2018年工业互联网案例汇编-典型安全解决方案案例.pdf
《2018年工业互联网案例汇编-典型安全解决方案案例.pdf》由会员分享,可在线阅读,更多相关《2018年工业互联网案例汇编-典型安全解决方案案例.pdf(80页珍藏版)》请在咨信网上搜索。
1、为落实中国制造 2025规划,工信部明确了工业转型升级的重点领域和工作要求。工业互联网作为新一代信息技术与工业系统深度融合形成的产业和应用生态,是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力,让世界更美好、更快速、更安全、更清洁且更经济。工业互联网的发展得到全球主要国家以及我国政府的高度重视和积极推进,产业界也正在加速开展相关探索和实践。工业互联网广泛应用于能源、交通以及市政等关系国计民生的重要行业和领域,已成为国家关键信息基础设施的重要组成部分。工业互联网打破了传统工业相对封闭可信的制造
2、环境,病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保障。本案例汇编了工业互联网领域十三个典型安全解决方案案例,可作为工业互联网生态链上下游供应商、工业企业用户等在规划、建设和运营工业互联网时的安全参照。本汇编由中国移动通信集团有限公司牵头编制,重点参与单位有中国信息通信研究院、360 企业安全技术(北京)集团有限公司、北 503 京威努特技术有限公司、中国电子信息产业集团第六研究所、华为公
3、司、深圳市腾讯计算机系统有限公司、江苏敏捷科技股份有限公司、长扬科技(北京)有限公司、常州万联网络数据信息安全股份有限公司。本报告的参编人:张峰、田慧蓉、陶耀东、吴云峰、王绍杰、张旭武、侯聪、郭念文、崔君荣、马洁、倪海燕、马驰、王正、翟尤、李建文、黄超。其中,林欢、闫霞等协助审核了全文,并提出了诸多宝贵意见,在此一并致谢!因为案例汇编内容较多,且时间仓促,难免存在诸多不足之处,希望业界同仁多提宝贵意见。工业互联网产业联盟 安全组 二一八年十一月 504 一、一、工业互联网安全概述 工业互联网安全概述 1.1.工业互联网安全概况 工业互联网安全概况 工业互联网是涵盖六大重点领域:工业互联网网络、
4、工业传感与控制、工业互联网软件、工业互联网平台、安全保障以及系统集成服务等。安全作为其中的重要环节之一,面临着严峻的挑战。一方面,工业领域信息基础设施成为黑客重点关注和攻击目标,防护压力空前增大。另一方面,相较传统网络安全,工业互联网安全呈现新的特点,进一步增加了安全防护难度。在此背景下,我国应积极加强对工业控制系统的安全体系化研究,从安全规划、安全防护、安全运营、安全测评、应急保障等各方面,提出针对性安全解决方案,积极进行技术试点,探究技术可行性,逐步形成可推广、可复制的最佳实践,切实提升我国工业互联网安全技术水平。2.2.工业互联网安全相关政策进展 工业互联网安全相关政策进展 近年来,我国
5、从法律法规、战略规划、标准规范等多个层面对工业互联网安全做出了一系列工作部署,提出了一系列工作要求。2016 年 12 月国家互联网信息办公室发布的国家网络空间安全战略提出要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。中国制造 2025 提出要“加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系”。2017 年 6 月起正式实施的中华人民共和国网络安全法要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护。2017 年 12 月发布的关于深化“互联网+先进制造业”发展工业互联网的指导意见以“强化安全保障”为指导思想
6、、“安全可靠”为基本原则,提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全保障”的主要任务,为工业互联网安全保障工作制定了时间表和路线图。2016 至 2017 年,工业和信息化部陆续发布工业控制系统信息安全防护指 505 南、工控系统信息安全事件应急管理工作指南和工业控制系统信息安全防护能力评估工作管理办法等政策文件,明确工控安全防护、应急以及能力评估等工作要求,构建了工控安全管理体系,进一步完善了工业信息安全顶层设计。3.3.工业互联网典型安全问题 工业互联网典型安全问题 我国工业互联网安全主要面临以下几方面的问题:(1)工业控制系统漏洞频发,脆弱性高(1)工
