2022中國自動化產(chǎn)業(yè)年會——“2021中國自動化領(lǐng)域年度優(yōu)質(zhì)工業(yè)安全服務(wù)商”已經(jīng)揭曉，工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟(ICSISIA)特推出安全微訪談專題，邀請年度優(yōu)質(zhì)工業(yè)安全服務(wù)商從技術(shù)、產(chǎn)品、市場等不同方面探討工業(yè)安全發(fā)展。本期專訪人物——長揚(yáng)科技（北京）股份有限公司營銷咨詢部總經(jīng)理李莊。

長揚(yáng)科技(北京)股份有限公司營銷咨詢部總經(jīng)理李莊

Q1請簡單介紹一下目前長揚(yáng)科技在工業(yè)安全領(lǐng)域的核心產(chǎn)品和解決方案，以及核心競爭力。

李莊：

長揚(yáng)科技創(chuàng)立于2017年9月，是國資監(jiān)管下、市場化運(yùn)作的國家高新技術(shù)企業(yè)，國有資本占股近50%。公司聚焦工業(yè)互聯(lián)網(wǎng)安全、工控安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全、安全生產(chǎn)等領(lǐng)域，為客戶提供完整的工控安全體系建設(shè)解決方案。

目前公司已經(jīng)形成十二大完整的產(chǎn)品體系、八大服務(wù)體系。公司以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場為能力提升手段，面向工業(yè)網(wǎng)絡(luò)安全監(jiān)測、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)視覺安全分析、零信任安全和數(shù)據(jù)安全，自主研發(fā)了50余款產(chǎn)品，覆蓋工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)完整生命周期，同時(shí)包含安全咨詢規(guī)劃、安全風(fēng)險(xiǎn)評估、安全運(yùn)維值守、安全運(yùn)營管理、安全應(yīng)急演練、安全認(rèn)證培訓(xùn)、安全溯源取證、安全應(yīng)急處理等一站式服務(wù)體系，可以滿足企業(yè)從信創(chuàng)安全、工控安全防護(hù)、安全監(jiān)測運(yùn)營、數(shù)據(jù)生命周期安全管控、安全準(zhǔn)入控制、工業(yè)安全生產(chǎn)、安全實(shí)戰(zhàn)攻防、人員能力提升等各種需求。

長揚(yáng)科技深入各種行業(yè)場景，業(yè)務(wù)覆蓋30+工業(yè)垂直行業(yè)，服務(wù)客戶數(shù)量超3000家，公司始終以客戶需求和場景為核心，打造高匹配度和高適用性的定制化解決方案，為行業(yè)客戶賦能，實(shí)現(xiàn)企業(yè)的降本增效。

Q2當(dāng)前正是工業(yè)互聯(lián)網(wǎng)快速發(fā)展的時(shí)期，針對工業(yè)環(huán)境的攻擊方式、安全防御是否和以前有些不一樣，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全的管控有哪些重點(diǎn)、難點(diǎn)？

李莊：

在數(shù)字時(shí)代下，工業(yè)和信息化日益融合帶來的不僅是“提質(zhì)降本增效”，也帶來了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和暴露面的增加，工業(yè)工控網(wǎng)絡(luò)(ICS)一旦遭受網(wǎng)絡(luò)攻擊，其影響面和危害后果不堪設(shè)想。

重難點(diǎn)主要在以下三個方面：

根據(jù)國家信息安全漏洞共享平臺(CNVD)公布的數(shù)據(jù)，工業(yè)控制系統(tǒng)安全漏洞已經(jīng)達(dá)到3400多個。由于我國工業(yè)控制系統(tǒng)基礎(chǔ)弱，大部分控制系統(tǒng)被國外壟斷，受制于人，國外廠商完全有能力、有手段對正在我國運(yùn)行的工業(yè)控制系統(tǒng)進(jìn)行遠(yuǎn)程操控，或者獲取機(jī)密數(shù)據(jù)。此外，新基建背景下工業(yè)互聯(lián)網(wǎng)的大力發(fā)展，也必然導(dǎo)致工業(yè)控制系統(tǒng)的廣泛互聯(lián)，如果不采用安全有力的保障措施，必然給國外的黑客組織、敵對勢力帶來攻擊的機(jī)會。

工控網(wǎng)絡(luò)和互聯(lián)網(wǎng)的邊界逐漸打通，IOT融合已經(jīng)成為現(xiàn)實(shí)。由于工業(yè)互聯(lián)網(wǎng)覆蓋面廣、海量設(shè)備接入、暴露面不斷增大，使得集團(tuán)型企業(yè)及其下屬企業(yè)的安全防護(hù)難度大大增加，企業(yè)迫切需要構(gòu)建起完善的工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系，才能更好應(yīng)對日益嚴(yán)峻的外部安全威脅和企業(yè)工控系統(tǒng)內(nèi)部的脆弱性風(fēng)險(xiǎn)。

