6月21日,在2019年中国工业信息安全大会期间,奇安信集团正式发布了针对工业场景打造的专用安全产品:奇安信网神工业控制安全网关系统(以下简称奇安信工业防火墙)和奇安信网神工业安全隔离与信息交换系统(以下简称奇安信工业网闸)。
近年来,随着两化融合的推进,工业互联网的浪潮逐渐开始显现,工业系统逐步由封闭走向开放,由孤立走向互联,与此同时,工业企业面临的网络安全威胁形势也日益严峻。
奇安信集团副总裁左英男在演讲中表示,在工业互联网发展过程中,剥离掉业务场景,从安全的视角看技术的本质,可以发现这是非常典型的在互联网领域成熟应用的云计算、大数据、物联网等新的IT技术和传统的工业OT技术的深度融合。这种深度融合不仅扩展了“网络安全”概念的外延,也深刻地改变了网络安全内涵,带来了非常大的挑战。
相比IT环境,工业互联网环境复杂,场景多样,要做好当前工业互联网安全工作,左英男认为要先优先解决两个场景的问题。首先是工业主机场景,工业主机可以说是信息世界通往物理世界的大门,但因为工业主机生命周期长,补丁升级困难,本身存在着很多漏洞,是当前很多攻击如勒索病毒的落脚点。所以守护好工业主机这个大门,就能够从根本上解决很多安全问题。
其次,数据的安全防护是工业互联网发展到一定阶段企业最为关心的问题。左英男介绍,随着工业互联网的发展,很多大型工业企业都在积极拥抱互联网新技术,建了私有化的工业云平台、工业大数据平台,应用和数据不断在集中。同时,过去工业企业的封闭网络环境使得很多安全问题用传统的基于网络边界的安全架构、安全思路就可以解决,但随着工业互联网的发展,移动办公、远程检修、供应链平台的交互需求,都让网络的外延和边界不断扩大和模糊,工业互联网带来的开放、共享、流动的新IT技术环境让数据安全日益成为挑战,在某种程度上阻碍了很多工业企业去积极发展工业互联网的意愿。
左英男认为,在这种新的网络环境下,解决工业大数据安全的问题,首要是解决访问控制问题。在当前这种边界日趋模糊的情况下,需要用“零信任架构”理念来重构工业企业网络安全。“零信任架构”有四个重要的特性:以身份为中心,业务安全访问,持续信任评估,动态风险度量,它默认不相信内外网里任何用户、人、设备对应用和数据的访问和调用,而是利用基于风险持续度量的动态认证、访问授权、密钥重新构建信任基础。
左英男表示,“零信任架构”可以解决80%的工业大数据安全问题,剩下的20%,要靠“工业大数据风险可视化管理系统”来解决。它可以对重要敏感数据进行分类、分级,打上标签,将这些重要数据在不同系统、不同访问主体之间的流动做测绘、建模、规则分析,从而及时发现数据可能会出现泄露、被窃取、被破坏的迹象。
在以上安全理念的基础上,奇安信集团推出了工业主机安全防护系统、工业防火墙、工业网闸、工业资产探查与大数据分析、工业大数据安全防护等产品与方案,可有效解决工业主机漏洞管理与病毒防护,工业生产控制网络和管理信息网络之间的隔离与信息交换以及工业资产、工业网络安全威胁、工业生产异常和故障的管理等诸多难题。
此次发布的由工业防火墙和工业网闸组成的“1+1”的工业边界安全方案,采用“白+黑”的安全防护技术,集成了工业协议识别、解析、控制、漏洞等能力以及IT威胁检测、杀毒、应用识别等优势,并针对工业环境中存在的恶劣环境和生产连续性等特定要求,提供了符合IP40、宽温、冗余电源、硬件BYPASS的专有硬件。
其中,奇安信工业防火墙作为针对工业场景下推出的专用工业网络边界安全产品。系统硬件采用全封闭、无风扇、双电源冗余,支持硬件BYPASS功能;软件支持工业环境中特有的工业协议(如OPC、MODBUS、S7、CIP、DNP3等)深度解析和精细化的访问控制,并利用工业环境下特有的白名单访问控制机制,实现工业边界最小授权管理控制。系统同时具备传统防火墙所有功能,如应用层攻击防护、特征检测、漏洞/间谍软件检测等,可有效应对IT/OT融合大趋势。
奇安信工业网闸作为用于工业场景下不同安全级别网络间进行安全数据交换的专用产品。通过链路阻断、协议转换的方式实现信息摆渡,可深度解析多种工业协议(OPC、MODBUS、S7、DNP3、IEC104等),集安全隔离、实时信息交换、协议分析、内容检测、访问控制、安全防护等多种功能于一体,在实现网络安全隔离的同时,提供高速、安全的数据交换能力和可靠的信息交换服务。
左英男强调,尽管奇安信本身已经在工业互联网安全领域拥有丰富的解决经验,但由于工业场景的复杂性和多样性,解决工业互联网安全问题一定要和工业企业,以及特定行业安全解决方案的团队大力合作,推动工业信息安全生态不断壮大,更好地为工业企业数字化转型保驾护航。
请输入验证码