筑牢工业互联网安全防御体 夯实“新基建”的基础

12月20日，“之江杯”工业互联网内生安全防御国际精英挑战赛开启。在中国工程院和浙江省人民政府的支持下，之江实验室联合中国信息通信研究院等单位共同举办本次大赛。来自美国、俄罗斯、德国、韩国等8个国家的40支顶尖“白帽黑客”战队和1支“多国联合”战队对工业互联网拟态防御系列设备进行为期三天的高强度网络攻击。本次大赛是之江实验室面向全球网络高手广发英雄帖后首次举办的、全球性的工业互联网安全防御技术精英挑战赛，旨在促进网络安全领域人才交流，推动工业互联网内生安全技术发展，夯实“新基建”的基础。

“拟态防御是我国独创的基于内生安全理论的工程实现技术。本次大赛的一大亮点就是聚焦拟态防御基因植入工业互联网的真实场景。”大赛负责人张汝云说，“我们搭建了一套火力发电厂微缩装置，装置参照1000MW超临界燃煤火力发电厂设计，采用新型拟态防御技术重构了关键基础设施控制系统，‘云、网、端’三位一体的内生安全模式有效增强了火力发电系统的功能安全和网络安全防护能力。”这个火电厂装置中的8套拟态设备和3套商用DCS系统，就是各路战队的攻击目标，各方的线上攻防情况将在工业互联网场景中实时反映。

据悉，大赛设置了夺旗竞速赛、攻防竞技赛、人机对抗赛和巅峰挑战赛四道关卡。夺旗竞速赛，是全球网络安全圈流行的竞赛形式，参赛选手需在有限的时间内破解工业控制系统赛题。攻防竞技赛以“某省会城市”电力系统为攻击目标，对该系统进行全方位渗透测试，找到系统的安全漏洞和隐患，并对发现的安全问题开展应急处置和防护加固。与攻防竞技赛同时开启的是工业互联网人机对抗赛——黑盒测试和白盒测试。如果有一支队伍成功突破系统“金身”拿下所有关口，比赛将顺延进入巅峰挑战模式。

这次大赛在工业互联网安全领域首次引入白盒方式的“人机对抗”模式，以邀请的国际顶尖“白帽黑客”作为攻击方，设置拟态构造的工业互联网设备作为防守方，按照“黑盒与白盒同步、外部突破与内部注入同步”的规则，进行人机对抗博弈。所谓“黑盒”测试，是指即攻击者完全对陌生系统进行攻击;所谓“白盒”测试，就是在比赛期间，主动让出系统控制权，给参赛战队提供设置后门或安装病毒木马等攻击代码的便利，以检验拟态工控设备能否经得起“里应外合”的网络攻击。采用“人机对抗”的网络安全竞赛，既能锻炼发现特殊人才，又能通过“全球众测”方式科学验证内生安全技术的完备性，这在国内外工业互联网竞赛领域尚属首次。

“我们必须高度关注网络安全问题与功能安全问题相互交织给万物互联世界带来的全新安全问题。这也是我们此次大赛聚焦工业互联网安全领域开展线上攻防对抗的原因。”中国工程院院士、之江实验室网络安全领域首席科学家邬江兴指出，随着全球化、“互联网+”等数字经济时代的到来，信息孤岛状况已无法适应生产和管理模式的转变，工业制造“联接互联网成为刚需”，泛在化安全威胁也会洪水般地涌入传统工业领域。工业互联网设备种类多、数量多，漏洞后门资源多，攻击路径多，攻击可达性强。一块几万乃至上百亿只晶体管组成的集成电路芯片，一个几万乃至上亿行代码构成的软件版本，一个复杂信息系统或控制装置，只要存在一个高危漏洞或植入一个后门，就可能导致整个信息系统乃至所有相同设施遭殃，甚至造成重大装备和人员生命的巨大损失。邬江兴院士基于自主创新的内生安全理论提出了拟态防御技术，并率领之江实验室的研发人员成功研制了系列化的拟态防御工控设备。“借助拟态构造独特的测不准效应，拟态防御技术能够一体化地解决工业互联网中的功能安全与网络安全交织难题，有效防御‘挖漏洞、设后门、植病毒、藏木马’等基于软硬件内部漏洞后门的经典网络攻击，有力抑制或管控确定或不确定风险、已知或未知的安全威胁，让安全有效、可靠可信直达工业生产第一线。”邬江兴院士说。

所谓“工业互联网”是指工业系统与互联网连接融合的一种形态，工业互联网通过开放的、全球化的工业级网络平台把设备、生产线、工厂、供应商、产品和客户紧密地连接和融合起来，高效共享各种要素资源，帮助制造业延长产业链，推动制造业转型发展。

所谓“白帽黑客”是指那些用自己的黑客技术来维护网络关系公平正义的黑客，测试网络和系统的性能来判定它们能够承受入侵的强弱程度。

(本报记者 蔡侗辰)