提到網(wǎng)絡(luò)與信息安全，很多人可能會聯(lián)想到個人生活中的數(shù)據(jù)與信息安全，如個人信息的泄露、釣魚網(wǎng)站與惡意軟件的侵?jǐn)_。然而，工業(yè)領(lǐng)域信息安全的嚴(yán)峻性同樣值得關(guān)注，一旦病毒入侵工業(yè)系統(tǒng)，便會造成生產(chǎn)停滯、設(shè)備損壞、數(shù)據(jù)泄露等無法估計(jì)的損失。

隨著云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，“商業(yè)網(wǎng)絡(luò)（IT）”與“工業(yè)控制系統(tǒng)（OT）”不斷融合，導(dǎo)致暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)設(shè)備越來越多，構(gòu)建網(wǎng)絡(luò)和信息安全刻不容緩。

“網(wǎng)絡(luò)信息安全不僅僅是一個必須的安全措施，更是數(shù)字經(jīng)濟(jì)成功的關(guān)鍵所在?！蔽鏖T子（中國）有限公司副總裁兼首席網(wǎng)絡(luò)與信息安全官胡建鈞在8月5日舉行的西門子網(wǎng)絡(luò)與信息安全媒體沙龍上表示，企業(yè)數(shù)字化轉(zhuǎn)型的過程中，一定要同步考慮信息安全，二者密不可分。不能先做好數(shù)字化轉(zhuǎn)型，轉(zhuǎn)過頭來再考慮信息安全。網(wǎng)絡(luò)信息安全和數(shù)字化必須攜手并進(jìn)，缺一不可。

分而治之

相比傳統(tǒng)意義上的信息安全，工業(yè)領(lǐng)域具有天然的特殊性，需要重點(diǎn)考慮IT和OT融合的特點(diǎn)。

胡建鈞指出，工業(yè)控制系統(tǒng)對可用性要求非常高，而且系統(tǒng)、設(shè)備生命周期長，其中存在大量遺產(chǎn)系統(tǒng)或混合系統(tǒng)，在工業(yè)系統(tǒng)逐漸引入IT技術(shù)的數(shù)字化轉(zhuǎn)型階段，西門子給出的藥方是分而治之。

“對于可替代性較強(qiáng)的IT部分，西門子會選擇成熟的技術(shù)和解決方案，而針對OT則必須基于行業(yè)沉淀和客戶需求進(jìn)行方案開發(fā)。”胡建鈞補(bǔ)充道。由于OT網(wǎng)絡(luò)的數(shù)字化轉(zhuǎn)型還沒有完全實(shí)現(xiàn)，其標(biāo)準(zhǔn)、協(xié)議還不夠通用，導(dǎo)致信息安全構(gòu)建在數(shù)據(jù)獲取上存在一定困難?！半m然工業(yè)環(huán)境的確定性高，構(gòu)建安全模型和分析相對比較簡單，但最核心的底層數(shù)據(jù)獲取環(huán)節(jié)才是行業(yè)知識壁壘，如果信息安全廠商不了解工業(yè)的底層邏輯，就無法針對不同的原生問題給出相應(yīng)的解決方案和策略?！?/span>

西門子在網(wǎng)絡(luò)信息安全領(lǐng)域已有30年的經(jīng)驗(yàn)，作為一個既懂工業(yè)又懂信息安全的專家，西門子會同高校、研究機(jī)構(gòu)和合作伙伴共同創(chuàng)新結(jié)合IT、OT安全的技術(shù)方案。而且，西門子的信息安全方案經(jīng)過自身多家數(shù)字化工廠的實(shí)踐和驗(yàn)證，“先行一步”為企業(yè)提供切實(shí)參考。

縱深防御

“考慮到工業(yè)環(huán)境的復(fù)雜性，特別是新一代工業(yè)互聯(lián)網(wǎng)的發(fā)展，如數(shù)字化工廠、工業(yè)互聯(lián)網(wǎng)平臺等，需要多層次、立體化的信息安全防御方案。”西門子（中國）有限公司副總裁兼首席網(wǎng)絡(luò)與信息安全官胡建鈞如是表示。

