近期，2019互联网岳麓峰会在长沙圆满落幕。据当地媒体报道，从2014年300余人参会到2018年吸引了近3万人报名参加，从最初6位湘籍大咖发展到283位业界重点嘉宾齐聚，从岳麓书院到梅溪湖国际文化艺术中心，互联网岳麓峰会越办越精彩。 

　　360企业安全集团副总裁左英男受邀参会并发表了《工业互联网时代的安全挑战与对策》的主题演讲。针对工业互联网时代的安全挑战，左英男重点指出了网络安全的两大核心驱动力。

　　360企业安全集团副总裁左英男演讲 

　　首先，随着云计算、大数据、物联网、人工智能等新IT技术与传统工业的深度融合，更多机器和设备实现互联，工业互联网应用需要采集各类设备和机器的数据，实现多种数据的集中，工业大数据的集中也意味着风险的高度集中。同时，随着工业互联网业务、平台、设备、用户的多样性不断丰富，传统的网络安全边界加速瓦解，传统的边界安全架构无法满足工业互联网时代的安全需求。 

　　其次，工业企业为了实现管理和控制的一体化，实现生产和管理的高效率、高效益，将IT/OT技术进一步深度融合，在拓展了工业控制系统发展空间的同时，也带来了一系列的工业网络安全问题，这类安全问题不仅影响数据和业务的安全性，还可能影响工业设备的功能安全，影响工业生产的连续性，甚至影响环境安全和人身安全，这也是工业互联网时代工业企业面临的又一大挑战。 

　　面对如此严峻的工业互联网安全挑战，左英男表示，传统护城河似的边界安全架构已经无法满足企业客户的需求，需要重新审视边界安全架构的认知盲点，构建全新的安全架构去解决企业的问题。 

　　零信任架构针对传统边界安全架构思想进行了重新评估和审视，并对安全架构思路给出了新的建议，其核心思想是：默认情况下不应该信任网络内部和外部的任何人、设备、系统，需要基于认证和授权重构访问控制的信任基础。零信任引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行动态访问控制。 

　　零信任架构是应对网络安全新挑战的新战术。通过建设统一身份源，将全网用户、设备、应用、API接口形成统一身份，统一权限梳理，实现全面身份化；在业务访问过程中基于风险对用户和设备进行持续的风险度量，评估身份的合法性，实现认证持续化；通过访问控制细粒度授权，基于风险度量和信任评估，动态调整授权，实现授权动态化；采用先进的机器学习算法，汇聚分析各类数据源，支撑风险度量化和管理自动化，实现分析智能化；基于智能化分析，对人和设备的环境数据、访问行为数据，进行风险建模，度量潜在的安全风险，实现风险度量化；基于智能化策略分析和工作流引擎，实现管理自动化。 

　　零信任架构建立了端到端的动态访问控制机制，极大收缩攻击面，能够有效应对内部威胁和外部攻击；同时提供了有效管理风险的框架，有助于敏感业务、数据和基础设施的开放共享。 

　　针对IT/OT一体化融合场景下的工业网络安全问题，左英男指出：根据360企业安全集团应急响应处置的工业企业网络攻击事件发现，汽车生产、智能制造、能源电力、烟草等行业发生的数起工业网络安全事件，大多数攻击或影响的是工业主机。2018年，台积电多个工厂及营运总部工业主机遭遇勒索软件攻击，导致在台湾北、中、南三处重要生产基地生产线停摆等事件均已说明工业主机成为首要网络攻击目标。 

　　左英男表示，工业互联网安全应从主机防护开始，利用白名单技术进行病毒拦截的基础上，提供入口、运行、扩散三层关卡拦截，进行全方位病毒拦截。尤其针对工业主机“永恒之蓝”勒索病毒在无需打补丁、关端口的前提下，在入口处通过“漏洞利用分析-流量解析对比-可疑攻击阻断”引擎进行“永恒之蓝”勒索病毒的超前防御。 

　　同时，该技术方案已在比亚迪工业主机防护应用项目中成功应用，在全国各地园区生产线上部署17000台工业主机安全防护软件，自部署以来运行稳定，为比亚迪工业主机创建安全的运行环境，让比亚迪信息基础设施运行的更安全、更可靠。 

　　恐惧源于未知，看见才能安全。左英男强调，在做好工业主机安全防护的基础上，也应解决工业网络安全管理缺少“抓手”的痛点问题。工业企业应全面掌握工业资产、工业网络安全威胁、工业生产异常和故障，才能解决资产数量、类型、分布不清楚，设备断线、设备停机、异常操作难定位的安全问题。因此，作为安全企业也应该联合工业企业、工控系统厂商和网络安全厂商，协同联动，建立工业网络安全应急响应协同机制，实现从工业主机安全防护到工业安全监测再到工业安全态势感知的闭环运营。 

　　360企业安全作为工业互联网安全领域的领军者，为工业用户和相关主管部门提供全方位的信息安全服务，并在政府监管、轨道交通、智能制造、电力等领域成功应用。同时，360企业安全集团将长期以“让网络更安全，让世界更美好”为使命，与政府、工业企业、安全行业、高校和研究机构合作，共同打造工业互联网安全生态，全面提升我国工业互联网的安全防护整体能力和水平。