引言:
北京天融信網(wǎng)絡安全技術有限公司(簡稱天融信)創(chuàng)始于1995年,是中國領先的網(wǎng)絡安全、大數(shù)據(jù)與安全云服務提供商。自成立至今為工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺企業(yè)提供了大量優(yōu)質(zhì)的解決方案,覆蓋電力、軌道交通、航空航天、軍工、能源、石油化工、機械制造、國防工業(yè)、汽車、電子等行業(yè)領域。
工業(yè)互聯(lián)網(wǎng)平臺是工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的基石,安全是國家深入推進“互聯(lián)網(wǎng)+先進制造業(yè)”的重要保障。工業(yè)互聯(lián)網(wǎng)代表著國家新一代信息基礎設施的重要發(fā)展方向,已經(jīng)成為工業(yè)體系的神經(jīng)中樞,提高工業(yè)互聯(lián)網(wǎng)平臺的安全體系建設,可促進我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的加速發(fā)展。
天融信工業(yè)互聯(lián)網(wǎng)平臺安全防護體系從防護對象、防護措施和防護管理三大視角同時出發(fā),構建完善的工業(yè)互聯(lián)網(wǎng)平臺安全框架。明確防護對象是前提,部署安全防護措施是關鍵,落實安全防護管理是重要保障。從工業(yè)互聯(lián)網(wǎng)平臺安全建設角度出發(fā),強調(diào)技術與管理相結(jié)合、動靜互補,全面持續(xù)提升工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的安全防護能力。
一、項目概況
本方案基于工業(yè)互聯(lián)網(wǎng)平臺安全技術所開展的網(wǎng)絡安全解決方案設計和綜合安全防護體系建設,切實解決企業(yè)工業(yè)互聯(lián)網(wǎng)平臺面臨的計算環(huán)境、數(shù)據(jù)安全、訪問安全、容器安全、微服務安全等安全問題,對工業(yè)互聯(lián)網(wǎng)平臺產(chǎn)業(yè)發(fā)展具有重大意義。
1. 項目背景
在當今以大數(shù)據(jù)為核心的工業(yè)互聯(lián)網(wǎng)時代,沒有安全就沒有一切,網(wǎng)絡安全上升為核心產(chǎn)業(yè),這一領域?qū)⒂谐鱿胂蟮木薮蟮陌l(fā)展空間。我國高度關注互聯(lián)網(wǎng)安全的新形勢。中央領導從總體國家安全觀的高度指出,安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進。在工業(yè)互聯(lián)網(wǎng)時代,網(wǎng)絡安全至關重要,企業(yè)必須高度重視工業(yè)互聯(lián)網(wǎng)平臺安全問題,加強自身的安全威脅抵抗能力和防護手段。
2. 項目簡介
本方案的建設實施,有助于供應鏈資產(chǎn)監(jiān)控和風險預警,以及平臺安全風險防范,大幅提升企業(yè)工業(yè)互聯(lián)網(wǎng)平臺安全防護能力,通過建設安全保障體系、提供安全服務保障平臺業(yè)務流程安全,保障供應鏈完整,從而保障工業(yè)企業(yè)運營;大幅推動工業(yè)互聯(lián)網(wǎng)平臺產(chǎn)業(yè)發(fā)展,通過打造工業(yè)互聯(lián)網(wǎng)平臺縱深安全防御體系,為后續(xù)工業(yè)互聯(lián)網(wǎng)平臺安全防護體系項目建設豎立標桿,為引導和推動產(chǎn)業(yè)發(fā)展起到良好的示范作用。
3. 項目目標
本方案面向某高精端制造業(yè)工業(yè)互聯(lián)網(wǎng)平臺企業(yè),圍繞工業(yè)互聯(lián)網(wǎng)平臺邊緣層、平臺層、應用層及相應的業(yè)務處理流程和控制流程面臨的突出安全風險,應用工業(yè)互聯(lián)網(wǎng)平臺安全防護核心技術,形成抗DDoS、虛擬機逃逸、鏡像篡改、數(shù)據(jù)竊取與篡改、惡意代碼防范、身份認證、APP檢測等綜合安全防護能力,提升工業(yè)互聯(lián)網(wǎng)平臺企業(yè)自身安全防護和態(tài)勢感知能力。
二、項目實施概況
本方案充分貼合工業(yè)互聯(lián)網(wǎng)平臺的業(yè)務訪問流程及控制流程,同時運用了業(yè)內(nèi)比較成熟的安全方案以及針對性的新型安全解決方案。
