以下是现场速记。

腾讯安全高级架构师 张乐

 

张乐：各位领导、各位专家，大家上午好，我是腾讯安全的架构师张乐。今天由我为大家介绍一下我们腾讯在工业互联网平台这一侧相关的一些安全解决方案，整个工业互联网的建设肯定不只是安全，这一块我只是把安全的部分给提炼出来了，因为时间原因我就只讲安全这一块的内容。它还包括很多的像一些PaaS层、SaaS层，以及基础IaaS层建设的内容，今天这些内容先不做介绍。

 

1.我们先看一下整个工业互联网它面临的安全风险都有哪些?工业互联网产业联盟已经对工业互联网做了相关的定义，简单理解就是把人、机、物这三者进行互联，对我们传统的一些生产模式逐步尝试进行相关的颠覆，从而对我们企业带来一个降本增效的作用。也正是因为它的这样一个价值，在国家相关层面、相关会议当中也一直在强调工业互联网它的重要性。目前工业互联网也是跻身于和5G、新能源充电桩、高铁之类的已经是新基建七大关键领域之一了。

 

工业互联网我们可以把它分成两个大的部分，第一部分是上层，就是工业互联网的云平台，可以看到从整个架构上来讲，它和一个常见的云数据中心的架构是相对比较类似的，底层的IaaS，中间层PaaS，上层的SaaS层的相关应用，再结合用户侧的一些运营支撑相关的平台，去实现整个工业互联网的统筹经营的效果。在底层，也就是边缘层或者设备层这一块，这个就下沉到我们的工厂里面去了，这一块会包含工厂相关的一些设备，我们的一些基台控制监控，以及工业网关，以及核心层运算，在整个这一块都是运行在工业通信的网络里面。

 

可以看到，整个工业互联网它是把上层云平台打通到工厂侧相关的网络里面来了。这样的话，它随之带来的肯定是相关的一些安全风险，这些风险我们总结主要有四个方面：一是随着控制网的开放，给控制安全这方面会带来相关的安全隐患，因为不法分子或者说黑客，或者说攻防演练期间的攻击队可以通过互联网对我们生产网发起一些攻击。二是大量的工业数据向互联网侧流转过程当中包括向其他单位流转过程当中也会带来相关的泄漏或者被篡改的风险。三是网络层面的相关风险，它会进一步扩散，扩散到工厂里面去，因为工厂里面设备会进一步IP化、无线化，甚至5G这些接入方式，都会带来各种各样的风险。四是工厂侧设备本身它在操作系统的支撑下可能也会有相关的漏洞被暴露出来，因为之前我们很多工厂的设备是不连接外网的，它有些什么样的漏洞，但是黑客很难找到攻击路径。但是随着工业互联网把整个网络打通，也把一些风险带到了我们工业生产的网络里面来，就是我们的设备也会存在相关的风险。

 

基于这个的话，我们也可以从整个业务生产流程上来看一下。在边缘接入这个层面，它同时介于工业互联网以及企业生产网之间，由于这块的打通，把相关的安全风险也进一步呈现出来。就像刚才有领导讲到安全这一块如果不解决的话，我们直接去上工业互联网，那基本上就无异于杀了，这个确实是很有道理的，确实会把我们所面临的风险以及导致的后果呈几何倍数的放大。

 

2.这对这些问题，我们腾讯这边一直在思考相关的解决方案，首先我们提出工业互联网我们认为相对合理的网络安全架构。这个架构在讲之前我们可以先看一下传统的方案，在落地过程当中会有哪些问题?我们这边总结主要是这几方面：传统方法落地相对比较重视差别建设、防御以设备堆叠方式为主，它在整个服务、运营和检测方面，以及一体化的，把IT、OT一体化运营的能力是相对不足的。还有整个IT和OT的割裂，很多厂商说我只负责IT部分的安全建设，工控就是工控厂商去负责，安全运营的割裂也缺乏统一的视图，很难把一些问题给真正定位出来去解决。整个安全人员的缺失也是目前的一个现状，在用户侧表现出来的就是运维能力或者运维精力这方面的一个不足。最后一点就是安全价值难以量化，这个一直都是存在的，很多领导认为安全一年到头不出事，这个就是信息化做的还不错，稍微出过一点事，那就是做的不好，那真的是这样吗?其实我们很多做信息化的人，这方面都是很不认可的，因为确实很委屈，因为谁都没法保证我们的网络安全不出任何事情。关键在于出事之后，我们响应的机制以及所挽回的相应的损失，这个也是能够比较有效的去体现我们整个信息化的价值。

