工业互联网是新一代信息技术与工业经济深度融合的全新生态合并模式。通过人、机、物的全面互联，实现全要素、全产业链、全价值链的全面连接。

　　360工业互联网安全实验室主任张建新在2020年第三届“工业安全大会（ICSISIA青年科技论坛）”上指出，全球工业互联网的安全生态已经发生了很大的变化，传统思路基本都是围绕单点或者单一场景进行安全防护，但已经越来越无法适应复杂的安全形势。

　　“全局感知是工业互联网安全的先决条件，在常规防御中我认为必须得依托全局感知。”

　　全球工业互联网安全事件频发

　　2018年与2019年，中国工业互联网的经济增长值规模分别为1.42万亿与2.13万亿元，同比实际增长为55%和47%；占GDP的比重逐渐增长，分别为1.5%、2.2%，对经济的增长贡献为6.7%和9.9%。

　　“我认为，工业互联网会推动形成全新的生产制造和服务体系。工业互联网的融合带动经济的影响快速扩张。”张建新预计，2020年工业互联网产业的经济增加规模约为3.1万亿元，占GDP比重将达到2.9%，对GDP的增长贡献将超过11%。“工业互联网将成为国民经济中最为活跃的领域之一。”

　　但与此同时，工业互联网连接了庞大的人员、数据和机器网络，安全问题牵一发而动全身。工业互联网涉及行业和领域极广，包括能源、智能制造、交通、电子、通信等，其安全关乎了国计民生、公共利益和国家安全。

　　“乌克兰网络病毒和委内瑞拉电网充分说明了工业互联网已经成为国家间对抗的重要目标，当前工业互联网安全形势不容乐观。”张建新指出。

　　2019年12月4日，IBM的X-Force事件响应和情报服务发布报告，提到一种全新的破坏性数据清除软件。这种软件可以最大限度的删除感染设备内的数据，主要瞄准中东能源和工业部门，披露时估计已造成1400台设备的感染。

　　张建新表示，有证据表明，这种病毒的攻击目标并不是随机性的，而是有明显针对性。“这个事件很容易让人联想到2012年出现，直到2018年还在中东地区活跃的同类病毒软件Shamoon。该病毒曾经在2012年破坏性清除了沙特国家石油公司35000台计算机的数据，导致整个石油业务停摆数周，被业内公认为最危险的工具软件之一。”

　　2019年，破坏性网络的攻击数量整体激增了200%以上，张建新认为，这说明破坏性软件正处于急速爆发的阶段，低廉的攻击代价和高危的结果让破坏性攻击逐渐泛化。

　　“越来越多拥有国家支持背景的黑客、组织开始利用破坏性的攻击，进入能源、工控、金融等关键的重要领域。在国家级的网络攻防对换中，面向工业互联网的攻击已经成为代替常规军事战术的一种手段。”

　　2019年3月22日，全球顶级铝业巨头挪威海德鲁公司发布公告称，旗下多家工厂遭受了一款名为LockerGoga勒索病毒的攻击，数条自动化生产线被迫停运。这一勒索病毒先感染了美国分公司的部分办公网络，随后快速传染至全世界公有内部网络中，导致海德鲁的业务网络整体瘫痪，损失约高达4000万美元。

　　该病毒影响十分恶劣，不仅会设置开机密码，而且会加密电脑中的文件。由于加密的文件包括重要的系统文件，会导致计算机的关机，重启后就无法再进入系统。即使用户重装系统，重要的文件也再无法恢复。

　　张建新指出：“这一事件的典型性在于，病毒可以在全球的内部网络中迅速横溢，迅速扩散，原因在于设备的互联能让制造商从车间供应链获得持续的数据流，以提升整体的运营效率。但是如果没有进行有效的防护，将会带来很大的隐患。”

　　工业互联网安全生态出现新变化

　　从上述多个案例可以看出，全球工业互联网的安全生态已经发生了很大的变化。首先，当前国际规则失序，外部环境震荡以及中国谋求自主发展的努力，都会持续增加来自外部高级别网络攻击的威胁等级。

　　“可以预见的是，新冠疫情结束以后，保护主义、单边主义等逆全球化的思潮必然会抬头，而且经济危机会更加促进贸易保护主义的盛行，这将导致来自国际的风险大幅增加。”

　　与此同时，我国的信创工程已经逐步展开，保障信创工程的安全推进，急需围绕可信、安全、可控、可对抗、可存活性建立高效的安全体系。

　　其次，攻击者及攻击行为也发生了很大的变化。针对工业互联网进行攻击的攻击者越来越专业化、组织化，攻击行为也在不断升级，已经从传统的攻击工具逐步向O-day漏洞利用、嵌套式攻击、木马潜伏植入等更高级的攻击形态演变。张建新指出，这些行为搀杂了大量的人工智能、躲避手段、情报手段、社会工程等多维度的变化。

