中国信通院:2018年工业互联网案例汇编-典型安全解决方案案例(80页).pdf
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信通院:2018年工业互联网案例汇编-典型安全解决方案案例 2018年工业互联网案例汇编-典型安全解决方案案例 2018年工业互联网案例汇编:典型安全解决方案案例80页 典型安全解决方案案例
- 资源描述:
-
1、鉎咀兿硑譗襛桑譏 编写说明 编写说明 为落实中国制造 2025规划,工信部明确了工业转型升级的重 点领域和工作要求。 工业互联网作为新一代信息技术与工业系统深度 融合形成的产业和应用生态,是全球工业系统与高级计算、分析、感 应技术以及互联网连接融合的结果。 它通过智能机器间的连接并最终 将人机连接,结合软件和大数据分析,重构全球工业、激发生产力, 让世界更美好、更快速、更安全、更清洁且更经济。工业互联网的发 展得到全球主要国家以及我国政府的高度重视和积极推进, 产业界也 正在加速开展相关探索和实践。 工业互联网广泛应用于能源、交通以及市政等关系国计民生的重 要行业和领域,已成为国家关键信息基础
2、设施的重要组成部分。工业 互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级 持续性攻击等安全风险对工业生产的威胁日益加剧, 一旦受到网络攻 击,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,危及 公众安全和国家安全。 工业互联网自身安全可控是确保其在各生产领 域能够落地实施的前提, 也是产业安全和国家安全的重要基础和保障。 本案例汇编了工业互联网领域十三个典型安全解决方案案例,可 作为工业互联网生态链上下游供应商、工业企业用户等在规划、建设 和运营工业互联网时的安全参照。 本汇编由中国移动通信集团有限公司牵头编制,重点参与单位有 中国信息通信研究院、360 企业安全技术(北京
3、)集团有限公司、北 503 京威努特技术有限公司、中国电子信息产业集团第六研究所、华为公 司、深圳市腾讯计算机系统有限公司、江苏敏捷科技股份有限公司、 长扬科技(北京)有限公司、常州万联网络数据信息安全股份有限公 司。 本报告的参编人:张峰、田慧蓉、陶耀东、吴云峰、王绍杰、张旭 武、侯聪、郭念文、崔君荣、马洁、倪海燕、马驰、王正、翟尤、李 建文、黄超。其中,林欢、闫霞等协助审核了全文,并提出了诸多宝 贵意见,在此一并致谢! 因为案例汇编内容较多,且时间仓促,难免存在诸多不足之处, 希望业界同仁多提宝贵意见。 工业互联网产业联盟 安全组 二一八年十一月 504 一、一、 工业互联网安全概述 工业
4、互联网安全概述 1.1. 工业互联网安全概况 工业互联网安全概况 工业互联网是涵盖六大重点领域:工业互联网网络、工业传感与控制、工业 互联网软件、工业互联网平台、安全保障以及系统集成服务等。安全作为其中的 重要环节之一,面临着严峻的挑战。一方面,工业领域信息基础设施成为黑客重 点关注和攻击目标,防护压力空前增大。另一方面,相较传统网络安全,工业互 联网安全呈现新的特点,进一步增加了安全防护难度。在此背景下,我国应积极 加强对工业控制系统的安全体系化研究,从安全规划、安全防护、安全运营、安 全测评、应急保障等各方面,提出针对性安全解决方案,积极进行技术试点,探 究技术可行性,逐步形成可推广、可复
5、制的最佳实践,切实提升我国工业互联网 安全技术水平。 2.2. 工业互联网安全相关政策进展 工业互联网安全相关政策进展 近年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安 全做出了一系列工作部署,提出了一系列工作要求。 2016 年 12 月国家互联网信息办公室发布的国家网络空间安全战略提出 要 “采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏” 。 中 国制造 2025 提出要 “加强智能制造工业控制系统网络安全保障能力建设, 健全 综合保障体系”。 2017 年 6 月起正式实施的中华人民共和国网络安全法要求对包括工控 系统在内的 “可能严重危害国家安全、 国
