航天云网副总经理徐汕：以分类分级管理形式，搭建工业互联安全防护体系

导语：“网信事业强国有我·网络安全专家漫谈”专栏第1期，是由国家信息中心《信息安全研究》杂志社组织，青藤云安全支持。本期专栏以“网络高级威胁攻击的演变趋势及应对之道”为主题，邀请到中国电子技术标准化研究院、北京邮电大学、航天云网、青藤云安全的专家参与话题讨论。以下为航天云网科技发展有限责任公司副总经理徐汕的访谈内容，徐总多年从事工业互联网支撑企业数字化转型工作，对此有深入实践经验。

记者：航天云网作为我国工业互联网平台的典型企业代表，您认为工业企业在数字化转型过程中，主要面临着哪些网络威胁，以及未来变化的趋势？

徐汕：数字经济时代数字产业化和产业数字化共同发展，工业互联网成为支撑我国数字化转型的重要载体。数字化转型涉及到工业企业数字化、网络化、智能化的整体提升。当前，网络威胁已经逐步渗透到工业企业的整个制造过程，不仅公共互联网会遭受攻击，针对物联网、工控网、企业内网、云平台的攻击都比较严重。举两个例子，2018年某著名芯片制造企业遭受了病毒攻击，攻击直接进入它的生产车间现场，造成了重大损失；再早一点2010年，某中东国家的核电设施遭受了Stuxnet的网络攻击，也造成了重大损失。所以说，现在网络安全事件不光涉及数据和资料的泄露，更是对企业核心业务造成重大影响。

未来发展趋势方面，要在几个方面进一步加强：一是加强对新技术的安全防护研究。包括5G、边缘、区块链、虚拟化、容器化的运行环境等；二是加强体系化的总体防护，尤其是复杂业务环境下，多层次、多类型资产的体系化防护；三是加强企业间的协同，包括工业互联网平台企业、工业制造企业以及专业的网络安全企业协同，发挥各自优势，共同应对日益复杂的网络安全态势。

记者：工业互联网是工业化智能发展中的核心关键部分，在目前复杂的网络环境下，面对大规模的资产管理，航天云网的攻击面管理设计是怎么做的？具体的落地表现如何？

徐汕：总体思路是把核心资产进行分级、分类，再针对不同资产特点来提出有效的安全防护手段。工业互联网平台涉及资产种类非常多，大概可以分成五个层面，边缘计算层、基础设施层、云平台层、应用层、数据层。通过梳理整个工业现场不同层面的核心资产，以分类分级管理的形式来搭建工业互联网整个安全防护体系，助力企业数字化转型和高质量发展。

在边缘计算层，企业现场的机器设备、信息系统、原材料等等呈多元化，也有共同特点，比如很多工控协议安全性考虑不足，设备有资源限制，对现场安全防护造成一些困难。基于此，我们就要加强边缘侧的安全管控措施，通过边缘平台统一分发和管控安全策略；同时，还要强化整个边缘侧管控轻量化，身份认证、数据加密和隐私保护措施都要进行轻量化改造。

在云平台层，因为大多平台都是多元异构的。架构不同，但还要求平台之间进行协同和互操作，要着重强化身份认证和权限原子化，采用突破安全隔离、数据摆渡、网络行为审计等安全管控技术，保障数据在平台间的安全流转。

在应用层，工业互联网应用的特点是以微服务为核心，微服务应用有自身灵活性：高内聚、低耦合。但由于它整个体系比较分散，所以，相互之间的协同交互必须要采用集中认证和授权、双向SSL等手段加强在应用层的防护。

最后，关于数据层，数字经济是以数据为关键要素，数字经济发展必须要发挥数据要素的作用。工业现场产生大量数据，它的存储、应用、交换，包括数据流通、共享、交易，需要做到全过程的安全防护，一旦出现操作不当，将会产生巨大的安全风险。所以我们面对多层次和多元化的现场数据资产，采取不同手段来找到短板、重点防护，把整个制造过程防护好，保证数据安全，防止数据滥用和隐私泄露。