7、业控制系统漏洞频发,脆弱性高 工控设备的操作系统较为老旧,且升级更新周期长,众多工控系统存在漏洞,易被恶意病毒或代码感染,脆弱性高。根据国家信息安全漏洞共享平台(CNVD)统计,2017 年新增信息安全漏洞 4798 个,其中工控系统新增漏洞数 351 个,与2016 年同期相比,新增数量几乎加倍,工业控制系统漏洞形势严峻且会持续呈现高发状态。(2)生产设备大量暴露于互联网(2)生产设备大量暴露于互联网 传统工业生产设备以机械设备为主,随着工业互联网的发展,越来越多的机械设备进行数字化、信息化、网络化改造,但同时,安全防护建设速度落后于数字化信息化建设速度,导致越来越多的机械设备暴露于互联网中
8、。暴露的设备一旦被攻击者扫描发现,可被远程操控或被利用成为“肉鸡”武器进行 DDoS 攻击等,危害巨大。(3)企业内网安全性低,易作为跳板渗透工业系统控制层(3)企业内网安全性低,易作为跳板渗透工业系统控制层 2018 年 5 月份,Positive Technologies 公司发布的2018 工业企业攻击向量报告中指出 73的工业企业办公网络边界防护不严,且普遍存在安全漏洞,容易被黑客利用作为跳板渗透工业系统控制层。企业内网成为黑客突破工业网络的最佳入口之一。(4)数据安全问题(4)数据安全问题 工业互联网的核心是工业数据采集,但目前数据接口、数据格式标准不一导致数据采集难度加大。且工业互
9、联网的数据体量大、种类多、结构复杂,数据通信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。506 二、二、安全解决方案典型案例 安全解决方案典型案例 案例一 基于威胁情报和白名单的轨道交通安全解决方案 1.案例一 基于威胁情报和白名单的轨道交通安全解决方案 1.方案概述 方案概述 2012 年 10 月开工建设的西成高铁,是第一条穿越秦岭进入四川的高速铁路,堪称名副其实的“高速蜀道”,于 2017 年 12 月 6 日全线开通运营。我国高速铁路信号系统基于 CTCS(中国列车运行控制系统)规范,包括计算机联锁系统(CBI)、列车自动防护系统(ATP)、列车控制中心(TCC)、无线闭塞
10、中心(RBC)等系统组成。随着这些数字化、网络化设备在高速铁路上的应用,基于通信传输的网络设备已经成为信号设备中非常重要的一部分。随着高铁信号系统各个子系统之间互联互通,工业控制系统内部网络开放性提高,网络管理系统(网管系统)成为高速铁路中不可或缺的网络检测设备。此系统虽然采用了一些安全防护措施,但仍面临日益严峻的信息安全风险。2.2.典型安全问题 典型安全问题 高铁信号系统网管子系统可能面对的信息安全风险包括:1)操作人员违规使用移动存储设备 各地方铁路公司一般对在信号系统中使用移动存储设备有比较严格的信息安全管理措施。但在系统升级、数据备份等过程中仍存在违规操作风险,把病毒引入系统。2)系
11、统组件的供应链污染 各铁路信号系统集成商一般都建立了比较严格的信息安全管控流程。但由于系统组件多,生产供应链长,在组件采购、生产、安装、调试过程中易受到病毒或恶意代码感染。3.3.安全解决方案 安全解决方案 首先用工业信息安全检查评估工具箱和工业临检 U 盘对信号系统的网管子 507 系统进行 APT 攻击和病毒检测。确认无毒后,部署 360 工业安全管理系统、360主机安全防护软件,进行安全防护。360 工业信息安全检查评估工具箱结合威胁情报知识库和异常行为检测模型对实时数据和历史数据进行威胁分析与检测,可为高铁信号系统网管子系统进行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资
12、产发现、工控漏洞扫描、工控流量分析、威胁情报分析、安全事件、行为日志、报告自动生成等服务。该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展示,实现对攻击的快速检测和持续分析。此外,360 工业安全检查评估工具箱为便携式产品,带有高清显示屏幕,便于在多个单位进行现场快速分析,接入镜像流量即可,无需复杂配置。利用工业临检 U 盘对信号系统的网管子系统客户端进行病毒检测,通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估。同时,引入 360病毒检测能力和威胁情报,在不影响高铁信号系统网管子系统正常运行的前提下,帮助用户去检测、评估、自查本身终端安全威胁和风险。一旦检测到攻击可
