近年來,各地方政府緊緊圍繞落實(shí)"中國制造2025"戰(zhàn)略,以云計(jì)算,、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)技術(shù)為支撐,,著力構(gòu)建具有特色的新型基礎(chǔ)設(shè)施,,提高企業(yè)資源配置效率,降低信息化建設(shè)成本,提高企業(yè)智能升級改造水平,,促進(jìn)共享經(jīng)濟(jì)發(fā)展,,高標(biāo)準(zhǔn)推動(dòng)"企業(yè)上云"行動(dòng)。然而,,新技術(shù)的應(yīng)用在推進(jìn)傳統(tǒng)產(chǎn)業(yè)升級改造的同時(shí),,也帶來了新的數(shù)據(jù)安全隱患。本方案面向智能制造邁向云端場景,,提出工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的解決方案,,構(gòu)建全方位的數(shù)據(jù)安全防護(hù)體系,在風(fēng)險(xiǎn)可控的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)的安全流轉(zhuǎn)和使用,,確保工業(yè)系統(tǒng)業(yè)務(wù)安全可控,。
需求分析
2020年3月,中共中央政治局常務(wù)委員會召開會議提出,,加快5G網(wǎng)絡(luò),、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度。各地采取政府引導(dǎo)與企業(yè)自愿相結(jié)合的方式,,發(fā)揮云平臺服務(wù)商的主導(dǎo)牽引作用和云應(yīng)用提供商的服務(wù)支撐作用,,利用政策和資金鼓勵(lì)引導(dǎo)企業(yè)積極融入云服務(wù)平臺,共同參與云平臺建設(shè)與推廣,,推進(jìn)實(shí)施"企業(yè)上云",。同時(shí),"企業(yè)上云"也作為政府推動(dòng)傳統(tǒng)產(chǎn)業(yè)改造升級和發(fā)展智能制造的重要抓手,,促進(jìn)企業(yè)向"互聯(lián)網(wǎng)+智能制造"轉(zhuǎn)型升級,。
在該趨勢下,加強(qiáng)工業(yè)互聯(lián)網(wǎng),、云平臺安全防護(hù)和數(shù)據(jù)安全保護(hù),,提高互聯(lián)網(wǎng)安全管理、態(tài)勢感知,、實(shí)時(shí)監(jiān)控預(yù)警和風(fēng)險(xiǎn)防范能力,,強(qiáng)化"企業(yè)上云"的應(yīng)用及數(shù)據(jù)安全保障也成為新型基礎(chǔ)設(shè)施建設(shè)的基本要求。在該類新型基礎(chǔ)設(shè)施建設(shè)模式下,,為保障工業(yè)互聯(lián)網(wǎng)安全,,安全防護(hù)對象主要應(yīng)涵蓋設(shè)備、控制,、網(wǎng)絡(luò),、應(yīng)用、數(shù)據(jù)五大對象,,如下圖所示,。
圖 2-1工業(yè)互聯(lián)網(wǎng)安全防護(hù)對象
數(shù)據(jù)安全面向數(shù)據(jù)全生命周期,,包括數(shù)據(jù)收集、存儲,、傳輸,、使用、遷移,、銷毀等各個(gè)環(huán)節(jié),,整體安全目標(biāo)應(yīng)包括保密性、完整性,、可用性,、可靠性、彈性和隱私等多個(gè)維度,。具體安全需求如下:
?。?)在用戶側(cè)設(shè)備端及工業(yè)互聯(lián)網(wǎng)平臺,數(shù)據(jù)的收集須合法合規(guī),,依據(jù)規(guī)定保存和處理收集的數(shù)據(jù),。
(2)數(shù)據(jù)的存儲環(huán)節(jié),,對關(guān)鍵設(shè)計(jì)和工藝參數(shù)等敏感數(shù)據(jù)須采用訪問控制技術(shù),,對存儲業(yè)務(wù)進(jìn)行隔離,對存儲節(jié)點(diǎn)接入認(rèn)證,,數(shù)據(jù)按重要性等級加密,,提供數(shù)據(jù)的備份和恢復(fù)。
?。?)數(shù)據(jù)在系統(tǒng)中各異構(gòu)網(wǎng)絡(luò)的通信傳輸過程中,,應(yīng)防止被竊聽而泄露,應(yīng)保障數(shù)據(jù)傳輸?shù)臋C(jī)密性,、完整性與可用性,,并需要通過網(wǎng)絡(luò)隔離技術(shù)保障數(shù)據(jù)交換的同時(shí)不會引入安全風(fēng)險(xiǎn)。
