工業(yè)圈子里面有一句俗語：能不能入門，現(xiàn)場(chǎng)“蹲”兩年再說。

去現(xiàn)場(chǎng)執(zhí)行工程調(diào)研與調(diào)試，真正了解客戶的訴求和想法以及熟悉業(yè)務(wù)環(huán)境之后，才能對(duì)工業(yè)生產(chǎn)控制過程有真正的理解，進(jìn)而更好挖掘與理解客戶需求，進(jìn)行解決方案設(shè)計(jì)以及安全能力應(yīng)用實(shí)踐。

天融信科技集團(tuán)工業(yè)互聯(lián)網(wǎng)總監(jiān)馬霄，長期從事工業(yè)生產(chǎn)領(lǐng)域主機(jī)控制、現(xiàn)場(chǎng)通信及信息應(yīng)用工程。由于工控的項(xiàng)目周期較長，他幾乎天天“蹲”在現(xiàn)場(chǎng)，對(duì)整個(gè)工控環(huán)境下的工業(yè)協(xié)議、數(shù)據(jù)的流轉(zhuǎn)方式以及客戶的業(yè)務(wù)訴求等，可謂是“門兒清”。

天融信科技集團(tuán)工業(yè)互聯(lián)網(wǎng)總監(jiān) 馬霄

近日，嘶吼對(duì)馬霄進(jìn)行了人物專訪，就工業(yè)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)、工控安全建設(shè)重點(diǎn)等話題進(jìn)行了深度探討。

工業(yè)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)的重點(diǎn)

在馬霄看來，分類分級(jí)是工業(yè)企業(yè)構(gòu)建網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)。按照國民經(jīng)濟(jì)行業(yè)分類與工業(yè)相關(guān)的行業(yè)大約有140多個(gè)，其中30-50個(gè)實(shí)現(xiàn)高度信息化的行業(yè)與網(wǎng)絡(luò)安全高度相關(guān)，這些行業(yè)是重點(diǎn)關(guān)注的對(duì)象，同時(shí)也不能忽略工業(yè)互聯(lián)網(wǎng)平臺(tái)、標(biāo)識(shí)解析系統(tǒng)等工業(yè)互聯(lián)網(wǎng)場(chǎng)景。

我們一般把生產(chǎn)型工業(yè)企業(yè)分為三個(gè)類型：一是離散型，比如冶金、制造行業(yè)；二是流程型，比如化工行業(yè)；三是混合型，比如電力行業(yè)，它最底層的發(fā)電機(jī)組屬于離散型，但其上層設(shè)施變?yōu)榱肆鞒绦?。每個(gè)行業(yè)、場(chǎng)景業(yè)務(wù)結(jié)構(gòu)特點(diǎn)不盡相同，若采用一個(gè)通用的規(guī)則，很難在不同的場(chǎng)景下落地。工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)大戰(zhàn)略的第一個(gè)重點(diǎn)是如何能夠把安全推行到每一個(gè)行業(yè)，因此區(qū)分行業(yè)的差異性是分類分級(jí)首要考慮的因素。

首先，站在宏觀層面，要優(yōu)先考慮監(jiān)管重點(diǎn)行業(yè)和領(lǐng)域，通過監(jiān)管的行政力推動(dòng)工業(yè)企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度，落實(shí)網(wǎng)絡(luò)安全的建設(shè)標(biāo)準(zhǔn)。

再者，要考慮到企業(yè)的建設(shè)成本和能力，不能單純地按照企業(yè)的規(guī)模或者產(chǎn)能要求企業(yè)進(jìn)行產(chǎn)品的堆砌，需要綜合考慮企業(yè)運(yùn)營成本，分步驟、分階段進(jìn)行建設(shè)，以確保安全交付的價(jià)值。

