通信世界网消息(CWW)在11月15日举办的2019中国(黄石)工业互联网大会之5G+工业互联网高峰论坛上,青莲云售前技术总监吕浩分享了工业互联网边缘安全风险与应对。
演讲全文如下
我们公司是一家是做安全的,我们大会的主题是工业互联网,第二个关健词是边缘的安全,我会讲什么叫边缘安全,以及边缘安全是什么,所以我们今天演讲的主题的思路是什么,你们没有考虑到的安全风险都有哪些,以及如何去治理。我们安全的产品以及工业互联网平台的部分的基因,我们也负责很多的工业互联网的安全的研究,平台的构件,工业互联网安全的研究,我们三大的产品线,比如说我们的安全产品,我们的咨询服务和我们的云平台,下面讲的,我们的三个创始人,都具备了10年以上的研发经验,我们希望我们的产品落地的懂业务的,所以我们的技术团队基本上跨越的维度较多。比如说我们从OT的层面,我们要懂工业的设备,各个维度其实我们都懂,我要懂工业互联网的业务,而且要多业务层面的支持,整合到一起。下面是一简单的数据,我简单的说一下,这里面主要提到的是Gartner预测,我们工业也属于物联网范畴的预定,其实大部分企业,都用上下游的设备,从安全的管理,从整个的上下游,从工业的设备,各个层面都是需要考虑安全,这是一个简单的案例,实际上它是台积电的一个试点,这也就是说安全的重要性吧。讲到这,因为我负责产品的同时,我们也会去跟一些企业的CEO谈,这里面其实可以很直接告诉企业说,安全的产品,如果是安全的架构提升的话,防止你进行一些安全架构的损失,我遇到的很多的企业,他实际会遇到很多的奇怪的现象,或者说设备是特别卡的,每听都定时间的重起,比如说我们做的快递柜,他能做的是什么,或者去调试,才能正常的运转,很多时候并不是代码的问题,获得并不是某些厂商的产品的问题,我们就遇到这样的客户。他企事业不能说是一个很复杂的一个病毒,它是一个勒索的病毒,它是无差别的攻击,如果我发现你的系统,你的办公电脑也好,你的工厂内也好,工厂外也好,如果有一个病毒的击破的薄弱点,那我就可以做。那这个可以看到,我在中间的部分特地画了一个红色的部分,也就是说我们所有的考虑安全的话,都是基于边界防护的,比如说我们一些防火墙设备,IPS的这些防护的设备,但现在工业的设备,因为工业的设备已经是上平台了,你上云了以后,很多的武力是直接上云的,比如说你的DTU、ITU设备,等等这部分的措施,所以说你边缘层面应该怎么样去做。厂商他没有东西向检测的能力,就是说这个病毒如果通过你办公室,进入到你的局域网内,他获得了信息之后,它会给你推个邮件的,它会直接的升到你的PC上,再进入到你的工厂的设备里面,所以说是攻击的路径是非常多的。但是我们进来是防止不了的,我们不能横向的对其他的设备进行感染,所有大部分的工业互联网的厂商,没有东西向的检查。很多的厂商都说自己的是安全的,所以大部分企业是没有一道门槛的,其次我刚才提到的是,针对我们工业互联网也好,病毒是无差别的攻击的,你的系统有薄弱点就会有攻击。
下面我会讲一下我们的公司的产品,我们的公司的产品也是依据于我们线网,我们做了安全的解决方案,这里面介绍了产品,也是帮助企业启蒙一些安全的思路和思维。我们产品叫EDSOC,传统的一些应用设备你用采用,现在就能做到这个方式,首先大部分的数据都已经是加密的了,我们现在能分析出来你的原目的地的问题,现在的很多的功能是可拆解的,整个我们EDSOC产品的防护,也就是三个维度。第一个维度是系统的安全,在我们设备的操作系统,企业都是没有检测的,我们PC,有很多的安全产品,这个操作系统大概用在我们的工业互联网以内,这些系统是没有成熟的可重复的产品,我们要考虑这个系统本身防火墙,有没有来扫描你,你的进程和流量是否是有异常的,实际上把数据汇集到平台是很容易的,我们把数据怎么收集计算,然后怎么展示,很多企业都可以做的,但是考虑到安全,很多企业是考虑不全面的。