?。?)在數(shù)據(jù)使用環(huán)節(jié),,工業(yè)現(xiàn)場環(huán)境生產(chǎn)與控制層,設(shè)備對訪問用戶進(jìn)行身份認(rèn)證,,數(shù)據(jù)使用時(shí)需授權(quán),,數(shù)據(jù)具備脫敏、銷毀等措施,。系統(tǒng)不同安全等級區(qū)域邊界數(shù)據(jù)訪問進(jìn)行隔離,。
(5)在企業(yè)協(xié)同和數(shù)據(jù)共享環(huán)節(jié),,需保證數(shù)據(jù)不被泄露和濫用,,數(shù)據(jù)共享和使用全過程可溯,。
(6)企業(yè)數(shù)據(jù)和應(yīng)用托管至云平臺,,需進(jìn)行租戶隔離,、信息脫敏和加密保護(hù),,以保護(hù)企業(yè)敏感數(shù)據(jù)不被泄露,。
本方案可體系化地解決以上各類需求,滿足工業(yè)領(lǐng)域該類項(xiàng)目數(shù)據(jù)保護(hù)和安全建設(shè)要求,。
方案架構(gòu)
針對數(shù)據(jù)防護(hù)需求,,在現(xiàn)場設(shè)備與控制層、現(xiàn)場監(jiān)控層,、過程監(jiān)控層,、生產(chǎn)管理層進(jìn)行全方位的網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)安全防護(hù)和數(shù)據(jù)安全隔離與交換,;在各企業(yè)MES,、ERP、CRM等業(yè)務(wù)系統(tǒng)集中的工業(yè)互聯(lián)網(wǎng)云平臺區(qū)域,,以數(shù)據(jù)安全中臺多租戶服務(wù)的模式,,為各企業(yè)提供應(yīng)用和數(shù)據(jù)安全保護(hù)服務(wù)。本案以典型的智能制造企業(yè)為例,,介紹工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)架構(gòu),。
技術(shù)架構(gòu):
本防護(hù)體系結(jié)合《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(2.0)對工業(yè)控制系統(tǒng)擴(kuò)展要求,對工業(yè)企業(yè)安全通信網(wǎng)絡(luò),、安全區(qū)域邊界,、安全計(jì)算環(huán)境等安全需求,遵循《數(shù)據(jù)安全法》,、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》,,針對智能制造企業(yè)數(shù)據(jù)面臨的威脅,通過終端防護(hù),、邊界防護(hù),、身份認(rèn)證、訪問控制,、數(shù)據(jù)加密,、數(shù)據(jù)脫敏、數(shù)據(jù)溯源等技術(shù),,形成智能制造新型基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)解決方案,。方案的技術(shù)架構(gòu)圖如下圖所示:
圖 3-1技術(shù)架構(gòu)圖
典型應(yīng)用場景:
通過在現(xiàn)場設(shè)備與控制層、過程監(jiān)控層,、生產(chǎn)管理層的數(shù)據(jù)安全產(chǎn)品和服務(wù)的部署,,在云,、管、邊,、端形成對數(shù)據(jù)生命周期各環(huán)節(jié)的保護(hù),。
圖 3-2典型應(yīng)用場景圖
(1)設(shè)備數(shù)據(jù)防護(hù)
工控主機(jī)衛(wèi)士部署于工程師站,、操作員站,、服務(wù)器等設(shè)備上,防止違規(guī)和誤操作,、阻止不明程序,、授權(quán)移動(dòng)存儲介質(zhì)訪問權(quán)限等,提供系統(tǒng)防破壞功能,,提供數(shù)據(jù)完整性保護(hù)和防泄露,。
機(jī)甲衛(wèi)士專用于機(jī)床防護(hù)。數(shù)控機(jī)床網(wǎng)絡(luò)中部署該防護(hù)系統(tǒng),,可為數(shù)控機(jī)床提供串口防護(hù),、USB防護(hù)、網(wǎng)絡(luò)防護(hù),,攔截非法數(shù)據(jù)傳輸,。
在安全管理中心部署工業(yè)漏洞掃描系統(tǒng)、統(tǒng)一安全管理平臺,、安全運(yùn)維管理系統(tǒng),,更好地提升系統(tǒng)防護(hù)水平。
?。?)數(shù)據(jù)隔離與交換
工業(yè)防火墻部署于監(jiān)控層和控制網(wǎng)之間,,實(shí)現(xiàn)分層級的隔離防護(hù)。采用工業(yè)協(xié)議信令控制,、參數(shù)控制,、內(nèi)容過濾、智能識別,、集中管理等技術(shù)手段,,對工業(yè)協(xié)議和數(shù)據(jù)交互進(jìn)行安全防護(hù)。
