导语:
4月10日,“CITE2021工业互联网发展与安全峰会”在深圳会展中心隆重举行,中国工程院院士沈昌祥为峰会带来《以自主创新、安全可信打造工业互联网新生态》为主题的主旨演讲,会后沈院士针对“十四五”期间工业互联网发展与安全相关话题接受峰会专访,围绕“创新为核、安全为先、数据赋能、产业先行”的峰会主题,就产业数字化转型与数字产业化,以及如何构建安全体系结构和推进产业生态建设发表意见,为进一步明晰未来工业互联网发展与安全的愿景目标指出具体路径。
沈昌祥
中国工程院院士
以“计算原理、体系结构、系统工程”三步创新建构新时代工业互联网
— CITE2021工业互联网发展与安全峰会沈昌祥院士专访
Q1
国家十四五规划突出创新在发展全局中的核心地位,特别提出把科技自立自强作为国家发展的战略支撑,我国的工业互联网未来应坚持什么样的创新方向?
沈昌祥:国家十四五规划提出加快形成国内大循环为主体、国内国际双循环相互促进发展格局,既是统筹推进疫情防控和社会经济发展的关键措施,也是推动经济高质量发展的有效途径。新基建作为国家战略,将加速推动我国数字化转型、网络化重构、智能化提升、产业化升级。工业互联网作为新基建的重要信息基础设施,将迎来更为广阔的发展机遇,也必然面临更为严峻的网络安全挑战,必须做好应对垄断网络空间霸权威慑,筑牢网络安全防线的准备。
十四五规划突出创新在发展全局中的核心地位,解决工业互联网的发展与安全问题也要依靠科技创新。从认知科学上看,设计IT系统不可能穷尽所有逻辑组合,利用缺陷挖掘漏洞进行攻击是网络安全永远的命题。为规避逻辑缺陷和后门,国际一流厂商投入大量的人力、财力和物力,搭建平台持续不断进行模拟攻击验证。我国自主产业虽然投入在明显增加,但距离世界先进水平还有较大差距,要在认清客观现实的基础上去谋划我们的网络安全。我为此提出了国产化替代的“五三一”原则,即通过主动免疫、可信计算保障工业控制系统计算任务和工作流程的实施。倡导自主化只是解决了“卡脖子”的问题,并不意味着解决了网络安全问题。工业互联网创新方向不仅要坚持自主化,还要做到安全可信,才能做到自立自强,需要我们转变理念和现有做法,走一条具有中国特色的自主创新、主动免疫、安全可信的工业互联网发展之路。
“五三一”原则
Q2
《工业互联网创新发展行动计划2021-2023》提出工业互联网发展进入快速成长期,面对安全需求的放大,如何加强网络安全供给侧创新突破?
沈昌祥:工业互联网发展实质上是工业产业的数字化转型。国家提出加快数字产业化和产业数字化,就工业而言,数字产业化意味着通过大数据技术发现工业产业的内在规律,产生新产品和新效益,所以工业数字化转型把大数据用好是关键。工业大数据有几个特点:
第一是多元异构。工业大数据不单单是指控制数据,而是融合了工业环境、生产过程、异常现象等综合起来的数据,要通过智能化挖掘分析来发现其中规律并合理加以利用;第二是非结构化。不完整、支离破碎、上下文不连接的数据是不能用作数据库处理的,也不能用通信协议来处理,要通过智能存储、智能处理模式来应对;第三是要有容错机制。海量数据不是大数据,工业控制系统本身的数据量实际上并不大,只是各类生产系统设备生成的数据汇总后数据量相当大,大数据要扬弃、要去伪存真;第四是要快速处理。工业控制系统要求数据快进快出,快速满足产品生产需求,不能只采集不处理而占用资源。目前各地都在建设工业大数据中心,大数据中心的价值是通过大数据产品交易来体现,真正的大数据其原始的产品原料应该是零,所以工业互联网发展大数据的实质是数字产业化。同时要做好产业数字化,通过网络化、智能化迭代自动化,通过信息技术应用创新推进了网络安全供给侧变革,但目前还不是自己做了就可以高枕无忧的概念。
Q3
如何处理好工业互联网的数据安全问题?
沈昌祥:安全在任何时候都是保底的。数据是工业的生产要素,因此数据绝不能被破坏、被攻击,但保障工业数据安全要从工业控制系统的安全可信入手,不能为了数据安全去数据安全。如果工业控制系统被攻击,传统数据加密保护包括一次性校验就会失效,数据有可能被窃取、被破坏甚至被勒索,因此要建立工业互联网的免疫系统。例如,数据处理终究是由计算设备来处理,要从安全可信的计算器件开始,组成安全可信的设备集群,最后变成安全可信的系统。跟新冠肺炎疫情的防控道理一样,个体首先要健康,从个体到集体,最后才会构建起社会整体的健康。数据安全是目标,但还是要从构建安全可信体系的角度去入手解决数据安全问题。
Q4
《工业互联网创新发展行动计划2021-2023》提出推进工业互联网产业生态培育工程,对于加强产业生态体系建设您有哪些建议?
沈昌祥:工业互联网发展面临的问题分别存在于科学原理、核心技术、工程应用三个层面,必须通过安全可信计算原理、安全体系结构设计、系统工程建设三大体系构建去解决。
首先,要在计算原理上有新的探索和发现。过去工业控制系统从发展角度出发,注重保证“快”和“灵”,没有考量网络攻击等安全因素,不构成问题的矛盾统一体,要从根本原理上创新;第二,体系结构与核心技术要取得突破。以PLC为例,传统PLC系统都是从控制角度出发来设计,不是从安全体系结构出发,面对网络攻击会非常脆弱。像伊朗核设施遭受的震网病毒攻击,教训是非常深刻的。可信PLC通过加入并行的主动免疫、安全可信的防护器件,实现了计算部件加防护部件的二重体系结构,实现边工作边检测,整体功能不受影响,从而建立起了免疫能力;第三,要从工程应用的角度去设计系统功能。伟大事业需要伟大工程来实现,还是以PLC为例,PLC系统功能设计要跟上层控制部件和下层被控制部件整体融合来考虑,并通过工程实践把现有设备升级为可信计算机系统,而应用系统不用改动,便于新老设备融为一体,从而构成全系统安全可信。工业互联网企业要下真功夫,要埋头苦干,要树立自立自强的信心,从三步创新中加强产业生态体系建设。
记 者 | 《信息技术与网络安全》 范赫男
排 版 | 韦肖葳
封面设计 | 赵景平
ITNS 信息技术与网络安全