数字化趋势下如何保障工业信息安全？西门子开“良方”

提到网络与信息安全，很多人可能会联想到个人生活中的数据与信息安全，如个人信息的泄露、钓鱼网站与恶意软件的侵扰。然而，工业领域信息安全的严峻性同样值得关注，一旦病毒入侵工业系统，便会造成生产停滞、设备损坏、数据泄露等无法估计的损失。

随着云计算、物联网、大数据技术的广泛应用，“商业网络（IT）”与“工业控制系统（OT）”不断融合，导致暴露在互联网上的工控系统设备越来越多，构建网络和信息安全刻不容缓。

“网络信息安全不仅仅是一个必须的安全措施，更是数字经济成功的关键所在。”西门子（中国）有限公司副总裁兼首席网络与信息安全官胡建钧在8月5日举行的西门子网络与信息安全媒体沙龙上表示，企业数字化转型的过程中，一定要同步考虑信息安全，二者密不可分。不能先做好数字化转型，转过头来再考虑信息安全。网络信息安全和数字化必须携手并进，缺一不可。

分而治之

相比传统意义上的信息安全，工业领域具有天然的特殊性，需要重点考虑IT和OT融合的特点。

胡建钧指出，工业控制系统对可用性要求非常高，而且系统、设备生命周期长，其中存在大量遗产系统或混合系统，在工业系统逐渐引入IT技术的数字化转型阶段，西门子给出的药方是分而治之。

“对于可替代性较强的IT部分，西门子会选择成熟的技术和解决方案，而针对OT则必须基于行业沉淀和客户需求进行方案开发。”胡建钧补充道。由于OT网络的数字化转型还没有完全实现，其标准、协议还不够通用，导致信息安全构建在数据获取上存在一定困难。“虽然工业环境的确定性高，构建安全模型和分析相对比较简单，但最核心的底层数据获取环节才是行业知识壁垒，如果信息安全厂商不了解工业的底层逻辑，就无法针对不同的原生问题给出相应的解决方案和策略。”

西门子在网络信息安全领域已有30年的经验，作为一个既懂工业又懂信息安全的专家，西门子会同高校、研究机构和合作伙伴共同创新结合IT、OT安全的技术方案。而且，西门子的信息安全方案经过自身多家数字化工厂的实践和验证，“先行一步”为企业提供切实参考。

纵深防御

“考虑到工业环境的复杂性，特别是新一代工业互联网的发展，如数字化工厂、工业互联网平台等，需要多层次、立体化的信息安全防御方案。”西门子（中国）有限公司副总裁兼首席网络与信息安全官胡建钧如是表示。

为此，西门子提出“纵深防御”的安全理念。“纵深防御”安全理念要求做好工厂安全、网络安全和信息系统安全，把它从物理安全到人的安全、单点安全、网络安全等方方面面考虑好，不只依赖一道防线。就像长城，一旦长城被突破，就如入无人之境。我们应该形成纵深防御阵地，即便突破了一道防线，后面仍有不同的入侵检测系统（IDS），或者防火墙、防病毒等防线，可以协同有效地工作。”胡建钧强调说。

为此，西门子中国团队推出的工控态势感知系统（OSA），利用人工智能、威胁情报分析等一系列技术采集工控设备中与信息安全相关的数据，并进行全面、深入的安全智能分析，最终以多视图、多角度、多尺度的方式展现工控网络的安全态势。“知己知彼，百战不殆。企业需要洞察工控系统设备及网络的运行状态，了解最新的外部攻击方式和攻击手法，OSA作为信息安全系统的指挥中心，解决了方案间各自为政的难题。”胡建钧透露，目前，OSA已经成功应用在青岛炼油厂、宝武炭材料等企业，并作为中国创新的范例，部署在英国、德国的西门子工厂。

共创共赢

在具体工业信息安全实施中，西门子主张“三步走”战略，即“评估安全、实施安全、管理安全”。安全评估就像做体检，对照安全标准和行业标杆找到差距，然后是对症下药安全实施，传统的工业信息安全到这里就停止了，而这两步只能达到静态安全。在此基础上，西门子引入动态管理安全的理念，对系统进行持续监测和优化。

在钢铁、石化、交通等众多行业，西门子工业网络信息安全解决方案均已落地生根，为客户的数字化转型保驾护航。

早在2012年，青岛炼化就与西门子合作，以产线病毒防治为切入点，部署了基于纵深防御安全理念的网络信息安全解决方案。2018年，双方再次携手，将态势感知系统投入实践，进一步提升了安全防护能力。

宝武炭材，西门子设计的工业安全纵深防御解决方案，主要由三部分组成：基于现场安全设备和传感器的态势感知、基于白名单的OT终端防病毒和OT网络安全增强，助力宝武炭材全国6个生产基地实现多基地智能化运营。该项目作为钢铁行业的标杆，被工业和信息化部授予2018中德智能制造试点项目。

在交通领域，西门子为江苏徐州市的首条地铁——徐州地铁一号线提供了地铁信号系统，并应用纵深防御及下一代防火墙技术，为利用无线网络实现对列车的远程监测与控制提供立体安全保障。

网络与信息安全已成为数字经济成功的基石。胡建钧坦言，西门子积累了很多经验，包括信息安全和工业融合的经验。在总部，我们把经验贡献给了很多标准化组织和科研院所，在中国，西门子正积极参与中国本地的信息安全标准和规范的制定，积极地为本地的规则和实践建言献策，携手合作伙伴和客户及整个生态，为数字化之旅保驾护航。(张  兰)