奇安信集团副总裁左英男

2019年5月27日数博会，在由中国大数据产业博览会组委会主办、中国信息通信研究院承办的工业互联网应用发展论坛（IAF）上，奇安信集团副总裁左英男工业互联网条件下，工业主机与大数据防护的重要性。

演讲中，左英男透露，奇安信去年处理过几起因感染病毒导致公司停产的案例，这些公司有的属于电子制造领域有的属于钢铁领域，共同点都是工业主机感染。

感染的原因在于IT、OT联结在了一起，使得病毒得以进入工业网络，从而造成主机感染，造成了蓝屏、死机，甚导致停产。解决方案是首先要从工业主机防护开始，因为工业主机有自己的特点，企业在工业主机安装传统的杀毒软件是没有办法在这样一个环境下正常运行的，需要采用单管控技术，采用入口拦截、扩散拦截等，才可以有效保护我们工业主机的。

目前企业面临的另外一个*重要的问题就是工业大数据的防护。比如一些走在前面的大型企业已经构建了自己的私有云平台，又了自己的大数据，有一些物联网端采集的数据。这些工业大数据蕴含一个企业，可能是价值的资产。

那么，如何来保护这些数据？奇安信设定了三个目标：看得见数据的流动，控得住访问的权限，管得好泄露的风险。

以下为奇安信集团副总裁左英男实录，经钛媒体编辑整理：

各位来宾大家下午好！我们中国工业互联网在蓬勃发展，互联网应用也在蓬勃发展，有一句话叫做是发展的前提，发展是的保障。工业互联网问题*重要，也是我今天想和大家分享的这么一个主题。

工业互联网技术本质、应用场景*复杂，但是抽掉业务场景之后技术本质就是新的一代信息技术和我们传统工业的深度融合，这种融合会极大改变生产效率、客户体现，同时也会为我们网络带来*大的挑战。这种挑战不仅是扩大了网络的外延，我们要保护的范围也变得越来越大。

传统的网络的理念、技术、架构、产品无法适应新的IT技术的引入，同时改变网络的内涵。我们传统网络是保护业务和数据的机密性、完整性、可用性。随着工业互联网的引入大量物联网的终端自动化控制设备也会接入网络，我们谈网络会涉及到人员、环境、人生隐私、个人隐私、工人的、物理等等新的性质，极大改变了网络的外延和内涵。

工业互联网是一个*大的范畴，也是*复杂的一个技术问题，工业互联网从哪里开始谈？接下来希望把视线收缩到工业互联网重要的一公里，就是生产制造企业，一个工业企业面临的2个*重要的场景。一个是重要而紧急的场景，就是工业主机防护；另外一个重要的场景是工业大数据防护。

难的问题不在网络攻击，而是在不停产基础上安装防护软件

个工业主机场景，什么是工业主机，典型的生产控制网络里面指的是*作原站、工程师站等等上位机，或者安装了工业软件的工业服务器，典型的特点是运行标准的*作系统。工业主机是通往物理设备的大门，我们的控制指令、采集数据都要通过它，同样因为生周期长，又因为它需要24小时持续的运转没有办法持续修补，而且存在大量的漏洞。这些漏洞是攻击者发起攻击想从物理到数字的一种方式，所以这个很紧急很重要。

紧急来说不是天方夜谭，过去几年我们奇安信处理的工业网络事件100多起，都对生产起到了影响，涉及各行各业，造成工业主机的感染，蓝屏、死机，甚生产停滞。所以工业互联网首先从工业主机防护做起。工业主机有独特的特点，工业主机安装的传统标准的杀毒软件是没有办法在正常的环境下运行的，所以我们需要在采用百名单管控技术、智能匹配的技术上，用如拦截、扩散拦截、关卡式的对抗病毒的关口。守护好数字通往物理的大门。