如果某個(gè)企業(yè)對(duì)于國家、社會(huì)環(huán)境以及群眾影響力較大，其自身信息化的投入程度也較高，那么企業(yè)必須把安全建設(shè)作為重點(diǎn)，并且要加大力度。相反，如果企業(yè)規(guī)模大，但是信息化程度很低，大量控制單元處于物理獨(dú)立環(huán)境下運(yùn)行，生產(chǎn)控制環(huán)境網(wǎng)絡(luò)應(yīng)用程度較低，在此環(huán)境下強(qiáng)制要求企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè)并不現(xiàn)實(shí)。

因此針對(duì)不同的行業(yè)、規(guī)模及信息化應(yīng)用程度的企業(yè)，需要按照不同的安全級(jí)別進(jìn)行安全建設(shè)。

工控安全不同行業(yè)的驅(qū)動(dòng)力

談及工控安全產(chǎn)業(yè)發(fā)展的階段，馬霄表示，可以用三個(gè)驅(qū)動(dòng)力加以區(qū)分。首先是事件驅(qū)動(dòng)，同行業(yè)或同區(qū)域出了安全事件，用戶感覺到威脅，而后進(jìn)行安全建設(shè)。再有則是合規(guī)驅(qū)動(dòng)，這是當(dāng)前國內(nèi)市場(chǎng)工控安全的主要驅(qū)動(dòng)力，工業(yè)企業(yè)在執(zhí)法單位、監(jiān)管單位的政策要求下，開展對(duì)應(yīng)的建設(shè)。在市場(chǎng)發(fā)展進(jìn)入成熟期后，需求驅(qū)動(dòng)則將會(huì)成為市場(chǎng)的主要驅(qū)動(dòng)力，安全建設(shè)目標(biāo)更傾向于保障信息化、數(shù)字化建設(shè)，在業(yè)務(wù)發(fā)展過程中構(gòu)建安全能力。

在馬霄看來，我國工業(yè)控制領(lǐng)域信息安全市場(chǎng)需求目前處于合規(guī)驅(qū)動(dòng)與需求驅(qū)動(dòng)之間，部分行業(yè)龍頭企業(yè)已經(jīng)完成合規(guī)建設(shè)，后續(xù)安全市場(chǎng)將著力于安全能力的補(bǔ)充、安全策略的深化、安全管理制度與組織結(jié)構(gòu)的優(yōu)化、安全運(yùn)營體系構(gòu)建等。當(dāng)然，更多的企業(yè)仍處于合規(guī)驅(qū)動(dòng)的需求范圍，以等保、關(guān)保、分類分級(jí)以及行業(yè)政策要求為目標(biāo)，構(gòu)建基礎(chǔ)安全能力。

以電力行業(yè)為例，其在2016年之前就有較強(qiáng)的合規(guī)驅(qū)動(dòng)力，《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》及等保2.0是該行業(yè)主要的合規(guī)建設(shè)要求，較早完成了接口的規(guī)范化和統(tǒng)一化，這都是形成當(dāng)前電力行業(yè)作為工業(yè)控制系統(tǒng)信息安全最大子市場(chǎng)的重要因素之一。

但彼時(shí)，國內(nèi)基于行為內(nèi)容判定的技術(shù)框架尚不成熟，電力行業(yè)合規(guī)建設(shè)要求更多建立在“三層網(wǎng)絡(luò)訪問控制+七層網(wǎng)絡(luò)黑名單匹配”的傳統(tǒng)安全防護(hù)檢測(cè)框架基礎(chǔ)上，強(qiáng)調(diào)網(wǎng)絡(luò)層單向隔離與傳輸加密，造成基于合法路徑、合法協(xié)議下的非法行為無法被識(shí)別與處置。

同時(shí)，電力行業(yè)特別是發(fā)電領(lǐng)域，合規(guī)要求僅面向生產(chǎn)監(jiān)控與調(diào)度為核心的二次系統(tǒng)，大量的一次機(jī)組仍缺少必要的檢測(cè)、防護(hù)、響應(yīng)措施，造成了信息安全的覆蓋范圍不足。所以近年來電力行業(yè)信息安全建設(shè)逐漸從合規(guī)驅(qū)動(dòng)轉(zhuǎn)向需求驅(qū)動(dòng)，包括行為內(nèi)容分析、資產(chǎn)管理、風(fēng)險(xiǎn)管理、安全運(yùn)營體系、誘捕與反制等，以此對(duì)基于合規(guī)的基礎(chǔ)安全體系形成有效補(bǔ)充。