懂網(wǎng)絡(luò)安全和工控自動化的復(fù)合型安全人員嚴(yán)重不足。目前國內(nèi)各高校和高職院校的教學(xué)體系側(cè)重于理論知識，缺乏相應(yīng)的實(shí)訓(xùn)培養(yǎng)，而企業(yè)需要的是能夠真正解決工業(yè)互聯(lián)網(wǎng)安全問題的實(shí)用型人才，因此高校的教學(xué)內(nèi)容與企業(yè)的真實(shí)需求有一定落差，遠(yuǎn)不能滿足行業(yè)和企業(yè)需求，這將嚴(yán)重制約我國工業(yè)互聯(lián)網(wǎng)安全的發(fā)展。

Q3數(shù)字化背景下，工業(yè)企業(yè)如何構(gòu)建科學(xué)的安全防護(hù)體系？

李莊：

工業(yè)企業(yè)在數(shù)字化變革的大背景下，以高級持續(xù)性網(wǎng)絡(luò)攻擊(APT)為代表的新型攻擊手段不斷演進(jìn),多層面的網(wǎng)絡(luò)安全威脅和安全風(fēng)險(xiǎn)也在不斷增加。IT網(wǎng)絡(luò)、OT網(wǎng)絡(luò)、ICS工控網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)需要統(tǒng)籌綜合考慮，僅僅依靠傳統(tǒng)的防火墻、入侵檢測、防病毒等技術(shù)，已經(jīng)很難應(yīng)對當(dāng)今面臨的安全挑戰(zhàn)。

長揚(yáng)科技認(rèn)為，企業(yè)需要實(shí)現(xiàn)從“靜態(tài)布防、邊界監(jiān)視”，向“縱深防御、實(shí)時(shí)管控”的轉(zhuǎn)變，通過以下四個方面，可以幫助企業(yè)快速構(gòu)建科學(xué)的網(wǎng)絡(luò)安全保障體系：

定期開展安全風(fēng)險(xiǎn)評估：結(jié)合工業(yè)企業(yè)IT網(wǎng)絡(luò)和工控網(wǎng)絡(luò)特點(diǎn)，依據(jù)等保2.0、工業(yè)聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級、安全風(fēng)險(xiǎn)評估規(guī)范等文件要求，定期組織安全風(fēng)險(xiǎn)評估和差距分析，梳理工控系統(tǒng)的工藝流程、資產(chǎn)拓?fù)?、脆弱性漏洞、潛在安全風(fēng)險(xiǎn)等情況，并制定具體的安全加固方案和整改措施。

建立縱深安全防御體系：根據(jù)工業(yè)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估和差距分析報(bào)告，圍繞工業(yè)互聯(lián)網(wǎng)L0(現(xiàn)場設(shè)備層)-L4(企業(yè)資源層)完整場景下的設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺安全、數(shù)據(jù)安全等方面，構(gòu)建縱深安全防御體系;包括安全分區(qū)、邊界防護(hù)、監(jiān)測審計(jì)、主機(jī)安全防護(hù)、移動介質(zhì)安全、漏洞管理、威脅誘捕、可信加密認(rèn)證、數(shù)據(jù)安全管控、統(tǒng)一集中管理、態(tài)勢感知分析等內(nèi)容，實(shí)現(xiàn)對工業(yè)企業(yè)的重要信息系統(tǒng)、工業(yè)控制生產(chǎn)系統(tǒng)的全方位、全時(shí)段、全過程的安全防護(hù)和主動監(jiān)測，實(shí)時(shí)掌握來自外部的各類攻擊行為和來自內(nèi)部的非合規(guī)行為事件,準(zhǔn)確定位到相關(guān)資產(chǎn)和人員，通過安全監(jiān)測與預(yù)警可視化，將系統(tǒng)風(fēng)險(xiǎn)全狀況盡收眼底，切實(shí)提高工業(yè)企業(yè)全板塊網(wǎng)絡(luò)安全整體防護(hù)水平。

加強(qiáng)組織應(yīng)急處置水平：建立常態(tài)化安全事件應(yīng)急處置預(yù)案庫，健全工控安全管理制度和流程，定期開展網(wǎng)絡(luò)安全培訓(xùn)和應(yīng)急演練，掌握典型工業(yè)網(wǎng)絡(luò)安全攻擊手段、安全防御技術(shù)以及應(yīng)急處置方式，不斷提升企業(yè)組織人員網(wǎng)絡(luò)安全意識和技能。

