11月20日,在2022中国5G+工业互联网大会上,奇安信集团副总裁魏雨露表示,工业互联网要以“零事故”为目标,通过业务场景与安全能力融合、数据安全防护与业务场景融合、组织管理和技术实施融合的“三融合”,全面提升安全能力,做到“业务不中断”“数据不出事”“合规不踩线”。
工业互联网深入发展,工业安全重要性凸显。《中国互联网发展报告(2022)》显示,中国的工业互联网已经全面融入到45个国民经济大类,助力制造业、能源、矿业、电力等各大支柱产业数字化转型升级。随着工信部发放首张大企业5G专网频率许可,5G专网数量将逐步提升、模式也将多样化发展,其安全性也受到高度关注。
针对工业领域的勒索攻击、高发的工控漏洞、庞大复杂的工业数据量、日益完善的安全管理体系……工业互联网安全想要实现“零事故”面临着诸多挑战,但“零事故”不等于零攻破。魏雨露表示,当个别的终端、服务器或者其他的网络资产被破坏,只要我们能快速采取措施,比如隔离、停机等,最后没有影响到办公和对内对外的业务,做到“业务不中断”“数据不出事”“合规不踩线”,就还是“零事故”。
想要实现“零事故”目标,工业互联网企业需要做到“三融合”,全面提升安全能力。
首先,通过构建工控网络纵深防御体系和5G+工业互联网安全,将业务场景与安全能力相融合,结合智慧能源、智慧交通、智慧医疗、智慧工厂等不同场景,打造相应的安全防护体系。
其次,通过工业数据全局管控和精准防护,以“零信任”机制为核心,做好数据安全防护与业务场景融合。围绕重要数据资产进行精细化安全防护,提高整体防护水平,奇安信总结了保障数据安全的“五件套”:特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知。
第三,还要通过建章立制、实战化运行,形成网络安全事件闭环处置流程和完善的安全管理运营,做好组织管理和技术实施融合。
魏雨露表示,企业应组建“网络安全合规专项工作组”,合规的第一责任人需要从单纯的IT部门、网络安全部门负责人,上升到企业的一把手、经营管理负责人。同时,还需要充分借助外部的专业力量,依托专业网络安全公司,以及第三方法律机构的参与和支持,对合规制度流程不断完善,扎实推进安全建设和运营,最终实现场景化运营,确保业务安全运行状态的目的。