近日,珞安科技CEO孔令武接受国内网络空间安全领域权威期刊《信息安全研究》专访,就新型工业化背景下工控安全行业发展,工业企业在数字化转型中如何做好工控安全防护,如何落实《工业控制系统网络安全防护指南》等热点话题发表看法。
以下为专访原文:
编者按
近年来,随着新型基础设施建设进程不断推进,数据呈现爆发式增长,海量的数据已成为社会基础性战略资源,为经济发展带来了巨大的新动能。作为数字经济的重要组成部分,数字化转型加速了工业领域的数字化、智能化、网络化进程,也给网络安全防护提出了新的挑战。
为适应新型工业化发展形势,提高我国工业控制系统网络安全保障水平,指导工业企业开展工控安全防护工作,以高水平安全护航新型工业化,工业和信息化部印发《工业控制系统网络安全防护指南》(以下简称:《防护指南》)。借此时机,《信息安全研究》特别邀请长期奋战在工控安全防护工作一线的“老兵”、 北京珞安科技有限责任公司CEO孔令武先生,就如何落实《工业控制系统网络安全防护指南》相关要求,为广大工业企业出谋划策。
孔令武:中国网络安全产业联盟技术专家、宁夏工业互联网产业联盟专家、北京珞安科技有限责任公司CEO。
曾先后在中软、Websense等知名企业从事信息安全工作,专注工控安全、数据安全、应用安全、信息安全、安全运营等相关领域,拥有20余年研发经验,长期从事工业网络安全防御的技术、产品课题研究与探索并取得突破性技术成果,是国内工控安全领域的先行者以及漏扫、DLP等相关领域的技术团队带头人。
问
当前,党和国家提出以数字经济高质量发展助力中国式现代化,在这一大背景下,请结合您多年工控安全领域研究成果,说明数字化转型工业企业需要解决的工控安全难题主要有哪些方面?
孔
数字经济是新一轮科技革命和产业革命背景下,国家做出的重大战略选择,对我国构建国家竞争新优势意义重大。信息网络作为数字经济的主要载体,其安全是数字经济高质量发展的前提保障和必然要求。正所谓“没有网络安全就没有经济社会的稳定运行”。
当前,数字化转型作为工业发展趋势,不是单纯的技术问题,而是通过技术变革业务模式和组织架构的深层次问题。目前,工业企业在数字化转型中面临的问题集中体现在数据安全、技术更新、人才匹配和组织变革等方面。工业企业只有从这四个方面进行全面的规划和实施,才能在数字化时代保持竞争力和领先地位。
问
工业控制系统向来被誉为工业生产运行的基础核心。近期,工信部印发新版《工业控制系统网络安全防护指南》,工业企业应如何落实《防护指南》,做好工业控制系统网络安全工作?
孔
近期发布的《防护指南》,是工信部针对新型工业化背景下,工业控制系统网络安全防护面临的新形势与新问题的总结,内容全面、指导性强,有利于工业企业提升工控安全防护水平,夯实新型工业化发展安全根基。
工业企业在深入学习《防护指南》内容的基础上,应从以下几个方面严格落实相关要求。
一是聚焦安全风险管控,围绕工业控制系统资产、配置、供应链、人员四大管理重点制定相关制度、采取相应措施,在理清系统资产底数、保障系统基本运行安全的基础上,避免网络安全风险引入工业控制系统,减少网络安全事件的可能性。
二是聚焦安全薄弱关键环节,强化技术应对策略,针对新型场景下的设备与业务安全,规范软件和服务安全使用,落实数据安全分类分级保护,在保障工业主机和终端设备自身安全的基础上,进一步防范来自内外部网络的入侵攻击。
三是聚焦易发网络安全风险,围绕网络安全事件的事前、事中、事后环节,部署网络安全监测手段、建设网络安全运营中心和做好应急处置等安全措施,定期做好网络安全风险评估和防护能力评估,开展日常系统漏洞排查并实施安全加固,进一步提升威胁发现及处置能力。
四是聚焦工控网络安全资源保障,建立工控安全管理制度,明确工控安全保护责任,坚持统筹发展和安全,确保安全技术措施与工业控制系统建设同步推进,并落实主体安全责任。
问
珞安科技在电力电网、石油石化、轨道交通等重要领域,有很多成功的经验,针对《防护指南》相关要求,有哪些工控安全领域的建议?结合用户业务流程,如何做到针对性,有哪些经验可以分享?
孔
珞安科技成立至今已有七年多时间,与20多个行业的2600余工业企业建立了业务合作,拥有专业可靠的安全产品、成熟的行业解决方案和丰富的实践经验。在实践中,我们发现每个行业因其业务的特殊性均存在个性化的防护需求,防护措施应该因时因势因地制宜。
在落实《防护指南》的基础上,我认为工业企业参照下面的流程,并结合自身业务特点开展网络安全防护建设。
首先,工业企业要通过资产识别、资产测绘对保护对象的价值和等级进行评定,即进行分类分级的判别,明确保护对象,然后制定相对应的安全目标,在这一前提下才能有侧重点、有针对性地制定网络安全防护策略及确定网络安全建设重点;
其次,工业企业在日常工作中要全面贯彻网络安全风险意识,建立常态化的安全评估风险识别机制,为企业网络安全风险管理活动提供准确的信息,通过确定防护工作优先级来应对不断变化的网络安全风险,进行响应和相应的安全处置,增强保护对象的安全防护措施以减少其脆弱性;
最后,工业企业要具备因地制宜的安全建设理念,要结合自己的业务特点和保护对象的特征,按照事前评估预防,事中响应控制,事后溯源分析,建立相应的安全运营的闭环思维来指导实践。制定企业安全防护的策略和安全解决方案,协调已经部署的各种安全平台和产品,通过建立企业的安全运营整合能力,来构建科学的安全防护体系。
问
未来,工控安全有哪些新的发展趋势?对于促进工控安全产业发展有哪些建议?
孔
工控安全未来的发展趋势,我认为可从产业层面和技术层面分别展开。
产业层面,由于政府对工控安全重视程度的持续提高,政策法规、监管力度的完善提升,工控安全行业发展环境和市场机遇不断优化。同时,随着新型工业化的推进,工业控制系统的智能化和网络化程度日益提高,工控安全市场需求保持较高增长,工控安全市场规模将进一步扩大。在政策和需求的双重加持下,工控安全产业已经入快速发展期,未来前景广阔。
在技术层面,新型工业化发展背景下,IT技术与OT技术加速融合,得益于“云大物移”等新一代技术的广泛应用,工业控制系统正向着分布式、虚拟化、智能化方向快速发展。因此,工控安全发展也呈现出定制化、场景化、国产化、体系化、智能化、内生化、融合化、服务化的发展趋势。
关于促进工控安全产业发展,结合珞安科技多年实践经验,有以下几点建议:
一是坚持自主研发和技术创新,加强国产技术研发,推动国外核心技术快速实现国产化、产业化,开发适应性强、资源消耗少、业务实时性好的工控安全产品。
二是打造定制化工控安全产品,提升工控安全防护针对性,结合各类工业企业特点,打造普适型及有行业特点的工控安全产品和防护体系。
三是加强人才培养体系建设,构建工控安全产业发展人才优势。加快建设网络安全职业技术教育体系,鼓励职业院校与网络安全企业合作培育人才,组织开展工控安全技术技能大赛,建立工控安全职业技能鉴定及认证规则,形成完善的产业人才体系。
珞 安 科 技 简 介