 

针对这些问题，我们提出相关的方案就是“平台+设备+服务”这样一个创新性的模式。平台的话，就是安全大数据平台，这也是腾讯作为一个互联网公司经过20几年的沉淀，我们在各个层面是有大量的威胁情报的积累，目前在整个威胁情报，不管是样本库还是规则库，还是信息库这些层面，我们都是目前全球相对比较领先的规模的威胁情报系统，这一块也不断给我们安全进行相关的赋能。然后再结合我们云端和本地相关的安全设备去形成一整套的安全能力的模型，最后再结合整个安全服务去弥补安全人员短缺的短板，弥补这样一个问题。

 

针对这个模式，我们也是提出相应的安全整体框架。在最左侧我们会结合用户实际的情况，人员规模，网络情况、业务情况给出相应的安全管理规范，当然这一块它肯定不是说直接一个模板改改单元名称、人员名称放上去就行了，这一块我们可以提供安全专家咨询的方式，协助我们把落地切实可行的管理制度规范。在技术体系方面，主要包含这几方面的内容，首先是整体IOT安全运营中心，把我们IT和OT这些东西实现一体化的管控，再一个就是工业数据安全层面，这也是管理+技术一起去落地的，因为前期可能会有相应的咨询把我们的数据进行相应的分级分类工作。再就是在平台和应用侧去加强相关的安全建设以及网络通信和现场设备安全方面的建设。同时我们也可以为用户提供相应的安全服务，包括相应的安全咨询、风险评估、应急托管的服务。最后我们也可以根据用户的实际需要去做相关的能力输出，比如红蓝演练，攻防对抗之类的，还有安全靶场、人员培训，根据我们用户实际需求去做一些选择。

 

对于行业监管单位和政府部门，我们也是可以给他们提供一体化的监管运营平台，包括整个行业工业态势感知情况，整个应急响应和指挥平台的搭建，安全通报预警系统的搭建，包括行业工况演练，或者地市工业的工况演练组织搭建。

 

3.针对这个框架，我们也给出我们自己的解决方案。因为它是涵盖IT和OT两个部分，所以在内容上来说也是相对多一些，这一块因为时间原因，我就不会太深的讲。这一块我们分为六个部分，首先是平台和应用安全，就是我们整个云平台，就是工业互联网，上层云平台安全的内容。再就是通信网络安全，还有设备和控制层的，就是工厂里面的生产设备相应的安全，以及我们工业数据的安全，再就是IOT运营中心的建设，最后是安全服务。

 

1)我们先看一下第一部分，就是针对平台和应用这一侧的。我们给出一个整体的安全框架，在安全建设的框架当中，左侧这一部分，它跟一个传统常见的云平台建设相对比较类似的，只不过的话，我们在物理安全，就是最下侧和IaaS层这一块的建设，中间我们加入了边缘计算层的接入安全相关的内容。这里主要包括工控设备接入时候可能会遇到的一些安全问题，比如边界防护、访问控制、通信过程中的加密、设备认证、数据采集保护等等一系列的相关内容，还有物联网设备接入的管控。上层这些内容跟其他云平台建设相对比较类似，我们就不逐一展开了。

 

在整个云平台这一块，我们主要分四个层面去保证它的基础安全。在整个云平台互联网接入侧，我们部署DDoS和防火墙类的按照产品，主要是抵御来自于互联网侧的相关攻击。二是在整个出口侧核心交换机这一块部署相关的检测类的产品，高级维修检测以及可落地处置方案的产品。三是在整个计算资源层这一块，就是我们服务器主机层面会部署相关的主机安全的产品，去保证我们主机侧的相关安全。四是安全管理中心，部署安全运维有关的产品。

 

