万物互联不是未来的事情，而是正在发生的事。

11月27日，CIS 2019网络安全创新大会如期举行。在下午的物联网&工业互联网安全专场，上海工业控制系统安全创新功能型平台首席技术官刘虹，TUV莱茵产品数据保护与网络安全业务负责人巫光毅，第五空间研究院理事长、翼盾智能CEO朱易翔等3位出品人出席现场，数位业内安全专家、负责人深入探讨，各抒己见。

可以说，2019年是物联网和工业互联网厚积薄发的一年，而在新兴技术的支撑之下，万物互联的井喷背后却藏着重重安全隐患。

议题一：工业互联网智能终端内生安全机理

王滨——海康威视CSO

小到一个心脏起搏器，被黑客控制后甚至可以取一个病人的性命。

王滨认为，在我国工业互联网快速发展的进程中，我们更需要关注底层的物联终端。根据Statista的研究报告，2020年物联网设备将达到307.3亿。巨海量终端的趋势下，越来越多的物联网终端设备暴露在互联网上，面临前所未有的安全威胁，再加上数据采集、命令执行都发生在终端，因此，终端安全防护是重中之重。

海康威视CSO 王滨

由于终端设备形态多，部署零散等特点，导致企业难以制定统一的防护标准。王滨指出，目前大多企业采取的是补偿式安全，也就是事后打补丁，但这种方式面对现有的威胁显然远远不够。由此，王滨提出了内生式安全，从城市建设的角度思考企业内部安全的搭建。

通过构造智能终端有效的纵深防御体系，让这些终端设备不能成为黑客攻击的切入点，王滨强调：安全必须与应用紧耦合才能最大限度地解决我们网络安全问题。

议题二：端到端物联网通信安全技术框架

朱易翔——第五空间研究院理事长，翼盾智能CEO

新技术带来新的场景，势必引发更多安全问题。朱易翔指出，目前面临的主要安全挑战包括：数据污染、核心业务互联网化、智能设备安全影响巨大、边界模糊化、用户隐私数据保护、云端安全与远程控制。

第五空间研究院理事长，翼盾智能CEO 朱易翔

如何让安全在企业更有效地推行，最好的方式就是简化。譬如我们要在端到端实现物联网通信全程的安全体系，从最简化的角度来说就是双向认证、机密性和完整性。基于这3个核心的功能，可以去做唯一标识，做密钥，从而打造基础架构，也就是实现从比较简单的易用的端到端的安全通讯的结构。

议题三：消费类IoT网络安全实现

巫光毅——TUV莱茵产品数据保护与网络安全业务负责人

巫光毅表示：在物联网领域有几个趋势：中高端的厂商都开始走向方案化和场景化；Al越来越多地加入到产品中。但是，对于一些企业来说，安全并不能带来销量，甚至要增加成本。对于消费者来说，安全也没有成为产品的重要卖点。

TUV莱茵产品数据保护与网络安全业务负责人 巫光毅

在消费类loT的实际案例中，可以发现存在使用明文协议、UART接口开放、固件逆向等风险，导致攻击者可以窃听通信信道，访问甚至操纵敏感信息/设备。

安全实现，基于规范化开发。针对消费类loT的种种威胁，不使用通用默认密码，安全传输、安全存储凭证和敏感数据等都是企业应该做到的安全规范。巫光毅认为，安全很难有一百分，但也要尽力把系统软件的安全性提高。

议题四：工业互联网软件代码安全技术发展及趋势

刘虹——上海工业控制系统安全创新功能型平台首席技术官

整个工业互联网的灵魂是什么？有一位伟大的科学家说一定是算法，算法真正承载的形式那就是软件。

工信部提出了关于工业互联网平台建设，作为一个国家的战略它指出工业互联网的平台它是面向制造业的，实现数字化、网络化、智能化需求的转型升级的产物。在整个工业互联网平台建设当中，主要通过固化的模型进行一个模型的应用，实现海量的终端数据的接入和采集，最终服务于整个工业应用的需求。

上海工业控制系统安全创新功能型平台首席技术官 刘虹

刘虹指出，工业互联网架构中一共包含四层，最底部的边缘层IAAS层到PAAS层、SAAS层。如何发现、分析这些架构中的漏洞是网络安全从业人员所关心的，而关键的解决方式就是在做产品研发设计的时候把安全也考虑进来。而在软件代码信息安全分析流程中，刘虹表示，企业更应该站在一个代码信息安全全生命周期的发现问题、解决问题的角度来考虑这件事。

议题五:OT&核心基础架构安全

卜婵敏——Fortinet华东区技术经理

如果说IT关注的是信息安全，OT关注的则是安全，尤其在可用性上需求非常高。

卜婵敏发现，由于OT是一个封闭的网络，很多生产厂商认为其安全性不是那么重要。但随着工业4.0，数字化转型，OT网络中的安全隐患问题爆发，包括错误的用户名密码的设置等隐患被利用，再者各种攻击工具、脚本都可以轻易在网上搜索到，这导致攻击变得很容易。

Fortinet华东区技术经理 卜婵敏

卜婵敏认为，整个OT的完整解决方案需要涵盖身份认证管理，威胁发现，资产认证，终端防御等。

议题六：威胁可感知，安全可运维

郑晓银——亚信安全资深技术顾问

2018年，网络犯罪攻击造成的损失已经达到1300亿美金。郑晓银认为，IT架构变化、用户行为转变、新威胁突显都是信息化进程演变的表现，也是我们需要面对的安全挑战。

亚信安全资深技术顾问 郑晓银

很多企业依赖于传统的安全设备的堆叠和检测，但对于一些新型的威胁或者未知威胁的检测发现却有心无力，设备的堆叠甚至给企业的IT安全管理也带来了挑战，这些设备会产生非常大的日志量，需要花费大量的时间和人力成本进行筛选分析。

因此，郑晓银认为企业要从方法论和观念上进行转变，跨越安全层，将不同的安全事件或者信息进行相关联分析，同时，抽取有关联性的数据进行上下文优先分析，如此才能进一步提升对于网络安全攻击的响应。

议题七：通信卫星的安全缺陷

郝经利——360安全研究院研究员，独角兽团队成员

通信卫星的安全缺陷，这是个非常有趣的话题。或许很多人觉得卫星和自己没什么关系。实际上，卫星，尤其是通信卫星的应用领域非常广泛，和大众息息相关，甚至有公司利用通信卫星传输比特币交易信息。

360安全研究院研究员，独角兽团队成员 郝经利 

值得一提的是，目前市场上主要的通信卫星都是没有加密的，这是非常危险的事情。黑客可以干扰卫星或者窃取链路，从而简单有效地完成攻击。

因此，郝经利认为：

1、卫星通信并不一定比传统通信更安全。

2、“弯管”式转发器传送的数据可能容易受到空气接口数据泄露、伪造的影响，不建议通过这种方式传送机密数据。

结语

不管是终端安全还是通信安全，是小到一起心脏起搏器还是大到一颗卫星，物联网时代下的工业互联网安全威胁已经成为了所有安全从业人员关注的核心议题。此次物联网&工业互联网安全专场，各位演讲人精彩分享，不仅阐述了对物联网&工业互联网面临的安全现状，更是提出了各自的应对之道。这场安全防御与网络威胁的对抗还将在物联网&工业互联网领域中持续进行……

CIS 2019大会PPT合辑

链接: https://pan.baidu.com/s/1DDvHRwkGTyM2MnllucqCzw

提取码: n6aq