當前,“加快企業上云上平臺步伐,推動企業數字化、網絡化、智能化轉型”已經成為企業的重要工作之一。然而,如何在推動企業上云的同時,避免數據安全隱患問題?
作為科技型企業,安盟信息在邊界安全、工控安全、商用密碼方面有深入的理解和深厚的經驗。面向智能制造邁向云端場景,安盟信息提出工業互聯網數據安全的解決方案,構建全方位的數據安全防護體系,在風險可控的基礎上實現數據的安全流轉和使用,確保工業系統業務安全可控。
一、需求分析
加強工業互聯網、云平臺安全防護和數據安全保護,提高互聯網安全管理、態勢感知、實時監控預警和風險防范能力,強化“企業上云”的應用及數據安全保障成為新型基礎設施建設的基本要求。在該類新型基礎設施建設模式下,為保障工業互聯網安全,安全防護對象主要應涵蓋設備、控制、網絡、應用、數據五大對象,如下圖所示。
圖-工業互聯網安全防護對象
數據安全面向數據全生命周期,包括數據收集、存儲、傳輸、使用、遷移、銷毀等各個環節,整體安全目標應包括保密性、完整性、可用性、可靠性、彈性和隱私等多個維度。具體安全需求如下:
(1)在用戶側設備端及工業互聯網平臺,數據的收集須合法合規,依據規定保存和處理收集的數據。
(2)數據的存儲環節,對關鍵設計和工藝參數等敏感數據須采用訪問控制技術,對存儲業務進行隔離,對存儲節點接入認證,數據按重要性等級加密,提供數據的備份和恢復。
(3)數據在系統中各異構網絡的通信傳輸過程中,應防止被竊聽而泄露,應保障數據傳輸的機密性、完整性與可用性,并需要通過網絡隔離技術保障數據交換的同時不會引入安全風險。
(4)在數據使用環節,工業現場環境生產與控制層,設備對訪問用戶進行身份認證,數據使用時需授權,數據具備脫敏、銷毀等措施。系統不同安全等級區域邊界數據訪問進行隔離。
(5)在企業協同和數據共享環節,需保證數據不被泄露和濫用,數據共享和使用全過程可溯。
(6)企業數據和應用托管至云平臺,需進行租戶隔離、信息脫敏和加密保護,以保護企業敏感數據不被泄露。本方案可體系化地解決以上各類需求,滿足工業領域該類項目數據保護和安全建設要求。二、方案架構
二、方案架構
針對數據防護需求,在現場設備與控制層、現場監控層、過程監控層、生產管理層進行全方位的網絡安全防護、數據安全防護和數據安全隔離與交換;在各企業MES、ERP、CRM等業務系統集中的工業互聯網云平臺區域,以數據安全中臺多租戶服務的模式,為各企業提供應用和數據安全保護服務。本案以典型的智能制造企業為例,介紹工業互聯網數據安全防護架構。
技術架構:
本防護體系結合《網絡安全等級保護基本要求》(2.0)對工業控制系統擴展要求,對工業企業安全通信網絡、安全區域邊界、安全計算環境等安全需求,遵循《數據安全法》、《工業和信息化領域數據安全管理辦法》,針對智能制造企業數據面臨的威脅,通過終端防護、邊界防護、身份認證、訪問控制、數據加密、數據脫敏、數據溯源等技術,形成智能制造新型基礎設施數據安全防護解決方案。方案的技術架構圖如下圖所示:
圖-技術架構圖
典型應用場景:
通過在現場設備與控制層、過程監控層、生產管理層的數據安全產品和服務的部署,在云、管、邊、端形成對數據生命周期各環節的保護。
圖-典型應用場景圖
(1)設備數據防護
工控主機衛士部署于工程師站、操作員站、服務器等設備上,防止違規和誤操作、阻止不明程序、授權移動存儲介質訪問權限等,提供系統防破壞功能,提供數據完整性保護和防泄露。機甲衛士專用于機床防護。數控機床網絡中部署該防護系統,可為數控機床提供串口防護、USB防護、網絡防護,攔截非法數據傳輸。在安全管理中心部署工業漏洞掃描系統、統一安全管理平臺、安全運維管理系統,更好地提升系統防護水平。
(2)數據隔離與交換
工業防火墻部署于監控層和控制網之間,實現分層級的隔離防護。采用工業協議信令控制、參數控制、內容過濾、智能識別、集中管理等技術手段,對工業協議和數據交互進行安全防護。工業網閘部署于生產網與辦公網邊界,結合工業控制系統的特殊性,通過對工業協議的深度解析和多重過濾,實現不同網絡邊界的隔離與數據交互,保障生產控制系統和管理網之間數據的安全交換。
(3)數據傳輸保護
部署VPN安全網關,配置國密算法,采用IPSec加密通道或SSL加密通道,保護數據在通信傳輸過程中的機密性和完整性。可部署便攜式VPN設備,靈活提供有線、4G/5G、WiFi等組網方式,便捷構建數據加密傳輸通道。部署運維管理系統,采用國密算法,保障用戶登錄各種業務系統的賬號和密碼等鑒別信息傳輸安全。
