北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议，历届北向峰会的行业趋势探索以及战略性指导意义，使其成为安全行业别具一格的风向标。

面向2021，北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块，深入研讨了安全行业战略发展之路。嘶吼作为会议承办方，全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容，嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》，文集将以连载的方式在“嘶吼专业版”独家发布，向大家分期呈现，每日更新，敬请关注！

10期 都江堰论坛

场景化安全思维 助力新安全挑战

中国信息化发展新时代——数字中国

⌜发展数字经济，推进数字产业化和产业数字化，推动数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群⌟ 

——中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议

今年五中全会的时候再次提出数字化发展、数字中国、科技自立创新的政策，也强调了发展和安全的概念。把安全的地位再次跟国家信息化产业发展相提并论，而且是前提和保障的关系。

中国信息化发展新时代的两大挑战

我国信息化应用场景日益丰富，逐渐完成从“追赶者”到“引领者”的转变。作为引领者也有引领者的孤独和无奈，首先是所面临的挑战。信息化领域作为追赶者的时候很简单，可以去拿来主义，国际上有很多可以借鉴的东西，包括法律法规和技术方面。但是作为引领者，特别是数字经济产业化升级过程中，很多方面只能自己创造，很难去借鉴，甚至有些完全在引领，这是对中国信息化巨大的挑战。

安全是发展的前提、发展是安全的保障，同时又要保持“三同步”原则——同步设计、同步实施、同步运营。如何综合我们的能力为中国数字场景先于他们考虑信息安全的架构、助推更快速的上马，是对整个信息安全产业的挑战。

数字化生产典型场景——工业信息安全场景

工业互联网从传统的机械系统向数字化生态方向演进

回顾产业化升级过程中，工业互联网自身发生着变化。传统公共系统是简单的机械系统，确定性是常态，把生产线挂在那里基本就不会变化，变了就是大动作。但工业互联网是个复杂的生态系统，不确定性是常态，用其不确定在推动整个系统弹性的供给模式。生产装备达到自动化、系统化、流程化，但与现在工业系统数据驱动的数字化、网络化和智能化有很大的飞跃。互联网、物联网、5G等技术对工业互联网和产业的影响具有更举足轻重的作用。

基于数据流的工业互联网协同生产模式

传统生产流程是完全实体化的生产流程，数字化生产则随着数字孪生把很多东西搬到线上。上线会引入线上流程，当然也会引入线上的风险。对于数字化生产场景，传统体系里面场景的设计、生产，业务的交互和运营整个是串行化的过程，数字化里面很多过程则交织在一起。用户的需求变化后，设计和生产过程也跟着变化，这样的不断变化后不确定数字化生产场景里面给信息安全提出的问题又是怎样的呢？工业互联网方面，随着两化的融合，随着网络化、智能化和数字化的改进，未来基于数据流的工业互联网的协同生产模式会成为主流。这其中既包括工业互联网也包括数字化生产过程，未来都是由数据来驱动的不确定的协同化的自动化生产模式。

工业信息安全场景面临的风险

随着产业升级的变化，安全场景所面临的风险也在变化。不是单纯设备的漏洞用代码分析就可以了，而是更多面临来自新技术、新平台所引入的风险。云平台、大数据、物联网、5G通信每一个都是非常庞大的体系，对于这样庞大体系而言，风险点肯定也随之成正比增长。传统企业比较封闭隔离的环境更多采用合规的方式——隔离和边界的分析防护理念和模式。随着工业互联网化威胁增多，合规肯定要做，如何更全面的看安全风险的管控，如何从业务层面、关键的数据层面，能够实施安全的防护这已经成为用户和国家自发的驱动力。

新时代工业信息安全的场景化最佳实践

案例一：从智慧电力看系统场景一体化安全运营

智能电网建设覆盖了发电、输电、变电、配电、用电及调度等六个环节，通过获取电网节点各层资源和设备的运行状态，进行控制管理，在保障电网安全的同时，提高设备利用率，从而解决传统电力系统能源利用率低、互动性差、安全稳定分析困难等问题，实现电网电力流的可视化与可控化，达到能源流、数据流和业务流的高度融合。在不同的平台、不同系统间流转的信息类型不同，信息类型目前没有做到特别的精细化，可以优先把比较重要的数据信息流转进行相关监控和梳理。通过场景的梳理后，再结合本身业务需求，对资产实现动态拓扑安全展现，对业务、运维的集中管控和生命周期的管控，结合运维工作票的一些违规发现，相关的值班通报系统等，业务场景中又细分子业务场景，场景之间会有安全能力的交付和提炼，形成可视化、可控化的呈现。

案例二：从智慧油库看系统场景一体化安全运营

油库作为原油、油气供应链的储运中枢，属于易燃易爆物质聚集，安全风险高、安全生产监控难度大，是政府重点监管的“两重点一重大”危险化学品企业。近年来，国家发布了新《安全生产法》、新《环境保护法》、《网络安全法》，制定《安全生产“十三五”规划》等，进一步加大了对油库安全生产的监管力度。智慧油库流程方面比较的简单，包括油库的储运、配送、油品销售等。通过对其应用场景的分析，首先做好资产和网络结构的梳理，再结合作为油库系统中自身的业务层面的保障、安全层面的措施、数据层面的应用和体系，监测、通报、研判、应急处置多种措施，在应用的各个环节中形成结合业务的深度和细粒度的安全能力化的交付，形成场景化与融合业务安全的实践场景。

服务用户、数字中国，工控安全的落地需要共同努力

首先场景化安全思维对于智慧工业，当前提出的是顶层思维和方法论，而对应的落地工作是需要长远投入的事情，这个过程需要每个人更加努力持续做更多的创新工作。可以通过一棵技术树来形象的表达，树上每个层次都需要未来不断的创新与挑战：最底下是产品平台和服务层面，作为交付的基本元素需要持续做深做实；树干的层面形成各种安全能力交付；底层的营养支撑，中间的能力交付，再通过解决方案+运营的模式输送给用户场景；这些场景基本架构、新兴技术、新兴平台等都能得到有力的安全支撑，进而实现对用户场景的安全支撑。

启明星辰的能力一方面支撑产业升级基本元素，同时也会进一步支撑到每一个场景里。基于场景下的思维，考量在深耕信息安全这片沃土的同时也不要忘记最终的目标是为用户、为数字中国、为中国数字场景服务的。围绕场景服务达到场景安全化的交付，要围绕场景全业务流程、数据全生命周期进行相应的风险控制机制，也需要大家后续共同的努力！

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布

《北向文集》由北向峰会与嘶吼安全产业研究院联合发布。如若转载，请注明原文地址