　　第三,工业信息化的形态也正在发生很大的改变。“工业互联网的机理比目前的互联网更强调数据与充分的连接，并更强调数据的流动和集成，以及分析和建模，这和互联网也是有所不同的。”张建新说。

　　互联网和工业深度融合后，互联网的安全威胁也渗透到了工业领域。网络攻击可以直接达到生产的第一线，互联互通提升制造业转型升级的同时，也打破了传统工业相对封闭的生产环境，导致攻击路径大大增加。

　　“网络安全从‘信息安全’已经进入‘大安全’时代。”张建新指出。

　　全局感知是关键常规防护仍有效

　　那么，在新形势下，工业互联网安全应当如何应对新的生态？

　　对此，张建新抛出了自己的核心观点：“我的核心观点是——全局感知是工业互联网安全的先决条件。传统思路基本都是围绕单点或者单一场景进行安全防护，但已经越来越无法适应复杂的安全形势。”

　　他将工业互联网安全中两种防护手段的有效性进行了对比，“这两种手段主要指全局感知及以封堵为主的常规防护，在常规防御中我认为必须得依托全局感知”。

　　“为什么呢？比如新型的流行病毒不停地爆发——仅仅自2000年以后，全球性疫情的爆发已经超过三次。我们不可能提前预见所有的病毒爆发，也不可能提前获得免疫。而工业互联网的安全领域也同样如此，我们处于一个完全不对等的攻防对抗状态。攻击者只要找到整体系统中的一个突破口，整个防御体系都会受到很大的威胁。”

　　他指出，随着工业互联网的发展，接入网络的终端、平台、应用、数据都会呈现出巨量的增长，架构在数据技术上的工业互联网漏洞也会呈几何数的增长，回顾历年来漏洞增长数据印证了这一趋势。

　　因此，当前依靠“纯堵”的方式已经不可能做到完全防护。这更类似于人类接种疫苗，只能起到针对性的防护，但面对新型威胁却完全无能为力，甚至无法感知，只有在大规模爆发之后才会被发现。而依托全局感知，通过大数据分析后，再与历史数据进行对比，可以在安全问题尚未完全爆发前发现问题，进行应急响应。

　　“在处理安全事件过程中，全局感知也是必不可少的一个环节。”张建新强调。

　　比如通过大数据的追溯，人们要清理病毒必然要付出百倍甚至千倍的成本。海德鲁公司就采取了隔离传染设备的方式来抑制病毒的进一步爆发，这与现在居家隔离和戴口罩的方式非常类似。

　　“但由于不清楚病毒的传播途径和整体的感染情况，最终在恢复生产的时候面临着巨大的困难。海德鲁公司甚至不确定是否已经完全清除了所有的感染源，是否还有病毒在机器里潜伏。”

　　不过，张建新表示，自己并没有否认常规的防护手段的有效性。“比如口罩、隔离、保持社交距离，依然是应对疫情的主要手段。但我们要建立在其之上，更高、更先进的安全防护方案。”

　　建在云端的工业安全大脑

　　张建新介绍道，“360工业安全大脑”是360公司基于全局安全感知，提出的一个具体的应用和实践方案。

　　他指出，传统思路是碎片化解决问题，也就是常说的“盲人摸象”。“大家看到的东西都不全面，都是片面的，很有可能判断不出攻击行为的发生。虽然企业在部署时会放入一个采集全企业数据的本地化‘大脑’，但它的分析能力还是极为有限的。”

　　“360工业安全大脑”建立了一个大网数据的云端大脑，通过云端大脑向下赋能，使得本地分析能力可以被加强，如此便能和云端进行对比或者将信息输送到云端。

　　张建新举例道，好比某个派出所的数据库里储存了两千个通缉犯的名单。如果这个名单和公安部的犯罪记录库连接起来，那么警察的探案能力就能得到更大的加强。“当然，我国公安系统现在已经在这么做了，很多的犯罪嫌疑人都是通过大数据抓获的。”

　　360公司董事长兼CEO周鸿祎在参加了今年十三届全国政协会议时，从工业互联网安全的角度对网络安全新基建作了发言。他强调，要保障工业互联网安全，应尽快考虑和落实顶层设计、全局感知，要建设工业互联网安全大脑，全网采集安全大数据，建立全视角安全感知的能力，输出及时的威胁情报，实现全局升级的基础之上的单体能力提升。

　　整体的安全要适应架构的演进和业务的需求，趋向更加敏捷和高效，安全应该更加的“云服务化”，可以按照需求来弹性部署。安全还应该更加能力化，使运营成为安全体系的关键；安全应该更加实际化，面向攻防以结果为导向。