刚才我们提到整个方案，我们提到一个产品叫天幕，在历年攻防演练过程当中它确实是一个神器，可以作为我们整个网络阻断的一个最终的执行器，任何一个网络设备想阻断一个访问，阻断一次攻击的时候，我们都可以发到天幕产品上做一个阻断，它发一个阻断包去做阻断，对整个落是零影响的。尤其我们想瞬间添加几万个黑IP进去的时候，它可以直接添加进去，目前我们接触到绝大部分安全厂商的对接，比如像绿盟防火墙等等一系列的，他们想阻断一个外部IP或者外部IP的时候，都可以把指令直接发给天幕，天幕向内、向外做双向阻断。当然我更倾向的还是通过安全运营中心把所有的安全数据、安全日志汇总之后，向它统一发送相关的指令，这一块更强调的还是一个联动的防御效果。

 

在联动的防御效果之下，我们再结合腾讯的威胁情报以及安全专家的服务，我们希望能给用户搭建的是一个，从外挂式“灭火器”到“集成式烟感器”，把很多工作量交给机器和设备，自动化去处置，去完成。我们可以把安全设计责任到人，有对应的人员去做处置，去提高整个运维的效率。

 

同时在Web安全这个层面，我们主要是通过我们WAF这个产品，现在很多产品确实同质化非常严重，各个厂商很难说哪个功能是我有他无的，更多还是靠大家在真正的安全能力这个层面。这一块我们相对比较强的在于几个方面，一个是威胁情报，发现能力相对比较强，再一个就是有一个机器人，能够针对爬虫类的攻击实现比较有效的防御，同时它是私有化、虚拟化的部署方式，在性能扩充，高可用这个层面效果还是非常不错的。

 

在主机安全层面，我们理解主机安全肯定不单单是一个高级代码防护，不单单是一个杀毒软件，腾讯的主机安全更多还是一种轻代理的主机安全防护系统，主要是四个层面的内容。一是安全资产清点，这一块是至关重要的，如果我们搞不清楚我们有哪些资产，有哪些服务器的话，有可能就会存在影子资产，影子资产被攻击的概率是非常高的，因为平时没有人去管它，可能里面大量漏洞存在。二是安全风险相关的发现，包括存在的漏洞，是否有弱密码，应用是否有风险之类的。三是异常登陆检测，以及合规基线的检测层面的内容。

 

在数据安全层面，主要是几方面的内容。首先是精细化全线管控，基于AVEC全线管控从人到文件，到字段这样一个级别的管控。在用户侧，我们可以实现动态的脱敏，防止IT运维人员或者内部人员发生越权的行为。还有我们面向服务侧数据库的加密，我们认为IT运维人员不需要看到数据库里面真实的数据，我对整个数据库进行一个加密之后，也能防止可能会有一些恶意DBA，就是数据库运维人员包括黑客脱库行为的发生。

 

在接入安全层面，这个就到我们的工厂这一块了，这一侧我们主要是通过工业智能网关这样一个设备，就是边缘计算、智能网关设备，作用于我们边缘设备和云平台之间，去实现整个数据采集过程当中相关的安全管控，以及通信方式的支持。这一块也是比较重要的点，最终达到的是对整个接入安全的有效运营，实现资产的可视，安全的监测预警这方面的功能能力。

 

对整个网络我们也是进行等保的核心原则，分区分域，纵深防护原则，把我们原则进行相应的区域划分，基于最小化原则规划每个区域和区域之间的访问权限，这一块用到传统防火墙、公共防火墙以及单向、双向网闸等产品，今天我们不讲功能，所以就快速过了。

 

再就是办公网与生产网之间，这一块我们建议一定要做隔离。因为在历年的工况演练过程中我们经常发现很多工控网络帐号、密码以及直接流通到办公网络里面来，攻击队很容易通过办公网对生产网进行攻击。其实不用攻击，只要能够登陆，就代表入侵进来了，这样就会造成大量的丢分，这一块我们也是建议通过隔离网闸的方式实现相应的管控。如果大家觉得使用起来不方便，我们多年前已经在公安和部委这些行业里面做过网闸穿透的尝试，目前也是在大量公安和部委用户里面有这种实际案例。我们有一个叫做边界网关的东西，它能够在不改变网闸原有协议基础上去实现对协议剥离的穿透，七层应用直接跨网闸的访问，这个如果感兴趣的话，也可以联系我们腾讯的相关人员。

