工联网消息(IItime) 中国“新基建”已按下了快进键，该如何保证其中的工业互联网安全？

5月14日，在工业控制系统信息安全产业联盟主办的2020工业安全大会（ICSISIA青年科技论坛）上，360工业互联网安全实验室主任、工业互联网产业联盟安全组轮值主席张建新表示，建立全局感知，是实现工业互联网安全的先决条件。

4月20日，国家发改委明确了新型基础设施的范围，主要包括三个方面内容，分别为信息基础设施、融合基础设施、创新基础设施。

其中，信息基础设施，主要是指基于新一代信息技术演化生成的基础设施，比如，以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施，以人工智能、云计算、区块链等为代表的新技术基础设施，以数据中心、智能计算中心为代表的算力基础设施等。

对于新基建中的工业互联网，张建新认为，它是新一代信息技术与工业深度融合的全新生态和应用模式，通过人、机、物的全面互联，实现全要素、全产业链、全价值链的全面连接。

“设备互联可让制造商从车间、供应链获得持续的数据流，以提升整体运营效率。但如果没有有效防护，就会带来很大隐患。”张建新说。

据工业互联网产业联盟预计，2020年，中国工业互联网产业经济总体规模分将达3.1万亿元，同比增长47.9%。

张建新称，工业互联网连接着如此庞大的人员、设备机器和网络，安全问题牵一发而动全身，广泛涉及到能源、制造、交通、电子、通信等诸多重要的行业和领域。

张建新认为，日前发生的委内瑞拉电网事件，说明工业互联网已成为恶意软件攻击的重要目标，安全形势不容乐观。

5月5日，委内瑞拉国家电网干线遭到严重攻击，除首都加拉加斯之外，11州府发生大规模停电。

类似的网络安全事件近年来时有发生。

去年12月4日，IBM发布的 X-Force威胁情报指数报告，披露了伊朗黑客针对工业领域开发的新型恶意软件ZeroCleare。这个软件以最大限度删除感染设备的数据为目标，主要瞄准中东的能源和工业部门。报告披露时，已有1400台设备遭感染。

“这个事件很容易让大家想起，2012年首现、2018年才活跃的同类软件Shamoon。“张建新说，这一软件主要攻击沙特国家石油公司（下称沙特阿美）。

Shamoon曾在2012年破坏性清除了沙特阿美3.5万台计算机数据，致其石油业务停摆数周。它也被业界公认是最危险的恶意软件之一。

2019年3月22日，全球铝业巨头挪威海德鲁（Norsk Hydro）发布公告称，旗下多家工厂受到一款名为Locker Goga勒索病毒的攻击，数条自动化生产线被迫停运。

Locker Goga先是感染了海德鲁美国分公司的部分办公终端，随后快速传染到全球的内部业务网络中，导致该公司业务网络宕机，损失超过4000万美元。

张建新称，2019年，破坏性网络的攻击数量激增200%以上，说明破坏性软件处于急速爆发阶段。

“低廉的攻击代价和高危的攻击结果，让破坏性的攻击逐渐泛化，越来越多拥有国家支持背景的黑客和组织，开始利用破坏性攻击，袭击能源、工业控制、金融等重要关键领域。”张建新说。

张建新认为，由上述案例可以看出，工业互联网的安全生态发生了很大变化，攻击者越来越专业化、组织化，攻击行为也在不断升级。

“互联网和工业的深度融合，导致针对互联网的威胁也渗透到了工业领域，网络攻击可以达到生产一线。”张建新称，互联互通的实现，在提升了传统制造转型升级的同时，也打破了传统工业相对封闭的生产环境，导致攻击路径大大增加，网络安全已经从“信息安全”进入“大安全”时代。

他认为，以封堵为主的常规防御，已无法适应数据在多个系统、产品、业务环节中频繁快速地流转，以及为了业务协同在不同组织间流转的安全需求，也无法应对越来越复杂的安全形势。

张建新称，工业互联网领域处于完全不对等的攻防对抗状态，攻击者只要找到整体中的一个突破口，整个防御体系都会受到很大威胁。

随着工业互联网的发展，接入工业互联网的终端、平台、应用、数据会巨量增长，架构在数据技术上的工业互联网漏洞也呈几何级增长。

封堵的方式不可能做到完全防护。就像接种疫苗，只能起到针对性防护，面对新型威胁则无能为力，甚至无法做到及时探测，只有在大规模爆发后才能被发现。

张建新称，比如上述海德鲁铝厂遇到问题时，采取了隔离传染设备的方式，来抑制病毒进一步爆发，很像新冠病毒疫情期间，要求人们居家隔离和戴口罩。

但由于不清楚病毒的传播途径和整体感染情况，在恢复生产时，海德鲁铝厂面临巨大困难。“他们甚至不确定，是否完全清除了所有的感染源、是否还有病毒在机器里潜伏。”张建新说。

“在常规防御里，我们必须依托全局感知。”张建新称，建立全局感知，通过大数据分析，和历史数据作对比，可以在安全问题没有完全爆发时，及早发现问题，并进行应急响应。

张建新称，在应急响应的流程，全局感知也是必不可少的环节。

传统的思路是碎片化解决问题，从各个设备中收集日志（log)，从而发现并解决问题。

“但在很多log中，很难看出恶意攻击事件的本身，收集到的log也不完整。”张建新说，这种用规则对抗APT的做法，是完全看不到APT发生的。

APT，指的是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。

“一个APT在企业网络横向移动和进攻时，往往只暴露一部分，无法用已有的数据进行溯源。”张建新说。

因此，收集日志变成了产品层面的堆砌。“就像盲人摸象，看到的东西是片面的，很可能无法判断攻击行为的发生。”张建新称，很多企业在本地部署云平台时，设置了一个本地化“大脑”，以用于采集全企业数据。

“即使该企业的数据全部采集到了，分析能力还是极为有限，因为企业有可能只是整个攻击链条中的一个环节。”张建新说。

用大数据加人工智能和专家体系的方式，则完全不一样。

张建新称，这就好比某公安局本地数据库里存有通缉犯名单，如果和整个公安部的犯罪记录库连在一起，那侦破能力就能得到极大加强。

“这不是否定常规防护的必要性，而是要在其之上建立更高更全的防控方案。”张建新指出，最重要的突破是建立云端“大脑”，通过云端“大脑”向下赋能，使本地分析能力能够得以加强，并将信息输送到云端，和云端进行对比。