面向高精端制造業(yè)的工業(yè)互聯網平臺安全綜合防護體系——安全賦能助力產業(yè)發(fā)展
引言:
北京天融信網絡安全技術有限公司(簡稱天融信)創(chuàng)始于1995年,是中國領先的網絡安全、大數據與安全云服務提供商。自成立至今為工業(yè)企業(yè)和工業(yè)互聯網平臺企業(yè)提供了大量優(yōu)質的解決方案,覆蓋電力、軌道交通、航空航天、軍工、能源、石油化工、機械制造、國防工業(yè)、汽車、電子等行業(yè)領域。
工業(yè)互聯網平臺是工業(yè)互聯網產業(yè)發(fā)展的基石,安全是國家深入推進“互聯網+先進制造業(yè)”的重要保障。工業(yè)互聯網代表著國家新一代信息基礎設施的重要發(fā)展方向,已經成為工業(yè)體系的神經中樞,提高工業(yè)互聯網平臺的安全體系建設,可促進我國工業(yè)互聯網產業(yè)的加速發(fā)展。
天融信工業(yè)互聯網平臺安全防護體系從防護對象、防護措施和防護管理三大視角同時出發(fā),構建完善的工業(yè)互聯網平臺安全框架。明確防護對象是前提,部署安全防護措施是關鍵,落實安全防護管理是重要保障。從工業(yè)互聯網平臺安全建設角度出發(fā),強調技術與管理相結合、動靜互補,全面持續(xù)提升工業(yè)互聯網平臺企業(yè)的安全防護能力。
一、項目概況
本方案基于工業(yè)互聯網平臺安全技術所開展的網絡安全解決方案設計和綜合安全防護體系建設,切實解決企業(yè)工業(yè)互聯網平臺面臨的計算環(huán)境、數據安全、訪問安全、容器安全、微服務安全等安全問題,對工業(yè)互聯網平臺產業(yè)發(fā)展具有重大意義。
1. 項目背景
在當今以大數據為核心的工業(yè)互聯網時代,沒有安全就沒有一切,網絡安全上升為核心產業(yè),這一領域將有超出想象的巨大的發(fā)展空間。我國高度關注互聯網安全的新形勢。中央領導從總體國家安全觀的高度指出,安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進。在工業(yè)互聯網時代,網絡安全至關重要,企業(yè)必須高度重視工業(yè)互聯網平臺安全問題,加強自身的安全威脅抵抗能力和防護手段。
2. 項目簡介
本方案的建設實施,有助于供應鏈資產監(jiān)控和風險預警,以及平臺安全風險防范,大幅提升企業(yè)工業(yè)互聯網平臺安全防護能力,通過建設安全保障體系、提供安全服務保障平臺業(yè)務流程安全,保障供應鏈完整,從而保障工業(yè)企業(yè)運營;大幅推動工業(yè)互聯網平臺產業(yè)發(fā)展,通過打造工業(yè)互聯網平臺縱深安全防御體系,為后續(xù)工業(yè)互聯網平臺安全防護體系項目建設豎立標桿,為引導和推動產業(yè)發(fā)展起到良好的示范作用。
3. 項目目標
本方案面向某高精端制造業(yè)工業(yè)互聯網平臺企業(yè),圍繞工業(yè)互聯網平臺邊緣層、平臺層、應用層及相應的業(yè)務處理流程和控制流程面臨的突出安全風險,應用工業(yè)互聯網平臺安全防護核心技術,形成抗DDoS、虛擬機逃逸、鏡像篡改、數據竊取與篡改、惡意代碼防范、身份認證、APP檢測等綜合安全防護能力,提升工業(yè)互聯網平臺企業(yè)自身安全防護和態(tài)勢感知能力。
二、項目實施概況
本方案充分貼合工業(yè)互聯網平臺的業(yè)務訪問流程及控制流程,同時運用了業(yè)內比較成熟的安全方案以及針對性的新型安全解決方案。
1.項目總體架構和主要內容
