引言:
北京天融信網絡安全技術有限公司(簡稱天融信)創始于1995年,是中國領先的網絡安全、大數據與安全云服務提供商。自成立至今為工業企業和工業互聯網平臺企業提供了大量優質的解決方案,覆蓋電力、軌道交通、航空航天、軍工、能源、石油化工、機械制造、國防工業、汽車、電子等行業領域。
工業互聯網平臺是工業互聯網產業發展的基石,安全是國家深入推進“互聯網+先進制造業”的重要保障。工業互聯網代表著國家新一代信息基礎設施的重要發展方向,已經成為工業體系的神經中樞,提高工業互聯網平臺的安全體系建設,可促進我國工業互聯網產業的加速發展。
天融信工業互聯網平臺安全防護體系從防護對象、防護措施和防護管理三大視角同時出發,構建完善的工業互聯網平臺安全框架。明確防護對象是前提,部署安全防護措施是關鍵,落實安全防護管理是重要保障。從工業互聯網平臺安全建設角度出發,強調技術與管理相結合、動靜互補,全面持續提升工業互聯網平臺企業的安全防護能力。
一、項目概況
本方案基于工業互聯網平臺安全技術所開展的網絡安全解決方案設計和綜合安全防護體系建設,切實解決企業工業互聯網平臺面臨的計算環境、數據安全、訪問安全、容器安全、微服務安全等安全問題,對工業互聯網平臺產業發展具有重大意義。
1. 項目背景
在當今以大數據為核心的工業互聯網時代,沒有安全就沒有一切,網絡安全上升為核心產業,這一領域將有超出想象的巨大的發展空間。我國高度關注互聯網安全的新形勢。中央領導從總體國家安全觀的高度指出,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。在工業互聯網時代,網絡安全至關重要,企業必須高度重視工業互聯網平臺安全問題,加強自身的安全威脅抵抗能力和防護手段。
2. 項目簡介
本方案的建設實施,有助于供應鏈資產監控和風險預警,以及平臺安全風險防范,大幅提升企業工業互聯網平臺安全防護能力,通過建設安全保障體系、提供安全服務保障平臺業務流程安全,保障供應鏈完整,從而保障工業企業運營;大幅推動工業互聯網平臺產業發展,通過打造工業互聯網平臺縱深安全防御體系,為后續工業互聯網平臺安全防護體系項目建設豎立標桿,為引導和推動產業發展起到良好的示范作用。
3. 項目目標
本方案面向某高精端制造業工業互聯網平臺企業,圍繞工業互聯網平臺邊緣層、平臺層、應用層及相應的業務處理流程和控制流程面臨的突出安全風險,應用工業互聯網平臺安全防護核心技術,形成抗DDoS、虛擬機逃逸、鏡像篡改、數據竊取與篡改、惡意代碼防范、身份認證、APP檢測等綜合安全防護能力,提升工業互聯網平臺企業自身安全防護和態勢感知能力。
二、項目實施概況
本方案充分貼合工業互聯網平臺的業務訪問流程及控制流程,同時運用了業內比較成熟的安全方案以及針對性的新型安全解決方案。
1.項目總體架構和主要內容
工業互聯網平臺安全防護體系是基于工業互聯網平臺體系架構所進行的安全防護能力建設,其主要面向并貫穿整個工業互聯網平臺,從邊緣層、平臺層、應用層等多維度展開安全能力建設,邊緣層與工業控制系統相關的控制設備,是企業生產的控制設備,該層主要實現對企業現場控制系統進行的安全防護;平臺層是云計算環境以及工業大數據,是對邊緣層的工業數據的處理,該層主要實現對工業大數據計算環境的安全防護;應用層為工業APP運行層,主要為開發者提供接口平臺,以及企業用戶實際應用的平臺,該層主要實現對工業各類應用進行的安全防護。
圖1 工業互聯網平臺業務框架
2. 網絡、平臺或安全互聯架構
工業互聯網平臺安全綜合防護體系安全架構呼應層次化防護架構,面向“邊緣、平臺、應用”構建“邊緣計算防護、平臺應用防護以及安全管理中心”三個層面的安全架構。
邊緣計算防護注重設備安全、控制安全及網絡安全三方面能力,形成包括協議深度解析、基于行為內容訪問控制、邊界隔離、接入認證以及通訊加密在內的安全能力;