1.項目總體架構和主要內(nèi)容
工業(yè)互聯(lián)網(wǎng)平臺安全防護體系是基于工業(yè)互聯(lián)網(wǎng)平臺體系架構所進行的安全防護能力建設,其主要面向并貫穿整個工業(yè)互聯(lián)網(wǎng)平臺,從邊緣層、平臺層、應用層等多維度展開安全能力建設,邊緣層與工業(yè)控制系統(tǒng)相關的控制設備,是企業(yè)生產(chǎn)的控制設備,該層主要實現(xiàn)對企業(yè)現(xiàn)場控制系統(tǒng)進行的安全防護;平臺層是云計算環(huán)境以及工業(yè)大數(shù)據(jù),是對邊緣層的工業(yè)數(shù)據(jù)的處理,該層主要實現(xiàn)對工業(yè)大數(shù)據(jù)計算環(huán)境的安全防護;應用層為工業(yè)APP運行層,主要為開發(fā)者提供接口平臺,以及企業(yè)用戶實際應用的平臺,該層主要實現(xiàn)對工業(yè)各類應用進行的安全防護。
圖1 工業(yè)互聯(lián)網(wǎng)平臺業(yè)務框架
2. 網(wǎng)絡、平臺或安全互聯(lián)架構
工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護體系安全架構呼應層次化防護架構,面向“邊緣、平臺、應用”構建“邊緣計算防護、平臺應用防護以及安全管理中心”三個層面的安全架構。
邊緣計算防護注重設備安全、控制安全及網(wǎng)絡安全三方面能力,形成包括協(xié)議深度解析、基于行為內(nèi)容訪問控制、邊界隔離、接入認證以及通訊加密在內(nèi)的安全能力;
平臺應用防護注重網(wǎng)絡安全、應用安全、數(shù)據(jù)安全三方面能力,形成訪問控制、抗D、惡意代碼防護、統(tǒng)一用戶管理、云計算安全、應用加固、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、大數(shù)據(jù)安全等安全能力;
安全管理中心利用大數(shù)據(jù)分析技術對海量安全數(shù)據(jù)進進行采集、清洗、歸一,結(jié)合規(guī)則庫、地址庫、威脅庫進行包括關聯(lián)分析、流式分析在內(nèi)的安全分析工作,最終向用戶實現(xiàn)包括資產(chǎn)管理、事件管理、安全審計、風險識別、態(tài)勢展示、事件告警、安全處置及數(shù)據(jù)治理在內(nèi)的安全應用交付能力。
圖2 工業(yè)互聯(lián)網(wǎng)平臺綜合防護體系框架
3. 具體應用場景和應用模式
基于工業(yè)互聯(lián)網(wǎng)平臺的安全應用場景下,實現(xiàn)以下不同安全層面的應用模式,構建的縱深防護體系:
? 面向邊界場景
對工業(yè)互聯(lián)網(wǎng)微服務平臺邊界采用訪問控制隔離技術手段,對設備的接入實現(xiàn)準入認證,在邊界實現(xiàn)企業(yè)用戶的訪問控制以及設備的訪問控制安全能力,做到設備安全入網(wǎng)、邊界防入侵、防攻擊的安全能力保障。
? 面向平臺業(yè)務和應用場景
在工業(yè)互聯(lián)網(wǎng)平臺業(yè)務和應用的連續(xù)性、完整性等層面,對于數(shù)據(jù)泄露、篡改、丟失等問題進行業(yè)務和應用層面的安全能力保障。
? 面向大數(shù)據(jù)的場景
對工業(yè)互聯(lián)網(wǎng)平臺的海量工業(yè)大數(shù)據(jù)的設備數(shù)據(jù)、業(yè)務系統(tǒng)數(shù)據(jù)以及訪問用戶隱私敏感等數(shù)據(jù)內(nèi)容,在采集、傳輸、存儲、處理等環(huán)節(jié)采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)脫敏的數(shù)據(jù)安全能力保障。
? 面向云基礎設施場景
對工業(yè)互聯(lián)網(wǎng)平臺的云計算環(huán)境中的物理服務器、虛擬主機、容器、虛擬化網(wǎng)絡進行二到七層不同租戶的不同安全能力靈活劃分,滿足云環(huán)境下的定制化、可擴展的不同安全防護要求。
4. 安全及可靠性
設計貼合等級保護2.0的相關技術要求,符合“一個中心、三層防護”的安全原則。并且安全建設本身要符合平臺的業(yè)務處理流程及控制流程。項目實施方案充分考慮了平臺的業(yè)務處理流程及控制流程,首先通過定制化的平臺安全產(chǎn)品及定制化的云安全、容器安全產(chǎn)品滿足“安全區(qū)域邊界”、“安全通信網(wǎng)絡”、“安全計算環(huán)境”的要求,最后通過APT防護及安全態(tài)勢感知進行上層的統(tǒng)一安全管理,綜合建立成行業(yè)化、定制化、場景化極高的工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護體系。