工業(yè)互聯網平臺安全防護體系是基于工業(yè)互聯網平臺體系架構所進行的安全防護能力建設,其主要面向并貫穿整個工業(yè)互聯網平臺,從邊緣層、平臺層、應用層等多維度展開安全能力建設,邊緣層與工業(yè)控制系統(tǒng)相關的控制設備,是企業(yè)生產的控制設備,該層主要實現對企業(yè)現場控制系統(tǒng)進行的安全防護;平臺層是云計算環(huán)境以及工業(yè)大數據,是對邊緣層的工業(yè)數據的處理,該層主要實現對工業(yè)大數據計算環(huán)境的安全防護;應用層為工業(yè)APP運行層,主要為開發(fā)者提供接口平臺,以及企業(yè)用戶實際應用的平臺,該層主要實現對工業(yè)各類應用進行的安全防護。
圖1 工業(yè)互聯網平臺業(yè)務框架
2. 網絡、平臺或安全互聯架構
工業(yè)互聯網平臺安全綜合防護體系安全架構呼應層次化防護架構,面向“邊緣、平臺、應用”構建“邊緣計算防護、平臺應用防護以及安全管理中心”三個層面的安全架構。
邊緣計算防護注重設備安全、控制安全及網絡安全三方面能力,形成包括協(xié)議深度解析、基于行為內容訪問控制、邊界隔離、接入認證以及通訊加密在內的安全能力;
平臺應用防護注重網絡安全、應用安全、數據安全三方面能力,形成訪問控制、抗D、惡意代碼防護、統(tǒng)一用戶管理、云計算安全、應用加固、數據防泄漏、數據脫敏、大數據安全等安全能力;
安全管理中心利用大數據分析技術對海量安全數據進進行采集、清洗、歸一,結合規(guī)則庫、地址庫、威脅庫進行包括關聯分析、流式分析在內的安全分析工作,最終向用戶實現包括資產管理、事件管理、安全審計、風險識別、態(tài)勢展示、事件告警、安全處置及數據治理在內的安全應用交付能力。
圖2 工業(yè)互聯網平臺綜合防護體系框架
3. 具體應用場景和應用模式
基于工業(yè)互聯網平臺的安全應用場景下,實現以下不同安全層面的應用模式,構建的縱深防護體系:
? 面向邊界場景
對工業(yè)互聯網微服務平臺邊界采用訪問控制隔離技術手段,對設備的接入實現準入認證,在邊界實現企業(yè)用戶的訪問控制以及設備的訪問控制安全能力,做到設備安全入網、邊界防入侵、防攻擊的安全能力保障。
? 面向平臺業(yè)務和應用場景
在工業(yè)互聯網平臺業(yè)務和應用的連續(xù)性、完整性等層面,對于數據泄露、篡改、丟失等問題進行業(yè)務和應用層面的安全能力保障。
? 面向大數據的場景
對工業(yè)互聯網平臺的海量工業(yè)大數據的設備數據、業(yè)務系統(tǒng)數據以及訪問用戶隱私敏感等數據內容,在采集、傳輸、存儲、處理等環(huán)節(jié)采取數據加密、訪問控制、數據脫敏的數據安全能力保障。
? 面向云基礎設施場景
對工業(yè)互聯網平臺的云計算環(huán)境中的物理服務器、虛擬主機、容器、虛擬化網絡進行二到七層不同租戶的不同安全能力靈活劃分,滿足云環(huán)境下的定制化、可擴展的不同安全防護要求。
4. 安全及可靠性
設計貼合等級保護2.0的相關技術要求,符合“一個中心、三層防護”的安全原則。并且安全建設本身要符合平臺的業(yè)務處理流程及控制流程。項目實施方案充分考慮了平臺的業(yè)務處理流程及控制流程,首先通過定制化的平臺安全產品及定制化的云安全、容器安全產品滿足“安全區(qū)域邊界”、“安全通信網絡”、“安全計算環(huán)境”的要求,最后通過APT防護及安全態(tài)勢感知進行上層的統(tǒng)一安全管理,綜合建立成行業(yè)化、定制化、場景化極高的工業(yè)互聯網平臺安全綜合防護體系。
5. 其他亮點
(1)提出了一套具備創(chuàng)新性的工業(yè)互聯網平臺企業(yè)安全態(tài)勢感知架構
