工业互联网安全解决之道
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
wk.baidu.com
综合管理服务
操作员审核 接入审核 安全策略管理 操作日志审计 工作日志审计
加密机资源池
云安全防护
S a a SP
a a SI
a a S
云平台
云应用 数据
运行环境 中间件
操作系统 虚拟化 服务器 存储 网络
机房设施
云管理平台
云数据防泄漏、云用户行为审计、 安全运维管理
云文件安全管控、云安全管理平
台
安全建设管理
“业务不断、数据不丢” -- 道 工业互联网安全解决之“ ”
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
我们的实践,我们的呼吁!
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
我们的实践,我们的呼吁!
世界经济形势和能源行业发展的背景
信息技术的发展带来的机遇
我们的实践,我们的呼吁!
四川水电应用案例
BI-商业智能
ERP
PLM
SEM-战略绩效管理
CRM
终端防护 SCM
S&OP-供应链优化
云安全 流量审计 加密认证
QMS
QA
HRM
…… ……
Level2 管理层
生产 建模
计划 编程
物料 设备 能源
管理 单管向理网闸管理
……
APS
WMS
……
Level1 控制层
PLC
HMI
DCS
SCADA
数据库 ……
终端防护
在KDM、KKM上部署终端防护软件模块(xGuard),安装后系统开机时间延时应小于 20秒,系统内存占用小于20M,系统整机扫描时间不超过25分钟。
最小化资源管控:进程白名单、移动介质管控等
智能运维:终端性能监控告警、补丁分发、安全策略分发、软件远程分发 等
可信计算:确保登录系统的用户是可信的、系统运行的程序是可信的,防止 非法用户、进程及已知或未知攻击
工业互联网安全的现状-中国
2018年2月 中国工业互联网产业联盟(AII)
《工业互联网安全框架》
工业互联网安全总体解决方案
意识先行
防护对象
防护目标
防护手段
管理 改进
培训 制度
网络 数据 应用
数据 业务 不丢 不断
终端 防护
云安 全
加密 认证
单向 隔离
监测 审计
态势 感知 应急 处置
打通 IT与 OT 安全 管理 界面
流量审计
工业互联网 KKM
检修管理
KDM
安全大数据 挖掘管理 软件模块
流量解析 审计
PI同步接口
接口交换机
a 实时数据采集和机器学习
b 工控协议全流量分析,动态拓扑
c 自动生成通信行为白名单
内置黑名单
d 与KDM、KKM平台模块级集成
认证加密
建设集中统一的企业级密钥管理体系,为边缘计算设备安全申请和下发密钥、实现工业控制设备的安全认证、应用系统间的安全加解
数据库审计
终端防护、加固
容器安全监控、OPEN API安全 应用和数据安全
虚机间隔离及安全防护
设备和计算安全
虚拟网络安全:安全资源池 (监测审计、防火墙、WAF、 入侵检测、配置核查)
平台虚拟化安全(Hypervisor) 云平台系统加固
网络和通信安全 物理和环境安全
工业互联网的安全保障方案 (二)—— 数据安全
数据 脱敏
依托部署在工厂侧的边缘 计算设备,传至云端的是 经过加工的脱敏的特征值
数据 加密
是数据从端到云的传输和 使用过程中应加密,保障 数据不被窃取和篡改
数据 由工业互联网平台实现 备份 数据的备份和恢复功能
Level4 决策层 Level3 企业层 Level2 管理层
BI-商业智能
SEM-战略绩效管理 数据
密服务。
KDM-1
KDM-2
KDM-3
KDM-4
安全节点1
分布式密钥协商
密钥同步
密钥校验
密钥启用
密钥注销
安全节点2
密钥同步
密钥校验
密钥启用
密钥注销
密
安全节点服务
工作密钥服务
钥
节点签到
密钥分发
管 理
节点签退
密钥存储
中
节点状态
密钥销毁
心
节点认证
密钥恢复
WEB服务中心
状态监控 用户管理 密钥审核 应用审核 日志查看
业务不断、数据不丢
全
球国 工家 业工 互业 联信 网息 平安 台全 应发 用展 案研 例究 分中 析心 报
告
工业互联网的安全保障方案(一) —— 云、端互信