平臺應用防護注重網絡安全、應用安全、數據安全三方面能力,形成訪問控制、抗D、惡意代碼防護、統一用戶管理、云計算安全、應用加固、數據防泄漏、數據脫敏、大數據安全等安全能力;
安全管理中心利用大數據分析技術對海量安全數據進進行采集、清洗、歸一,結合規則庫、地址庫、威脅庫進行包括關聯分析、流式分析在內的安全分析工作,最終向用戶實現包括資產管理、事件管理、安全審計、風險識別、態勢展示、事件告警、安全處置及數據治理在內的安全應用交付能力。
圖2 工業互聯網平臺綜合防護體系框架
3. 具體應用場景和應用模式
基于工業互聯網平臺的安全應用場景下,實現以下不同安全層面的應用模式,構建的縱深防護體系:
? 面向邊界場景
對工業互聯網微服務平臺邊界采用訪問控制隔離技術手段,對設備的接入實現準入認證,在邊界實現企業用戶的訪問控制以及設備的訪問控制安全能力,做到設備安全入網、邊界防入侵、防攻擊的安全能力保障。
? 面向平臺業務和應用場景
在工業互聯網平臺業務和應用的連續性、完整性等層面,對于數據泄露、篡改、丟失等問題進行業務和應用層面的安全能力保障。
? 面向大數據的場景
對工業互聯網平臺的海量工業大數據的設備數據、業務系統數據以及訪問用戶隱私敏感等數據內容,在采集、傳輸、存儲、處理等環節采取數據加密、訪問控制、數據脫敏的數據安全能力保障。
? 面向云基礎設施場景
對工業互聯網平臺的云計算環境中的物理服務器、虛擬主機、容器、虛擬化網絡進行二到七層不同租戶的不同安全能力靈活劃分,滿足云環境下的定制化、可擴展的不同安全防護要求。
4. 安全及可靠性
設計貼合等級保護2.0的相關技術要求,符合“一個中心、三層防護”的安全原則。并且安全建設本身要符合平臺的業務處理流程及控制流程。項目實施方案充分考慮了平臺的業務處理流程及控制流程,首先通過定制化的平臺安全產品及定制化的云安全、容器安全產品滿足“安全區域邊界”、“安全通信網絡”、“安全計算環境”的要求,最后通過APT防護及安全態勢感知進行上層的統一安全管理,綜合建立成行業化、定制化、場景化極高的工業互聯網平臺安全綜合防護體系。
5. 其他亮點
(1)提出了一套具備創新性的工業互聯網平臺企業安全態勢感知架構
包含數據收集、存儲、分析、展示,對平臺中存在的攻擊行為進行統計和挖掘,對工業互聯網平臺安全態勢進行整體感知,其功能架構設計和應用代表了平臺建設過程中的創新技術能力。
(2)采用創新的規則庫持續更新技術
通過搭建安全防護平臺,可以獲得工業互聯網平臺中存在的安全漏洞、惡意代碼程序等信息,這些安全信息一旦被發現將被用于網絡安全研究,并在實驗環境中進行驗證,以獲得更多的安全技術研究素材,并經過開發測試后作為安全防護產品的規則庫升級補丁,為平臺持續提升安全防護能力起到重要作用。
三、下一步實施計劃
1.優化防護策略,實現協同動態防護
根據工業互聯網企業的業務流程,及時調整部署在企業中的安全防護設備的策略配置,應用工業互聯網態勢感知平臺實現安全持續監測、威脅情報收集及網絡安全態勢實時展示,將感知層獲取的信息進行深度分析,制定相應策略并自動下發,驅動各種安全引擎做出動態調整,從而實現更為智能、快捷和有效的安全防護和感知,構建工業互聯網平臺企業協同動態防護體系。
2.推廣應用
(1)借助標桿案例向同行業其他企業推廣
本解決方案服務對象為支撐供應鏈產業發展的工業互聯網平臺企業,此類平臺企業是工業互聯網平臺未來的發展趨勢。本解決方案充分貼合工業互聯網平臺特點,可以作為整個工業互聯網平臺企業綜合安全防護系統標桿案例向同行業其他企業全面推廣,供其他企業參考作為網絡安全解決方案。
(2)面向產業聚集區、示范區、工業園區推廣
產業聚集區、示范區、工業園區是供應鏈產業的主要載體,本解決方案以供應鏈平臺企業為服務對象,作為供應鏈中重要的一環,其推廣有利于推動供應鏈產業的發展,為產業鏈穩定安全運行保駕護航。
(3)面向不同行業的工業互聯網企業推廣
本方案應用了先進的安全防護技術和成熟的安全防護產品,可推廣應用到不同行業的工業互聯網企業,更好的發揮產品和解決方案應用價值,為工業互聯網企業構建全方位的安全防護體系,實現良好的防護效果。
