当下,我国整个工业网络安全行业发展正处于“爬坡期”阶段,虽比传统的信息安全起步时间晚,但可以说是站在了巨人的肩膀之上,衍生出很多新的安全理念、机制以及趋势,其应用发展速度,一日千里。
根据美国NIST SP800防护标准分层,当下,在工控网络领域的各层都有相关的产品、技术和服务涌现出来,不同安全厂商的发力点不尽相同。有些公司侧重研发应用环境上的特有防护技术;有些公司专注工业自动化设备组件,专门针对解决漏洞挖掘或者威胁检测问题;有些公司把重点放在全态势感知或者网络安全管理层面;有些偏向于实时控制层的监测与防护,典型代表企业如天地和兴等。
天地和兴副总裁 杨小帅
近日,嘶吼对天地和兴副总裁杨小帅进行了人物专访,分享一下他的技术路线以及在工业网络安全体系建设和企业战略布局方面的行业经验。
实践出真知
现在从事工业网络安全行业是与杨小帅的过往经历有关,但也有一定的机缘巧合。
杨小帅在大学读的是的计算机专业,毕业后进入到一家以色列公司,专注安全通信产品研发,在底层的操作系统与硬件的驱动结合等整个软件平台架构方面,积累了很多经验。之后他加入联发科,负责芯片开发工作,在客户支持、产品应用性以及团队激励管理方面,学到了一些先进的模式和手段。
工业网络安全属于强交叉学科范畴,既要有工业自动化原理、硬件、软件架构等知识背景的支撑,还需要考虑工业现场环境限制等诸多因素。
2014年进入工控安全行业之后,杨小帅带领团队把整个审计产品线“从无到有”建立起来。客户一次次的满意验收,加深了他对于产品落地的实践认知。
为工业客户提供工业网络安全产品和服务与提供自动化产品、网络产品还是存在一定的差异性,需要从前期调研规划、中期设计实施、后期运维培训来进行整个闭环管理。
秉持对行业发展趋势的判断,杨小帅加入了天地和兴,整体负责公司全流程产业线的全方位支持,包括立项、设计、研发、试生产、批量化、市场开拓、售后服务等迭代过程。
在为工业客户介绍安全防护理念和安全系统时,他会结合不同的场景,为客户提供有针对性的设计方案。
“举个简单的例子,交换机、路由器的技术标准都是开放的,虽然在实验室里就可以把产品打包的很好,但最重要的一点还是要结合实际现场的落地实践。”杨小帅强调道。
比如,工业控制里的OPC协议是个标准,很多厂家实现OPC协议的时候会进行修改,产生一些差别,要是没有现场实际的落地,连识别都识别不了,怎么能做好防护。就如360周鸿祎说的一句话:安全的重点在于看见,看都看不见怎么做防护。
再比如,水务行业的一些工况,在供水泵房里做数据监控,现实中的机房是高热高温高湿的环境,可能会有滴水对数据结果产生影响。在这样的情况下,产品的设计和部署必须要与实际现场的落地实践相结合,不然是不现实的。
工业系统安全体系建设挑战
谈及工业控制系统安全体系的整个建设流程,杨小帅表示,在方案设计和落地的过程中,有些方面需要着重注意。
在项目前期沟通阶段,要符合国家要求和行业要求,以及结合企业自身的背景以及目标去做前期设计。之后在落地实施阶段,要优化产品技术服务选型,把控实施过程。整个体系建设完成以后,不管是技术体系还是管理体系,都要跟客户进行深入的培训或者沟通,最后完成试运行、调优等闭环管理。
工业网络安全体系建设也存在着一定的挑战,分几大类:
一是对于传统思维的挑战。在传统概念里,整个工业控制系统是一个相对封闭的信息孤岛,物理隔离,工控安全不需要做安全防护体系建设。
二是现实情况限制的挑战。很多工业控制环境,无论是软件还是硬件的升级,都涉及到诸多客观的因素,可能会影响客户的实际生产。
例如石油石化,尤其是炼化的装置,一旦开启以后,可能好几年都不停机,在整个炼化企业里严格禁止任何的软硬件升级,如果不停机不检修的话,做安全技术体系建设实际上不太可能;再如冶金行业和火力发电行业,其系统比较老旧,可能承受不起替换的成本,因为一套公司系统,少则几百万多则上千万,对工业企业本身的投入是一个很大的挑战。
三是针对交叉学科磨合的挑战。尤其对于新进入工业控制领域的企业,工业自动化理念是完全不同于传统信息安全优先级的。
传统信息安全背景的从业者,对于优先级的考虑顺序是:保密性、完整性、可用性,但在工业控制系统里面要做安全体系建设时,为保证业务的连续性,首先要考虑的是可用性,然后再是完整性和保密性。自动化经过多年发展,安全生产过程本身具有安全闭锁设计,而这种人员不匹配模式也是一项挑战。
天地和兴业务战略布局
“做好工业网络安全,往大了说,可以为国家的关键信息基础设施保驾护航。往小了说,工业网络安全行业比较新,需要进行深钻深耕,未来将会有很大的发展机会和空间。”
经过再三考量与验证,在产品技术布局上,杨小帅把天地和兴的发展方向分为了三大类:
第一,传统的工业控制网络安全合规性的相关产品。无论是为了满足等保条例,还是各个上级管理机构监察,以及传输密码加密等,这些都是合规性方面的需求,也是天地和兴的十分重要的战略布局方向。
第二,物联网方向的产品布局。包括物联网的感知层和网络层的传输安全以及平台管理层的安全,比如天地和兴现在正在做的,工业数据分类分级等数据安全方向的前端性研究,就是关乎整个物联网安全的重要一环。
这是因为工业企业在进行数字化转型时,必然会应用很多物联网技术,以提升传统工业企业的生产效率,降本增效。而物联网开放型的技术应用在传统封闭的工业控制环境时,必然会引入很多安全威胁。
第三,基于AI分析技术,对人员安全及环境安全方面的产品布局。生产的安全性、稳定性与可持续性对于工业企业来说是至关重要的,因此加强生产安全和服务风险管理能力对于推动工业企业数字化转型具有重要意义。
在业务和市场方面,天地和兴仍然会继续深耕电力电网行业,也将积极地探索与拓展其他工业领域,例如在石油石化、钢铁冶金、燃气管网、市政水务等行业也逐渐加深合作,并针对行业特性持续推出定制化产品与解决方案,来展现竞争优势。
个人简介
杨小帅,北京天地和兴科技有限公司副总裁,高级工程师,西安电子科技大学硕士学位。拥有十余年信息安全产品研发与管理经验,曾主导研发了多款市场占有率排名第一的信息安全产品。研究方向有:工业控制系统安全技术、工业物联网安全防护技术、可信计算在工业控制安全防护领域应用、国密技术应用等。
如若转载,请注明原文地址