(4)云平臺數據安全綜合服務
在工業互聯網云平臺部署數據安全中臺,以多租戶的應用模式,為各工業企業上云的MES、SCM、ERP等應用系統提供綜合的數據安全服務。為企業數據提供基于國密算法的通用密碼運算服務、加解密、簽名驗簽等運算服務,提供數據完整性和機密性保護;提供身份認證服務、可信時間服務、密鑰托管服務;為企業用戶提供數據庫加密、文件加密服務,保障數據存儲的機密性和完整性。提供數據脫敏服務,可支持隱私數據發現、數據提取、數據漂白、測試數據管理、數據裝載等功能,多種脫敏算法(可選)對敏感數據進行變形、屏蔽、替換、加密;提供數據溯源服務,對工業的數據追蹤、信息評估、過程重現等;提供數據安全共享交換服務、智能合約服務。提供數據安全防護監測服務,幫助企業實時掌握自身數據保護應用合規性及數據安全防護態勢。
主要功能:
(1)實現工業生產各環節數據產生、收集的安全防護。對工業生產環境各主機、服務器、數控機床等設備進行安全防護加固,實現數據存儲的機密性和完整性保護,防止數據泄露。對設備數據、應用系統數據、知識庫數據、企業數據、用戶個人數據等各類型數據按重要性等級不同進行保護。
(2)實現數據的傳輸保護。方案中提供的安全網關、便攜式加密設備、安全客戶端軟件,均配置國密算法,可在異構工業網絡中構建安全的VPN加密通道,保障關鍵業務數據、管理數據、用戶鑒別信息傳輸的保密性和完整性。
(3)采用國密算法為數據存儲提供保密性和完整性保護。云平臺可提供統一接口的數據加密及密鑰管理服務,對企業的重要業務系統數據進行加密保護。提供數據庫加密、文件加密及磁盤加密保護服務,提供透明加密保護機制。提供數據本地備份與恢復功能,可為企業用戶建立生產備份中心、同城或異地災備中心。
(4)實現數據的使用保護。系統在各數據訪問環節均實現了授權和驗證,防止應用和數據越權訪問。對MES、SCM、ERP等業務系統使用、數據使用均進行審計記錄并形成審計分析。系統提供多種算法可選的數據脫敏服務。
(5)實現數據在不同網絡區域的隔離和交換保護。采用高性能隔離交換設備,保障數據高性能的單向、雙向數據交換保護,滿足生產網高實時性要求。
(6)實現數據安全可靠地銷毀。通過主機衛士軟件、云平臺數據安全服務以及數據專項清除工具軟件,系統確保以不可逆的方式銷毀數據;企業的文件、目錄和數據庫記錄等資源所在的存儲空間在刪除釋放時均確保安全清除。
(7)在工業互聯網云平臺區域,以數據安全中臺的形式為企業租戶提供種類豐富的數據安全服務。企業可登錄租戶管理中心,根據企業數據保護需求選擇服務并進行相關配置。云平臺數據安全服務采用租戶隔離機制,確保不同企業資源安全隔離。
(8)系統提供全面的審計功能和安全管理功能。通過部署的審計節點、統一安管平臺、日志審計與分析系統以及安全態勢感知系統,企業用戶可全面掌握工業系統網絡和數據的安全情況。
方案特色
(1)方案符合網絡安全等級保護2.0及工業控制系統擴展要求,符合信息系統密碼應用基本要求,符合工業和信息化領域數據安全管理辦法。本方案與管理制度相結合,可為企業構建科學完備的安全防護管理流程,全面提升企業數據安全防護管理水平。
(2)構建工業領域云、管、邊、端全方位的縱深數據安全防護體系,適配多種工業生產應用場景,方案建設實用性強。
(3)終端防護、邊界防護、身份認證、訪問控制、入侵檢測、傳輸加密和云平臺數據及應用安全防護技術相結合,滿足智能制造企業上云場景下多租戶安全隔離和分層分級數據防護要求。
(4)網絡安全、數據安全和密碼技術融合賦能,數據保護和監測兼顧,符合工業新型基礎設施數據保護發展方向。三、適用領域該系統可為智能制造、航空航天、石油化工等重點行業提供工業數據全生命周期的安全綜合防護。與入侵檢測、運維管理與審計、態勢感知等安全產品相結合,構建多層次縱深防御體系,為工業互聯網數據提供全面的安全防護。
三、適用領域
該系統可為智能制造、航空航天、石油化工等重點行業提供工業數據全生命周期的安全綜合防護。與入侵檢測、運維管理與審計、態勢感知等安全產品相結合,構建多層次縱深防御體系,為工業互聯網數據提供全面的安全防護。
網絡安全已上升到國家戰略高度,網絡安全關乎基礎設施安全、城市安全、社會安全、國防安全、甚至國家安全。作為網絡安全的守護者,安盟信息始終堅持以先進科技為核心,致力于為用戶打造數據全生命周期防護服務平臺,筑牢數據安全新防線。