 

在我们整个工厂内侧它的生产网里面也是需要去实现相关的隔离，这一块我们也是建议通过工控防火墙方式进行相关的隔离，这一块也是比较传统的内容，就不多讲了。

 

在数据安全这一侧，因为今年9月1号《数据安全法》正式落地实施，很多用户现在都尤为关注数据安全这方面的内容。它不单单是一个技术层面的事情，很多时候也会涉及到管理层面，这一块我们也是可以通过咨询+产品的方式，前期我们帮用户做整个数据资产的清理，做相关的分级分类，制定相关的策略，协助我们去落地这些相关的安全策略，把我们整个数据安全贯穿于数据生命周期这一侧。

 

在工控主机这一侧相对比较简单，就是通过工控主机安全软件，基于最小化原则，从操作系统、服务、端口、进程各个层面去实现一个管控。同时对于工控网络实时的漏洞扫描和基线核查，我认为也是至关重要的，及时发现工控网络里面所存在的安全问题和风险。

 

在工控系统的监测审计层面，我们建议通过工控防火墙、工控安全的检测审计系统以及工控安全管理系统，从工控协议深度识别分析、控制以及对异常行为一些网络攻击的实时发现，去做各方面的管控和保障。最终再通过可视化方式，把我们整个工控网络的拓扑进行一个相关的展示，让我们能够实时发现所存在的异常行为。

 

再就是运维这一侧，这一起也是相对比较传统的，实现整个运维的管控。IOT运营中心我们就是把刚才提到的整个工业互联网涉及到的IT和OT部分相关的产品和设备进行一个统一的、一体化管控，他们的安全数据统一上收到智能大数据平台，经过我们的计算之后，我们做相关的输出，就是我们有哪些安全事件，安全事件影响范围以及这些事情应该怎么去处置，让我们能够非常直观的看到我们有哪些威胁，处置的时候它也会给出比较有效的处置建议，包括整个处置的进展也会做到一目了然，这一块也能协助我们去制定信息化或者安全这个层面绩效KPI考核的机制。

 

这是IOT安全运营中心整体展示的效果。可以看到，它这里面能够把网络安全指数、资产情况这些层面做直观的展示，也是看起来相对比较直观的。

 

最后我们也为用户提供安全服务，主要包括专家的咨询、渗透测试、应急响应以及安全托管这些相关的服务。安全托管的话，我们也是提供不同级别的T1、T2、T3三级技术专家去解决不同的问题。

 

4.腾讯安全能力介绍一下。腾讯安全我们目前主要有四大业务矩阵，一是互联网安全大数据矩阵，二是我们相关的安全产品，三是腾讯真正软实力的内容，就是我们安全实验室，四是产业联盟，因为腾讯自己始终认为我们不可能把每块内容都做到最精最专，所以我们也是一种开放合作的态度去包容，去联盟这样一个方式。

 

这是我们七大实验室，他们也是在各个不同领域取得了比较优异的成绩，因为时间原因，我就不多说了。可以看其中一个案例，我们的科研实验室，通过一种无接触的方式，成功的拿下了特斯拉整体的控制权，能够让特斯拉在行驶过程当中直接刹车，车窗直接降下来，整个车门能够随着他们做的音乐动态摇摆它的两个小翅膀。当初很多网友看到之后还在问这个小程序在哪儿能下载到，在野外开一些小party的时候效果特别棒，整个灯光也会随着音乐来回闪，这个也是拿到特斯拉有史以来最高的一个安全奖励。

 

最后是我们在富士康的案例，它在2019年的时候想做工业互联网的建设，我们得到这个消息之后，不断跟它沟通，目前它的整个平台已经建设完成了，也在逐步把它的应用上架，上到目前建设的工业互联网平台上面去，这个不具体细讲了，大家如果感兴趣可以随时联系我们的人去沟通。

 

今天我的演讲就到这里，谢谢大家。