6、计民生、 公共利益的关键信息基础设施” 实行重点保护。 2017 年 12 月发布的关于深化“互联网+先进制造业”发展工业互联网的指 导意见以“强化安全保障”为指导思想、“安全可靠”为基本原则,提出“建 立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全 保障”的主要任务, 为工业互联网安全保障工作制定了时间表和路线图。 2016 至 2017 年,工业和信息化部陆续发布工业控制系统信息安全防护指 505 南、工控系统信息安全事件应急管理工作指南和工业控制系统信息安全 防护能力评估工作管理办法等政策文件,明确工控安全防护、应急以及能力评 估等工作要求, 构建了工控安全管理体
7、系, 进一步完善了工业信息安全顶层设计。 3.3. 工业互联网典型安全问题 工业互联网典型安全问题 我国工业互联网安全主要面临以下几方面的问题: (1)工业控制系统漏洞频发,脆弱性高 (1)工业控制系统漏洞频发,脆弱性高 工控设备的操作系统较为老旧, 且升级更新周期长, 众多工控系统存在漏洞, 易被恶意病毒或代码感染,脆弱性高。根据国家信息安全漏洞共享平台(CNVD)统 计,2017 年新增信息安全漏洞 4798 个,其中工控系统新增漏洞数 351 个,与 2016 年同期相比,新增数量几乎加倍,工业控制系统漏洞形势严峻且会持续呈 现高发状态。 (2)生产设备大量暴露于互联网 (2)生产设备大
8、量暴露于互联网 传统工业生产设备以机械设备为主,随着工业互联网的发展,越来越多的机 械设备进行数字化、信息化、网络化改造,但同时,安全防护建设速度落后于数 字化信息化建设速度,导致越来越多的机械设备暴露于互联网中。暴露的设备一 旦被攻击者扫描发现,可被远程操控或被利用成为“肉鸡”武器进行 DDoS 攻击 等,危害巨大。 (3)企业内网安全性低,易作为跳板渗透工业系统控制层 (3)企业内网安全性低,易作为跳板渗透工业系统控制层 2018 年 5 月份,Positive Technologies 公司发布的2018 工业企业攻击 向量报告中指出 73的工业企业办公网络边界防护不严,且普遍存在安全漏
9、 洞,容易被黑客利用作为跳板渗透工业系统控制层。企业内网成为黑客突破工业 网络的最佳入口之一。 (4)数据安全问题 (4)数据安全问题 工业互联网的核心是工业数据采集,但目前数据接口、数据格式标准不一导 致数据采集难度加大。且工业互联网的数据体量大、种类多、结构复杂,数据通 信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。 506 二、二、 安全解决方案典型案例 安全解决方案典型案例 案例一 基于威胁情报和白名单的轨道交通安全解决方案 1. 案例一 基于威胁情报和白名单的轨道交通安全解决方案 1. 方案概述 方案概述 2012 年 10 月开工建设的西成高铁, 是第一条穿越秦岭进入四
10、川的高速铁路, 堪称名副其实的“高速蜀道”,于 2017 年 12 月 6 日全线开通运营。我国高速铁 路信号系统基于 CTCS (中国列车运行控制系统) 规范, 包括计算机联锁系统 (CBI) 、 列车自动防护系统(ATP)、 列车控制中心(TCC)、 无线闭塞中心(RBC)等系统组成。 随着这些数字化、网络化设备在高速铁路上的应用,基于通信传输的网络设 备已经成为信号设备中非常重要的一部分。 随着高铁信号系统各个子系统之间互 联互通,工业控制系统内部网络开放性提高,网络管理系统(网管系统)成为高 速铁路中不可或缺的网络检测设备。此系统虽然采用了一些安全防护措施,但仍 面临日益严峻的信息安全
11、风险。 2.2. 典型安全问题 典型安全问题 高铁信号系统网管子系统可能面对的信息安全风险包括: 1) 操作人员违规使用移动存储设备 各地方铁路公司一般对在信号系统中使用移动存储设备有比较严格的信息 安全管理措施。但在系统升级、数据备份等过程中仍存在违规操作风险,把病毒 引入系统。 2) 系统组件的供应链污染 各铁路信号系统集成商一般都建立了比较严格的信息安全管控流程。 但由于 系统组件多,生产供应链长,在组件采购、生产、安装、调试过程中易受到病毒 或恶意代码感染。 3.3. 安全解决方案 安全解决方案 首先用工业信息安全检查评估工具箱和工业临检 U 盘对信号系统的网管子 507 系统进行 A