这样看似挺简单的问题，对网络公司来说有什么挑战？其实从奇安信在过去1年多时间给比亚迪集团的帮助，到目前为止17000台工业主机上我们得到一个启示。网络攻击对我们不是难的问题，的问题是什么？我们可以看到比亚迪集团17000多主机，涉及30多个园区，十几个零件的生产，大家可以看一下右边的表格上（上图），工业主机*作系统的类型Windows7这样老旧系统占了70%。在工业场景下网络公司的挑战典型特点：老旧系统的兼容，如何在不停产的基础下安装防护软件的部署和实施，这些需要对工业生产有深刻的认识，积累大量的经验才可以胜任这个工作。

今天已经是第12天了，微软发布了一个新的补丁，这个漏洞*厉害，堪比2015年5月12号的病毒，攻击者不需要输入密码的情况下，可以从远程访问服务可以执行程序。起码我们在实验室发现少可以做到蓝屏，希望大家尽快去打这个补丁。如果你的主机没有办法可打补丁，建议你安装工业防护软件去防护这个软件。

下了很大决心做成的大数据，性如何保障？

第二个场景，这个问题并没有那么紧急但是*重要，就是工业大数据防护问题。随着工业制造企业数字化、网络化、智能化的发展，工业互联网是近几年提的概念，事实上很多领先的特别是大中型的生产制造企业，很早就开始智能化工厂的建设。这种建设打破了传统的工厂网络边界。

举一个例子，大家右边看图，很多大型的企业构建了自己私有化的大数据平台，我们叫做工业大数据，这些大数据会聚了从工业主机采集的数据，也有从物联网采集的数据。很多企业下了很多决心，把生产控制网和工业信息化联结在一起，工业大数据蕴含一个企业价格的知识产权、生产流程、配方，每一个企业都重视自己的数据保护。下了很大决心把工业生产配置网和管理控制网联结在一起。

随着互联网发展，出于对数据保护的担心，是不是要连接互联网？要连接到供应链上下游企业，甚连接到共有的互联网平台，实现工业大数据的流动。这是他们的担忧问题，这种担忧在某种程度上阻碍了工业互联网的发展。我觉得这个问题不紧急，但是*重要，工业大数据保护是工业互联网发展过程当中，特别是大中型工业企业需要投入的核心保护对象。

举几个数据和数据泄露的例子，这里面没有出现大型工业企业，是几个生产流程、配方泄露的事件。随着互联程度越来越高、开放的流动程度越来越高，攻击者一定会盯上高价值的工业大数据，工业大数据防护应该成为我们工业互联网、首要、核心目标。

怎么做呢？我们总结工业大数据风险管理三个目标：看得见数据流动；控得住访问权限；管得好泄露的风险。为了达成这个目标我们需要摸清企业的数据资产、梳理不同人怎么样使用数据、如何管控数据风险，并且强化运营。我们核心要素是做好访问控制权限的管理，因为传统基于网络边界实效的情况下，我们提出零信任的架构。

默认的情况下网内网外访问业务数据的人都不信任，重新基于身份为的手段，给我访问业务的每一个人、每一个用户、每一个设备甚每一个接口都赋予新的身份，只有授权才可以访问。并且零信任架构里面很重要的概念，再强的认证，因为开放、用户多样性、设备多样性，一次认证也不可以保证持续的合法性。在你访问我数据的同时，要持续对人、设备、ATI访问调用的风险进行持续的信任评估。发起风险就及时调整甚切断访问的控制权限。

基于这个理念我们服务企业当中基于零信任的控制访问平台，我们梳理暴露面不同的路径，不同的暴露面部署访问的措施，在可信访问的智慧下，可以构建虚拟的边界，所有访问请求都会在虚拟的身份条件下进行严格的检查和动态的访问控制。极大加强了我们对工业大数据保护的力度。

奇安信我们就是之前的360企业，今年5月份我们才正式更名为奇安信集团。我们是一家年轻的公司，过去仅仅成立4年时间，但是发展很迅速。从2015年我们只有几百名员工，现在有超过6000名员工。我们希望用奇安信这几年积累的和产品技术以及服务，可以更好为我们工业互联网保驾护航。谢谢！