5. 其他亮點
(1)提出了一套具備創(chuàng)新性的工業(yè)互聯(lián)網(wǎng)平臺企業(yè)安全態(tài)勢感知架構
包含數(shù)據(jù)收集、存儲、分析、展示,對平臺中存在的攻擊行為進行統(tǒng)計和挖掘,對工業(yè)互聯(lián)網(wǎng)平臺安全態(tài)勢進行整體感知,其功能架構設計和應用代表了平臺建設過程中的創(chuàng)新技術能力。
(2)采用創(chuàng)新的規(guī)則庫持續(xù)更新技術
通過搭建安全防護平臺,可以獲得工業(yè)互聯(lián)網(wǎng)平臺中存在的安全漏洞、惡意代碼程序等信息,這些安全信息一旦被發(fā)現(xiàn)將被用于網(wǎng)絡安全研究,并在實驗環(huán)境中進行驗證,以獲得更多的安全技術研究素材,并經(jīng)過開發(fā)測試后作為安全防護產(chǎn)品的規(guī)則庫升級補丁,為平臺持續(xù)提升安全防護能力起到重要作用。
三、下一步實施計劃
1.優(yōu)化防護策略,實現(xiàn)協(xié)同動態(tài)防護
根據(jù)工業(yè)互聯(lián)網(wǎng)企業(yè)的業(yè)務流程,及時調(diào)整部署在企業(yè)中的安全防護設備的策略配置,應用工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺實現(xiàn)安全持續(xù)監(jiān)測、威脅情報收集及網(wǎng)絡安全態(tài)勢實時展示,將感知層獲取的信息進行深度分析,制定相應策略并自動下發(fā),驅(qū)動各種安全引擎做出動態(tài)調(diào)整,從而實現(xiàn)更為智能、快捷和有效的安全防護和感知,構建工業(yè)互聯(lián)網(wǎng)平臺企業(yè)協(xié)同動態(tài)防護體系。
2.推廣應用
(1)借助標桿案例向同行業(yè)其他企業(yè)推廣
本解決方案服務對象為支撐供應鏈產(chǎn)業(yè)發(fā)展的工業(yè)互聯(lián)網(wǎng)平臺企業(yè),此類平臺企業(yè)是工業(yè)互聯(lián)網(wǎng)平臺未來的發(fā)展趨勢。本解決方案充分貼合工業(yè)互聯(lián)網(wǎng)平臺特點,可以作為整個工業(yè)互聯(lián)網(wǎng)平臺企業(yè)綜合安全防護系統(tǒng)標桿案例向同行業(yè)其他企業(yè)全面推廣,供其他企業(yè)參考作為網(wǎng)絡安全解決方案。
(2)面向產(chǎn)業(yè)聚集區(qū)、示范區(qū)、工業(yè)園區(qū)推廣
產(chǎn)業(yè)聚集區(qū)、示范區(qū)、工業(yè)園區(qū)是供應鏈產(chǎn)業(yè)的主要載體,本解決方案以供應鏈平臺企業(yè)為服務對象,作為供應鏈中重要的一環(huán),其推廣有利于推動供應鏈產(chǎn)業(yè)的發(fā)展,為產(chǎn)業(yè)鏈穩(wěn)定安全運行保駕護航。
(3)面向不同行業(yè)的工業(yè)互聯(lián)網(wǎng)企業(yè)推廣
本方案應用了先進的安全防護技術和成熟的安全防護產(chǎn)品,可推廣應用到不同行業(yè)的工業(yè)互聯(lián)網(wǎng)企業(yè),更好的發(fā)揮產(chǎn)品和解決方案應用價值,為工業(yè)互聯(lián)網(wǎng)企業(yè)構建全方位的安全防護體系,實現(xiàn)良好的防護效果。
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
(1) 項目先進性
? 可視化數(shù)據(jù)建模技術
平臺的多維數(shù)據(jù)分析功能都是基于多維分析技術來實現(xiàn)。多維分析技術通過對業(yè)務數(shù)據(jù)的充分理解,首先通過數(shù)據(jù)索引建模技術完成數(shù)據(jù)倉庫的構建,然后在數(shù)據(jù)倉庫基礎上利用統(tǒng)計、關聯(lián)、挖掘等分析手段為構建數(shù)據(jù)分析模型、數(shù)據(jù)分析任務,然后通過數(shù)據(jù)分析任務執(zhí)行輸出分析結(jié)果。
? 先進的事件歸并技術
