在影片《速度與激情》當(dāng)中,，我們曾經(jīng)見識了令人目瞪口呆的一幕：大量自動駕駛汽車被黑客攻破之后,，突然變成了殺人工具，一番沖撞之后,，現(xiàn)場只剩下了堆集如山的汽車殘骸。事實(shí)上,，由于工業(yè)4.0強(qiáng)調(diào)建立高度自治和智能化的系統(tǒng),，因此當(dāng)系統(tǒng)被黑客攻破之后，整個系統(tǒng)所做出的分析和回傳的指令如果不正確，那么《速度與激情》中的這一幕,，就有可能實(shí)實(shí)在在地發(fā)生在現(xiàn)實(shí)生活中,。

　　當(dāng)我們憧憬工業(yè)4.0時，可能會忽略一個問題,，這就是安全已經(jīng)成了最為重要的賦能單元,。PaloAltonetworks(派拓網(wǎng)絡(luò))中國區(qū)大客戶技術(shù)總監(jiān)張晨近日就為我們解析了工業(yè)4.0時代的安全,。

　　工業(yè)4.0安全的本質(zhì)

　　要想在工業(yè)4.0時代實(shí)現(xiàn)全面的安全防范,，必須首先弄清工業(yè)4.0到底帶來了哪些轉(zhuǎn)變。在工業(yè)4.0時代,，制造業(yè)要從最基本的網(wǎng)絡(luò)物理系統(tǒng)開始,，進(jìn)行數(shù)字化轉(zhuǎn)型變革,，以便加快新一代信息技術(shù)與制造業(yè)的深度融合。在2015年《中國制造2025》發(fā)布之后,，智能制造的建設(shè)開始提速,，其標(biāo)志就是大量的物聯(lián)網(wǎng)設(shè)備和機(jī)器人得到應(yīng)用。

　　在工業(yè)智能化升級過程中,，大量IoT設(shè)備用于采集生產(chǎn)數(shù)據(jù),，將這些數(shù)據(jù)匯入后臺或云端進(jìn)行高精度的分析和處理，進(jìn)而形成一個經(jīng)過優(yōu)化的機(jī)器模型,，這個模型會通過指令指揮一線設(shè)備進(jìn)行調(diào)整和優(yōu)化操作,。這個過程實(shí)質(zhì)上實(shí)現(xiàn)了OT和IT的互聯(lián)，而當(dāng)OT數(shù)字化之后遭到黑客攻擊或數(shù)據(jù)被篡改,，那么這個高度智能,、實(shí)現(xiàn)了自治理狀態(tài)的系統(tǒng)，就會指揮工業(yè)系統(tǒng)和設(shè)備進(jìn)行錯誤操作,，甚至產(chǎn)生更為惡劣的安全威脅,。

　　生產(chǎn)的物理系統(tǒng)與機(jī)器學(xué)習(xí)系統(tǒng)、數(shù)字孿生實(shí)時分析系統(tǒng),、物聯(lián)網(wǎng)設(shè)備系統(tǒng)之間,，通過互聯(lián)就形成了一個網(wǎng)絡(luò)物理系統(tǒng)。因此,，要想在工業(yè)4.0時代實(shí)現(xiàn)安全保障,，其實(shí)質(zhì)就是要對這個網(wǎng)絡(luò)物理系統(tǒng)實(shí)現(xiàn)全面的安全防護(hù)。

　　但另一方面,，OT和IT的融合使得物聯(lián)網(wǎng)設(shè)備增多因而增大了攻擊面,，大量生產(chǎn)數(shù)據(jù)的匯集加大了數(shù)據(jù)保護(hù)的難度，同時針對工業(yè)4.0的網(wǎng)絡(luò)犯罪群體持續(xù)增加,。這些因素疊加在一起,，張晨表示：“工業(yè)4.0時代實(shí)現(xiàn)全面安全保障的難度很大,，必須要采用新的方法，告別被動響應(yīng),，防患于未然,。”