工業(yè)網(wǎng)閘部署于生產(chǎn)網(wǎng)與辦公網(wǎng)邊界,,結(jié)合工業(yè)控制系統(tǒng)的特殊性,,通過對工業(yè)協(xié)議的深度解析和多重過濾,實(shí)現(xiàn)不同網(wǎng)絡(luò)邊界的隔離與數(shù)據(jù)交互,,保障生產(chǎn)控制系統(tǒng)和管理網(wǎng)之間數(shù)據(jù)的安全交換,。
(3)數(shù)據(jù)傳輸保護(hù)
部署VPN安全網(wǎng)關(guān),配置國密算法,,采用IPSec加密通道或SSL加密通道,,保護(hù)數(shù)據(jù)在通信傳輸過程中的機(jī)密性和完整性??刹渴鸨銛y式VPN設(shè)備,,靈活提供有線、4G/5G,、WiFi等組網(wǎng)方式,,便捷構(gòu)建數(shù)據(jù)加密傳輸通道。部署運(yùn)維管理系統(tǒng),,采用國密算法,,保障用戶登錄各種業(yè)務(wù)系統(tǒng)的賬號和密碼等鑒別信息傳輸安全,。
?。?)云平臺數(shù)據(jù)安全綜合服務(wù)
在工業(yè)互聯(lián)網(wǎng)云平臺部署數(shù)據(jù)安全中臺,以多租戶的應(yīng)用模式,,為各工業(yè)企業(yè)上云的MES,、SCM、ERP等應(yīng)用系統(tǒng)提供綜合的數(shù)據(jù)安全服務(wù),。
為企業(yè)數(shù)據(jù)提供基于國密算法的通用密碼運(yùn)算服務(wù),、加解密、簽名驗(yàn)簽等運(yùn)算服務(wù),,提供數(shù)據(jù)完整性和機(jī)密性保護(hù),;提供身份認(rèn)證服務(wù)、可信時(shí)間服務(wù),、密鑰托管服務(wù),;為企業(yè)用戶提供數(shù)據(jù)庫加密、文件加密服務(wù),,保障數(shù)據(jù)存儲的機(jī)密性和完整性,。
提供數(shù)據(jù)脫敏服務(wù),可支持隱私數(shù)據(jù)發(fā)現(xiàn),、數(shù)據(jù)提取,、數(shù)據(jù)漂白、測試數(shù)據(jù)管理,、數(shù)據(jù)裝載等功能,,多種脫敏算法(可選)對敏感數(shù)據(jù)進(jìn)行變形、屏蔽,、替換,、加密;提供數(shù)據(jù)溯源服務(wù),,對工業(yè)的數(shù)據(jù)追蹤,、信息評估,、過程重現(xiàn)等;提供數(shù)據(jù)安全共享交換服務(wù),、智能合約服務(wù),。
提供數(shù)據(jù)安全防護(hù)監(jiān)測服務(wù),幫助企業(yè)實(shí)時(shí)掌握自身數(shù)據(jù)保護(hù)應(yīng)用合規(guī)性及數(shù)據(jù)安全防護(hù)態(tài)勢,。
主要功能:
?。?)實(shí)現(xiàn)工業(yè)生產(chǎn)各環(huán)節(jié)數(shù)據(jù)產(chǎn)生、收集的安全防護(hù),。對工業(yè)生產(chǎn)環(huán)境各主機(jī),、服務(wù)器、數(shù)控機(jī)床等設(shè)備進(jìn)行安全防護(hù)加固,,實(shí)現(xiàn)數(shù)據(jù)存儲的機(jī)密性和完整性保護(hù),,防止數(shù)據(jù)泄露。對設(shè)備數(shù)據(jù),、應(yīng)用系統(tǒng)數(shù)據(jù),、知識庫數(shù)據(jù)、企業(yè)數(shù)據(jù),、用戶個(gè)人數(shù)據(jù)等各類型數(shù)據(jù)按重要性等級不同進(jìn)行保護(hù),。
(2)實(shí)現(xiàn)數(shù)據(jù)的傳輸保護(hù),。方案中提供的安全網(wǎng)關(guān),、便攜式加密設(shè)備、安全客戶端軟件,,均配置國密算法,,可在異構(gòu)工業(yè)網(wǎng)絡(luò)中構(gòu)建安全的VPN加密通道,保障關(guān)鍵業(yè)務(wù)數(shù)據(jù),、管理數(shù)據(jù),、用戶鑒別信息傳輸?shù)谋C苄院屯暾浴?/p>
(3)采用國密算法為數(shù)據(jù)存儲提供保密性和完整性保護(hù),。云平臺可提供統(tǒng)一接口的數(shù)據(jù)加密及密鑰管理服務(wù),,對企業(yè)的重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行加密保護(hù)。提供數(shù)據(jù)庫加密,、文件加密及磁盤加密保護(hù)服務(wù),,提供透明加密保護(hù)機(jī)制。提供數(shù)據(jù)本地備份與恢復(fù)功能,,可為企業(yè)用戶建立生產(chǎn)備份中心,、同城或異地災(zāi)備中心。