平臺的事件歸并技術可以根據(jù)用戶指定要歸并的信息的特征、字段等信息進行歸并,只有具有該特征、字段的信息才可以被歸并,即當多個信息的指定特征、字段的內(nèi)容一致時,產(chǎn)生一個歸并信息。同時,用戶可以自己指定是否丟棄原始信息。
? 基于狀態(tài)機的實時關聯(lián)檢測技術
平臺通過基于狀態(tài)機的實時關聯(lián)檢測技術使用狀態(tài)機來抽象和描述攻擊的過程與場景,狀態(tài)機間的狀態(tài)轉(zhuǎn)換的條件由不同安全事件觸發(fā)。同時,實時關聯(lián)分析技術通過對事件的關聯(lián),可以有效的幫助我們過濾事件,在大量事件(甚至是誤報事件)中提取有用的信息。
? 基于微內(nèi)核節(jié)點管理技術
平臺中數(shù)據(jù)采集層、數(shù)據(jù)匯聚層涉及的所有節(jié)點均使用統(tǒng)一的節(jié)點技術。該節(jié)點技術采用了微內(nèi)核架構,將核心功能與業(yè)務服務功能進行了剝離。支持以組件的方式擴展節(jié)點的業(yè)務功能;支持定義組件間的數(shù)據(jù)依賴關系及執(zhí)行順序。節(jié)點支持多級分布式部署,可適應復雜的網(wǎng)絡部署要求。以容器的方式對各組件進行管理,提供在控制端對各組件的遠程配置管理及應用升級。
? 監(jiān)測技術
APT監(jiān)測技術能夠?qū)μ胤N木馬等惡意代碼的虛擬機探測技術進行檢測和處理,避免惡意代碼的繞過,并支持反虛擬機檢測。
(2) 創(chuàng)新點
? 采用創(chuàng)新的分布式文件存儲及檢索技術
可橫向擴展,支持高達PB級的數(shù)據(jù)存儲及檢索,支持十億級別數(shù)據(jù)秒級檢索響應。
? 采用基于單機流程與容器算子的雙層調(diào)度控制技術
單機流程負責模型整體流程控制,支持跨計算框架的復雜計算模型,容器算子負責控制在同一計算框架內(nèi)運行的模型,可以最大限度的優(yōu)化模型的執(zhí)行效率。
? 采用面向數(shù)據(jù)流程的算子建模技術
按數(shù)據(jù)流程可分為:輸入、處理、分析及輸出四類算子,采用開放式算子接口,并支持第三方擴展。
? 采用創(chuàng)新的攻擊軌跡技術
向用戶提供根據(jù)攻擊線索信息追溯到的更多攻擊相關信息,包括但不限于攻擊發(fā)生的時間范圍、進展過程、攻擊者信息、利用的漏洞、使用的工具等信息。
2. 實施效果
工業(yè)互聯(lián)網(wǎng)平臺企業(yè)縱深安全保障體系主要實現(xiàn)公有云服務安全防護功能以及工業(yè)互聯(lián)網(wǎng)平臺內(nèi)部安全防護功能。
(1) 公有云服務安全防護功能
對公有云服務存在的具體安全風險進行分析,從客戶安全需求角度出發(fā),運用虛擬化安全防護技術、攻擊防護技術、接入安全防護技術等多項安全能力,構建工業(yè)互聯(lián)網(wǎng)平臺公有云服務安全防護體系。實現(xiàn)訪問控制、接入認證、抗DDOS攻擊防護、入侵防御、惡意代碼防護、Web應用安全防護等多項功能。
(2) 工業(yè)互聯(lián)網(wǎng)平臺內(nèi)部安全防護功能
對工業(yè)互聯(lián)網(wǎng)平臺內(nèi)部存在的具體安全風險進行分析,從客戶安全需求角度出發(fā),運用云環(huán)境安全防護技術、大數(shù)據(jù)和態(tài)勢感知技術等多項安全能力,構建工業(yè)互聯(lián)網(wǎng)平臺內(nèi)部安全防護體系。實現(xiàn)接入安全防護、大數(shù)據(jù)環(huán)境安全防護、數(shù)據(jù)安全防護、云計算環(huán)境東西向流量安全防護、云計算環(huán)境南北向流量安全防護、云計算虛擬機逃逸防護、容器安全防護、微服務安全防護、計算資源安全防護、APT安全監(jiān)測、平臺態(tài)勢感知防護等多項功能。
本解決方案幫助用戶解決了工業(yè)互聯(lián)網(wǎng)平臺企業(yè)公有云服務中身份認證、數(shù)據(jù)流轉(zhuǎn)、南北向流量分配等安全問題,以及平臺內(nèi)部云計算環(huán)境、數(shù)據(jù)安全、東西向流量與訪問控制、容器安全、微服務安全等痛點問題。并獲得以下經(jīng)濟或社會效益:
? 帶動產(chǎn)業(yè)鏈行業(yè)的產(chǎn)業(yè)升級,防范安全威脅,顯著降低工業(yè)互聯(lián)網(wǎng)平臺企業(yè)面臨的網(wǎng)絡安全風險。
? 有利于相關行業(yè)標準的建設及孵化。
? 有利于國家相關部門對工業(yè)互聯(lián)網(wǎng)平臺信息安全態(tài)勢的管控。