基于MSS的工業互聯網平臺安全防護體系建設
一、項目概況
針對工業互聯網平臺存在的安全需求,安恒信息規劃設計了一套基于MSS的新型工業互聯網平臺安全防護體系:將傳統的工業控制系統信息安全、設備安全、網絡安全、工業數據安全、工業云安全的能力進行資源化、服務化封裝,形成按需分配、彈性擴展、高效可靠的安全能力資源池,實現了安全能力隨需隨取隨用,并藉此構筑新型一體化安全防護體系,為工業互聯網平臺整體安全賦能。
1.項目背景
工業互聯網成為企業數字化轉型抓手的同時,也面臨著多種多樣的網絡安全問題,2019年上半年,CNCERT加強了針對聯網工業設備和工業互聯網平臺的網絡安全威脅發現能力,累計監測發現我國境內暴露的聯網工業設備數量共計6814個,包括可編程邏輯控制器、數據采集監控服務器、串口服務器等。其中,存在高危漏洞隱患的設備占比約34%。此外,CNCERT監測了境內具有一定用戶規模的大型工業互聯網平臺40余家,業務涉及能源、金融、物流、智能制造、智慧城市、醫療健康等方面,并監測到根云、航天云網、COSMOPlat、OneNET、OceanConnect等大型工業互聯網平臺持續遭受漏洞利用、拒絕服務、暴力破解等網絡攻擊,工業互聯網平臺已經成為網絡攻擊的重點目標。
工業互聯網平臺服務商通常采用自建私有云、租用公有云或搭配使用混合云等方式建設工業互聯網平臺,實現自身與其他聯網工業企業、服務商的工業應用與數據的上云、管理和數據的處理、分析和應用。然而,傳統安全產品防護能力已不足以應對工業互聯網新場景下的安全挑戰,同時傳統安全體系建設部署復雜、成本高、維護難。因此,建立一套低成本、全方位、多角度、有彈性、易維護的安全運營服務體系,成為眾多工業互聯網平臺安全建設的首要目標。
2. 項目簡介
針對上述業務場景下的安全痛點問題,杭州安恒信息規劃設計并實施了一套基于MSS的工業互聯網平臺安全防護解決方案。該方案圍繞工業互聯網平臺安全、應用安全、數據安全、網絡安全、控制安全、設備安全,運用SaaS化、服務化的資源整合方式,形成按需分配、彈性擴展、高效可靠的安全能力資源池,并藉此構筑新型持續一體化安全防護體系,解決了工業互聯網平臺的云上業務系統安全問題。
該體系通過基于大數據和深度學習的智能風險預測技術,對工業互聯網多層次安全風險要素進行集中分析和處理,實現安全模型在工業互聯網場景的落地應用,依托SaaS化安全服務實現對所有工業互聯網安全的“集中配置、統一管理”。同時方案創新性地采用了區塊鏈數據隱私計算功能,保障了工業互聯網數據的“可用不可見”,極大推動了工業企業上平臺、用平臺的積極性,保證工業互聯網全產業鏈在數據安全、平臺安全、應用安全、用云管云過程中的安全互聯互通,提高了工業數據的流通價值。
3.項目目標
平臺圍繞工業互聯網平臺安全、應用安全、數據安全、網絡安全、控制安全、設備安全層面的突出安全風險,建設基于MSS的工業互聯網平臺安全防護體系。具體目標如下:
(1)構建SaaS化的工業互聯網安全一站式服務平臺
圍繞工業互聯網邊緣層、工業IaaS層、工業PaaS層、工業SaaS層以及工業數據面臨的安全風險,建設覆蓋工業APP安全、工業云平臺安全、終端安全、數據安全需求的一站式安全能力資源池。
(2)構建以用戶為基點的全局安全審計體系
整合工業互聯網平臺終端、流量威脅分析、WAF、態勢感知、防火墻等多個維度的數據,建立基于數字身份的全局安全審計體系,實時監測用戶的訪問和使用行為并進行合規性分析,準確監測識別出異常行為和安全威脅并及時響應,提升工業互聯網平臺的整體安全防護能力。
