奇安信总裁吴云坤：工业网络安全要从局部整改模式升级为体系化规划建设

时间：2020-12-20 作者：奇安信

分享到：

12月20日，“之江杯”工业互联网内生安全防御国际精英挑战赛在杭州举行，在同期举行的工业网络安全高峰论坛上，奇安信总裁吴云坤发表了题为《新一代工业网络安全体系建设》的主题演讲，他提出，工业生产转型升级使得工业生产网络从封闭走向开放，工业网络面临更为严峻的安全挑战，需要将安全与工业信息网络系统融合，将“局部整改”的零散建设模式转变为体系化规划建设模式，以系统工程方法论来指导网络安全体系的规划、设计和建设工作，构建新一代网络安全框架体系。

随着5G、云计算、大数据等新技术在工业网络中的普及应用，工业环境中智能设备、工业应用、生产数据、系统运维都要与外网联通，新旧技术和系统融合，新旧问题交织，让工业网络面临着全新的挑战，吴云坤将其总结为四大挑战。

挑战一：新环境下的数据集中共享，加剧了数据泄露风险；

挑战二：工控系统漏洞数量多、级别高，存在极大风险；

挑战三：商业利益诉求和恐怖破坏目的交织，国家级攻击与网络犯罪交错，针对工业系统的攻击呈现多样性未知性特征，攻击理论和手段日臻成熟；

挑战四：工业生产场景的特殊性和工业控制网络系统普遍存在的基础脆弱性，造成了安全防护手段和运维缺失。

传统的局部整改的网络安全零散建设模式，是局部的、针对单点的，而不是彻底的和全面的，显然无法满足新型工业网络的安全需求，吴云坤认为需要将网络安全与工业网络信息系统融合，逐步升级转变为体系化规划建设模式，以系统工程方法论来指导网络安全体系的规划、设计和建设工作，构建新一代网络安全框架体系。

在演讲中，吴云坤基于奇安信在工业网络安全领域的大量实践，介绍了如何基于新一代网络安全框架建设工业网络安全防护体系。

其总体思路是面向工控网络内部、工控与IT网络边界、数据采集与运维、集团总部数据中心构建多层次、全面覆盖的安全能力，将能力“调用”到工业生产信息化体系当中，融合覆盖，同时全面掌握工业网络安全态势，保护工控生产运行安全。

而在这个过程中，首先要体系化梳理网络资产和拓扑结构，设计出所需的安全能力。

其次建设全面覆盖工业生产网各层面的安全体系，将安全能力嵌入到工业信息化系统的各层析。

最后通过安全与信息化技术聚合、数据聚合、人才聚合，构建一体化的协同运行能力，与工业信息化中的 IT运维、应用开发两大运行过程相协同。

吴云坤特别强调，人是安全的尺度，人的能力决定安全体系建设和运行的能力，所以保护工业网络安全需要大量的安全人才，尤其需要既懂业务又懂安全，既懂生产又懂大数据、人工智能等技术的复合型人才。

据悉，“之江杯”工业互联网内生安全防御国际精英挑战赛是由之江实验室举办的工业互联网内生安全防御国际精英挑战赛，以竞赛方式发掘网络安全顶尖人才，奇安信为本次比赛的工业场景攻防演习平台提供了技术支撑。

BCS2024

天守终端安全管理系统

企业动态