包含數據收集、存儲、分析、展示,對平臺中存在的攻擊行為進行統(tǒng)計和挖掘,對工業(yè)互聯網平臺安全態(tài)勢進行整體感知,其功能架構設計和應用代表了平臺建設過程中的創(chuàng)新技術能力。
(2)采用創(chuàng)新的規(guī)則庫持續(xù)更新技術
通過搭建安全防護平臺,可以獲得工業(yè)互聯網平臺中存在的安全漏洞、惡意代碼程序等信息,這些安全信息一旦被發(fā)現將被用于網絡安全研究,并在實驗環(huán)境中進行驗證,以獲得更多的安全技術研究素材,并經過開發(fā)測試后作為安全防護產品的規(guī)則庫升級補丁,為平臺持續(xù)提升安全防護能力起到重要作用。
三、下一步實施計劃
1.優(yōu)化防護策略,實現協(xié)同動態(tài)防護
根據工業(yè)互聯網企業(yè)的業(yè)務流程,及時調整部署在企業(yè)中的安全防護設備的策略配置,應用工業(yè)互聯網態(tài)勢感知平臺實現安全持續(xù)監(jiān)測、威脅情報收集及網絡安全態(tài)勢實時展示,將感知層獲取的信息進行深度分析,制定相應策略并自動下發(fā),驅動各種安全引擎做出動態(tài)調整,從而實現更為智能、快捷和有效的安全防護和感知,構建工業(yè)互聯網平臺企業(yè)協(xié)同動態(tài)防護體系。
2.推廣應用
(1)借助標桿案例向同行業(yè)其他企業(yè)推廣
本解決方案服務對象為支撐供應鏈產業(yè)發(fā)展的工業(yè)互聯網平臺企業(yè),此類平臺企業(yè)是工業(yè)互聯網平臺未來的發(fā)展趨勢。本解決方案充分貼合工業(yè)互聯網平臺特點,可以作為整個工業(yè)互聯網平臺企業(yè)綜合安全防護系統(tǒng)標桿案例向同行業(yè)其他企業(yè)全面推廣,供其他企業(yè)參考作為網絡安全解決方案。
(2)面向產業(yè)聚集區(qū)、示范區(qū)、工業(yè)園區(qū)推廣
產業(yè)聚集區(qū)、示范區(qū)、工業(yè)園區(qū)是供應鏈產業(yè)的主要載體,本解決方案以供應鏈平臺企業(yè)為服務對象,作為供應鏈中重要的一環(huán),其推廣有利于推動供應鏈產業(yè)的發(fā)展,為產業(yè)鏈穩(wěn)定安全運行保駕護航。
(3)面向不同行業(yè)的工業(yè)互聯網企業(yè)推廣
本方案應用了先進的安全防護技術和成熟的安全防護產品,可推廣應用到不同行業(yè)的工業(yè)互聯網企業(yè),更好的發(fā)揮產品和解決方案應用價值,為工業(yè)互聯網企業(yè)構建全方位的安全防護體系,實現良好的防護效果。
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
(1) 項目先進性
? 可視化數據建模技術
平臺的多維數據分析功能都是基于多維分析技術來實現。多維分析技術通過對業(yè)務數據的充分理解,首先通過數據索引建模技術完成數據倉庫的構建,然后在數據倉庫基礎上利用統(tǒng)計、關聯、挖掘等分析手段為構建數據分析模型、數據分析任務,然后通過數據分析任務執(zhí)行輸出分析結果。
? 先進的事件歸并技術
平臺的事件歸并技術可以根據用戶指定要歸并的信息的特征、字段等信息進行歸并,只有具有該特征、字段的信息才可以被歸并,即當多個信息的指定特征、字段的內容一致時,產生一個歸并信息。同時,用戶可以自己指定是否丟棄原始信息。
? 基于狀態(tài)機的實時關聯檢測技術
平臺通過基于狀態(tài)機的實時關聯檢測技術使用狀態(tài)機來抽象和描述攻擊的過程與場景,狀態(tài)機間的狀態(tài)轉換的條件由不同安全事件觸發(fā)。同時,實時關聯分析技術通過對事件的關聯,可以有效的幫助我們過濾事件,在大量事件(甚至是誤報事件)中提取有用的信息。