(3)建成工業互聯網平臺安全綜合防護系統
以態勢感知中心進行統一管理與監測,匯聚平臺接入終端、網絡基礎設施、平臺基礎設施、工業微服務、工業APP、防護設備等安全數據并進行綜合分析,以MSS安全運營托管服務,實現業務應用在7×24小時內不間歇運行;建立工業互聯網平臺安全態勢感知中心,對95%以上范圍的的信息安全防護設備,網絡交換機、工作站、服務器、終端等設備,以及工業互聯網平臺流量等進行網絡安全監測分析,形成工業互聯網平臺企業的安全統一管理與態勢感知能力。
二、項目實施概況
本項目構建的基于MSS的工業互聯網平臺安全防護體系主要實現對工業互聯網的設備接入安全、控制安全、網絡安全、云平臺及業務應用系統安全以及數據安全,并提供低成本的SaaS安全服務,解決工業互聯網業務場景的安全問題,保障工業企業高效、穩定、安全地數字化轉型。
1.項目總體架構和主要內容
在現有工業互聯網平臺架構的基礎上,針對工業互聯網平臺原有的傳統安全架構思想重新評估,以MSS安全運營能力為核心,對某雙跨工業互聯網平臺的關鍵服務進行隱藏保護。通過建立持續安全運營中心,實時、持續進行動態評估,結合動態訪問控制、最小權限、信任評估機制,提升平臺整體安全防護能力。
圖1 工業互聯網平臺安全能力架構圖
(1)云安全體系建設
基于云計算安全防護思路,安恒信息以MSS(安全托管服務)的創新防護模式,構建安全運營中心,形成了“運營+技術+服務”的云計算安全防護體系,從云租戶、云平臺、云安全運營層面降低工業互聯網平臺自身云平臺和云租戶面臨的安全風險,實現云平臺的安全持續性和合規性。
圖2 云安全體系能力全景圖
(2)安全能力SaaS化
通過把安全運營SaaS化、安全防護SaaS化、安全管理SaaS化,基于云計算、工業互聯網、大數據等核心安全技術,建立一套能夠實現安全能力可擴展、有彈性、易維護的SaaS化立體縱深安全防御體系,實現對云安全能力的SaaS化賦能。
圖3 SaaS化安全能力體系圖
SaaS化云監測服務
實現云化的Web應用弱點掃描、綜合漏洞掃描、數據庫弱點掃描、安全配置基線核查等能力。
SaaS化云防護服務
提供網絡流量檢測防御、Web應用防護、網頁防篡改和主機安全及管理能力。融合下一代云防火墻能力,通過威脅情報、DDoS防護、Web防護、CC防護、數據防護5大防護模塊為云租戶提供防攻擊、防篡改、防癱瘓、防泄露等安全防護服務。
SaaS化安全審計
實現云化的安全運維審計、綜合日志審計和數據庫安全審計能力。可對用戶的各類日志進行綜合審計分析,發掘潛在威脅,可追蹤溯源;SaaS化數據庫安全審計可實現對進出核心數據庫的訪問流量進行數據報文字段級的解析操作,完全還原操作細節,迅速發現和響應數據威脅。
SaaS化安全接入
在端側和邊緣計算處提供接入安全服務。以SDK+API+開發指導文檔的方式給聯網工業企業提供數據安全傳輸保障;在廠側設備、邊緣網關內置安全心,對數據進行安全加密,對接入設備進行身份認證。
SaaS化安全運營
對各種安全能力集中管理調度,結合大數據分析,為云租戶提供安全視圖,可對云資源實現整體安全感知。
(3)工業互聯網數據共享安全
基于平臺的工業大數據可信執行環境,配合安全調試沙箱、安全計算沙箱,身份認證和區塊鏈合規審計等模塊,結合密鑰管理系統提供的統一密鑰管理和加解密服務,在保障工業數據安全的同時,實現工業數據的可用不可見,可用不可取,充分保障工業數據的開放共享安全,最大限度發揮工業數據的潛在價值。
圖4 數據共享技術總體架構
