中車株所工業數據智能安全云平臺
引言:
敏捷科技成立于2008年,由全球主動信息防護技術原創團隊創辦,是國內首家原創數據加密軟件廠商,專注于為企業、政府及機構解決數據安全及數據管理難題。從2002年率先推出填補國內空白的自主知識產權數據加密產品,到全國首發第一套央企商業秘密保護解決方案,再到數據安全衛士系統DGS這一整體數據安全與管理解決方案,再到工業數據安全解決方案,敏捷產品始終引領數據安全新趨勢,已服務涵蓋工業互聯網、智能制造、關鍵基礎設施、黨政機關等領域上萬家知名用戶。敏捷科技結合工信部451號文、《中國制造2025》等一系列相關政策和中車株所系統安全防護的具體要求,制定針對性的項目技術路線。
一、 項目概況
中車株洲電力機車研究所有限公司(中車株所)始創于1959年,前身是鐵道部株洲電力機車研究所,現為中國中車股份有限公司一級全資子公司。2016年,公司銷售收入達到320億元,位列湖南企業前15強,株洲市第一。中車株所具備強大的自主研發與創新能力,已構建完成在軌道交通裝備牽引傳動與控制系統領域的自主創新研發平臺,是中國軌道交通電氣系統集成解決方案的首選供應商。
在向互聯化、智能制造方向發展的過程中,軌道交通產業鏈重構轉型,利益共享、風險同擔。軌道交通整車與零部件廠商協作關系越來越趨向合作競爭,在產業鏈發揮各自的優勢;客戶多樣化需求促使整車制造商與模塊供應商在開發、制造、服務方面的緊密合作。產業生態系統互聯意味著數據的互通,數據的互通也加劇了泄露風險。近兩年,全球針對制造業的數據泄露事件多達2000余起。為助力中國制造2025,提升自身的信息安全水平、促進信息安全技術創新,中車株所決定依托敏捷科技在企業內部建立具有中車株所特色的工業數據智能安全云平臺。
1. 項目背景
中車株所具備強大的自主研發與創新能力,從設計到生產制造、檢驗檢測以及交付、運營,努力實現全數字化驅動。“十二五”期間,中車株洲所通過開展產品研發設計數字化工作,各新產品設計周期普遍縮短了約30%,工程更改減少了約20%,研發成本降低了約10%,大大提高了企業技術創新的水平和能力。中車株所產線通過信息化和自動化手段升級,從人、機、料、法、環、測的維度進行全面質量管理,促進基礎管理與技術的提升和優化,實現生產過程和生產管理的智能化。
中車株所目前已經建成涵蓋軌道交通及工業領域大數據存儲管理與分析挖掘業務,可支持海量工業設備數據接入的大數據平臺,實現了打通設計、制造、物流、售后、質量等各個領域的關鍵數據,并形成閉環,產生服務價值。然而,軌道交通行業的特點是資產密集、長周期運營,而且信息非常分散,這就導致它對產品的質量和安全方面要求比較高。中車株所在追求企業轉型升級的同時,對工控系統安全的認識達到了一個新的高度。積極推進企業級系統集成,實現生產和經營的無縫集成和上下游企業間的信息共享,開展基于橫向價值網絡的協同創新,在企業間的設計協同、制造協同方面逐步由原來的紙質信息傳遞,轉變為以三維設計模型為核心的電子文件交換,帶來了便利的同時,也帶來了商業秘密泄露、圖紙數據隨意篡改、電子文件殘留等數據安全風險,需要搭建一套軌道交通行業數據安全云平臺。
敏捷科技充分結合中車株所軌道交通工業互聯網系統的實際情況,有針對性的制定具體解決方案:
(1)構建軌道交通行業面向工業設計數據全生命周期安全管理的解決方案,為企業間的高效協同提供一個安全平臺。
(2)全面構筑軌道交通行業工業數據智能安全云平臺,確保工業設計環境中上下游企業在高效協同的同時,減少數據泄露風險,確保軌道交通行業向數字化、智能化、綠色化安全轉型升級。