(4)實(shí)現(xiàn)數(shù)據(jù)的使用保護(hù),。系統(tǒng)在各數(shù)據(jù)訪問環(huán)節(jié)均實(shí)現(xiàn)了授權(quán)和驗(yàn)證,,防止應(yīng)用和數(shù)據(jù)越權(quán)訪問。對MES,、SCM,、ERP等業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)使用均進(jìn)行審計(jì)記錄并形成審計(jì)分析,。系統(tǒng)提供多種算法可選的數(shù)據(jù)脫敏服務(wù),。
(5)實(shí)現(xiàn)數(shù)據(jù)在不同網(wǎng)絡(luò)區(qū)域的隔離和交換保護(hù),。采用高性能隔離交換設(shè)備,,保障數(shù)據(jù)高性能地單向、雙向數(shù)據(jù)交換保護(hù),,滿足生產(chǎn)網(wǎng)高實(shí)時(shí)性要求,。
(6)實(shí)現(xiàn)數(shù)據(jù)安全可靠地銷毀,。通過主機(jī)衛(wèi)士軟件,、云平臺數(shù)據(jù)安全服務(wù)以及數(shù)據(jù)專項(xiàng)清除工具軟件,系統(tǒng)確保以不可逆的方式銷毀數(shù)據(jù),;企業(yè)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間在刪除釋放時(shí)均確保安全清除,。
?。?)在工業(yè)互聯(lián)網(wǎng)云平臺區(qū)域,以數(shù)據(jù)安全中臺的形式為企業(yè)租戶提供種類豐富的數(shù)據(jù)安全服務(wù),。企業(yè)可登錄租戶管理中心,,根據(jù)企業(yè)數(shù)據(jù)保護(hù)需求選擇服務(wù)并進(jìn)行相關(guān)配置。云平臺數(shù)據(jù)安全服務(wù)采用租戶隔離機(jī)制,,確保不同企業(yè)資源安全隔離,。
(8)系統(tǒng)提供全面的審計(jì)功能和安全管理功能,。通過部署的審計(jì)節(jié)點(diǎn),、統(tǒng)一安管平臺、日志審計(jì)與分析系統(tǒng)以及安全態(tài)勢感知系統(tǒng),,企業(yè)用戶可全面掌握工業(yè)系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)的安全情況,。
方案特色
(1)方案符合網(wǎng)絡(luò)安全等級保護(hù)2.0及工業(yè)控制系統(tǒng)擴(kuò)展要求,,符合信息系統(tǒng)密碼應(yīng)用基本要求,,符合工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法。本方案與管理制度相結(jié)合,可為企業(yè)構(gòu)建科學(xué)完備的安全防護(hù)管理流程,,全面提升企業(yè)數(shù)據(jù)安全防護(hù)管理水平,。
(2)構(gòu)建工業(yè)領(lǐng)域云,、管,、邊、端全方位的縱深數(shù)據(jù)安全防護(hù)體系,,適配多種工業(yè)生產(chǎn)應(yīng)用場景,,方案建設(shè)實(shí)用性強(qiáng)。
?。?)終端防護(hù),、邊界防護(hù)、身份認(rèn)證,、訪問控制,、入侵檢測、傳輸加密和云平臺數(shù)據(jù)及應(yīng)用安全防護(hù)技術(shù)相結(jié)合,,滿足智能制造企業(yè)上云場景下多租戶安全隔離和分層分級數(shù)據(jù)防護(hù)要求,。
(4)網(wǎng)絡(luò)安全,、數(shù)據(jù)安全和密碼技術(shù)融合賦能,,數(shù)據(jù)保護(hù)和監(jiān)測兼顧,符合工業(yè)新型基礎(chǔ)設(shè)施數(shù)據(jù)保護(hù)發(fā)展方向,。
適用領(lǐng)域
該系統(tǒng)可為智能制造,、航空航天、石油化工等重點(diǎn)行業(yè)提供工業(yè)數(shù)據(jù)全生命周期的安全綜合防護(hù),。與入侵檢測,、運(yùn)維管理與審計(jì)、態(tài)勢感知等安全產(chǎn)品相結(jié)合,,構(gòu)建多層次縱深防御體系,,為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)提供全面的安全防護(hù)。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<