再比如鋼鐵行業(yè)，自身信息化投入不足，信息安全相對(duì)較低，相比電力、石油等能源產(chǎn)業(yè)，其工業(yè)控制系統(tǒng)信息安全發(fā)力較晚。隨著2016年鋼鐵行業(yè)產(chǎn)能整合初步完成與工業(yè)互聯(lián)網(wǎng)概念的應(yīng)用，鋼鐵信息化才逐漸呈現(xiàn)向陽的趨勢(shì)。作為工控安全的后發(fā)領(lǐng)域，鋼鐵行業(yè)自2018起主要以滿足存量市場(chǎng)的等保合規(guī)要求建設(shè)及增量市場(chǎng)的安全配套建設(shè)為核心。但因鋼鐵目標(biāo)環(huán)境較大，難以支撐一次性建設(shè)的資本投入，所以在建設(shè)過程中通常以車間或產(chǎn)線維度逐個(gè)區(qū)域進(jìn)行建設(shè)，或以產(chǎn)品維度進(jìn)行分步建設(shè)。

馬霄建議，在鋼鐵行業(yè)控制系統(tǒng)信息安全建設(shè)過程中，需要構(gòu)建以“3+1（訪問控制、行為監(jiān)測(cè)、計(jì)算環(huán)境管控+安全管理）”為核心的基礎(chǔ)安全能力，貫徹合規(guī)政策要求，落實(shí)自上而下的規(guī)劃與自下而上的建設(shè)整體思路，推動(dòng)產(chǎn)業(yè)從合規(guī)驅(qū)動(dòng)向需求驅(qū)動(dòng)的轉(zhuǎn)向。建設(shè)過程中以運(yùn)維管理為分區(qū)分域的參考，避免安全措施過于下沉造成投入經(jīng)濟(jì)成本的無限增加。落實(shí)基礎(chǔ)安全價(jià)值交付后，構(gòu)建深度/專項(xiàng)安全能力，如資產(chǎn)探測(cè)、資產(chǎn)管理、威脅誘捕與反制、安全運(yùn)營等。

深度結(jié)合業(yè)務(wù)

馬霄強(qiáng)調(diào)，工業(yè)領(lǐng)域信息安全最大的核心點(diǎn)就是重視并理解客戶需求，將能力堆砌的思路向價(jià)值交付進(jìn)行轉(zhuǎn)變，其核心目標(biāo)一定是圍繞著客戶需求和生產(chǎn)控制業(yè)務(wù)流程，把安全能力落實(shí)到生產(chǎn)過程。

無論是工控安全還是工業(yè)互聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全等，其本質(zhì)是安全，區(qū)別在于目標(biāo)對(duì)象的不同，這也造就了安全技術(shù)需要隨著業(yè)務(wù)的需求及特點(diǎn)變化不斷創(chuàng)新，同時(shí)結(jié)合目標(biāo)業(yè)務(wù)的特點(diǎn)進(jìn)行一定的改良和優(yōu)化，保證安全目標(biāo)不偏離保障業(yè)務(wù)可用性，要基于客戶實(shí)實(shí)在在的安全價(jià)值。

工控安全存量市場(chǎng)未來會(huì)在十年之內(nèi)趨近飽和，基礎(chǔ)安全產(chǎn)業(yè)發(fā)展將從“藍(lán)?！弊兂伞凹t?！?。所以安全從業(yè)者需要參考工業(yè)控制領(lǐng)域技術(shù)與產(chǎn)業(yè)發(fā)展，保持學(xué)習(xí)與創(chuàng)新的態(tài)度，以應(yīng)對(duì)市場(chǎng)的變化。