12、PT 攻击和病毒检测。确认无毒后,部署 360 工业安全管理系统、360 主机安全防护软件,进行安全防护。 360 工业信息安全检查评估工具箱结合威胁情报知识库和异常行为检测模 型对实时数据和历史数据进行威胁分析与检测, 可为高铁信号系统网管子系统进 行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资产发现、工 控漏洞扫描、工控流量分析、威胁情报分析、安全事件、行为日志、报告自动生 成等服务。该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展 示,实现对攻击的快速检测和持续分析。此外,360 工业安全检查评估工具箱为 便携式产品,带有高清显示屏幕,便于在多个单位进行现场快速
13、分析,接入镜像 流量即可,无需复杂配置。 利用工业临检 U 盘对信号系统的网管子系统客户端进行病毒检测, 通过终端 的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估。同时,引入 360 病毒检测能力和威胁情报, 在不影响高铁信号系统网管子系统正常运行的前提下, 帮助用户去检测、评估、自查本身终端安全威胁和风险。一旦检测到攻击可形成 可量化评估报告,为高铁信号系统安全加固,提供防护能力。即插即用的临检 U 盘设备采用国密芯片,是国家密码管理局认证通过的安全芯片,摒弃了传统的数 据加解密处理方式, 使数据流加解密速度大幅提升, 特别适用于高速数据流加密。 图 1 问题处理及安全防护示意图 为
14、解决病毒、恶意程序攻击等问题,在高铁信号系统网管子系统主机、服务 508 器部署基于白名单机制的 360 主机安全防护软件。该软件基于轻量级“应用程序 白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常 行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主 动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为高铁网管系统工业 主机创建干净安全的运行环境。 对更好对部署的工控安全设备和系统进行管理, 对高铁信号系统网管子系统 部署 360 工业安全管理系统,全面记录工业网络中的工业主机安全日志等情况, 为高铁信号系统网管子系统提供管理体系。 经过以上操作,
15、高速铁路信息安全防护得到极大提高,西成高铁顺利开通运 营。 4.4. 创新点和应用价值 创新点和应用价值 1)1) 先进性及创新点 先进性及创新点 该案例解决方案基于威胁情报大数据和白名单技术对高铁信号系统网管子 系统进行安全防护。工业信息安全检查评估工具箱能够快速发现威胁,对流量回 溯取证,及时产生应急响应。工业临检 U 盘可对终端、服务器进行全方位的威胁 扫描,对于威胁指标进行总体全面评估、量化结果。360 工业主机防护软件高稳 定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求,操作简单 的特点也符合生产技术人员的操作习惯。 2)2) 实施效果 实施效果 创新性的将威胁情报、
16、大数据的理念应用于高铁信号系统网管子系统的安全 防护中,工业信息安全检查评估工具箱基于机器学习、威胁情报对网络攻击研判 引擎;临检 U 盘利用 360 的大数据中心,采用国密芯片对终端进行威胁评估,基 于白名单机制的主机安全防护软件有着实时报警、日志审计的优势,全链条的立 体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。 5.5. 案例提供方 案例提供方 360 企业安全技术(北京)集团有限公司 509 案例二 工业互联网数据安全解决方案 1. 案例二 工业互联网数据安全解决方案 1. 方案概述 方案概述 随着我国“两化融合”进程的推进与中国制造 2025的提出,我国工业控 制系统逐
17、步向数字化、网络化、智能化转变,企业研发设计、生产制造、经营管 理、销售服务等各个方面产生了海量数据。近年来,工业互联网的安全问题暴露 的越来越明显,需加强对工业制造数据的智能安全管控。机器学习、自然语言处 理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展,使数据 安全管理呈智能化趋势, 数据安全不仅仅是采用一刀切的数据强制加密方式来实 现,更需要根据多样化的需求场景采取不同层次的安全控制手段,实现智能化安 全管理。同时,工业控制网络和信息系统日趋复杂,要求我们必须将信息安全技 术依据一定的安全体系设计进行整合、集成,达到综合防范的要求。加快信息安 全产业发展是国家安全建设的需要
