刘虹PPT（30页）.pdf

《刘虹PPT（30页）.pdf》由会员分享，可在线阅读，更多相关《刘虹PPT（30页）.pdf（30页珍藏版）》请在三个皮匠报告上搜索。

1、工业互联网软件代码安全技术发展及趋势刘虹 上海工业控制系统安全创新功能型平台一、工业互联网安全问题剖析平台视角Beyond Trust Future Industry为工业安全赋能2工业互联网平台 工业互联网平台是面向制造业数字化、网络化、智能化需求，构建基于海量数据采集、汇聚、分析和服务体系。边缘数据是基础 工业IaaS是支撑 工业PaaS是核心 工业APP是关键设计APP生产APP管理APP服务APP设备状态分析供应链分析能耗分析优化 应用开发（开发工具、微服务框架）工业微服务组件库（知识组件、算法组件、原理模型组件）工业数据建模和分析（机理建模、机器学习、可视化）工业大数据系统（工业大数

2、据清洗、管理、分析、可视化等）设备管理资源管理运维管理故障恢复云基础设备（服务器、存储、网络、虚拟化）设备接入协议解析边缘数据处理通用PaaS平台资源部署和管理业务运行应用创新应用层SaaS平台层PaaS边缘层IaaS层数据+模型=应用参考工业互联网平台白皮书3工业互联网的安全视角4数据采集协议转化边缘智能数据不足：部署传感器进行数字化改造，支持设备数据感知和互联数据杂乱：协议识别解析，支持TCP/IP、Modbus、Profinet等主流通信协议数据计算：数据本地存储、分发和预处理数据不敢传数据不能传数据不必传网络延迟资源功耗协议适配负载均衡数据泄漏离线处理 边缘层：物理空间隐性数据在信息空

3、间的显性化工业互联网的安全视角5安全可信验证实时操作系统安全核心器件（芯片/控制器）SafeOS嵌入式C程序单元测试 最高等级动态测试要求语句、分支及MC/DC覆盖达到100%符合IEC 61508等功能安全标准代码运行时动态缺陷检查 动态符号执行求解引擎 防止内存泄露、内存重复释放 防止除零、空指针、数组/指针越界 代码签名，保障运行代码授权设备数据接入与控制对云端数据上传和控制接收边缘端智能分析服务 边缘层：工业嵌入式系统基础软硬件安全测试和缺陷发现工业互联网的安全视角6大变小（虚拟化）小聚大（云计算）vCPUvCPUvCPUvCPUvCPUCPU工业云工业互联网APP资源基于计算、网络、

4、存储等资源虚拟化的系统资源池服务的颗粒度更精细 IaaS层：基于计算、网络、存储等资源虚拟化的系统资源池 支撑工业数据“采集、存储、应用、共享”全生命周期 支持数据聚合和基础设施复用，从烟囱式分散平台向融合式集中平台演进工业互联网的安全视角7 IaaS层：基于零信任和微分段的软件定义安全策略安全叠加：隔离+并行+中心化谷歌BeyondCorpVMWare NSX限制并严格执行访问控制接入验证所有数据来源监控审计网络流量日志利用微分段在数据中心内部对虚机进行隔离边界核心分发接入工业互联网的安全视角8APPAPPAPPAPPAPPAPPsupOSIaaS承载（服务器、存储、虚拟化）边缘计算（边缘模

5、型）PaaS层：基于云基础设施的工业互联网操作系统 向下调试设备、业务系统等软硬件资源 向上承载工业APP等应用服务工业互联网的安全视角9 PaaS层：提供工业APP创建、测试和部署的安全开发环境整体式架构紧耦合功能集成在一个进程中整体性扩展松耦合功能分布在不同进程中按需配置扩展API网关工业APP日志审计安全路由访问控制黑白名单协议适配身份认证虚拟机篡改虚拟机跳跃虚拟机逃逸虚拟机隐匿rootkit拒绝服务APPAPP微服务架构工业互联网的安全视角10人机物云化：传统软件云化改造（研发设计、经营管理、生产制造）云生：新型工业APP（状态监控、故障诊断、监测预警）设备性能优化工业流程优化单元级系

6、统级平台级状态感知实时诊断分析预测科学决策深度广度 SaaS层：面向特定行业、特定场景的应用解决方案 服务于研发、生产、管理、服务全过程 全产业链+产品全生命周期工业互联网的安全视角11软件成分分析及漏洞扫描 源代码和二进制文件扫描 漏洞关系网 开源许可证合规性云化APP云生APP安全传输 基于证书的安全链接 端到端的安全通道 提供接口供APP调用代码保护 代码混淆 机密数据保护 预防代码提取和篡改安全存储 密钥保护 加密数据存储设备指纹 通过手机特定的软硬件标识生成设备指纹基于微服务固化的工业APP：开放、通用 SaaS层：支持代码审计的已知漏洞分析和未知漏洞发现二、工业互联网安全核心要素软