安博通谈工业互联网安全：风起于青萍之末

随着全球及我国的工业互联网产业发展，带来了新的机遇，也带来新的挑战，在安全领域体现尤为明显，无论是信息安全领域还是工控安全领域。随着工业与互联网，即OT 与IT的融合，网络战从原来的通过人、导弹，到未来的通过网络虚拟空间摧毁实体空间。

工业信息安全是工业生产安全和网络空间安全相融合的领域 ，包含了工业数字化、网络化、智能化运行过程中的各个要素、各个环节的安全，主要体现为工业控制系统安全、工业网络安全、工业大数据安全、工业云安全、工业电子商务安全、工业APP安全等。

全球的工业信息安全产业 发展，根据工信部提供的数据，市场规模保持稳定增长，预计2017年138亿美元，到2023年达228亿美元。 其中终端安全约占47%，网络安全占33%，其他(应用安全、云安全等) 占20%。

其中安全技术也在这个风起清萍之末的时机持续升级，诸如安全可视化、态势感知、积极防御等技术 均随着全球工业信息安全产业的发展得到了科研界、产业界的关注。

我国在全球的大浪潮中，不甘示弱，国家的政策法规充分利于行业发展。如： 2015年5月 中国制造2025，2016年5月 关于深化制造业与互联网融合发展的指导意见，2016年11月 网络安全法，2016年12月 国家网络空间安全战略， 2017年11月 深化“ 互联网+ 先进制造业“ 发展工业互联网的指导意见，2017年12月 工业控制系统信息安全行动计划(2018-2020年)， 2018年 6月 工业互联网发展行动计划。

我国工业信息安全产业规模高速发展 ，细分行业覆盖政府、电信、金融、教育、工业等。行业格局有所调整，地方政府投入显著提升 2017年达1.79亿元 ，电力行业 2017年达1.43亿元，石油石化达1.16亿。

随着工业互联网产业联盟的建立，我国工业互联网的顶层架构已经具备。

企业参与工业信息安全业务也持续增长 ，据工业信息安全产业联盟数据统计，国内有138家企业涉足。

根据工业企业调研，80%企业认为安全投入应占工业互联网投入的5%-20%。大约8亿的市场空间。

工业互联网安全之挑战： 跬步千里

提到工业互联网，离不开智能制造这个概念，严格说来，中国符合智能制造的企业大约只有5%。 走在前沿的企业，如海尔已经开发了海安盾，赋能海尔工业互联网平台，基于零信任安全，重新定义工业互联网安全，每天预警和阻断互联网攻击10万次。

德国已经提出工业4.0的概念，但我国很多工业企业还没有达到工业3.0，工业化发展水平参差不齐，因此智能制造要解决五大难题：安全生产、环保、节能降耗、提升质量、降本增效。

不积跬步无以至千里，智能制造，安全为先 ，包括 safety+ security。工业企业关心的不是数据，而是生产。 我们可以理解工业信息安全为三个方面：终端数据安全(仪器仪表、传感器数据等)、网络安全、数据中心信息安全。

在大多数的工业企业，我们还在建立基础的层层防御的级别：

1、多层次防火墙安全防护架构

2、应用层防护

3、内容加密等

4、以服务为核心建立智能运维中心

这个层层防御还仍然是网络安全 范畴，对于工业企业还关心工业控制安全 。传统上，这是两个独立领域，随着工业互联网产业的发展，对于两个领域安全的融合提出了新的挑战。

工业互联网安全之迷思：道阻且长

工控安全对于我们广大网络安全领域的厂商还是新的课题。我们可以以社会治安为比喻，在工业互联网产业中也存在工业控制治安。信息化的控制系统一切行为和风险都反映在运行数据中。

按照中控集团创始人、宁波工业互联网研究院创始人褚健老师的观点，工业信息安全包括三个层次： 虚拟网络空间如同水上，水面主机屏幕安全，水下控制系统等硬件系统的安全。

如何统一这三个层次?这里存在很多矛盾和难点，比如： 安全和控制系统之间的矛盾?不同安全产品之间的矛盾?工业生产企业顾虑安全实施是否带来更多的风险?安全投入成本问题?缺少工控安全普遍运行规则?工控系统私有协议问题?等等。

2018年8月3日的台积电勒索停产事件，台湾三个工厂出问题，损失近2亿美元，让我们看到工业互联网安全问题的迫切性。数据是核心，网络是基础，安全是前提。

Gartner IT-OT自适应安全架构给了我们一些基础参考，但在此基础上如何建立IT-OT一体化的自适应防护架构，仍然是一个问题。对于工业企业而言，工业互联网安全治理是一个长期的过程，需要充分考虑近期、中期、长期目标;需要战略投入和战术实施。

对于每一个从事网络安全的企业，也提出了新的挑战，如何针对性的提出满足工业互联网企业的网络安全方案，并和工控安全相结合，，从而更精准的满足工业企业的安全需求。

工业互联网安全之新星 ： 流量可视化

安博通针对工业互联网的需求 ， 推出新一代流量可视化产品 ， 满足工业互联网领域以下三种典型场景的应用 。

1、配合安全产品/态势感知平台

• 僵尸网络分析：结合域名、应用行为等信息进行DGA分析。

• 沙箱系统联动：上传文件/文件MD5等消息。

• 威胁情报系统联动：上送IP/URL等信息匹配信誉库。

• 报文抓取：分析攻击行为时，调取特定条件的报文。

• 会话抓取：分析攻击行为时，调取特定的会话。

• 流量趋势抓取：分析攻击行为时，调取特定的流量趋势。

• 按需上报：将提取的报头/载荷/特定协议和应用信息上报。

2、 性能方向

业务方向

• NPM：时延、重传、RTT分析、抖动…

• APM：应用性能分析、应用和网络的边界。

针对的用户特征

• 存在带宽利用率检查需求，例如广域网专线。

• 业务复杂系统，经常变化，需要通过流量层面核查。

• 网络/应用性能存在问题，但边界界定不清。

• 存在流量调度需求，以采集到的性能数据作为依据。

• 需要分析网络中流量成分，协议、应用层面。

• 行业客户定制倾向明显。

3、内网可视化分析和追溯方向

业务方向

• 分析内网有哪些应用在跑，流量分布如何。

• 分析特定业务的用户/区域/时间使用情况分布，热度和趋势等。

• 分析特殊场景的流量情况，例如视频监控。

• 追溯需求，全包存储。

针对的用户特征

• 大型企业行业网，内网应用数量较多，使用情况比较复杂。

• 网络连通性、冗余性已经没有问题，但对流量应用不清晰。

• 公共安全行业调查取证类需求。

关于安博通

北京安博通科技股份有限公司(简称“安博通”)，成立于2011年，以“看透安全，体验价值”理念为核心，是国内领先的可视化网络安全专用核心系统产品与安全服务提供商。其自主研发的SPOS可视化网络安全系统套件，已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统平台，是国内众多部委与央企安全态势感知平台的核心组件与数据来源。