18、,是保证国家信息化建设健康发展的需要,给 处在快速成长阶段的我国数据安全厂商提供了无限的商机。 本方案通过分析工业互联网企业工业设计数据所面临的信息安全问题, 提出 了构建面向工业设计数据全生命周期安全管理的解决方案, 采用基于内容识别的 数据加密、应用软件指纹识别、安全云存储等技术,为企业间的高效协同提供一 个安全平台。方案具体提出了企业应采取的安全策略和解决措施,阐明了全面构 筑工业互联网数据安全云平台, 确保工业设计环境中上下游企业在高效协同的同 时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范 围分发的数据残留风险。 2.2. 典型安全问题 典型安全问题 根据工信
19、部对深化“互联网+先进制造业”发展工业互联网的指导意见 的解读,工业互联网安全问题从实施角度可分为网络安全、数据安全、应用安全 和云安全等几个部分。 企业间的设计协同、 制造协同逐步由原来的纸质信息传递, 转变为以三维设计模型为核心的电子文件交换,带来了便利的同时,也带来了诸 如:商业秘密泄露、图纸数据随意篡改、电子文件残留等数据安全风险,所以本 510 方案解决没有安全手段时候协同设计过程中人机交互过程的低效率、易出错(版 本迭代时候人工的安全手段导致的版本更新不及时)、 协同过程中多人互动图纸 易泄漏问题。针对工业设计数据面临的三大威胁及痛点,敏捷科技工业互联网数 据安全云平台构建了面向工
20、业设计数据全生命周期安全管理的解决方案,包括: 终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失。 3.3. 安全解决方案 安全解决方案 针对工业设计数据面临的三大威胁, 敏捷科技工业互联网数据安全云平台构 建了面向工业设计数据全生命周期安全管理的解决方案, 包括工业图纸协同研发 设计环节的安全可控,及图纸下单给外协方的电子商务结算环节、出图进行资源 调配确定生产计划环节,直至下发至智能车间生产环节,及后续产品发布环节的 图纸安全控制问题,主要包括:终端数据智能安全、网络数据防截获、云平台数 据防泄露和丢失等功能。 图 2 安全协同设计图 511 图 3 安全协同制造图 图 4 核心数
21、据强制加密保护模式 512 图 5 终端数据智能防泄漏保护模式 图 6 多种系统集成模式 本平台借助敏捷科技核心专利技术,基于我国密码标准算法构建。通过终端 数据智能安全防护、网络数据安全防护、云平台数据安全防护等三方面的数据防 护作用,确保工业设计环境中上下游企业在高效协同的同时,最大限度的防止商 业秘密数据外泄、 防止数据恶意篡改、 减少图纸数据大范围分发的数据残留风险。 如下图所示: 513 图 7 智能制造数据安全云平台功能框架示意图 1) 终端数据智能安全防护 终端数据安全防护由五个子系统组成,包括:数据智能安全子系统、终端虚 拟化桌面子系统、终端桌面安全子系统、终端外设控制子系统、
22、文件透明加密子 系统。 数据智能安全子系统包括终端核心数据加密防护、网络出口拦截、敏感数据 定期扫描、数据敏感度分析等功能。 终端虚拟化桌面子系统包括传输加密、介质加密、密钥产生和使用、容错备 份还原、断线续用、服务器多机热备、域控身份认证等功能。 终端桌面安全子系统:通过远程监控、补丁推送、软硬件资产统计、终端程 序控制策略、本地虚拟运行环境等技术使终端桌面工作环境安全。 终端外设控制子系统:不论是打印端口、串口、1394 还是 USB 接口,系统都 可以进行开关及内容过滤控制,并且针对 USB 移动存储设备提供注册、审计、私 有格式等功能,确保终端外设安全可控。 文件透明加密子系统: 确保
23、终端用户在操作电子文件的方式不发生改变的情 况下,电子文件以密文方式存储。采用驱动层透明动态加解密技术,在操作系统 和磁盘之间的数据加密和解密程序,自动对存储到磁盘的数据作加密运算,对从 磁盘读取的数据做解密操作。通过指定文档类型、或者处理进程,能够达到所有 存储介质上存在的该类型文件全部加密,有效防止机密信息泄漏。 2) 网络数据安全防护 514 敏捷科技工业互联网数据安全云平台在网络数据安全防护方面, 提供了虚拟 安全网络子系统。 该子系统采用基于 P2P 技术构建的先进的虚拟安全域/网技术, 根据权限和安全策略动态的将被访问的各种应用系统资源划分到一个独立的安 全虚拟网络中,确保具体业务
展开阅读全文
