工业互联网安全解决方案汇编Word格式.docx
《工业互联网安全解决方案汇编Word格式.docx》由会员分享,可在线阅读,更多相关《工业互联网安全解决方案汇编Word格式.docx(77页珍藏版)》请在冰豆网上搜索。
近年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安全做出了一系列工作部署,提出了一系列工作要求。
2016年12月国家互联网信息办公室发布的《国家网络空间安全战略》提出要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。
《中国制造2025》提出要“加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系”。
2017年6月起正式实施的《中华人民共和国网络安全法》要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护。
2017年12月发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以“强化安全保障”为指导思想、“安全可靠”为基本原则,提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全保障”的主要任务,为工业互联网安全保障工作制定了时间表和路线图。
2016至2017年,工业和信息化部陆续发布《工业控制系统信息安全防护指
—77—
南》、《工控系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护能力评估工作管理办法》等政策文件,明确工控安全防护、应急以及能力评估等工作要求,构建了工控安全管理体系,进一步完善了工业信息安全顶层设计。
3.工业互联网典型安全问题
我国工业互联网安全主要面临以下几方面的问题:
(1)工业控制系统漏洞频发,脆弱性高
工控设备的操作系统较为老旧,且升级更新周期长,众多工控系统存在漏洞,易被恶意病毒或代码感染,脆弱性高。
根据国家信息安全漏洞共享平台(CNVD)统计,2017年新增信息安全漏洞4798个,其中工控系统新增漏洞数351个,与
2016年同期相比,新增数量几乎加倍,工业控制系统漏洞形势严峻且会持续呈现高发状态。
(2)生产设备大量暴露于互联网
传统工业生产设备以机械设备为主,随着工业互联网的发展,越来越多的机械设备进行数字化、信息化、网络化改造,但同时,安全防护建设速度落后于数字化信息化建设速度,导致越来越多的机械设备暴露于互联网中。
暴露的设备一旦被攻击者扫描发现,可被远程操控或被利用成为“肉鸡”武器进行DDoS攻击等,危害巨大。
(3)企业内网安全性低,易作为跳板渗透工业系统控制层
2018年5月份,PositiveTechnologies公司发布的《2018工业企业攻击向量报告》中指出73%的工业企业办公网络边界防护不严,且普遍存在安全漏洞,容易被黑客利用作为跳板渗透工业系统控制层。
企业内网成为黑客突破工业网络的最佳入口之一。
(4)数据安全问题
工业互联网的核心是工业数据采集,但目前数据接口、数据格式标准不一导致数据采集难度加大。
且工业互联网的数据体量大、种类多、结构复杂,数据通信缺乏加密认证,数据的存储、传输、分析与共享存在安全风险。
二、 安全解决方案典型案例
案例一基于威胁情报和白名单的轨道交通安全解决方案
1.方案概述
2012年10月开工建设的西成高铁,是第一条穿越秦岭进入四川的高速铁路,
堪称名副其实的“高速蜀道”,于2017年12月6日全线开通运营。
我国高速铁路信号系统基于CTCS(中国列车运行控制系统)规范,包括计算机联锁系统(CBI)、列车自动防护系统(ATP)、列车控制中心(TCC)、无线闭塞中心(RBC)等系统组成。
随着这些数字化、网络化设备在高速铁路上的应用,基于通信传输的网络设备已经成为信号设备中非常重要的一部分。
随着高铁信号系统各个子系统之间互联互通,工业控制系统内部网络开放性提高,网络管理系统(网管系统)成为高速铁路中不可或缺的网络检测设备。
此系统虽然采用了一些安全防护措施,但仍面临日益严峻的信息安全风险。
2.典型安全问题
高铁信号系统网管子系统可能面对的信息安全风险包括:
1)操作人员违规使用移动存储设备
各地方铁路公司一般对在信号系统中使用移动存储设备有比较严格的信息安全管理措施。
但在系统升级、数据备份等过程中仍存在违规操作风险,把病毒引入系统。
2)系统组件的供应链污染
各铁路信号系统集成商一般都建立了比较严格的信息安全管控流程。
但由于系统组件多,生产供应链长,在组件采购、生产、安装、调试过程中易受到病毒或恶意代码感染。
3.安全解决方案
首先用工业信息安全检查评估工具箱和工业临检U盘对信号系统的网管子
系统进行APT攻击和病毒检测。
确认无毒后,部署360工业安全管理系统、360主机安全防护软件,进行安全防护。
360工业信息安全检查评估工具箱结合威胁情报知识库和异常行为检测模型对实时数据和历史数据进行威胁分析与检测,可为高铁信号系统网管子系统进行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资产发现、工控漏洞扫描、工控流量分析、威胁情报分析、安全事件、行为日志、报告自动生成等服务。
该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展示,实现对攻击的快速检测和持续分析。
此外,360工业安全检查评估工具箱为便携式产品,带有高清显示屏幕,便于在多个单位进行现场快速分析,接入镜像流量即可,无需复杂配置。
