2022中國自動化產(chǎn)業(yè)年會——“2021中國自動化領域年度優(yōu)質(zhì)工業(yè)安全服務商”已經(jīng)揭曉,工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟(ICSISIA)特推出安全微訪談專題,邀請年度優(yōu)質(zhì)工業(yè)安全服務商從技術(shù)、產(chǎn)品、市場等不同方面探討工業(yè)安全發(fā)展。本期專訪人物——長揚科技(北京)股份有限公司營銷咨詢部總經(jīng)理李莊。
長揚科技(北京)股份有限公司營銷咨詢部總經(jīng)理李莊
Q1請簡單介紹一下目前長揚科技在工業(yè)安全領域的核心產(chǎn)品和解決方案,以及核心競爭力。
李莊:
長揚科技創(chuàng)立于2017年9月,是國資監(jiān)管下、市場化運作的國家高新技術(shù)企業(yè),國有資本占股近50%。公司聚焦工業(yè)互聯(lián)網(wǎng)安全、工控安全、關(guān)鍵信息基礎設施安全、安全生產(chǎn)等領域,為客戶提供完整的工控安全體系建設解決方案。
目前公司已經(jīng)形成十二大完整的產(chǎn)品體系、八大服務體系。公司以信創(chuàng)安全生態(tài)為底座安全,以工業(yè)安全靶場為能力提升手段,面向工業(yè)網(wǎng)絡安全監(jiān)測、工業(yè)網(wǎng)絡安全防護、工業(yè)視覺安全分析、零信任安全和數(shù)據(jù)安全,自主研發(fā)了50余款產(chǎn)品,覆蓋工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)完整生命周期,同時包含安全咨詢規(guī)劃、安全風險評估、安全運維值守、安全運營管理、安全應急演練、安全認證培訓、安全溯源取證、安全應急處理等一站式服務體系,可以滿足企業(yè)從信創(chuàng)安全、工控安全防護、安全監(jiān)測運營、數(shù)據(jù)生命周期安全管控、安全準入控制、工業(yè)安全生產(chǎn)、安全實戰(zhàn)攻防、人員能力提升等各種需求。
長揚科技深入各種行業(yè)場景,業(yè)務覆蓋30+工業(yè)垂直行業(yè),服務客戶數(shù)量超3000家,公司始終以客戶需求和場景為核心,打造高匹配度和高適用性的定制化解決方案,為行業(yè)客戶賦能,實現(xiàn)企業(yè)的降本增效。
Q2當前正是工業(yè)互聯(lián)網(wǎng)快速發(fā)展的時期,針對工業(yè)環(huán)境的攻擊方式、安全防御是否和以前有些不一樣,實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全的管控有哪些重點、難點?
李莊:
在數(shù)字時代下,工業(yè)和信息化日益融合帶來的不僅是“提質(zhì)降本增效”,也帶來了網(wǎng)絡安全風險和暴露面的增加,工業(yè)工控網(wǎng)絡(ICS)一旦遭受網(wǎng)絡攻擊,其影響面和危害后果不堪設想。
重難點主要在以下三個方面:
根據(jù)國家信息安全漏洞共享平臺(CNVD)公布的數(shù)據(jù),工業(yè)控制系統(tǒng)安全漏洞已經(jīng)達到3400多個。由于我國工業(yè)控制系統(tǒng)基礎弱,大部分控制系統(tǒng)被國外壟斷,受制于人,國外廠商完全有能力、有手段對正在我國運行的工業(yè)控制系統(tǒng)進行遠程操控,或者獲取機密數(shù)據(jù)。此外,新基建背景下工業(yè)互聯(lián)網(wǎng)的大力發(fā)展,也必然導致工業(yè)控制系統(tǒng)的廣泛互聯(lián),如果不采用安全有力的保障措施,必然給國外的黑客組織、敵對勢力帶來攻擊的機會。
工控網(wǎng)絡和互聯(lián)網(wǎng)的邊界逐漸打通,IOT融合已經(jīng)成為現(xiàn)實。由于工業(yè)互聯(lián)網(wǎng)覆蓋面廣、海量設備接入、暴露面不斷增大,使得集團型企業(yè)及其下屬企業(yè)的安全防護難度大大增加,企業(yè)迫切需要構(gòu)建起完善的工業(yè)互聯(lián)網(wǎng)安全防護體系,才能更好應對日益嚴峻的外部安全威脅和企業(yè)工控系統(tǒng)內(nèi)部的脆弱性風險。
懂網(wǎng)絡安全和工控自動化的復合型安全人員嚴重不足。目前國內(nèi)各高校和高職院校的教學體系側(cè)重于理論知識,缺乏相應的實訓培養(yǎng),而企業(yè)需要的是能夠真正解決工業(yè)互聯(lián)網(wǎng)安全問題的實用型人才,因此高校的教學內(nèi)容與企業(yè)的真實需求有一定落差,遠不能滿足行業(yè)和企業(yè)需求,這將嚴重制約我國工業(yè)互聯(lián)網(wǎng)安全的發(fā)展。
Q3數(shù)字化背景下,工業(yè)企業(yè)如何構(gòu)建科學的安全防護體系?