A 云(公有云、私有云)
开放、协作环境,威胁相对较大
B
端(厂矿侧)
封闭、私有环境,威胁相对较小
Level4 决策层 Level3 企业层
生产 建模
计划 编程
物料 管理
设备 管理
能源 管理
……
APS
WMS ……
工业互联网的安全保障方案(四) ——可视化展现,态
势感知、应急处置
基于大数据技术及先进的算法模型,可视化展现工业互联网的态势感知、安全监控、通 报预警、追踪溯源、应急处置决策
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
WEB防护
采用类似于CASB等技 术,实现对DDOS和
ATP的防护
认证授权
为工业互联网平台 提供一套认证授权
系统
Level4 决策层 BI-商业智能
SEM-战略绩效管理
S&OP-供应链优化
……
Level3 企业层
ERP 应用P冗L余M WEBC防R护M签名认证SCM
QMS
QA
HRM ……
Level2 管理层
防泄漏
ERP
数P据LM加密
数CR据M备份
(云)
SCM
数据脱敏 生产 计划 物料 设备 能源 ……
建模 编程 管理 管理 管理
S&OP-供应链优化
……
QMS
QA
HRM ……
APS
WMS
……
工业互联网的安全保障方案(三) —— 应用安全
应用冗余
由工业互联网平台自身 冗余热备特性,保障对 外提供服务的应用不断
工业互联网对于网络安全的新需求
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
我们的实践,我们的呼吁!
工业互联网安全的现状-德国
2015年4月 电工电子与信息技术标准化委员会(DKE)
工业4.0参考架构模型(RAMI4.0)
工业互联网安全的现状-美国
2016年9月 美国工业互联网联盟(IIC) 工业互联网安全框架(IISF)
我国核心流程化企业产值
粗钢 水泥 平板玻璃 电解铝 化肥 化纤43% 发电
占世界比例
~50% ~60% ~50% ~70% ~35% ~43% ~25%
国家工业互联网建设的要求
工业互联网的应用环境
Aidustry:行业互联,星云智造
工业互联网安全的急迫性
各生产企业发生安全事件的可能性逐年加大!
综合管理服务
操作员审核 接入审核 安全策略管理 操作日志审计 工作日志审计
加密机资源池
云安全防护
S a a SP
a a SI
a a S
云平台
云应用 数据
运行环境 中间件
操作系统 虚拟化 服务器 存储 网络
机房设施
云管理平台
云数据防泄漏、云用户行为审计、 安全运维管理
云文件安全管控、云安全管理平
台
安全建设管理
“业务不断、数据不丢” -- 道 工业互联网安全解决之“ ”
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
我们的实践,我们的呼吁!
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
我们的实践,我们的呼吁!
世界经济形势和能源行业发展的背景
信息技术的发展带来的机遇
我们的实践,我们的呼吁!
四川水电应用案例
BI-商业智能
ERP
PLM
SEM-战略绩效管理
CRM
终端防护 SCM
S&OP-供应链优化
云安全 流量审计 加密认证
QMS
QA
HRM
…… ……
Level2 管理层
生产 建模
计划 编程
物料 设备 能源
管理 单管向理网闸管理
……
APS
WMS
……
Level1 控制层
PLC
HMI
DCS
SCADA
数据库 ……
终端防护
在KDM、KKM上部署终端防护软件模块(xGuard),安装后系统开机时间延时应小于 20秒,系统内存占用小于20M,系统整机扫描时间不超过25分钟。
最小化资源管控:进程白名单、移动介质管控等
智能运维:终端性能监控告警、补丁分发、安全策略分发、软件远程分发 等
可信计算:确保登录系统的用户是可信的、系统运行的程序是可信的,防止 非法用户、进程及已知或未知攻击
工业互联网安全的现状-中国
2018年2月 中国工业互联网产业联盟(AII)
《工业互联网安全框架》
工业互联网安全总体解决方案
意识先行
防护对象
防护目标
防护手段
管理 改进
培训 制度
网络 数据 应用