利用工业临检U盘对信号系统的网管子系统客户端进行病毒检测,通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估。
同时,引入360病毒检测能力和威胁情报,在不影响高铁信号系统网管子系统正常运行的前提下,帮助用户去检测、评估、自查本身终端安全威胁和风险。
一旦检测到攻击可形成可量化评估报告,为高铁信号系统安全加固,提供防护能力。
即插即用的临检U盘设备采用国密芯片,是国家密码管理局认证通过的安全芯片,摒弃了传统的数据加解密处理方式,使数据流加解密速度大幅提升,特别适用于高速数据流加密。
图1问题处理及安全防护示意图
为解决病毒、恶意程序攻击等问题,在高铁信号系统网管子系统主机、服务
器部署基于白名单机制的360主机安全防护软件。
该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为高铁网管系统工业主机创建干净安全的运行环境。
对更好对部署的工控安全设备和系统进行管理,对高铁信号系统网管子系统部署360工业安全管理系统,全面记录工业网络中的工业主机安全日志等情况,为高铁信号系统网管子系统提供管理体系。
经过以上操作,高速铁路信息安全防护得到极大提高,西成高铁顺利开通运
营。
4.创新点和应用价值
1)先进性及创新点
该案例解决方案基于威胁情报大数据和白名单技术对高铁信号系统网管子系统进行安全防护。
工业信息安全检查评估工具箱能够快速发现威胁,对流量回溯取证,及时产生应急响应。
工业临检U盘可对终端、服务器进行全方位的威胁扫描,对于威胁指标进行总体全面评估、量化结果。
360工业主机防护软件高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求,操作简单的特点也符合生产技术人员的操作习惯。
2)实施效果
创新性的将威胁情报、大数据的理念应用于高铁信号系统网管子系统的安全防护中,工业信息安全检查评估工具箱基于机器学习、威胁情报对网络攻击研判引擎;
临检U盘利用360的大数据中心,采用国密芯片对终端进行威胁评估,基于白名单机制的主机安全防护软件有着实时报警、日志审计的优势,全链条的立体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。
5.案例提供方
360企业安全技术(北京)集团有限公司
案例二工业互联网数据安全解决方案
随着我国“两化融合”进程的推进与《中国制造2025》的提出,我国工业控制系统逐步向数字化、网络化、智能化转变,企业研发设计、生产制造、经营管理、销售服务等各个方面产生了海量数据。
近年来,工业互联网的安全问题暴露的越来越明显,需加强对工业制造数据的智能安全管控。
机器学习、自然语言处理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展,使数据安全管理呈智能化趋势,数据安全不仅仅是采用一刀切的数据强制加密方式来实现,更需要根据多样化的需求场景采取不同层次的安全控制手段,实现智能化安全管理。
同时,工业控制网络和信息系统日趋复杂,要求我们必须将信息安全技术依据一定的安全体系设计进行整合、集成,达到综合防范的要求。
加快信息安全产业发展是国家安全建设的需要,是保证国家信息化建设健康发展的需要,给处在快速成长阶段的我国数据安全厂商提供了无限的商机。
本方案通过分析工业互联网企业工业设计数据所面临的信息安全问题,提出了构建面向工业设计数据全生命周期安全管理的解决方案,采用基于内容识别的数据加密、应用软件指纹识别、安全云存储等技术,为企业间的高效协同提供一个安全平台。
方案具体提出了企业应采取的安全策略和解决措施,阐明了全面构筑工业互联网数据安全云平台,确保工业设计环境中上下游企业在高效协同的同时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范围分发的数据残留风险。
根据工信部对《深化“互联网+先进制造业”发展工业互联网的指导意见》的解读,工业互联网安全问题从实施角度可分为网络安全、数据安全、应用安全和云安全等几个部分。
企业间的设计协同、制造协同逐步由原来的纸质信息传递,转变为以三维设计模型为核心的电子文件交换,带来了便利的同时,也带来了诸如:
商业秘密泄露、图纸数据随意篡改、电子文件残留等数据安全风险,所以本
方案解决没有安全手段时候协同设计过程中人机交互过程的低效率、易出错(版本迭代时候人工的安全手段导致的版本更新不及时)、协同过程中多人互动图纸易泄漏问题。
针对工业设计数据面临的三大威胁及痛点,敏捷科技工业互联网数据安全云平台构建了面向工业设计数据全生命周期安全管理的解决方案,包括:
终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失。
设计环节的安全可控,及图纸下单给外协方的电子商务结算环节、出图进行资源
调配确定生产计划环节,直至下发至智能车间生产环节,及后续产品发布环节的图纸安全控制问题,主要包括:
终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失等功能。
针对工业设计数据面临的三大威胁,敏捷科技工业互联网数据安全云平台构建了面向工业设计数据全生命周期安全管理的解决方案,包括工业图纸协同研发
图2安全协同设计图
图3安全协同制造图
图4核心数据强制加密保护模式
图5终端数据智能防泄漏保护模式
图6多种系统集成模式
本平台借助敏捷科技核心专利技术,基于我国密码标准算
升级会员 