例如，整個(gè)控制網(wǎng)絡(luò)云化的趨勢(shì)已不可逆，安全能力的軟件化、云化將成為市場(chǎng)發(fā)展的重點(diǎn)需求，如何去應(yīng)對(duì)云計(jì)算環(huán)境下的控制環(huán)節(jié)，是未來需要面對(duì)的一個(gè)主要問題。需要將工控安全能力與現(xiàn)有云安全能力進(jìn)行整合，即在構(gòu)建北向訪問、南向接入、系統(tǒng)間微隔離的基礎(chǔ)上，將安全識(shí)別、檢測(cè)的粒度細(xì)化至內(nèi)容行為層面，并以白名單為主要判斷依據(jù)，傳統(tǒng)黑名單為輔助驗(yàn)證手段的模式，形成有效的識(shí)別、檢測(cè)、防護(hù)、響應(yīng)閉環(huán)。同樣，在控制領(lǐng)域，工控安全需要與數(shù)據(jù)安全及物聯(lián)網(wǎng)安全等技術(shù)進(jìn)行有效整合，應(yīng)對(duì)技術(shù)不斷發(fā)展變化的工業(yè)生產(chǎn)格局。

隨著數(shù)字化轉(zhuǎn)型的進(jìn)一步推進(jìn)，信息安全與功能安全形成有效的融合也將成為趨勢(shì)。通過雙安融合構(gòu)建以生產(chǎn)安全為目標(biāo)的綜合安全體系，進(jìn)而提升安全作用范圍，降低安全人員投入。

站在個(gè)人發(fā)展角度，未來幾年，馬霄的工作重心將會(huì)放在國家層面的頂層設(shè)計(jì)與整體工業(yè)互聯(lián)網(wǎng)安全價(jià)值交付體系的建設(shè)層面。以用戶視角，推動(dòng)工業(yè)領(lǐng)域安全能力的構(gòu)建，并在各個(gè)工業(yè)領(lǐng)域中形成有效的價(jià)值交付能力，把提供與工業(yè)客戶的每一個(gè)產(chǎn)品，每一項(xiàng)服務(wù)的作用落在實(shí)處。

天融信在工業(yè)領(lǐng)域始終倡導(dǎo)以“價(jià)值交付”為基礎(chǔ)的理念，從客戶需求出發(fā)，把真正的安全能力交付給客戶，同時(shí)將自身的安全能力賦能給工業(yè)客戶，提升客戶在安全領(lǐng)域的思考能力，推動(dòng)工業(yè)信息安全產(chǎn)業(yè)的高質(zhì)量發(fā)展。

個(gè)人簡介

馬霄，天融信科技集團(tuán)工業(yè)互聯(lián)網(wǎng)總監(jiān)。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）特約評(píng)論員、工業(yè)和信息化部某工業(yè)互聯(lián)網(wǎng)安全政策評(píng)審專家組成員、某行業(yè)“十四五”規(guī)劃專家組成員、深圳市工業(yè)互聯(lián)網(wǎng)行業(yè)協(xié)會(huì)特聘專家。參與設(shè)計(jì)包括工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)平臺(tái)、工業(yè)互聯(lián)網(wǎng)安全綜合防護(hù)平臺(tái)、工業(yè)互聯(lián)網(wǎng)省級(jí)監(jiān)管平臺(tái)（入選工業(yè)和信息化部-2021網(wǎng)絡(luò)安全試點(diǎn)示范工程）等多項(xiàng)國家重點(diǎn)工程課題。專注于自動(dòng)化相關(guān)領(lǐng)域數(shù)字化轉(zhuǎn)型中信息安全的發(fā)展與應(yīng)用，長期從事工業(yè)領(lǐng)域數(shù)字化與信息安全相關(guān)工作，重點(diǎn)關(guān)注國內(nèi)外工業(yè)領(lǐng)域產(chǎn)業(yè)發(fā)展、工業(yè)產(chǎn)業(yè)數(shù)字化及其安全。