　　事實(shí)上,，當(dāng)工業(yè)系統(tǒng)進(jìn)化成一個高度智能,、自己治理的系統(tǒng)之后，從木桶理論出發(fā),，我們就可以發(fā)現(xiàn)企業(yè)的智能制造升級一定是要以安全為前提,，沒有網(wǎng)絡(luò)安全，就如同木桶沒有底板一樣,。因此,，在工業(yè)4.0時代，網(wǎng)絡(luò)和信息安全正面臨著前所未有的新挑戰(zhàn),。

　　工控安全框架的關(guān)鍵點(diǎn)

　　面對太多的安全威脅和太多的安全新技術(shù)選擇,，業(yè)界提出了工控安全框架的理念，通過系統(tǒng)化并且分階段地建立整體網(wǎng)絡(luò)安全框架,，以應(yīng)對各類安全威脅,。

　　對此，張晨表示：“轉(zhuǎn)型到工業(yè)4.0之后,，很多傳統(tǒng)的IT邊界消失了,，因此我們認(rèn)為從安全規(guī)劃的角度來看，對整個工控環(huán)境都要遵循零信任原則,。零信任就是不去主動相信,，而是持續(xù)檢查的原則，在此基礎(chǔ)之上,，來進(jìn)行相關(guān)安全框架的規(guī)劃和部署,，包括實(shí)現(xiàn)IT和OT邏輯上的隔離，以及網(wǎng)絡(luò)異常流量的監(jiān)測,，重要產(chǎn)線之間也要進(jìn)一步實(shí)現(xiàn)隔離和深入的網(wǎng)絡(luò)流量檢查,。”

　　派拓網(wǎng)絡(luò)的零信任策略已經(jīng)形成了一整套方法,，其中包括了物聯(lián)網(wǎng)保護(hù),、數(shù)據(jù)安全、云安全,、隔離和安全自動化等五個方面的工作,。

　　在工業(yè)4.0環(huán)境之中，一個智能樓宇系統(tǒng)不僅包含了大量監(jiān)控設(shè)備,，還會自帶一個小型操作系統(tǒng),，以便能夠接收,、回傳和執(zhí)行相關(guān)的指令,，而這個小型操作系統(tǒng)就可能成為黑客的攻擊面,。并且在一個大型系統(tǒng)中，存在著大量的小型智能系統(tǒng),，因此防范物聯(lián)網(wǎng)中固有的不安全因素,，并防止安全風(fēng)險擴(kuò)散，就成了不可或缺的一環(huán),。

　　在工業(yè)智能系統(tǒng)之中,，大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)對于最終的生產(chǎn)成果起決定作用，因此數(shù)據(jù)篡改,、數(shù)據(jù)中所攜帶的惡意軟件和代碼,，都可能給整個系統(tǒng)帶來致命一擊，這樣針對系統(tǒng)的保護(hù)就必須以數(shù)據(jù)為中心,。而當(dāng)很多企業(yè)為了加速業(yè)務(wù)上線,，選擇跟云服務(wù)商進(jìn)行合作之后，云服務(wù)商只提供云基礎(chǔ)架構(gòu)方面的安全,，在云上運(yùn)行的企業(yè)數(shù)據(jù)的安全,，還需要由企業(yè)自己維護(hù)，因此云安全也成為了工業(yè)智能系統(tǒng)零信任策略的重要部分,。

　　此外,，IT和OT的融合是成功實(shí)施工業(yè)物聯(lián)網(wǎng)系統(tǒng)所必需的，但OT和IT之間日益增長的互聯(lián)性已經(jīng)成為一大挑戰(zhàn),。OT(尤其是工業(yè)網(wǎng)絡(luò))數(shù)字化的結(jié)果,，讓工業(yè)系統(tǒng)和設(shè)備暴露出來，當(dāng)這些系統(tǒng)和設(shè)備得不到充分保護(hù)時,，安全威脅就會隨時出現(xiàn),。對此，張晨強(qiáng)調(diào)：“隔離策略很重要,，但我們的隔離策略是一種邏輯上的隔離,，而非物理上的隔離?！?/p>

