長揚科技李莊：注重技術研發(fā)和科技創(chuàng)新，積極推動工業(yè)互聯網安全發(fā)展

2022中國自動化產業(yè)年會——“2021中國自動化領域年度優(yōu)質工業(yè)安全服務商”已經揭曉，工業(yè)控制系統(tǒng)信息安全產業(yè)聯盟(ICSISIA)特推出安全微訪談專題，邀請年度優(yōu)質工業(yè)安全服務商從技術、產品、市場等不同方面探討工業(yè)安全發(fā)展。本期專訪人物——長揚科技（北京）股份有限公司營銷咨詢部總經理李莊。

長揚科技(北京)股份有限公司營銷咨詢部總經理李莊

Q1請簡單介紹一下目前長揚科技在工業(yè)安全領域的核心產品和解決方案，以及核心競爭力。

李莊：

長揚科技創(chuàng)立于2017年9月，是國資監(jiān)管下、市場化運作的國家高新技術企業(yè)，國有資本占股近50%。公司聚焦工業(yè)互聯網安全、工控安全、關鍵信息基礎設施安全、安全生產等領域，為客戶提供完整的工控安全體系建設解決方案。

目前公司已經形成十二大完整的產品體系、八大服務體系。公司以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場為能力提升手段，面向工業(yè)網絡安全監(jiān)測、工業(yè)網絡安全防護、工業(yè)視覺安全分析、零信任安全和數據安全，自主研發(fā)了50余款產品，覆蓋工業(yè)互聯網安全產業(yè)完整生命周期，同時包含安全咨詢規(guī)劃、安全風險評估、安全運維值守、安全運營管理、安全應急演練、安全認證培訓、安全溯源取證、安全應急處理等一站式服務體系，可以滿足企業(yè)從信創(chuàng)安全、工控安全防護、安全監(jiān)測運營、數據生命周期安全管控、安全準入控制、工業(yè)安全生產、安全實戰(zhàn)攻防、人員能力提升等各種需求。

長揚科技深入各種行業(yè)場景，業(yè)務覆蓋30+工業(yè)垂直行業(yè)，服務客戶數量超3000家，公司始終以客戶需求和場景為核心，打造高匹配度和高適用性的定制化解決方案，為行業(yè)客戶賦能，實現企業(yè)的降本增效。

Q2當前正是工業(yè)互聯網快速發(fā)展的時期，針對工業(yè)環(huán)境的攻擊方式、安全防御是否和以前有些不一樣，實現工業(yè)互聯網安全的管控有哪些重點、難點？

李莊：

在數字時代下，工業(yè)和信息化日益融合帶來的不僅是“提質降本增效”，也帶來了網絡安全風險和暴露面的增加，工業(yè)工控網絡(ICS)一旦遭受網絡攻擊，其影響面和危害后果不堪設想。

重難點主要在以下三個方面：

根據國家信息安全漏洞共享平臺(CNVD)公布的數據，工業(yè)控制系統(tǒng)安全漏洞已經達到3400多個。由于我國工業(yè)控制系統(tǒng)基礎弱，大部分控制系統(tǒng)被國外壟斷，受制于人，國外廠商完全有能力、有手段對正在我國運行的工業(yè)控制系統(tǒng)進行遠程操控，或者獲取機密數據。此外，新基建背景下工業(yè)互聯網的大力發(fā)展，也必然導致工業(yè)控制系統(tǒng)的廣泛互聯，如果不采用安全有力的保障措施，必然給國外的黑客組織、敵對勢力帶來攻擊的機會。

工控網絡和互聯網的邊界逐漸打通，IOT融合已經成為現實。由于工業(yè)互聯網覆蓋面廣、海量設備接入、暴露面不斷增大，使得集團型企業(yè)及其下屬企業(yè)的安全防護難度大大增加，企業(yè)迫切需要構建起完善的工業(yè)互聯網安全防護體系，才能更好應對日益嚴峻的外部安全威脅和企業(yè)工控系統(tǒng)內部的脆弱性風險。

懂網絡安全和工控自動化的復合型安全人員嚴重不足。目前國內各高校和高職院校的教學體系側重于理論知識，缺乏相應的實訓培養(yǎng)，而企業(yè)需要的是能夠真正解決工業(yè)互聯網安全問題的實用型人才，因此高校的教學內容與企業(yè)的真實需求有一定落差，遠不能滿足行業(yè)和企業(yè)需求，這將嚴重制約我國工業(yè)互聯網安全的發(fā)展。

Q3數字化背景下，工業(yè)企業(yè)如何構建科學的安全防護體系？

李莊：

工業(yè)企業(yè)在數字化變革的大背景下，以高級持續(xù)性網絡攻擊(APT)為代表的新型攻擊手段不斷演進,多層面的網絡安全威脅和安全風險也在不斷增加。IT網絡、OT網絡、ICS工控網絡的安全風險需要統(tǒng)籌綜合考慮，僅僅依靠傳統(tǒng)的防火墻、入侵檢測、防病毒等技術，已經很難應對當今面臨的安全挑戰(zhàn)。

長揚科技認為，企業(yè)需要實現從“靜態(tài)布防、邊界監(jiān)視”，向“縱深防御、實時管控”的轉變，通過以下四個方面，可以幫助企業(yè)快速構建科學的網絡安全保障體系：

