近日,由龙芯中科技术股份有限公司主办,中国电力发展促进会、中国信息通信研究院安全研究所协办,以“自主‘芯’架构•连接新未来”为主题的“2022年龙芯工业生态大会”在苏州太湖之畔隆重召开。卫士通总经理助理、研究院院长石元兵以视频形式参会,在大会“工业通信与工业安全分论坛”发表《内外兼修,护航工业信息安全》主题演讲。
石元兵指出,世界范围内针对工业领域的网络攻击事件愈演愈烈,工业信息系统作为关键信息基础设施中的核心系统,已成为网络攻击的重点目标,加快构建安全可控的工业信息系统显得尤为重要。
面对相关安全风险,石元兵表示,安全可控是基础前提,但自主并不等同于安全,仅依靠自主,并不能完全避免系统功能设计不足、实现逻辑缺陷、使用配置不当等内生问题,工业信息系统安全防护还应重视以下8个要点:
1、物理环境安全防护:通过电子门禁、视频监控等措施防止未授权人员访问系统资产;通过抗震、防潮、防水等措施,保护系统免受外部物理环境因素影响。
2、网络通信安全防护:通过完整性校验、数据加密等措施保护ICS中传输的控制指令和生产数据的完整性和保密性,防止假冒控制指令、窃取关键生产数据的攻击。
3、网络边界安全防护:通过边界隔离、访问控制、入侵检测等措施防止对ICS的非授权访问,及时发现并有效保护ICS免受恶意入侵和攻击。
4、工业主机安全防护:通过系统可信验证、身份鉴别、移动存储介质管控等措施阻止对工业主机的未授权访问,防止工业主机受到非法入侵或造成工业数据泄漏。
5、控制设备安全防护:通过身份鉴别、访问控制、入侵检测、漏洞补丁升级等措施阻止对工业控制设备的未授权访问,避免控制设备受到恶意入侵、攻击或非法控制。
6、数据安全防护:通过数据完整性校验、数据加密、数据脱敏、数据备份、数据安全销毁等措施,保护数据全生存周期的完整性和保密性,防止未经授权使用和数据处理、恶意篡改和窃取数据等现象发生。
7、防护产品安全:通过多因子身份鉴别、管理信息加密传输等措施,确保产品功能安全可靠、管控策略有效,避免因产品自身功能缺陷给ICS的正常运行带来安全隐患。
8、系统集中管控:集成安全管理、安全监控、安全审计功能,集中维护和管控ICS、统一制定与部署安全策略,集中响应安全事件。
概括而言,即向内通过采用自主CPU,内嵌密码技术等手段,构建融合安全的工业信息系统;向外通过安全管理、安全审计等手段,建立多层级多维度的纵深防御体系。内外兼修,达到整体安全防护能力的提升。
最后,石元兵认为工业领域网络安全建设,需要结合系统业务特点及所面临的主要安全风险,细致准确地梳理出系统的安全需求,再结合技术手段的实施可行性,提出合理的整体解决方案。他认为,龙芯通过处理器内嵌密码的方式,从芯开始,层次化构建安全支撑能力,为工业领域信息设备和安全产品提供了构建整体解决方案的底层支持,是工业信息系统内嵌安全创新的重要实践。
自2019年卫士通与龙芯中科成为战略级合作伙伴以来,双方携手合作,持续推进自主密码与国产处理器的融合发展,共同探索基于处理器的“本质安全”之道。双方先后联合对外发布了“龙芯SE安全模块及SDK”、基于龙芯的“卫士通安全综合网关”等系列产品。未来,双方将持续加强合作,进一步拓展包括工业信息安全在内各行业领域的自主与安全之路。