李莊:
工業(yè)企業(yè)在數(shù)字化變革的大背景下,以高級持續(xù)性網(wǎng)絡攻擊(APT)為代表的新型攻擊手段不斷演進,多層面的網(wǎng)絡安全威脅和安全風險也在不斷增加。IT網(wǎng)絡、OT網(wǎng)絡、ICS工控網(wǎng)絡的安全風險需要統(tǒng)籌綜合考慮,僅僅依靠傳統(tǒng)的防火墻、入侵檢測、防病毒等技術(shù),已經(jīng)很難應對當今面臨的安全挑戰(zhàn)。
長揚科技認為,企業(yè)需要實現(xiàn)從“靜態(tài)布防、邊界監(jiān)視”,向“縱深防御、實時管控”的轉(zhuǎn)變,通過以下四個方面,可以幫助企業(yè)快速構(gòu)建科學的網(wǎng)絡安全保障體系:
定期開展安全風險評估:結(jié)合工業(yè)企業(yè)IT網(wǎng)絡和工控網(wǎng)絡特點,依據(jù)等保2.0、工業(yè)聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級、安全風險評估規(guī)范等文件要求,定期組織安全風險評估和差距分析,梳理工控系統(tǒng)的工藝流程、資產(chǎn)拓撲、脆弱性漏洞、潛在安全風險等情況,并制定具體的安全加固方案和整改措施。
建立縱深安全防御體系:根據(jù)工業(yè)企業(yè)網(wǎng)絡安全風險評估和差距分析報告,圍繞工業(yè)互聯(lián)網(wǎng)L0(現(xiàn)場設備層)-L4(企業(yè)資源層)完整場景下的設備安全、控制安全、網(wǎng)絡安全、平臺安全、數(shù)據(jù)安全等方面,構(gòu)建縱深安全防御體系;包括安全分區(qū)、邊界防護、監(jiān)測審計、主機安全防護、移動介質(zhì)安全、漏洞管理、威脅誘捕、可信加密認證、數(shù)據(jù)安全管控、統(tǒng)一集中管理、態(tài)勢感知分析等內(nèi)容,實現(xiàn)對工業(yè)企業(yè)的重要信息系統(tǒng)、工業(yè)控制生產(chǎn)系統(tǒng)的全方位、全時段、全過程的安全防護和主動監(jiān)測,實時掌握來自外部的各類攻擊行為和來自內(nèi)部的非合規(guī)行為事件,準確定位到相關(guān)資產(chǎn)和人員,通過安全監(jiān)測與預警可視化,將系統(tǒng)風險全狀況盡收眼底,切實提高工業(yè)企業(yè)全板塊網(wǎng)絡安全整體防護水平。
加強組織應急處置水平:建立常態(tài)化安全事件應急處置預案庫,健全工控安全管理制度和流程,定期開展網(wǎng)絡安全培訓和應急演練,掌握典型工業(yè)網(wǎng)絡安全攻擊手段、安全防御技術(shù)以及應急處置方式,不斷提升企業(yè)組織人員網(wǎng)絡安全意識和技能。
提高安全技術(shù)驗證能力:為了評估、測試工業(yè)企業(yè)的實際安全防護能力,可以搭建工業(yè)安全靶場平臺,通過虛擬化與虛實結(jié)合的方式,分隔出一部分演練區(qū)域,在確保企業(yè)生產(chǎn)業(yè)務與安全性不會遭到破壞的情況下,進行安全技術(shù)研究、安全防護能力驗證、安全攻防演練演習,從而對工業(yè)企業(yè)當前的安全能力進行客觀評估,發(fā)現(xiàn)潛在問題,持續(xù)優(yōu)化企業(yè)安全防護體系。
Q4隨著信創(chuàng)產(chǎn)業(yè)的崛起,通過國產(chǎn)化產(chǎn)品來構(gòu)建新的安全能力顯得十分重要,長揚科技為此開展哪些方面的工作?