(3)確保云平臺上各項云應用數據全生命周期的安全可控。
2. 項目簡介
本項目借助敏捷科技核心專利技術,基于我國密碼標準算法構建。通過終端數據智能安全防護、網絡數據安全防護、因公外出數據、云平臺數據安全管控防護等數據防護作用,確保中車株所工業設計環境中上下游企業在高效協同的同時,防止商業秘密數據外泄、防止數據惡意篡改、減少圖紙數據大范圍分發的數據殘留風險。
3. 項目目標
1、提高中車株所工業互聯網系統信息安全防護能力和高效協同管理水平。
對系統敏感數據進行智能識別、分級加密、權限管控,全方位提高自身信息安全管控能力,有效解決中車株所內部合法用戶有意或者無意的信息泄漏。
2、滿足合規性要求
滿足工信部《工業控制系統信息安全行動計劃(2018-2020年)》及相關指南要求,落實工控系統常態化檢查評估、風險通報、事件應急等工作,同時加強工控系統使用人員的安全意識及技能培訓。
3、數字中車戰略目標的契合
集團先后對各子公司開展了安全性評價標準查評,并與敏捷科技合作,對系統進行數據防泄漏體系建設工作。
二、項目實施概況
本項目在工業互聯網體系架構的基礎上應用了基于工業控制系統的防護手段,針對工業設計數據面臨的威脅,借助敏捷科技核心專利技術“電子文件安全標簽”、“高速高通云存儲加密技術”,基于我國密碼標準算法構建,通過閱后即焚、安全云盤、數字簽名、透明加密等功能,構建了面向工業設計數據全生命周期安全管理的解決方案,確保中車株所智能制造數據集中管控的同時實現安全可靠管理,有效保護中車株所的核心資產、知識產權及其它相關數據。
1. 項目總體架構和主要內容
圖1 總體架構圖
(1)終端數據智能安全防護:包括數據智能安全子系統、終端虛擬化桌面子系統、終端桌面安全子系統、終端外設控制子系統、文件透明加密子系統等五個子系統,有效防止機密信息泄漏。
(2)網絡數據安全防護:提供虛擬安全網絡子系統,確保具體業務應用系統環境的專用性和“干凈性”,實現了基于具體業務應用系統的動態“專網專用”,也從安全管理角度上對網絡數據進行安全精細化管理。
(3)平臺數據及因公外出數據使用安全管控防護:實現對移動設備在外使用過程中全程保護,有效的杜絕外出人員主動和被動的數據泄密,實現了外出移動設備的授權使用、安全認證和電子文件的便捷高效、安全可用。
圖2 電子文件外出使用安全管控系統拓撲圖
2. 應用場景
針對工業設計數據面臨的三大威脅,工業數據智能安全云平臺構建了面向工業設計數據全生命周期安全管理的解決方案,包括工業圖紙協同研發設計環節的安全可控,及圖紙下單給外協方的電子商務結算環節、出圖進行資源調配確定生產計劃環節,直至下發至智能車間生產環節,及后續產品發布環節的圖紙安全控制問題。
圖3 安全協同設計圖
隨著市場競爭的日趨激烈和中車株所信息化的發展,跨專業、跨地域的基于網絡化協同設計極大地縮短產品設計和研發周期,快速研發出適應市場變化和需求的產品,提高企業的競爭能力。項目所在的上下游企業通過商務往來溝通項目設計需求調研,并進行項目可行性分析,在確認項目可行后設計人員進行樣本設計,并分發給上下游企業進行圖紙校驗,校驗無誤后進行試制、定型。從需求、可研、設計、試制、定型的全過程會產生一系列數據,這些數據在項目各環節經多個上下游企業流轉,中車株所工業數據智能安全云平臺確保協同設計過程中數據從產生、流轉、存儲和利用都處于安全管控之下,確保協同設計數據全生命周期的安全無泄漏。
圖4 安全協同制造圖