13、形成可量化评估报告,为高铁信号系统安全加固,提供防护能力。即插即用的临检 U盘设备采用国密芯片,是国家密码管理局认证通过的安全芯片,摒弃了传统的数据加解密处理方式,使数据流加解密速度大幅提升,特别适用于高速数据流加密。图 1 问题处理及安全防护示意图 为解决病毒、恶意程序攻击等问题,在高铁信号系统网管子系统主机、服务 508 器部署基于白名单机制的 360 主机安全防护软件。该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为高
14、铁网管系统工业主机创建干净安全的运行环境。对更好对部署的工控安全设备和系统进行管理,对高铁信号系统网管子系统部署 360 工业安全管理系统,全面记录工业网络中的工业主机安全日志等情况,为高铁信号系统网管子系统提供管理体系。经过以上操作,高速铁路信息安全防护得到极大提高,西成高铁顺利开通运营。4.4.创新点和应用价值 创新点和应用价值 1)1)先进性及创新点 先进性及创新点 该案例解决方案基于威胁情报大数据和白名单技术对高铁信号系统网管子系统进行安全防护。工业信息安全检查评估工具箱能够快速发现威胁,对流量回溯取证,及时产生应急响应。工业临检 U 盘可对终端、服务器进行全方位的威胁扫描,对于威胁指
15、标进行总体全面评估、量化结果。360 工业主机防护软件高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求,操作简单的特点也符合生产技术人员的操作习惯。2)2)实施效果 实施效果 创新性的将威胁情报、大数据的理念应用于高铁信号系统网管子系统的安全防护中,工业信息安全检查评估工具箱基于机器学习、威胁情报对网络攻击研判引擎;临检 U 盘利用 360 的大数据中心,采用国密芯片对终端进行威胁评估,基于白名单机制的主机安全防护软件有着实时报警、日志审计的优势,全链条的立体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。5.5.案例提供方 案例提供方 360 企业安全技术(北京)集团
16、有限公司 509 案例二 工业互联网数据安全解决方案 1.案例二 工业互联网数据安全解决方案 1.方案概述 方案概述 随着我国“两化融合”进程的推进与中国制造 2025的提出,我国工业控制系统逐步向数字化、网络化、智能化转变,企业研发设计、生产制造、经营管理、销售服务等各个方面产生了海量数据。近年来,工业互联网的安全问题暴露的越来越明显,需加强对工业制造数据的智能安全管控。机器学习、自然语言处理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展,使数据安全管理呈智能化趋势,数据安全不仅仅是采用一刀切的数据强制加密方式来实现,更需要根据多样化的需求场景采取不同层次的安全控制手段,实现智
17、能化安全管理。同时,工业控制网络和信息系统日趋复杂,要求我们必须将信息安全技术依据一定的安全体系设计进行整合、集成,达到综合防范的要求。加快信息安全产业发展是国家安全建设的需要,是保证国家信息化建设健康发展的需要,给处在快速成长阶段的我国数据安全厂商提供了无限的商机。本方案通过分析工业互联网企业工业设计数据所面临的信息安全问题,提出了构建面向工业设计数据全生命周期安全管理的解决方案,采用基于内容识别的数据加密、应用软件指纹识别、安全云存储等技术,为企业间的高效协同提供一个安全平台。方案具体提出了企业应采取的安全策略和解决措施,阐明了全面构筑工业互联网数据安全云平台,确保工业设计环境中上下游企业
18、在高效协同的同时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范围分发的数据残留风险。2.2.典型安全问题 典型安全问题 根据工信部对深化“互联网+先进制造业”发展工业互联网的指导意见的解读,工业互联网安全问题从实施角度可分为网络安全、数据安全、应用安全和云安全等几个部分。企业间的设计协同、制造协同逐步由原来的纸质信息传递,转变为以三维设计模型为核心的电子文件交换,带来了便利的同时,也带来了诸如:商业秘密泄露、图纸数据随意篡改、电子文件残留等数据安全风险,所以本 510 方案解决没有安全手段时候协同设计过程中人机交互过程的低效率、易出错(版本迭代时候人工的安全手段导致的版本