為此，西門子提出“縱深防御”的安全理念?！翱v深防御”安全理念要求做好工廠安全、網(wǎng)絡(luò)安全和信息系統(tǒng)安全，把它從物理安全到人的安全、單點(diǎn)安全、網(wǎng)絡(luò)安全等方方面面考慮好，不只依賴一道防線。就像長城，一旦長城被突破，就如入無人之境。我們應(yīng)該形成縱深防御陣地，即便突破了一道防線，后面仍有不同的入侵檢測系統(tǒng)（IDS），或者防火墻、防病毒等防線，可以協(xié)同有效地工作。”胡建鈞強(qiáng)調(diào)說。

為此，西門子中國團(tuán)隊(duì)推出的工控態(tài)勢感知系統(tǒng)（OSA），利用人工智能、威脅情報(bào)分析等一系列技術(shù)采集工控設(shè)備中與信息安全相關(guān)的數(shù)據(jù)，并進(jìn)行全面、深入的安全智能分析，最終以多視圖、多角度、多尺度的方式展現(xiàn)工控網(wǎng)絡(luò)的安全態(tài)勢?！爸褐?，百戰(zhàn)不殆。企業(yè)需要洞察工控系統(tǒng)設(shè)備及網(wǎng)絡(luò)的運(yùn)行狀態(tài)，了解最新的外部攻擊方式和攻擊手法，OSA作為信息安全系統(tǒng)的指揮中心，解決了方案間各自為政的難題?！焙ㄢx透露，目前，OSA已經(jīng)成功應(yīng)用在青島煉油廠、寶武炭材料等企業(yè)，并作為中國創(chuàng)新的范例，部署在英國、德國的西門子工廠。

共創(chuàng)共贏

在具體工業(yè)信息安全實(shí)施中，西門子主張“三步走”戰(zhàn)略，即“評估安全、實(shí)施安全、管理安全”。安全評估就像做體檢，對照安全標(biāo)準(zhǔn)和行業(yè)標(biāo)桿找到差距，然后是對癥下藥安全實(shí)施，傳統(tǒng)的工業(yè)信息安全到這里就停止了，而這兩步只能達(dá)到靜態(tài)安全。在此基礎(chǔ)上，西門子引入動態(tài)管理安全的理念，對系統(tǒng)進(jìn)行持續(xù)監(jiān)測和優(yōu)化。

在鋼鐵、石化、交通等眾多行業(yè)，西門子工業(yè)網(wǎng)絡(luò)信息安全解決方案均已落地生根，為客戶的數(shù)字化轉(zhuǎn)型保駕護(hù)航。

早在2012年，青島煉化就與西門子合作，以產(chǎn)線病毒防治為切入點(diǎn)，部署了基于縱深防御安全理念的網(wǎng)絡(luò)信息安全解決方案。2018年，雙方再次攜手，將態(tài)勢感知系統(tǒng)投入實(shí)踐，進(jìn)一步提升了安全防護(hù)能力。

寶武炭材，西門子設(shè)計(jì)的工業(yè)安全縱深防御解決方案，主要由三部分組成：基于現(xiàn)場安全設(shè)備和傳感器的態(tài)勢感知、基于白名單的OT終端防病毒和OT網(wǎng)絡(luò)安全增強(qiáng)，助力寶武炭材全國6個生產(chǎn)基地實(shí)現(xiàn)多基地智能化運(yùn)營。該項(xiàng)目作為鋼鐵行業(yè)的標(biāo)桿，被工業(yè)和信息化部授予2018中德智能制造試點(diǎn)項(xiàng)目。

在交通領(lǐng)域，西門子為江蘇徐州市的首條地鐵——徐州地鐵一號線提供了地鐵信號系統(tǒng)，并應(yīng)用縱深防御及下一代防火墻技術(shù)，為利用無線網(wǎng)絡(luò)實(shí)現(xiàn)對列車的遠(yuǎn)程監(jiān)測與控制提供立體安全保障。

網(wǎng)絡(luò)與信息安全已成為數(shù)字經(jīng)濟(jì)成功的基石。胡建鈞坦言，西門子積累了很多經(jīng)驗(yàn)，包括信息安全和工業(yè)融合的經(jīng)驗(yàn)。在總部，我們把經(jīng)驗(yàn)貢獻(xiàn)給了很多標(biāo)準(zhǔn)化組織和科研院所，在中國，西門子正積極參與中國本地的信息安全標(biāo)準(zhǔn)和規(guī)范的制定，積極地為本地的規(guī)則和實(shí)踐建言獻(xiàn)策，攜手合作伙伴和客戶及整個生態(tài)，為數(shù)字化之旅保駕護(hù)航。(張  蘭)