李莊:
長揚科技十分注重技術(shù)研發(fā)和科技創(chuàng)新,已申請獲得專利、軟著百余項。同時,長揚科技成立信創(chuàng)研究院,積極推動信創(chuàng)安全生態(tài)建設,長揚工控安全防護產(chǎn)品除了適配自研長揚安全操作系統(tǒng)v2.0,同時與業(yè)內(nèi)眾多生態(tài)伙伴實現(xiàn)產(chǎn)品兼容性互認證,包括麒麟軟件、統(tǒng)信軟件;飛騰、龍芯、申威、海光、兆芯等CPU廠商;長城、曙光、寶德 、聯(lián)想、浪潮等整機廠商。
Q5請您談談對于此次長揚科技獲得“2021中國自動化領域年度優(yōu)質(zhì)工業(yè)安全服務商”的感言。
李莊:
此次獲評“2021中國自動化領域年度優(yōu)質(zhì)工業(yè)安全服務商”是行業(yè)對長揚科技在工業(yè)安全技術(shù)創(chuàng)新和國產(chǎn)化能力的高度認可,作為工業(yè)互聯(lián)網(wǎng)安全行業(yè)的第一批踐行者,長揚科技自成立以來,始終以護航國家關(guān)鍵信息基礎設施安全為己任,深扎行業(yè)、自主研發(fā)、不斷創(chuàng)新,幫助企業(yè)構(gòu)建完整的工業(yè)網(wǎng)絡安全保障體系。同時,公司牽頭或參與國家標準、行業(yè)標準、團體標準已達百余項,參與標準研究項目或技術(shù)白皮書20余項,為國家網(wǎng)絡安全事業(yè)持續(xù)貢獻自己的力量。
未來,長揚科技將持續(xù)發(fā)揮自身在工業(yè)互聯(lián)網(wǎng)安全領域的核心能力,踔厲奮發(fā)、篤行不怠,堅定科技自立自強的戰(zhàn)略思想,弘揚企業(yè)創(chuàng)新精神和初心使命,以助力國家安全為踐行企業(yè)責任的永恒燈塔,為提升國家網(wǎng)絡安全防護能力貢獻強有力的科技力量。
關(guān)于長揚科技
長揚科技(北京)股份有限公司是一家國資監(jiān)管下、市場化運作,專注于工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡安全和視覺AI 安全大數(shù)據(jù)應用的國家高新技術(shù)企業(yè),國有資本占股近50%。 基于“安全協(xié)同·AI賦能”的戰(zhàn)略理念,公司在工業(yè)互聯(lián)網(wǎng)安全領域持續(xù)深耕,團隊核心成員是中國工業(yè)互聯(lián)網(wǎng)安全事業(yè)的第一批踐行者。
長揚科技在業(yè)界開創(chuàng)了三位一體“智能工業(yè)安全大腦”的產(chǎn)品理念。公司以信創(chuàng)安全生態(tài)為底座安全,以工業(yè)安全靶場為能力提升手段,面向工業(yè)網(wǎng)絡安全監(jiān)測、工業(yè)網(wǎng)絡安全防護、工業(yè)視覺安全分析、零信任安全和數(shù)據(jù)安全,自主研發(fā)了50余款產(chǎn)品,覆蓋工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)完整生命周期。產(chǎn)品及解決方案已廣泛應用于電力、石油石化、軌道交通、城市市政、智能制造、鋼鐵冶金等行業(yè),滿足等保2.0及關(guān)鍵信息基礎設施安全保護條例要求。