19、更新不及时)、协同过程中多人互动图纸易泄漏问题。针对工业设计数据面临的三大威胁及痛点,敏捷科技工业互联网数据安全云平台构建了面向工业设计数据全生命周期安全管理的解决方案,包括:终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失。3.3.安全解决方案 安全解决方案 针对工业设计数据面临的三大威胁,敏捷科技工业互联网数据安全云平台构建了面向工业设计数据全生命周期安全管理的解决方案,包括工业图纸协同研发设计环节的安全可控,及图纸下单给外协方的电子商务结算环节、出图进行资源调配确定生产计划环节,直至下发至智能车间生产环节,及后续产品发布环节的图纸安全控制问题,主要包括:终端数据智能安全、网络数据
20、防截获、云平台数据防泄露和丢失等功能。图 2 安全协同设计图 511 图 3 安全协同制造图 图 4 核心数据强制加密保护模式 512 图 5 终端数据智能防泄漏保护模式 图 6 多种系统集成模式 本平台借助敏捷科技核心专利技术,基于我国密码标准算法构建。通过终端数据智能安全防护、网络数据安全防护、云平台数据安全防护等三方面的数据防护作用,确保工业设计环境中上下游企业在高效协同的同时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范围分发的数据残留风险。如下图所示:513 图 7 智能制造数据安全云平台功能框架示意图 1)终端数据智能安全防护 终端数据安全防护由五个子系统组成
21、,包括:数据智能安全子系统、终端虚拟化桌面子系统、终端桌面安全子系统、终端外设控制子系统、文件透明加密子系统。数据智能安全子系统包括终端核心数据加密防护、网络出口拦截、敏感数据定期扫描、数据敏感度分析等功能。终端虚拟化桌面子系统包括传输加密、介质加密、密钥产生和使用、容错备份还原、断线续用、服务器多机热备、域控身份认证等功能。终端桌面安全子系统:通过远程监控、补丁推送、软硬件资产统计、终端程序控制策略、本地虚拟运行环境等技术使终端桌面工作环境安全。终端外设控制子系统:不论是打印端口、串口、1394 还是 USB 接口,系统都可以进行开关及内容过滤控制,并且针对 USB 移动存储设备提供注册、审
22、计、私有格式等功能,确保终端外设安全可控。文件透明加密子系统:确保终端用户在操作电子文件的方式不发生改变的情况下,电子文件以密文方式存储。采用驱动层透明动态加解密技术,在操作系统和磁盘之间的数据加密和解密程序,自动对存储到磁盘的数据作加密运算,对从磁盘读取的数据做解密操作。通过指定文档类型、或者处理进程,能够达到所有存储介质上存在的该类型文件全部加密,有效防止机密信息泄漏。2)网络数据安全防护 514 敏捷科技工业互联网数据安全云平台在网络数据安全防护方面,提供了虚拟安全网络子系统。该子系统采用基于 P2P 技术构建的先进的虚拟安全域/网技术,根据权限和安全策略动态的将被访问的各种应用系统资源
23、划分到一个独立的安全虚拟网络中,确保具体业务应用系统环境的专用性和“干净性”,实现了基于具体业务应用系统的动态“专网专用”,也从安全管理角度上对网络数据进行安全精细化管理。图 8 虚拟安全网络子系统 3)云平台数据安全防护 云平台安全防护由五个子系统组成,包括:统一身份认证管理子系统、数据库加密存储子系统、多租户数据隔离子系统、用户异常行为检测子系统、分布式数据备份子系统。统一身份认证管理子系统:从用户的应用安全需求出发,提出了“深度整合,全面安全”之理念,在应用系统的身份认证、资源访问控制、用户操作审计、数据加密解密、时间戳服务、网络数字签章、数据签名与统一验证、关键交易验证等方面分层次深入
24、整合,满足应用系统内部和外部安全需求。515 图 9 统一身份认证与授权管理平台设计 数据库加密子系统:对数据库中的数据进行加密处理,即使某一用户非法入侵到系统中或者盗得数据存储介质,没有相应的解密密钥,他仍然不能得到所需数据。图 10 加密数据存储体系结构 可搜索加密子系统:根据云平台的需求,对敏感关键字密文进行搜索。查询语句、表、视图元组 元组,数据集、键 结构化记录 加密 B+树 字段 物理记录 页、段 密钥 加密 加密 字段 块 文件 事务管理 日志管理 子模式 模 式 系统表 加密组 件 内模式 516 图 11 带关键字检索的公钥加密方案 密钥生成算法()KenGen s:输入一个
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2018 工业 互联网 案例 汇编 典型 安全 解决方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。