通過協同制造,中車株所各上下游企業間可以進行生產進度信息的高度、實時共享,實現其透明化。同時,項目相關企業的生產過程數據信息在網絡協同制造鏈中順暢流動,可以大大提升智能制造的效率。設計部門將設計圖紙通過工業數據智能安全云平臺安全分發給各協同制造生產零件企業進行生產制作,給外協企業的機密文件進行授權,非授權人員無法使用文件,授權時可設置時間、次數,不同的外協企業獲取文件后必須通過各自特定的外發瀏覽插件打開外發文件,而且文件受到嚴格的權限控制,阻止了文件從外協企業泄密。
圖5 智能防泄漏應用場景
圖6 核心數據強制加密保護模式
圖7 終端數據智能防泄漏保護模式
圖8 多種系統集成模式
3.安全及可靠性
敏捷科技在數據管理及數據安全方面已經有十余年的開發經驗,并積累了大量的客戶案例與客戶需求。本項目的研究試驗將依據敏捷科技現有的大量客戶基礎和客戶需求,采取自主創新開發模式開展。
(1) 首先,我們將通過調查國內若干典型企業,充分了解企業對系統的需求。總結已有的研究成果,吸取新的技術及新的需求,保證有一個高的技術起點而不是從零開始。
(2) 其次,我們將參照有關的技術標準規范,跟蹤技術最新的發展方向,為用戶提供一個先進的、可擴展的、開放的數據安全平臺。
(3) 此外,在軟件的開發方面我們將實施嚴格的軟件工程管理,組織多家用戶實施及測試,確保產品的質量。
(4) 最后,我們將真正實行切實的產業化運行機制及可持續發展的技術支持。
項目所采用的內核級主動加密、應用軟件指紋識別的加密槽等技術通過科技成果鑒定屬國內外首創,填補了智能制造安全領域的技術空白,彌補高端和前沿研究開發方面的不足。
三、下一步實施計劃
1. 加大工業互聯網安全技術研發力度
大力開展工業數據安全前沿技術的攻關工作,研發自主可控且滿足工業互聯網特點的專用數據安全防護工具,提升工業設計協同平臺數據分析能力,實現全方位感知工業數據安全態勢。
2. 建立縱深防御機制
按照“雙網雙機、分區分域、等級防護、多層防御”的指導方針,建立健全企業信息安全縱深防御體系,防止信息網絡癱瘓、防止應用系統破壞、防止業務數據丟失等,以確保信息系統安全穩定運行,確保業務數據安全。
四、項目創新點和實施效果
1. 項目先進性及創新點
(1)創新關鍵技術
? 數據加密技術、數據傳輸安全和身份認證管理。
? 數據挖掘技術、分布式索引檢索技術。
? 移動辦公、嵌入式技術。
(2)可以生產全系列的工業互聯網數據安全產品
? 提供全系列工業互聯網數據安全產品,可以滿足不同工業設計系統信息安全防護項目的需要。
? 工業互聯網數據安全產品覆蓋了整個生產監控系統的核心部分。
(3)滿足高性能要求的數據集中管控平臺技術
? 提升了現有PC的使用效率,實現了IT部門對分散的PC的集中式管理。
? 增加了高度安全性和靈活性。
? 使用習慣的無需改變、PC應用的無縫兼容、個性化桌面應用的靈活調用。
(4)持續的先進技術支持
? 針對云計算環境下非結構化數據與結構化數據的透明加密處理。
? 基于分區分域分級設計的云安全運維與安全管理。
2. 實施效果
敏捷科技工業數據智能安全云平臺在中車株所上線應用以來,實現了企業內部及產業上下游、跨領域生產設備與信息系統的互聯互通、資源共享、數據集成安全共享,提高了企業數據安全防御能力,推動株洲的軌道交通產業,企業與企業之間、企業與政府之間的良性互動,為促進全國工業互聯網行業持續健康發展提供有力支撐。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號