2. 具體應用場景和應用模式
本方案可以在智能制造、建材、軌道交通、電力能源、市政水務等工業互聯網領域普遍應用,保障工業企業在工業互聯網業務場景下的設備接入安全、網絡安全、控制安全、云平臺及應用安全以及數據安全,構建基于MSS化安全防護能力及SOAR自動化阻斷的運營能力,構建覆蓋工業互聯網安全事前監測、事中防護、事后響應的自動化安全服務體系,實現工業互聯網的持續、穩定、安全運行。
目前該方案已成功部署在國內某領先雙跨平臺、明度制藥、浙江蘭溪紡織工業云平臺等多個工業互聯網平臺安全的防護實踐中,并在上海臨港、廣州白云、江蘇無錫、浙江蘭溪等多地落地區域安全保障子平臺,為上百家工業企業提供安全托管服務。
典型部署案例:
國內大型工業互聯網雙跨平臺安全防護案例
圖5 工業互聯網平臺安全建設總體架構
針對上述平臺架構,安恒信息整體采用SaaS化服務的設計思路,為該平臺建設安全能力,圍繞一中心、兩體系、統一資源池建設,滿足工業企業安全數據匯聚、多云異構兼容、服務分層解耦、新老應用并存等復雜安全需求,實現對云平臺、大數據、應用、網絡、邊界、終端的全面安全賦能,通過一個運營平臺實現整體安全運營,減輕運維工作量。
通過集中化的管理平臺,實現云平臺資源的集中化管理;通過建設集中的安全中心,實現安全能力的統一配置、運維,安全事件集中分析,展示全局安全態勢,可實時對請求進行持續動態評估,構建整體安全防護能力。
(2)浙江蘭溪紡織行業工業互聯網平臺安全防護案例
蘭溪紡織行業中小企業和平臺企業在進行工業互聯網改造過程中,面臨了一系列從上云前的業務安全到上云后的平臺安全、終端接入、工藝數據、生產數據的安全性問題,從而導致企業對于上工業互聯網平臺積極性不足。安恒為其提供一體化安全防護解決方案,通過集中部署的工業互聯網云安全中心,統一為蘭溪工業互聯網平臺企業、紡織企業的公有云、私有云用戶提供安全防護能力,實現安全集中建設、統一管理,穿管到從平臺企業到聯網企業。
圖6 紡織行業工業互聯網安全防護技術架構圖
三、下一步實施計劃
1. 提升工業互聯網平臺安全能力的標準化。本項目將從完善設備數據安全接入標準化、網絡基礎設施安全標準化、平臺安全標準化、安全管理與運維標準化等方面,提升安全技術及產品質量,支撐工業互聯網平臺安全技術工程化開發及應用。
2. 通過項目實施,為國家推進工業互聯網安全落地實施做出示范性意義及服務性表率,為驗證國內互聯制造服務云平臺安全提供實際案例,為同行業類型企業的工業互聯網平臺綜合安全防護體系建設樹立典型應用案例。
未來該項目所形成的先進技術和模式將形成覆蓋更多場景化的產品和技術,賦能更多行業,如智慧金融、智慧水務、智能制造等。
3. 推動工業互聯網平臺安全行業生態體系。目前平臺已在上海臨港區、浙江金華市、江蘇無錫市等地實現規模化部署和服務,未來計劃以平臺化模式覆蓋到更多的產業和多個工業互聯網安全區域/行業子平臺。以安全鏈接大中小企業以及上下游產業,在社會資源整合的力量下共同保障產業鏈、供應鏈穩定安全,高效助力企業步入數字化轉型快車道。
四、項目創新點和實施效果
1. 項目先進性及創新點
(一)網絡安全由“項目制”轉向“SaaS訂閱制”的模式創新
在本項目中為某大型工業互聯網平臺提供了防御一體化、使用個性化、安全服務化、響應智能化的解決方案,網絡安全賦能模式由傳統的“項目制”模式向“SaaS化訂閱制”模式轉變,實現安全能力的動態、彈性運維,滿足平臺和平臺用戶的多種個性化安全建設需求。按需購買、彈性訂閱的特點,和高性價比的服務價格以及專業化的服務質量將形成安全服務新模式。
