紫光工业互联网平台安全实践

紫光工业互联网平台安全实践

工业互联网平台异构

SaaS安全发布与运维

国家在助推工业互联网发展方面频频发力

2017年11月，国务院发布《关于关于深化互联网+先进制造业‛发展工业互联网的指导意见》，提出“三步走”战略。

2018年2月，经国家制造强国建设领导小组会议审议，决定在该小组下设立工业互联网专项工作组，专项工作组成员由25位正副部及司局领导任职，力度空前。2018年6月，国家正式提出国家级跨行业跨地区工业互联网平台建设，推动百万制造企业上云，百万工业 APP 的生态打造。

总目标和总行动纲领具体抓手专项工作组具体行动

紫光云引擎视角看工业互联网平台

生产量化 经营可视 科学评价扶优扶强

全栈服务 聚集生态 企业平台 政府平台 运营平台 资源共享︐数据互通

一引擎三平台

紫光工业互联网平台的定位数据驱动：聚焦使能工业互联

网中

云、网、端

三大关键环

节，提供从数据中心到生产现

场的工业设备互联解决方案

平台使能：以平台化的模式领

衔产业生态，为工业企业提供

智能制造全方位的云服务和端

到端的系统解决方案

生态聚合：以服务化方式整

合产业资源，为工业企业提

供协同制造、服务性制造、

C2M等创新能力

紫光

工业云

紫光工业互联网平台 – 整体架构 弹性公网EIP 负载均衡SLB 私有网络VPC SSL/IPSEC VPN 云专线 SDWAN 漏洞扫描 主机防病毒 网页防篡改 入侵检测 DDoS 防护 堡垒机 云主机ECS 裸金属BMS 块存储/对象存储 MySQL Oracle SQL Server 定时备份 容灾双活 数据灾备 IaaS SaaS 边缘连接层 边缘计算库 Modbus 、Profibus 、DeviceNet 、EthnetTCP/IP 、CCLink 、SerialPort...

(缓存、数据清洗、数据拟合、线上分析) APaaS 算法模型库 四大公共库 微服务组件库 设备知识库 机理模型库 四大开发池 应用系统开发池 非标设备开发池 微服务开发池 大数据开发池 IPaaS 云数据库 开发工具库 中间件 PaaS UNIPower 紫光工业互联网平台 ●工业SaaS 层 提供面向各场景的工业APP ，涵盖企业从咨询测评、研发设计、生产控制、运营管理到决策分析全流程服务 ●PaaS 层： IPaaS 平台主要提供数据库、开发工具库、应用部署库及中间件服务，实现对PaaS 的各种资源、服务、容器等进行管理 APaaS 层以“四库四池”为核心，主要为用户提供丰富的工业设备知识、机理模型、算法模型及微服务组件；及微服务、应用系统、大数据及非标设备等开发环境。 ●IaaS 层： 部署公有云服务，方便服务中小微企业直接选择云上资源，进行现有业务系统云化迁移 ●边缘层： 连接各种生产设备、产品、信息系统、拉通内外部数据，为智能化工厂改造提供技术支撑 安全 管理 运营 管理 服务 目录 服务 SLA 服务 计量 与 计费 服务 质量 网络 安全

身份 安全

流程 安全

系统 安全 应用 安全

数据 安全

咨询测评 研发设计 生产控制 运营管理 企业云图

能耗管瘤 预测性维护 设备健康管理 产线诊断 全生命周期管理 协同制造 设备后服务 工业应用开发 区块链+AI 数据采集系统 工业微服务应用 算法建模与应用 工业大数据系统 OPC UA OPC DA 标准协议网关 专用协议网关 SCADA Server 应用部署库 紫光工业互联网平台：边缘连接+IaaS+PaaS+SaaS+安全保障

工业经营管理应用云化 创新场景化工业应用服务

OPC 安全服务 数据库服务 业务连续 网络服务 计算存储 硬件网关 软件网关

紫光工业互联网平台运营遇到的问题

异构性，多厂商，不同开发、运行框架Saas群

安全测试能力

Saas群

平台运维人员

Saas开发人员

Saas维护人员

安全服务人员

网络服务人员

运维人员多、身份角色复杂SaaS系统安全性参差不齐

框架安全性

漏洞修复效率

安全编码规范

安全编码能力

解决办法1：SaaS 发布架构 SaaS 云平台 H3C UIS 超融合架构 Saas 业务区 非军事区

NGINX 反向代理

NGINX 集成WAF 模块

容器动态Web 防护 Internet

DNAT+包过滤

IDS 应用运行时的上下文 绕过

误报

漏报

01

03

02 准确 - 运行时动态检查，根据访问检查语义 性能 - 与Web 程序融合性部署，最小化中间过滤故障点和最大化性能

维护 - 可自行维护、编写的语义检查规则

1 2 3 4 5 6 SaaS 选型除生态部门对功能的考核外，运营部也要执行匹配

当前安全防御环境的匹配性和安全性选型 Saas 选型

针对待发布的SaaS 系统建立测试环境执行专业化渗透测试以

观察安全性表现及是否存在明显重大漏洞 渗透测试

如果渗透测试中发现了重大安全漏洞，要求SaaS 程序提供方

对漏洞进行修复 漏洞修复

针对SaaS 环境：WebService 、Database 、

网络设备相关的配置安全进行基线核定，并对日后运维中任何偏离基线的配置变更进行监测并要求变更前审批

配置基线 对发布状态下的程序版本进行文件基线副本的建立，运维中和迭

代发布时任何偏离基线的变更都要执行审计和变更核对

文件基线 目前针对有条件的，核心SaaS 应用要求供应方配合平台运营部执行此项工作 DevSecOps Saas 发布前预处理工作