数据 业务 不丢 不断
终端 防护
云安 全
加密 认证
单向 隔离
监测 审计
态势 感知 应急 处置
打通 IT与 OT 安全 管理 界面
流量审计
工业互联网 KKM
检修管理
KDM
安全大数据 挖掘管理 软件模块
流量解析 审计
PI同步接口
接口交换机
a 实时数据采集和机器学习
b 工控协议全流量分析,动态拓扑
c 自动生成通信行为白名单
内置黑名单
d 与KDM、KKM平台模块级集成
认证加密
建设集中统一的企业级密钥管理体系,为边缘计算设备安全申请和下发密钥、实现工业控制设备的安全认证、应用系统间的安全加解
数据库审计
终端防护、加固
容器安全监控、OPEN API安全 应用和数据安全
虚机间隔离及安全防护
设备和计算安全
虚拟网络安全:安全资源池 (监测审计、防火墙、WAF、 入侵检测、配置核查)
平台虚拟化安全(Hypervisor) 云平台系统加固
网络和通信安全 物理和环境安全
工业互联网的安全保障方案 (二)—— 数据安全
数据 脱敏
依托部署在工厂侧的边缘 计算设备,传至云端的是 经过加工的脱敏的特征值
数据 加密
是数据从端到云的传输和 使用过程中应加密,保障 数据不被窃取和篡改
数据 由工业互联网平台实现 备份 数据的备份和恢复功能
Level4 决策层 Level3 企业层 Level2 管理层
BI-商业智能
SEM-战略绩效管理 数据
密服务。
KDM-1
KDM-2
KDM-3
KDM-4
安全节点1
分布式密钥协商
密钥同步
密钥校验
密钥启用
密钥注销
安全节点2
密钥同步
密钥校验
密钥启用
密钥注销
密
安全节点服务
工作密钥服务
钥
节点签到
密钥分发
管 理
节点签退
密钥存储
中
节点状态
密钥销毁
心
节点认证
密钥恢复
WEB服务中心
状态监控 用户管理 密钥审核 应用审核 日志查看
业务不断、数据不丢
全
球国 工家 业工 互业 联信 网息 平安 台全 应发 用展 案研 例究 分中 析心 报
告
工业互联网的安全保障方案(一) —— 云、端互信
A 云(公有云、私有云)
开放、协作环境,威胁相对较大
B
端(厂矿侧)
封闭、私有环境,威胁相对较小
Level4 决策层 Level3 企业层
生产 建模
计划 编程
物料 管理
设备 管理
能源 管理
……
APS
WMS ……
工业互联网的安全保障方案(四) ——可视化展现,态
势感知、应急处置
基于大数据技术及先进的算法模型,可视化展现工业互联网的态势感知、安全监控、通 报预警、追踪溯源、应急处置决策
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
WEB防护
采用类似于CASB等技 术,实现对DDOS和
ATP的防护
认证授权
为工业互联网平台 提供一套认证授权
系统
Level4 决策层 BI-商业智能
SEM-战略绩效管理
S&OP-供应链优化
……
Level3 企业层
ERP 应用P冗L余M WEBC防R护M签名认证SCM
QMS
QA
HRM ……
Level2 管理层
防泄漏
ERP
数P据LM加密
数CR据M备份
(云)
SCM
数据脱敏 生产 计划 物料 设备 能源 ……
建模 编程 管理 管理 管理
S&OP-供应链优化
……
QMS
QA
HRM ……
APS
WMS
……
工业互联网的安全保障方案(三) —— 应用安全
应用冗余
由工业互联网平台自身 冗余热备特性,保障对 外提供服务的应用不断
工业互联网对于网络安全的新需求
为什么做工业互联网, 为什么做工业互联网安全? 工业互联网安全怎么做?
我们的实践,我们的呼吁!
工业互联网安全的现状-德国
2015年4月 电工电子与信息技术标准化委员会(DKE)
工业4.0参考架构模型(RAMI4.0)
工业互联网安全的现状-美国
2016年9月 美国工业互联网联盟(IIC) 工业互联网安全框架(IISF)
我国核心流程化企业产值
粗钢 水泥 平板玻璃 电解铝 化肥 化纤43% 发电
占世界比例
~50% ~60% ~50% ~70% ~35% ~43% ~25%
国家工业互联网建设的要求
工业互联网的应用环境
Aidustry:行业互联,星云智造
工业互联网安全的急迫性
各生产企业发生安全事件的可能性逐年加大!