定期開展安全風險評估：結合工業(yè)企業(yè)IT網絡和工控網絡特點，依據等保2.0、工業(yè)聯網企業(yè)網絡安全分類分級、安全風險評估規(guī)范等文件要求，定期組織安全風險評估和差距分析，梳理工控系統(tǒng)的工藝流程、資產拓撲、脆弱性漏洞、潛在安全風險等情況，并制定具體的安全加固方案和整改措施。

建立縱深安全防御體系：根據工業(yè)企業(yè)網絡安全風險評估和差距分析報告，圍繞工業(yè)互聯網L0(現場設備層)-L4(企業(yè)資源層)完整場景下的設備安全、控制安全、網絡安全、平臺安全、數據安全等方面，構建縱深安全防御體系;包括安全分區(qū)、邊界防護、監(jiān)測審計、主機安全防護、移動介質安全、漏洞管理、威脅誘捕、可信加密認證、數據安全管控、統(tǒng)一集中管理、態(tài)勢感知分析等內容，實現對工業(yè)企業(yè)的重要信息系統(tǒng)、工業(yè)控制生產系統(tǒng)的全方位、全時段、全過程的安全防護和主動監(jiān)測，實時掌握來自外部的各類攻擊行為和來自內部的非合規(guī)行為事件,準確定位到相關資產和人員，通過安全監(jiān)測與預警可視化，將系統(tǒng)風險全狀況盡收眼底，切實提高工業(yè)企業(yè)全板塊網絡安全整體防護水平。

加強組織應急處置水平：建立常態(tài)化安全事件應急處置預案庫，健全工控安全管理制度和流程，定期開展網絡安全培訓和應急演練，掌握典型工業(yè)網絡安全攻擊手段、安全防御技術以及應急處置方式，不斷提升企業(yè)組織人員網絡安全意識和技能。

提高安全技術驗證能力：為了評估、測試工業(yè)企業(yè)的實際安全防護能力，可以搭建工業(yè)安全靶場平臺，通過虛擬化與虛實結合的方式，分隔出一部分演練區(qū)域，在確保企業(yè)生產業(yè)務與安全性不會遭到破壞的情況下，進行安全技術研究、安全防護能力驗證、安全攻防演練演習，從而對工業(yè)企業(yè)當前的安全能力進行客觀評估，發(fā)現潛在問題，持續(xù)優(yōu)化企業(yè)安全防護體系。

Q4隨著信創(chuàng)產業(yè)的崛起，通過國產化產品來構建新的安全能力顯得十分重要，長揚科技為此開展哪些方面的工作？

李莊：

長揚科技十分注重技術研發(fā)和科技創(chuàng)新，已申請獲得專利、軟著百余項。同時，長揚科技成立信創(chuàng)研究院，積極推動信創(chuàng)安全生態(tài)建設，長揚工控安全防護產品除了適配自研長揚安全操作系統(tǒng)v2.0，同時與業(yè)內眾多生態(tài)伙伴實現產品兼容性互認證，包括麒麟軟件、統(tǒng)信軟件;飛騰、龍芯、申威、海光、兆芯等CPU廠商;長城、曙光、寶德 、聯想、浪潮等整機廠商。

Q5請您談談對于此次長揚科技獲得“2021中國自動化領域年度優(yōu)質工業(yè)安全服務商”的感言。

李莊：

此次獲評“2021中國自動化領域年度優(yōu)質工業(yè)安全服務商”是行業(yè)對長揚科技在工業(yè)安全技術創(chuàng)新和國產化能力的高度認可，作為工業(yè)互聯網安全行業(yè)的第一批踐行者，長揚科技自成立以來，始終以護航國家關鍵信息基礎設施安全為己任，深扎行業(yè)、自主研發(fā)、不斷創(chuàng)新，幫助企業(yè)構建完整的工業(yè)網絡安全保障體系。同時，公司牽頭或參與國家標準、行業(yè)標準、團體標準已達百余項，參與標準研究項目或技術白皮書20余項，為國家網絡安全事業(yè)持續(xù)貢獻自己的力量。

未來，長揚科技將持續(xù)發(fā)揮自身在工業(yè)互聯網安全領域的核心能力，踔厲奮發(fā)、篤行不怠，堅定科技自立自強的戰(zhàn)略思想，弘揚企業(yè)創(chuàng)新精神和初心使命，以助力國家安全為踐行企業(yè)責任的永恒燈塔，為提升國家網絡安全防護能力貢獻強有力的科技力量。

關于長揚科技

長揚科技(北京)股份有限公司是一家國資監(jiān)管下、市場化運作，專注于工業(yè)互聯網安全、工控網絡安全和視覺AI 安全大數據應用的國家高新技術企業(yè)，國有資本占股近50%。 基于“安全協同·AI賦能”的戰(zhàn)略理念，公司在工業(yè)互聯網安全領域持續(xù)深耕，團隊核心成員是中國工業(yè)互聯網安全事業(yè)的第一批踐行者。

長揚科技在業(yè)界開創(chuàng)了三位一體“智能工業(yè)安全大腦”的產品理念。公司以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場為能力提升手段，面向工業(yè)網絡安全監(jiān)測、工業(yè)網絡安全防護、工業(yè)視覺安全分析、零信任安全和數據安全，自主研發(fā)了50余款產品，覆蓋工業(yè)互聯網安全產業(yè)完整生命周期。產品及解決方案已廣泛應用于電力、石油石化、軌道交通、城市市政、智能制造、鋼鐵冶金等行業(yè)，滿足等保2.0及關鍵信息基礎設施安全保護條例要求。