大的问题。接下来是打破IT、OT的隔膜，一定要通过机构、战略还有流程来重新解决，做成监管一体化、操作模型一体化、策略框架一体化，建设和运营。最后进行模拟实战的渗透设施，然后还要部署最新的安全技术，持续评估现在的体系是不是完备的，最后是一个动态的过程，所以这里面大家可以看到首先要保证业务的连续性和弹性，第二是打破IT和OT的边界，这也是我们工业互联网一直会推进和融合的过程，另外要有新的数字和业务能力。

　　这里面就分为高优先级、中优先级、低优先级，他们是近期、中期、远期的过程。再说一下为什么要做工业防护？大家看工业互联网是IT和OT的融合，他们融合点，数据采集点经常会在L3各类工业主机上面，这些工业主机其实是我们通向工业互联网的未来之门，但实际上它又成为了黑客落地攻击的第一个要点，所以工业主机乃至整个企业内网防护的弱点，这一块一定要做好工业主机的防护。昨天我们也发布了这款产品。

　　最后再介绍一下我们也希望跟我们业内的这些工业企业，安全企业，自动化企业形成一个良性的合作，我们一起来为大家，为工业企业，工业互联网企业来服务。我的介绍就这些，感谢大家！