　　對相當(dāng)數(shù)量的企業(yè)而言,，一方面是工業(yè)4.0環(huán)境中越來越多的安全威脅，另一方面卻是有限的人員反應(yīng)速度,，這個時候安全自動化就顯得尤為重要了,。張晨介紹說：“在工業(yè)4.0環(huán)境下，對傳統(tǒng)的SOC中心提出了更高要求,，它不再只是簡單地在原來傳統(tǒng)SOC環(huán)境下做數(shù)據(jù)分析,，而是要做出更加精準(zhǔn)的自動化響應(yīng)和編排,。只有做出智能反應(yīng)，跟上工具的速度,，甚至超前反應(yīng),，才能避免很多安全攻擊的發(fā)生?！?/p>

　　具體到工控安全框架建設(shè),，張晨給出了這樣的建議：“工控安全會遵循一個模型框架進(jìn)行建設(shè)，派拓網(wǎng)絡(luò)的做法,，是在不影響工控設(shè)備正常工業(yè)生產(chǎn)和運(yùn)行的情況下,，從網(wǎng)絡(luò)層面上對整個OT環(huán)境內(nèi)部的流量來進(jìn)行深度檢測。因此我們希望用戶在實(shí)施方案之前,，能夠做一個有計劃,、有邏輯的評估。我們會利用零信任五步法來幫助用戶,，在進(jìn)行流量匹配之后,，再做零信任策略的梳理，然后再去部署相應(yīng)的方案和策略,，之后再進(jìn)行不斷的監(jiān)控和調(diào)整,。”

　　平臺式解決方案的必要性

　　零信任構(gòu)成了派拓網(wǎng)絡(luò)保障工業(yè)智能化升級的整體策略,，而保障這個策略落地的,，就是派拓網(wǎng)絡(luò)的網(wǎng)絡(luò)安全Strata、云安全PrismaCloud,、安全運(yùn)營Cortex三大平臺,。

　　這其中，網(wǎng)絡(luò)安全Strata平臺是跨硬件,、軟件和SASE的網(wǎng)絡(luò)安全平臺,，可以確保復(fù)雜基礎(chǔ)設(shè)施的安全。云安全PrismaCloud平臺覆蓋從開發(fā)到運(yùn)營的全面云原生應(yīng)用保護(hù)平臺,，跨越多云和混合環(huán)境,。安全運(yùn)營Cortex平臺是下一代SOC平臺，通過數(shù)據(jù)集成,、分析和自動化,，具有威脅可視性、檢測和響應(yīng)能力,。這幾大平臺的能力組合在一起,，也恰好能滿足零信任策略下，物聯(lián)網(wǎng)保護(hù),、數(shù)據(jù)安全,、云安全,、隔離和安全自動化的功能需求。

　　而說到解決方案平臺化的重要性,，張晨表示：“工業(yè)4.0還帶來了一個轉(zhuǎn)變,，就是在數(shù)字化轉(zhuǎn)型驅(qū)動之下，IT架構(gòu)變得非常有彈性,。很多企業(yè)在需要應(yīng)用時要實(shí)現(xiàn)馬上部署,，不需要的時候又會把這些資源回收,，這要求整個架構(gòu)都要具備彈性,。而一個個獨(dú)立、靜態(tài)的產(chǎn)品,，就可能跟不上IT架構(gòu)彈性的變化,，所以我們的方案一定是平臺化的。在這個平臺上,，用戶就可以根據(jù)需要,，增加或刪減必要的安全檢測功能，這樣才能夠跟企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程完全實(shí)現(xiàn)匹配,?！?/p>

　　在工業(yè)4.0的新環(huán)境中，零信任與平臺化的結(jié)合,，將會讓用戶通過網(wǎng)絡(luò)安全轉(zhuǎn)型實(shí)現(xiàn)全方位的云原生安全,，徹底改變安全運(yùn)營模式，從而具備更高的前瞻性,。而說到平臺策略,，派拓網(wǎng)絡(luò)本身就是一個大平臺，在向工業(yè)4.0轉(zhuǎn)型的過程中,，派拓網(wǎng)絡(luò)還會利用自己已經(jīng)形成的龐大生態(tài)系統(tǒng),，和合作伙伴一起應(yīng)對不斷變化的安全挑戰(zhàn)。