我怎么判断你接入的设备,或者说设备怎么判断,我将要接入的平台。再比如你的数据是怎么加密的,你的密钥是怎么管理的,如被非法劫持的时候,这些企业都是不重视的。所以我们通信安全要靠这个维度。第三个维度是,区别在于说因为你是做工业互联网的,你要收集数据的维度,你的PRC,你的ITO,你的生产线的数据,会聚到平台,这是大致的三个维度。
这个图可以简单来看一下,这个技术我就不完全展开去讲了,工厂里面会用一些清洁机,这些设备本身是有操作系统的,所以说这些设备是否被感染了,是否有了病毒在你的设备里去运转,这都是不知道的。这些操作系统也系需要检测的,你要有检测东西向的能力,同一个局域网络的其他的设备,你也要注意。第二个是刚才讲的终端的设备,我们要保证身份验证的安全,等等的一系列的,都需要我们来做。这个我们跟大家展示一下,这也就是为什么我刚才提到说,针对工业互联网没有一个通用的产品,操作系统也是太多了,所以说把我们产品到各个平台,最后我们EDSOC的数据维度。平台设备和机械,都是基于我们EDSOC的产品,所以我们知道你的议程是不是有异常,是否有暴力想破解,通信层面,比如说你是否被中间劫持了,你的数据是否被破坏,你的升级的数据包是否被破坏了,我们都可以做出预测的。这是我们所谓的流量检测的部分,传统的安全产品,还是要插网线的,大部分企业已经意识到我们数据是加密的,加密的就没法用,进行加密的我解决不了,我们一定要来分析你现在终端的流量行为的协议进程,我们会构建一个决策的数,一步一步达到我们的决策,一个是正常的一个决策的走向,一个是异常的走向,所以我们要建立大量的模型,然后来判断这个行为是否是异常的。这里面还有一些其他的,我们都能分析出你这些设备是否被病毒感染了,这个趋势和走向差异是非常大的。实际上我们沟通了很多的企业,一个企业不同组织人对数据的敏感程度是不一样的,营销负责人我希望看到所你这个产品在业务数据上帮我减少多少成本,他希望看到说哪一部分的设备是频繁的遭到攻击,那可能这个工厂的管理是有薄弱点的。安全分析,我刚才提高说,我们能够抓到很多的数据,这个是由我们来决定的,但是业务分析,我们是需要和企业来沟通的,我会给你两个组建的一个比例,如果它损耗到了40%,如果它不更换,可能引起一些事故,我们会做业务分析,这是需求一个整体的一个时间成本的,这个是我们需要和企业分析的,病毒分析就不多讲了。
下面的算法我也不展开讲,只是说根据你的经验怎么把这些做法做好。这是我们高铁的项目,基站是需要自动化的检测很多的数据的,高铁的项目对安全的要求是非常的高,帮助他们从终端的安全和通信的安全把握住。这几个图简单的看下就好了。下面是广州的客户,是做DTU的,现在很多的企业都在用,因为他们事实上说我们国家再出口国外是越来越强,我们当中的企业现在在国内的市场是稳定的,国外的市场的增长速度是非常快的,我们的产品可能是比别人便宜一半,你的高温低温的能力,但是软件网络的安全层面,或者说物联网的安全的层面,他只知道我的设备是否是上线的,所以我们整个方案都是给这种DTU厂商来做的。我们整个的团队技术的组成,我们所有的技术都是要有的,这样才是完善的,我们不是在创造的需求,我们知道客户有这个能力,用起来,有几个主要的功能,然后再不断的完善,让企业运营不起来,这个不是我们的思路。这是我们获得的一些资质,这个简单的提一下,我们整个的产品都是通过这个部署的,我们都可以组建化的部署给企业,业务的定化需求,我们可以去沟通,包括运营的费用都是可以去商量的。我的演讲就结束了。
