汽油、柴油、航空燃料全线紧缺……今年5月,一款危险的勒索病毒潜入美国最大成品油运输管道运营商Colonial Pipeline公司内网,导致5500英里输油管道关闭,迫使美国东部十余个州进入紧急状态。
这起震惊全球的勒索病毒事件,为工业、能源和交通等基础设施领域的众多企业敲响了警钟。在数字化转型的浪潮之下,信息及技术融合带来的安全风险与日俱增,网络安全也成为企业必须应对的考验。
“网络信息安全不仅仅是一个必须的安全措施,更是数字经济成功的关键所在。”西门子(中国)有限公司副总裁兼首席网络与信息安全官胡建钧在接受人民网采访时表示,企业数字化转型的过程中,一定要同步考虑信息安全,二者密不可分。不能先做好数字化转型,转过头来再考虑信息安全。网络信息安全和数字化必须携手并进,缺一不可。
企业数字化转型,安全为先
提到网络与信息安全,很多人可能会联想到个人在生活中的数据与信息安全,如个人信息的泄露、钓鱼网站与恶意软件的侵扰。然而,工业领域信息安全的严峻性也同样值得关注,对工控系统的攻击与破坏往往会产生无法估计的损失。
随着数字化浪潮的兴起,各国政府对于工业领域的信息安全也投以关注的目光。近年来,在工业互联网、“互联网+先进制造业”的产业发展趋势下,政府部门的相关法规变得更加严格和具体。2017年6月,《中华人民共和国网络安全法》正式施行,对关键信息基础设施的网络安全保护作出了具体的法律规定。
工业基础设施在享受开放、互联技术带来的进步与益处的同时,也面临越来越严重的安全威胁。工业基础设施中关键应用或系统的故障将可能导致人员伤亡、严重的经济损失、基础设施遭破坏、危及公众生活及国家安全、环境灾难等严重后果。
放眼全球,世界各国对工业信息网络安全也愈加重视,并且工业发达国家纷纷都将工业控制网络安全提升到国家安全战略的高度。美国、德国等相关自动化厂商,也纷纷加大对工业控制网络安全的研究,不断推出针对自家产品攻击所对应的防范措施和相应的工控网安全产品。
在这样的产业和政策环境中,西门子凭借在工业领域深厚的积累和在网络信息安全领域30余年的研发经验脱颖而出。
据了解,截至目前,西门子已成为第一家获得信息安全服务资质和核心基础设施等级保护三级认证的在华跨国企业,第一家获得全套PLC(可编程逻辑控制器)产品安全认证的工业企业,乃至第一家在公司实体、基础设施及关键产品组合三方面均具备相关本地信息安全法律法规专业认证的在华国际企业。
“这些安全资质就像高级驾照,有了它们才可以放心地驶上数字化快车道,跑得又快又稳。我们为很多客户实施的安全项目均参照中国信息安全等级保护第三级的要求,充分保障企业安全。”胡建钧说道。
这些光环背后是西门子多年的持续投入和辛勤耕耘。西门子全球超过1300名网络信息安全专家通力攻关,与顶级大学和研究机构合作创新,与行业客户共创实践,在网络信息安全领域每年注册约70项新专利。
企业要树立基本和正确的信息安全观
当前,数字经济已经成为我国实现经济稳健增长的关键动力。2020年在疫情影响和全球经济下行叠加影响下,我国数字经济依然保持9.7%的高增长态势,是同期GDP名义增速的3.2倍以上。
中国信息通信研究院发布的《全球数字经济白皮书》显示,2020年中国数字经济规模为5.4万亿美元,位居世界第二;同比增长9.6%,位居世界第一。
胡建钧表示,在数字化时代,如果没有信息安全,对于数据安全的担心会阻挡数据的流动与价值创造。同时,如果对系统、应用,运行的底层基础设施,包括新基建的设施有信息安全的担忧,我们就会面临更多的转型阻碍和安全挑战。
胡建钧认为,企业在数字化转型过程中要树立基本和正确的信息安全观,数字化转型和数字经济与信息安全密不可分,要共同考虑。同时,还要从技术创新、共创、共同研发的角度解决问题,应用最先进的技术与最新的攻击技术对抗,针对监管、业态,以开放合作的心态,与高校、监管机构、规则制定者、研究单位、客户等开展广泛的合作和联系。
“开展跨国合作,借鉴国际标准和先进经验”,胡建钧强调,同时西门子在中国立足原创精神,在中国开展原发创新,基于在中国的创新,推广应用到全球其它西门子工厂及客户中去,形成国际间交流与合作的良好循环与迭代模式。
深度融入中国数字化进程
近几年,随着物联网、云计算和5G等数字化技术的发展,IT与OT已深度融合。那么,如何在实现IT与OT融合的情况下,完整地保障网络信息安全呢?