協同聯動，共建安全+工業互聯網命運共同體

□ 文齊向東

關注

協同聯動，共建安全+工業互聯網命運共同體

□ 文齊向東

現在全世界都在關注人工智能，也在關注正在進行的第四次工業革命，德國叫工業4.0，美國叫智能制造，中國推出了中國制造2025。其實我更喜歡用工業互聯網這個詞，因為它更容易理解，也更能夠揭示未來我們所面臨的時代本質。互聯網在之前的20年發展風起云涌，互聯網的背后是人，所以互聯網所面臨的網絡安全和黑客攻擊會導致我們的隱私丟失或者財產損失。工業互聯網的背后是自動生產線、是控制系統，是汽車、是老百姓每天衣食住行的各種東西，所以工業互聯網一旦出現漏洞、遭受攻擊，可能會導致流水線停斷、控制失靈，我們的汽車可能出現事故，可能導致車毀人亡。從這意義上來說，工業互聯網的安全比起面向大眾服務的消費互聯網更加重要。

“安全是發展的前提，發展是安全的保障，安全和發展要同步推進”。第一，現在越來越多的工業互聯網暴露在互聯網上，也就是越來越多的工業系統暴露在工業網上。工業越發達的國家，這種暴露的程度就越嚴重。最近360公司和東北大學工業控制實驗室聯合做了一次全網的調查，我們掃描了部分互聯網的網絡，發現在全球有77700多個工業控制系統和控制協議暴露在互聯網上。這樣的系統如果一旦出現漏洞，遭受網絡攻擊的后果就是會影響我們的生產安全，或者影響我們的產品安全。

經過我們的安全檢查發現，這里面的絕大多數站點就是暴露的工業控制系統，它是有安全漏洞的。在暴露的這些站點里面，幾乎涵蓋了所有工業控制系統里面的協議，包括采用S7協議的西門子系統、施耐德系統，從離散控制系統到連續控制系統都有。所以這些系統一旦被操控即被遠程操控，就可能會引發災難性的后果。

第二，從工業互聯網發展的趨勢上來看，工業系統在互聯上的暴露會從常態化走向標準化。這樣的一種暴露會給工業控制系統帶來不安全，但讓工業和互聯網隔離是不現實的。我國在提出工業互聯網的四個應用場景里面就包括了智能生產、網絡化協同、個性化定制和服務化延伸。其中網絡化的協同、個性化定制和服務化延伸天然地和互聯網融為一體。智能化制造目前大體可以分為兩類，一類是和互聯網不連接，一類是和互聯網連接。即使是不連接互聯網的智能化制造也得需要監控的網絡連接、和工廠管理系統即IT系統相連接，實際本質上就是通過各種各樣的迂回途徑還是連接在互聯網上。這四個應用的系統需要連接在一起，也可以認為智能制造實際上變相地連接在互聯網上。

要想實現一個工業系統的智慧，離開一個強大的有計算能力的云是做不到的。不管是產品終端還是流水線，連接云的方法只能通過互聯網。比如賣出去的卡車、挖掘機，為了實現其更大的智能那就只能把它變成物聯網的設備或者車聯網的設備。所以在這些系統當中，從網絡層上來看，它一定是把IT（信息技術）網絡和OT（運營技術）網絡連接在一起，才能夠實現未來工業互聯網一個美好的前景。從邏輯層上來看，都是把控制的操作系統通過中間的這些網絡來連接在IT系統上。

第三，暴露在工業互聯網上的安全隱患巨大，安全現狀還是令人擔憂。來自360補貼漏洞的報告：工業互聯網聯盟82家聯盟內的企業，其中有28.5%都出現過漏洞，超過23%的漏洞都是高危漏洞，遭遇網絡攻堅的風險非常大。這些漏洞還僅僅是所有漏洞的一部分，因為這些漏洞的發現方式是通過補添平臺的白帽子，主動發現、主動上傳給360平臺。并且這些漏洞僅針對工業互聯網的應用站點，不包括對應用站點后面的系統進行深度掃描，因為深度掃描需要客戶的授權。

卡巴斯基去年掃描了全球170個國家和地區的近20萬套ICS工業控制系統，其中92%都存在安全漏洞，有遭遇黑客攻擊、接管甚至破壞設備正常運行的風險。2015年12月，黑客利用BlackEnergy等相關惡意代碼攻擊工具侵入了烏克蘭一家電力系統，導致7個110KV的變電站和23個35KV的變電站出現故障；同樣是一年之后，2016年12月，黑客組織對烏克蘭另一家電力公司網絡進行攻擊，攻擊方法為數據篡改，也導致了這家電力公司部分地區的停電；2016年4月，德國核電站負責燃料裝卸的系統被黑客控制，盡管黑客沒有進行破壞性的操作，但是核電站的工作人員為了保證核電站的安全，不得已臨時關閉了核電站。所以通過智能生產和互聯網隔離這種方式解決安全的問題，是不成立的。

工業互聯網帶領我們進入一個人工智能的時代，給我們帶來了非常美好生活的同時，可能因為存在的安全問題，也給我們帶來了很大的困擾。所以我們在發展工業互聯網的同時，一定要解決或者優先來解決可能存在的問題。以下對工業互聯網安全治理提出六條建議和措施：

第一、提高安全意識。將工業互聯網的安全上升到最高級。例如一個智能的汽車一旦出現問題，可能會導致相應的工廠倒閉。因此，讓安全成為工業互聯網的前提，成為頂層設計。

第二、全面提高工業互聯網安全感知能力。一個網絡攻擊者可能不單純攻擊某個國家的網絡，網絡攻擊是全球，我們要提高對全球的網絡安全態勢和感知能力，防患于未然。

第三、建立跨越物理世界、商業世界的操作網絡和信息網絡。就是建立OT和AT一體化防御體系，不能把AT和OT網絡安全隔離對待。

第四、建立工業互聯網安全運營分析中心，對工業互聯網里面的數據進行全流量的收集。用大數據的技術進行分析，解決以大數據為核心的工業互聯網安全問題。

第五、重點保障關鍵技術設施的安全。很多工業互聯網的企業都在為民生提供服務，即關鍵技術設施，所以有更大的概率會遭受定向攻擊，需要重點防御。

第六、協同防御，共建安全+工業互聯網聯合共同體。去年360公司在2016中國互聯網安全大會上提出了聯動體系，通過數據協同、智能協同、產業協同建立安全生態，得到了全球安全行業的響應。所以工業互聯網產業聯盟可以通過提供基礎的安全服務，建立共同的聯盟協同機制，維護整個工業互聯網的安全水平。360作為聯盟安全組的組長單位，在聯盟的領導下，將支持聯盟來建立服務于全國工業互聯網的安全態勢和預警平臺，為聯盟提供服務，也將聯合聯盟安全組的全體成員共同為工業互聯網保駕護航，提供安全服務。■

（作者系360企業安全集團董事長兼CEO）