从上海石化爆炸，看工业互联网安全落地难点

　　6月是第20个全国安全生产月，然而，中国石化上海石油化工股份有限公司（600688）却不平静。
　　6月17日，上海石化举办了成立50周年纪念大会。三查三强促安全，是上海石化在安全生产月定下的基调。结果，6月18日4时28分，位于上海金山区的上海石化化工部乙二醇装置区域发生火情。目击者称凌晨4点被炸醒！火光有6层楼高。爆炸原因正在调查中。
　　不同于传统的IT安全，工业互联网安全中的决策可能会影响更加巨大，涉及面更广更复杂。面向的对象上，不仅工业企业，还有工业互联网平台企业、标识解析及网络企业的安全命题。内涵上，包括设备安全、控制安全、网络安全、数据安全、应用安全、平台安全、安全管理的工业互联网安全标准体系，打破了以往相对明晰的责任边界，其范围、复杂度、风险度产生的影响要大得多。
　　安全方面不仅具有典型的行业特性，而且与企业安全文化、机制保障、人员配备极度相关，一开始很难采取所谓轻量化部署的模式，定制化特征明显，要根据厂区情况及周围实际部署全域监控网络，不能遗漏任何一个风险源。切忌做成两张皮，形成安全孤岛。安全问题，说一千道一万，还是那句话：重在落实！
　　工业互联网安全当前的落地难点
　　在工业互联网环境里，传统IT安全中的机密性、完整性与可用性在理论上依然有一定价值但是在实践中，却容易受限于工业场景的需求。工业场景由于其特殊性，需要一种相对不同的方式来进行安全实践。另一方面，工业企业本身，由于对网络技术的实践总体更为滞后，因此无论是IT层面，还是OT层面的安全，在落地过程中都会遇到不小的困难。
　　1、生产大于安全
　　工业生产环境中最大的特点，就是生产稳定性高于一般安全性即在不会直接影响正常生产的情况时，安全性可以被牺牲。这一点可以理解，因为对于工业生产环境而言，生产机器的启动本身就极有可能消耗极大的人力和物力，而局部机器的停止运作又有可能影响整体生产的情况最终造成巨大的经济损失。另一方面，在关键基础设施中，机器的停运也同样可能对社会产生负面影响。因此，在工业生产环境中，生产稳定性是最重要的。
　　但是，这和上文提到的工业互联网中的对外安全产生了一定的矛盾一旦攻击者通过工业互联网成功影响到工控生产环境，依然可能产生难以估计的损失比如美国发生的对供水系统投毒事件。这一矛盾，给工业互联网安全带来了极大的困难与挑战。
　　首先，工业互联网安全产品本身不能对工业互联网生产环境产生负面影响。一旦工业互联网安全产品直接会对生产环境产生影响，那么本身就本末倒置了。
　　其次，工业互联网安全产品要能够监测出发生的攻击事件与异常情况依然要在不影响工业互联网生产环境的前提下。这就对工业互联网安全厂商的安全能力提出了要求。
　　最后，工业互联网安全产品或者解决方案，要能够对发生的攻击进行一定的措施评估：这是攻击，还仅仅是异常错误（如人员操作失误、机器故障）？正在发生的攻击，产生的后果可能是什么？如果攻击已经进行，应对攻击的方式，是阻断请求，甚至请求来源，还是需要将整个系统关闭？
　　在工业互联网场景中，安全不仅仅要考虑威胁，以及威胁对系统的影响，更需要考虑威胁与各类应对方式对现实产生的影响。
　　2、协议复杂多样性
　　一些主流工控协议本身存在一些缺陷，同时主流工控协议总体数量也相对较多，不同的生产商的设备会采用不同的协议，这就给安全防护带来了极大的难度。
　　大部分工业互联网安全厂商都能做到对协议的识别，但是落实到安全能力的实现时，就需要对协议进行深度的识别而大量不同的协议无疑是对厂商协议研究、分析能力的一大挑战。
　　除了主流协议以外，还存在一些私有协议，就更需要安全厂商有能力对陌生的工控协议有学习协议规则和行为的能力，从而建立新的安全模型。
　　3、底层防护困难
　　工业互联网另一个难点在于底层防护更为困难。工业设备往往使用年限会很长，会积累大量没有修复的漏洞。同时，由于受限于工业互联网本身的业务可持续性要求，以及过去缺乏的安全意识，使得对这些漏洞的全面修复几乎成为不可能。
　　如果无法从底层对工业设备和系统进行防护，就只能将安全能力附加在设备和系统之上，难以给底层赋予安全能力，通过自身的安全性提升对威胁的抵抗能力。最终，安全无法从最佳位置开始赋能。
　　4、企业不适合接入工业互联网
　　企业工业设备老旧带来的另一个问题，在于老旧设备与当下的IT以及OT能力的不兼容，这些老旧设备不具备接入工业互联网的条件。但是，对于相当数量的企业而言，替换这批设备需要高额的成本，带来极大的经济负担，因此会继续使用这些工业设备，导致这些企业本身也不适合接入工业互联网。