? 基于微內核節(jié)點管理技術
平臺中數據采集層、數據匯聚層涉及的所有節(jié)點均使用統(tǒng)一的節(jié)點技術。該節(jié)點技術采用了微內核架構,將核心功能與業(yè)務服務功能進行了剝離。支持以組件的方式擴展節(jié)點的業(yè)務功能;支持定義組件間的數據依賴關系及執(zhí)行順序。節(jié)點支持多級分布式部署,可適應復雜的網絡部署要求。以容器的方式對各組件進行管理,提供在控制端對各組件的遠程配置管理及應用升級。
? 監(jiān)測技術
APT監(jiān)測技術能夠對特種木馬等惡意代碼的虛擬機探測技術進行檢測和處理,避免惡意代碼的繞過,并支持反虛擬機檢測。
(2) 創(chuàng)新點
? 采用創(chuàng)新的分布式文件存儲及檢索技術
可橫向擴展,支持高達PB級的數據存儲及檢索,支持十億級別數據秒級檢索響應。
? 采用基于單機流程與容器算子的雙層調度控制技術
單機流程負責模型整體流程控制,支持跨計算框架的復雜計算模型,容器算子負責控制在同一計算框架內運行的模型,可以最大限度的優(yōu)化模型的執(zhí)行效率。
? 采用面向數據流程的算子建模技術
按數據流程可分為:輸入、處理、分析及輸出四類算子,采用開放式算子接口,并支持第三方擴展。
? 采用創(chuàng)新的攻擊軌跡技術
向用戶提供根據攻擊線索信息追溯到的更多攻擊相關信息,包括但不限于攻擊發(fā)生的時間范圍、進展過程、攻擊者信息、利用的漏洞、使用的工具等信息。
2. 實施效果
工業(yè)互聯網平臺企業(yè)縱深安全保障體系主要實現公有云服務安全防護功能以及工業(yè)互聯網平臺內部安全防護功能。
(1) 公有云服務安全防護功能
對公有云服務存在的具體安全風險進行分析,從客戶安全需求角度出發(fā),運用虛擬化安全防護技術、攻擊防護技術、接入安全防護技術等多項安全能力,構建工業(yè)互聯網平臺公有云服務安全防護體系。實現訪問控制、接入認證、抗DDOS攻擊防護、入侵防御、惡意代碼防護、Web應用安全防護等多項功能。
(2) 工業(yè)互聯網平臺內部安全防護功能
對工業(yè)互聯網平臺內部存在的具體安全風險進行分析,從客戶安全需求角度出發(fā),運用云環(huán)境安全防護技術、大數據和態(tài)勢感知技術等多項安全能力,構建工業(yè)互聯網平臺內部安全防護體系。實現接入安全防護、大數據環(huán)境安全防護、數據安全防護、云計算環(huán)境東西向流量安全防護、云計算環(huán)境南北向流量安全防護、云計算虛擬機逃逸防護、容器安全防護、微服務安全防護、計算資源安全防護、APT安全監(jiān)測、平臺態(tài)勢感知防護等多項功能。
本解決方案幫助用戶解決了工業(yè)互聯網平臺企業(yè)公有云服務中身份認證、數據流轉、南北向流量分配等安全問題,以及平臺內部云計算環(huán)境、數據安全、東西向流量與訪問控制、容器安全、微服務安全等痛點問題。并獲得以下經濟或社會效益:
? 帶動產業(yè)鏈行業(yè)的產業(yè)升級,防范安全威脅,顯著降低工業(yè)互聯網平臺企業(yè)面臨的網絡安全風險。
? 有利于相關行業(yè)標準的建設及孵化。
? 有利于國家相關部門對工業(yè)互聯網平臺信息安全態(tài)勢的管控。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯網產業(yè)聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號