数智时代工业互联网安全防护有“四难”
第一难,是勒索攻击防范难,工业企业陷入“进退两难”的境地。工业领域业务多,数据的流动方向和路径复杂,难以分辨正常业务操作和网络攻击。黑客可以模拟正常业务,披着合法的外衣做“坏事”。一旦得手,企业就会被迫陷入或缴纳赎金,或修复系统、运营中断带来经济损失的“两难”境地。
第二难,是漏洞、后门堵住难,单个工业设备受损将引发全局性风险。工业互联网的发展,让连入互联网的工业控制系统、工业设备越来越多,攻击暴露面也越来越大。黑客可以轻而易举地通过漏洞、后门攻破单个设备,进而扩大破坏范围。去年3月,工业软件提供商PTC的Axeda软件,被曝存在7个严重漏洞,这些漏洞或影响上百家不同厂商生产的150多种设备机型。
第三难,是“三员”风险化解难,工业企业对“内鬼”的破坏行为力不从心。“三员”是指内部的管理员、技术员和操作员。他们了解企业的系统运作原理,也懂得如何神不知鬼不觉地实施针对性网络攻击。如何对内部人员进行有效管控,是很多工业厂商面临的问题。
第四难,是生产和安全平衡难,业务连续性受到阻碍。过去在工业领域,解决网络数据安全都是从IT视角出发,业务系统和安全系统各自为战;随着数字经济和实体经济深度融合,从业务视角看安全,漏洞百出,而堵漏洞还要平衡好业务连续性和效率问题。
四招实现工业互联网安全“零事故”
第一招是建设三级联动的网络安全运营指挥体系,有效制止勒索攻击。工业互联网的规模越大,主机规模越大,薄弱环节就越多,勒索攻击往往防不胜防。要主动开展三级联动的网络安全运营,同时,还要建立安全弹性恢复机制,做好IT系统和OT系统的数据备份,即使受到攻击,也能把损失降到最低。
第二招是建设完善的工业安全和漏洞协同治理体系,解决漏洞、后门等问题。工业主机系统普遍老旧,系统、应用更新缓慢,导致漏洞频发,可通过工业主机安全防护系统,通过三层拦截七重防护,可以对工业主机进行终端管理、级联管理、灵活配置和联动分析,显著降低漏洞利用带来的威胁。另外,针对工控系统的漏洞,工业自动化厂商、安全厂商和企业用户应当进行三方协同联动,建立工控漏洞的协同治理机制和应急响应机制,第一时间确保漏洞事件得到正确、恰当的处置,将漏洞后门的危害降至最低,共同保障工业网络安全。
第三招是建设全面的数据访问安全检测与保护体系,助力工业企业管好“内鬼”。数据访问接口设计不合理导致的未授权访问、内鬼被收买导致的故意越权操作、利用后门绕过权限管控的数据窃取与破坏等等,都亟需进行体系化的数据安全保护。
第四招是建设纵深防御的内生安全体系,让业务系统和安全系统深度融合。“功能强大的工业互联网,一定离不开纵深防御的内生安全体系。”齐向东介绍,内生,就是把安全能力内置到业务系统的全链条中,从而实现安全能力的无死角,为及时发现攻击打下基础;纵深,就是构建完整的安全技术防御体系,保证在“防御阵地”中具备全安全技术栈的网络安全防线联动。当一道防线被突破还有其它若干防线拦截攻击,从宏观管控到微观检测全面进行安全防护。防线层层叠加,管控逐级加强,确保即使网络被攻破情况下,也能尽最大可能控制损害的发生。
齐向东表示,工业互联网已成为推动实体经济高质量发展的关键支撑,而安全是工业互联网的底板和基石。接下来,奇安信将用好这四招,不断深化安全实践,为国家工业互联网建设做出更多安全贡献。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...