11月20日,在2022中国5G+工业互联网大会“赋能千行百业高质量发展”主论坛上,奇安信科技集团股份有限公司副总裁魏雨露作了主题演讲,提出应以“零事故”为目标,护航“5G+工业互联网”安全。
魏雨露首先介绍了“5G+工业互联网”面临的三大安全挑战,业务不中断、数据不出事、合规不踩线。首先,勒索病毒会造成业务中断。业务中断一个很大的挑战是工业控制系统的漏洞,现在已知的漏洞仅仅只是冰山一角,有很多的漏洞还没有被发现。
第二是数据不出事。工业企业的数据非常复杂,数量特别庞大,业务场景繁杂,防护难度高。机密数据的泄露、数据被恶意删除和修改、数据被非法利用等都会造成数据出现严重问题。专业机构调查结果显示,82%的数据泄露是人为因素造成的,这与数据的权限管控不力、特权账号管理不力有直接关系。
第三是合规不踩线。现在我们要用结果评判是否合规,所以业界提出了零信任体系。这几年我国相继出台了网络和数据方面的法规和其他关键条例。有法可依才能合规不踩线。
遇到三大挑战该如何实现网络安全的零事故?魏雨露进一步表示,首先在业务不中断方面,要做到业务场景和安全能力相结合,在5G应用里要融入安全能力。第二在数据不出事方面,要做到数据安全防护应用场景的融合。第三是在合规不踩线方面,要将组织管理和技术实时融合。
魏雨露提出,要构建公共网络的纵深防御体系,做到工业数据的精准防护。精准防护包括账号的审计、数据库审计、堡垒机、安全卫士和数据安全的感知等。同时,要做到工业数据的全局掌控,其核心是建立一套零信任体系,确保主体身份可靠,确保行为操作合规。
魏雨露表示,要建立一套实战运营体系,将组织管理和技术融合,在实战中进行检验。最重要的是要建章立制,组建网络安全的合规专项工作组,还可以借助外部的一些专业力量,比如请专业安全公司和第三方法律机构参与和支持,对合规制度、流程进行完善,还可以定期开展一些攻防演练的活动,以此来检验网络安全是否有效。