“拟态防御”技术如何护航工业互联网新基建？

工业互联网可以连接物理世界与数字世界，是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。不过，新技术也要求新安全。工业互联网中各种设备互联，设备种类多、数量多，漏洞后门资源多，攻击路径多，攻击可达性强。近日，有问举办的线上论坛以“拟态防御如何护航工业互联网新基建”为主题，就工业互联网内生安全问题等，邀请中国工程院院士、之江实验室网络安全领域首席科学家邬江兴进行了解读。

安全保障体系如何建立？

据介绍，一块几万乃至上百亿只晶体管组成的集成电路芯片;一个几万乃至上亿行代码构成的软件版本;一个复杂信息系统或控制装置......只要存在一个高危漏洞或植入一个后门，就可能导致整个信息系统乃至所有相同设施遭殃，甚至可能造成重大装备和人员生命的巨大损失。

对此，中国工程院院士、之江实验室网络安全领域首席科学家邬江兴院士提出了基于内生安全机理的网络空间“拟态防御”技术。记者在该线上论坛了解到，其核心思想是：结构决定安全、变结构产生内生安全效应。它能够有效解决工业互联网内生安全问题，有效防御“挖漏洞”“设后门”“植病毒”“藏木马”等基于软硬件内部漏洞后门的经典网络攻击，有力抑制或管控确定或不确定风险、已知或未知的安全威胁，让安全有效直达工业生产第一线。

目前，工业互联网的产业生态竞争日趋激烈，工业互联网发展生态构建和产业布局也正在全球加速展开。那么，安全保障体系的建立应该从哪几个维度去构建？

邬江兴表示，安全保障体系应该从政策制度、技术标准、设备生态以及人员操作规范四个维度去构建。“首先，要建立健全的数据共享与保护制度，对进行数据共享的企业给予政策上的倾斜，对破坏合法数据共享的行为进行处罚;第二，要建立完善的行业技术标准，规范安全性测试度量体系;第三，要构筑基于内生安全技术的设备与服务生态，能够为新生行业、升级转型行业，提供信息安全与网络安全保障;第四，要加强对设备操作人员、管理人员等安全技能基础培训力度，强化安全意识与安全防护技能。”

拟态防御技术赋能工业互联网

工业互联网的安全和以往所说的互联网安全是否有不同之处？邬江兴告诉记者：“工业互联网与互联网同为网络空间的一部分，只是在工业互联网领域，除了需要额外考虑设备的高可靠、高可用、高可信、确定性时延等服务品质外，还需确保数字世界与现实世界相交之处的安全防线。”

随着信息化、网络化的进一步深入，内生安全防护有必要覆盖工业控制网络的方方面面。其中，拟态防御技术能很好地兼容传统安全技术，两者的叠加可获得指数量级的安全效果。

不过，工业场景多、差异大，“拟态防御”技术又是如何去重构不同的系统、护航工业互联网？对此，邬江兴表示，拟态防御技术赋能工业互联网内生安全有三种模式。

“一是，在成熟的技术产品的关键部位或模块上设置拟态括号及配置相关的软硬资源，适用于自有产品的升级改造;二是，参照某种技术产品的功能性能以及技术架构，在核心部位设置拟态括号并配置相应的COTS级软硬构件，适用于第三方产品集成开发;三是，目标技术平台本身就具备动态、异构、冗余等特质时，只需在资源分配或调度环节、服务应用输入/输出接口增加拟态括号部分功能和机制即可，适用于云计算/数据中心等产品的升级改造。”

记者获悉，目前国内的工业互联网平台大部分还是以入侵检测、访问控制、加解密、容灾备份、智能安全态势分析等传统信息安全防护手段为主，尚未能彻底解决基于潜藏于信息系统或控制装置内部的漏洞后门问题。

据邬江兴介绍，之江实验室目前已经完成了拟态工业云平台、数据中心、DCS、PLC、网关、交换机等核心设备的研制与测试工作。后续将结合行业的需求，物色相应的设备或设施进行改造与应用示范，进一步向整个工控网络领域推广。