　　在这些企业不适合接入工业互联网的情况下，虽然能够确保工业控制系统与工业生产环境的安全，一定程度上提升整体的工业安全情况。但是，对于国家层面，监管部门很难把握这些企业的工业安全态势，无法从国家高度进行统一地监管与分析。这会造成在监管部门级别的工业互联网安全管理平台的落地效果，无法达到最好的效果。
　　而对于企业自身而言，也容易形成安全孤岛，难以通过上级政府的统筹获取相关的威胁情报，从而更好地应对潜在的威胁。
　　5、工业互联网安全人才短缺
　　在工业互联网安全的场景中，人才的存在不可或缺。正如前文所提到的，工业互联网安全面临的另一个落地难点之一就是业务可持续性与安全之间的平衡，其中的一个平衡就是安全措施的平衡采取怎样的措施是在当前生产环境对特定威胁最适合的方法。由于工业生产环境中对生产可持续性的顾虑，工业互联网安全产品自动处理能力的使用会受到一定的限制这就需要专家根据实际的情况进行分析决策。
　　不同于传统的IT安全，工业互联网安全中的决策可能会影响更加巨大，需要更为丰富的经验。在IT与OT融合的情况下，工业互联网安全人才不仅需要对IT安全的认知，还需要对OT安全的了解、对工业生产环境本身的积累，这三者缺一不可。尤其是对工业生产环境的积累，不仅仅是浮于知识层面，而是需要大量在工业生产环境中的积累才能获得。但是，在当前情况下，即使局限于工业控制系统安全，受限于起步较晚，能将三者紧密结合的工业控制系统安全专家较少，能够从更宏观角度看工业互联网整体安全的专家就更为稀缺。
　　另外，工业互联网安全人才也不限于对于工业控制系统的安全维护，以及在工业互联网中产生的攻防对抗工业互联网安全也需要能从顶层设计的战略专家，帮助企业、乃至国家，从更为全面的架构，落地各级工业互联网安全架构。这就要求在IT安全知识、OT安全知识、以及工业互联网经验的基础上，再拥有企业级，甚至国家级的实践视角与能力。
　　以上五个难点只是当前工业互联网安全面临的挑战。事实上，另一个工业互联网安全面临的难点已经逐渐开始浮现：工业互联网平台的安全。工业互联网平台要处理大量的工业数据，运行各类工业互联网应用工业数据与工业互联网应用和传统的IT数据与IT应用又会有一些不同的安全需求。在未来，当工业互联网越发完善的时候，对于工业互联网平台的保护会逐渐成为工业互联网安全必须重视的关键。
　　（以上内容来自《工业互联网安全能力指南》，数世咨询）
　　2022年工业互联网安全活动部署
　　工业和信息化部近日印发通知，组织开展工业互联网安全深度行动。（活动详情：工信部组织开展工业互联网安全深度行活动）
　　深入宣贯工业互联网安全相关政策标准，健全自主定级、定级核查、安全防护、风险评估等工作机制，加快工业互联网安全专用技术和产品创新，培育壮大地方专业化服务机构，推动在全国范围内深入实施工业互联网企业网络安全分类分级管理，指导督促企业落实网络安全主体责任，共同提升工业互联网安全保障能力。
　　活动包括分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等6项内容。其中，分类分级管理和政策标准宣贯2项为必选内容，各地可结合实际从其他4项中至少选择2项作为特色活动内容。
　　（一）分类分级管理。根据《工业互联网企业网络安全分类分级管理指南（试行）》，选择重点行业、典型企业开展网络安全分类分级管理，完成自主定级、定级核查、安全防护、检测评估、整改落实等工作，推动地方工业互联网企业网络安全分类分级管理制度建设。
　　（二）政策标准宣贯。围绕工业互联网安全管理、技术防护等，组织地方行业企业深入落实工业互联网企业网络安全分类分级防护规范，交流工业互联网安全前沿技术，研制典型安全解决方案，促进行业企业经验共享和产业合作。
　　（三）资源池建设。有效整合工业互联网安全产品、综合解决方案、专业服务机构等优质资源，培育打造地方工业互联网安全资源池，提升地方工业互联网安全供给水平和服务质量。
　　（四）应急演练。开展工业领域网络安全应急演练活动，选取重点工业互联网企业和典型应用场景，通过实网渗透测试、安全监测和应急处置等方式，夯实企业网络安全防护能力，推动建立属地化工业互联网安全应急管理机制，提升工业互联网安全风险预警、信息通报和协同处置水平。
　　（五）人才培训。举办工业互联网安全讲座、技术沙龙、场景实操等活动，加强工业互联网安全教育培训，增强企业网络安全防护意识，推动建设工业互联网安全实训基地，打造地方工业互联网安全人才体系。
　　（六）赛事活动。充分发挥行业企业、高校、科研院所等力量，举办工业互联网安全相关技能大赛，搭建实网、实景比赛场景，培育选拔创新型、技能型网络安全人才。
　　6月17日上午，市经济信息化委召开上海市工业互联网安全深度行动会，将于6月至12月开展，主要包括网络安全分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训等内容。