提高安全技術(shù)驗(yàn)證能力：為了評估、測試工業(yè)企業(yè)的實(shí)際安全防護(hù)能力，可以搭建工業(yè)安全靶場平臺，通過虛擬化與虛實(shí)結(jié)合的方式，分隔出一部分演練區(qū)域，在確保企業(yè)生產(chǎn)業(yè)務(wù)與安全性不會遭到破壞的情況下，進(jìn)行安全技術(shù)研究、安全防護(hù)能力驗(yàn)證、安全攻防演練演習(xí)，從而對工業(yè)企業(yè)當(dāng)前的安全能力進(jìn)行客觀評估，發(fā)現(xiàn)潛在問題，持續(xù)優(yōu)化企業(yè)安全防護(hù)體系。

Q4隨著信創(chuàng)產(chǎn)業(yè)的崛起，通過國產(chǎn)化產(chǎn)品來構(gòu)建新的安全能力顯得十分重要，長揚(yáng)科技為此開展哪些方面的工作？

李莊：

長揚(yáng)科技十分注重技術(shù)研發(fā)和科技創(chuàng)新，已申請獲得專利、軟著百余項(xiàng)。同時(shí)，長揚(yáng)科技成立信創(chuàng)研究院，積極推動信創(chuàng)安全生態(tài)建設(shè)，長揚(yáng)工控安全防護(hù)產(chǎn)品除了適配自研長揚(yáng)安全操作系統(tǒng)v2.0，同時(shí)與業(yè)內(nèi)眾多生態(tài)伙伴實(shí)現(xiàn)產(chǎn)品兼容性互認(rèn)證，包括麒麟軟件、統(tǒng)信軟件;飛騰、龍芯、申威、海光、兆芯等CPU廠商;長城、曙光、寶德 、聯(lián)想、浪潮等整機(jī)廠商。

Q5請您談?wù)剬τ诖舜伍L揚(yáng)科技獲得“2021中國自動化領(lǐng)域年度優(yōu)質(zhì)工業(yè)安全服務(wù)商”的感言。

李莊：

此次獲評“2021中國自動化領(lǐng)域年度優(yōu)質(zhì)工業(yè)安全服務(wù)商”是行業(yè)對長揚(yáng)科技在工業(yè)安全技術(shù)創(chuàng)新和國產(chǎn)化能力的高度認(rèn)可，作為工業(yè)互聯(lián)網(wǎng)安全行業(yè)的第一批踐行者，長揚(yáng)科技自成立以來，始終以護(hù)航國家關(guān)鍵信息基礎(chǔ)設(shè)施安全為己任，深扎行業(yè)、自主研發(fā)、不斷創(chuàng)新，幫助企業(yè)構(gòu)建完整的工業(yè)網(wǎng)絡(luò)安全保障體系。同時(shí)，公司牽頭或參與國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)已達(dá)百余項(xiàng)，參與標(biāo)準(zhǔn)研究項(xiàng)目或技術(shù)白皮書20余項(xiàng)，為國家網(wǎng)絡(luò)安全事業(yè)持續(xù)貢獻(xiàn)自己的力量。

未來，長揚(yáng)科技將持續(xù)發(fā)揮自身在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的核心能力，踔厲奮發(fā)、篤行不怠，堅(jiān)定科技自立自強(qiáng)的戰(zhàn)略思想，弘揚(yáng)企業(yè)創(chuàng)新精神和初心使命，以助力國家安全為踐行企業(yè)責(zé)任的永恒燈塔，為提升國家網(wǎng)絡(luò)安全防護(hù)能力貢獻(xiàn)強(qiáng)有力的科技力量。

關(guān)于長揚(yáng)科技

長揚(yáng)科技(北京)股份有限公司是一家國資監(jiān)管下、市場化運(yùn)作，專注于工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡(luò)安全和視覺AI 安全大數(shù)據(jù)應(yīng)用的國家高新技術(shù)企業(yè)，國有資本占股近50%。 基于“安全協(xié)同·AI賦能”的戰(zhàn)略理念，公司在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域持續(xù)深耕，團(tuán)隊(duì)核心成員是中國工業(yè)互聯(lián)網(wǎng)安全事業(yè)的第一批踐行者。

長揚(yáng)科技在業(yè)界開創(chuàng)了三位一體“智能工業(yè)安全大腦”的產(chǎn)品理念。公司以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場為能力提升手段，面向工業(yè)網(wǎng)絡(luò)安全監(jiān)測、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)視覺安全分析、零信任安全和數(shù)據(jù)安全，自主研發(fā)了50余款產(chǎn)品，覆蓋工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)完整生命周期。產(chǎn)品及解決方案已廣泛應(yīng)用于電力、石油石化、軌道交通、城市市政、智能制造、鋼鐵冶金等行業(yè)，滿足等保2.0及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例要求。