四、項目創新點和實施效果
1. 項目先進性及創新點
(1) 項目先進性
? 可視化數據建模技術
平臺的多維數據分析功能都是基于多維分析技術來實現。多維分析技術通過對業務數據的充分理解,首先通過數據索引建模技術完成數據倉庫的構建,然后在數據倉庫基礎上利用統計、關聯、挖掘等分析手段為構建數據分析模型、數據分析任務,然后通過數據分析任務執行輸出分析結果。
? 先進的事件歸并技術
平臺的事件歸并技術可以根據用戶指定要歸并的信息的特征、字段等信息進行歸并,只有具有該特征、字段的信息才可以被歸并,即當多個信息的指定特征、字段的內容一致時,產生一個歸并信息。同時,用戶可以自己指定是否丟棄原始信息。
? 基于狀態機的實時關聯檢測技術
平臺通過基于狀態機的實時關聯檢測技術使用狀態機來抽象和描述攻擊的過程與場景,狀態機間的狀態轉換的條件由不同安全事件觸發。同時,實時關聯分析技術通過對事件的關聯,可以有效的幫助我們過濾事件,在大量事件(甚至是誤報事件)中提取有用的信息。
? 基于微內核節點管理技術
平臺中數據采集層、數據匯聚層涉及的所有節點均使用統一的節點技術。該節點技術采用了微內核架構,將核心功能與業務服務功能進行了剝離。支持以組件的方式擴展節點的業務功能;支持定義組件間的數據依賴關系及執行順序。節點支持多級分布式部署,可適應復雜的網絡部署要求。以容器的方式對各組件進行管理,提供在控制端對各組件的遠程配置管理及應用升級。
? 監測技術
APT監測技術能夠對特種木馬等惡意代碼的虛擬機探測技術進行檢測和處理,避免惡意代碼的繞過,并支持反虛擬機檢測。
(2) 創新點
? 采用創新的分布式文件存儲及檢索技術
可橫向擴展,支持高達PB級的數據存儲及檢索,支持十億級別數據秒級檢索響應。
? 采用基于單機流程與容器算子的雙層調度控制技術
單機流程負責模型整體流程控制,支持跨計算框架的復雜計算模型,容器算子負責控制在同一計算框架內運行的模型,可以最大限度的優化模型的執行效率。
? 采用面向數據流程的算子建模技術
按數據流程可分為:輸入、處理、分析及輸出四類算子,采用開放式算子接口,并支持第三方擴展。
? 采用創新的攻擊軌跡技術
向用戶提供根據攻擊線索信息追溯到的更多攻擊相關信息,包括但不限于攻擊發生的時間范圍、進展過程、攻擊者信息、利用的漏洞、使用的工具等信息。
2. 實施效果
工業互聯網平臺企業縱深安全保障體系主要實現公有云服務安全防護功能以及工業互聯網平臺內部安全防護功能。
(1) 公有云服務安全防護功能
對公有云服務存在的具體安全風險進行分析,從客戶安全需求角度出發,運用虛擬化安全防護技術、攻擊防護技術、接入安全防護技術等多項安全能力,構建工業互聯網平臺公有云服務安全防護體系。實現訪問控制、接入認證、抗DDOS攻擊防護、入侵防御、惡意代碼防護、Web應用安全防護等多項功能。
(2) 工業互聯網平臺內部安全防護功能
對工業互聯網平臺內部存在的具體安全風險進行分析,從客戶安全需求角度出發,運用云環境安全防護技術、大數據和態勢感知技術等多項安全能力,構建工業互聯網平臺內部安全防護體系。實現接入安全防護、大數據環境安全防護、數據安全防護、云計算環境東西向流量安全防護、云計算環境南北向流量安全防護、云計算虛擬機逃逸防護、容器安全防護、微服務安全防護、計算資源安全防護、APT安全監測、平臺態勢感知防護等多項功能。
本解決方案幫助用戶解決了工業互聯網平臺企業公有云服務中身份認證、數據流轉、南北向流量分配等安全問題,以及平臺內部云計算環境、數據安全、東西向流量與訪問控制、容器安全、微服務安全等痛點問題。并獲得以下經濟或社會效益:
? 帶動產業鏈行業的產業升級,防范安全威脅,顯著降低工業互聯網平臺企業面臨的網絡安全風險。
? 有利于相關行業標準的建設及孵化。
? 有利于國家相關部門對工業互聯網平臺信息安全態勢的管控。