(二)基于機器學習的異常行為檢測技術創新
本項目創新性地將機器學習應用進工業互聯網的異常行為檢測中。通過提取工業互聯網系統中用戶及網絡設備之間訪問行為的業務特征作為多維變量數據,對數據進行聚類分析并進行標記,再將標記后的數據再次分析并產生分類規則,經反復迭代,結合專家經驗積累,形成針對工業互聯網的異常行為檢測技術,可以準確識別網絡中的異常行為和惡意流量。
(三)基于隱患利用路徑的威脅預警分析技術創新
本項目創新地將基于隱患利用路徑的威脅預警分析技術在工業互聯網平臺安全領域進行了實踐和落地。通過對工業互聯網系統中各信息資產間存在的依賴關系,利用推理分析算法,通過被攻陷設備存在的隱患,推導出攻擊者可能利用此隱患繼續入侵到的其他信息資產并及時阻斷。
(四)基于區塊鏈的數據可信交換技術
工業互聯網最重要的資產是數據,針對數據交換共享帶來的數據泄露及數據主權問題,本項目創新性地使用基于區塊鏈的數據可信交換技術,實現在可信執行環境中實現數據的可用不可見,數據使用可追溯的數據共享新模式。可信執行環境包含兩部分,安全調試沙箱、安全計算沙箱。安全調試沙箱通過調試測試進行數據模型開發和數據模型驗證。安全計算沙箱通過驗證成功的數據模型運算數據集得到滿足數據獲益方需求的數據結果集。
2. 實施效果
通過本項目的應用與落地,工業互聯網平臺企業降低了在人力成本、物資資源、資金支出等方面的安全支出,完成了安全能力的全面建設,并隨著安全運維、安全運營工作的自動化、便捷化、智能化、實時化,降低了運維、運營復雜度,提升了運維、運營的工作效率,保障了工業互聯網平臺的穩定、高效運行。
(一)安全成效
本方案從設備、控制、應用、網絡和數據五個維度,圍繞企業在上云前、上云中、上云后的一系列安全隱患的防護,實現了對工業互聯網的全方位安全覆蓋,有效攔截了來自各個層面的網絡威脅和攻擊,降低了平臺及平臺上工業用戶遭受網絡攻擊帶來的安全風險,提升了平臺系統等的可用性,保障了平臺和平臺上用戶生產的正常運轉,幫助建設安全可信的工業互聯網平臺,為國內工業互聯網平臺安全建設樹立了標桿案例。
(二)經濟效益
安恒信息的基于MSS(安全托管服務)的工業互聯網平臺安全防護體系將安全運營能力SaaS化,有效降低了企業對于安全建設的成本,包括大量的人力成本和設備購置、維修、運行等硬件成本。例如人員的重復勞動、冗余的可復用數據、功能重疊的設備堆疊等重復投資,幫助企業擺脫機房建設、帶寬租賃、網絡建設等物資限制要求。SaaS化的運營模式支持企業按需購買、彈性訂閱,安全能力與服務隨開隨用,極大地降低了企業在安全建設上的人力、物資與資金投入。
(三)社會效益
一方面,本方案為設備自適應識別、區域邊界防護、可信身份零信任服務、云平臺態勢感知、大數據分析、區塊鏈等技術提供了落地場景和檢驗驗證環境,有助于安全技術和產品的不斷完善和優化,有助于工業互聯網安全產業快速發展和成熟,創造可觀的經濟效益。
另一方面,本方案的落地切實有效地降低了工業互聯網平臺的安全風險,提升了該平臺的整體安全防護能力,保障了系統持續穩定運行和數據隱私合規,有助于該解決方案在垂直領域、乃至跨行業跨領域的推廣和復制,助力整個行業的安全建設,從而促進工業互聯網產業安全、穩定、高質量地發展。
第三,平臺保障聯網企業安全上云,聯網企業可以更放心地擁抱工業互聯網,平臺企業可以服務更多的聯網企業,從而形成雙贏的良性循環。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號