工業(yè)互聯(lián)網(wǎng)安全之道

1、工業(yè)互聯(lián)網(wǎng)安全之道“業(yè)務(wù)不斷、數(shù)據(jù)不丟”為什么做工業(yè)互聯(lián)網(wǎng)，為什么做工業(yè)互聯(lián)網(wǎng)安全？工業(yè)互聯(lián)網(wǎng)安全怎么做？我們的實(shí)踐，我們的呼吁！世界經(jīng)濟(jì)形勢和能源行業(yè)發(fā)展的背景信息技術(shù)的發(fā)展帶來的機(jī)遇我國核心流程化企業(yè)產(chǎn)值占世界比例粗鋼50%水泥60%平板玻璃50%電解鋁70%化肥35%化纖43%43%發(fā)電25%國家工業(yè)互聯(lián)網(wǎng)建設(shè)的要求工業(yè)互聯(lián)網(wǎng)的應(yīng)用環(huán)境Aidustry：工業(yè)互聯(lián)網(wǎng)安全的急迫性各生產(chǎn)企業(yè)發(fā)生安全事件的可能性逐年加大！工業(yè)互聯(lián)網(wǎng)對于網(wǎng)絡(luò)安全的新需求為什么做工業(yè)互聯(lián)網(wǎng)，為什么做工業(yè)互聯(lián)網(wǎng)安全？工業(yè)互聯(lián)網(wǎng)安全怎么做？我們的實(shí)踐，我們的呼吁！工業(yè)互聯(lián)網(wǎng)安全的現(xiàn)狀-德國2015年4月電工電子與信息技

2、術(shù)標(biāo)準(zhǔn)化委員會(DKE)工業(yè)4.0參考架構(gòu)模型(RAMI4.0)工業(yè)互聯(lián)網(wǎng)安全的現(xiàn)狀-美國2016年9月美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)工業(yè)互聯(lián)網(wǎng)安全框架(IISF)工業(yè)互聯(lián)網(wǎng)安全的現(xiàn)狀-中國2018年2月中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）工業(yè)互聯(lián)網(wǎng)安全框架工業(yè)互聯(lián)網(wǎng)安全總體解決方案意識先行培訓(xùn)制度防護(hù)對象網(wǎng)絡(luò)數(shù)據(jù)應(yīng)用防護(hù)目標(biāo)防護(hù)手段管理 改進(jìn)打通態(tài)勢 IT與 數(shù)據(jù)業(yè)務(wù)終端云安加密單向監(jiān)測感知OT 不丟不斷防護(hù)全認(rèn)證隔離審計應(yīng)急安全處置管理界面業(yè)務(wù)不斷、數(shù)據(jù)不丟全 球 工 業(yè) 互 聯(lián) 網(wǎng) 平 臺 應(yīng) 用 案 例 分 析 報 告國 家 工 業(yè) 信 息 安 全 發(fā) 展 研 究 中 心工業(yè)互聯(lián)網(wǎng)的安全保障

3、方案（一） 云、端互信PLCHMIDCSSCADA數(shù)據(jù)庫生產(chǎn)建模計劃編程物料管理設(shè)備能源理管理管APSWMS ERP PLM CRM HRMLevel3 企業(yè)層Level2 管理層Level1 控制層單向網(wǎng)閘開放、協(xié)作環(huán)境，威脅相對較大AB云（公有云、私有云）端（廠礦側(cè)）封閉、私有環(huán)境，威脅相對較小BI-商業(yè)智能SEM-戰(zhàn)略績效管理SCM&SQMS鏈OP-供應(yīng)QA優(yōu)化Level4 決策層終端防護(hù)流量審計加密認(rèn)證云安全終端防護(hù)智能運(yùn)維：終端性能監(jiān)控告警、補(bǔ)丁分發(fā)、安全策略分發(fā)、軟件遠(yuǎn)程分發(fā) 等可信計算：確保登錄系統(tǒng)的用戶是可信的、系統(tǒng)運(yùn)行的程序是可信的，防止非法用戶、進(jìn)程及已知或未知攻擊在KDM

4、、KKM上部署終端防護(hù)軟件模塊（xGuard），安裝后系統(tǒng)開機(jī)時間延時應(yīng)小于20秒，系統(tǒng)內(nèi)存占用小于20M，系統(tǒng)整機(jī)掃描時間不超過25分鐘。最小化資源管控：進(jìn)程白名單、移動介質(zhì)管控等流量審計a實(shí)時數(shù)據(jù)采集和機(jī)器學(xué)習(xí)b工控協(xié)議全流量分析，動態(tài)拓?fù)鋍自動生成通信行為白名單 內(nèi)置黑名單d與KDM、KKM平臺模塊級集成接口交換機(jī)流量解析 審計KDM工業(yè)互聯(lián)網(wǎng)檢修管理PI同步接口安全大數(shù)據(jù)挖掘管理軟件模塊KKM認(rèn)證加密密 鑰 管 理 中 心工作密鑰服務(wù)密鑰分發(fā)密鑰存儲密鑰銷毀密鑰恢復(fù)綜合管理服務(wù)操作員審核接入審核安全策略管理 操作日志審計 工作日志審計安全節(jié)點(diǎn)1密鑰同步密鑰啟用密鑰校驗(yàn)密鑰注銷安全節(jié)點(diǎn)2

5、密鑰同步密鑰啟用密鑰校驗(yàn)密鑰注銷安全節(jié)點(diǎn)服務(wù)節(jié)點(diǎn)簽到節(jié)點(diǎn)簽退節(jié)點(diǎn)狀態(tài)節(jié)點(diǎn)認(rèn)證WEB服務(wù)中心狀態(tài)監(jiān)控用戶管理 密鑰審核 應(yīng)用審核 日志查看建設(shè)集中統(tǒng)一的企業(yè)級密鑰管理體系，為邊緣計算設(shè)備安全申請和下發(fā)密鑰、實(shí)現(xiàn)工業(yè)控制設(shè)備的安全認(rèn)證、應(yīng)用系統(tǒng)間的安全加解密服務(wù)。KDM-1KDM-2KDM-3KDM-4分布式密鑰協(xié)商加密機(jī)資源池云安全防護(hù)云平臺 Sa a SPa a SIa a S虛擬網(wǎng)絡(luò)安全：安全資源池（監(jiān)測審計、防火墻、WAF、 入侵檢測、配置核查）平臺虛擬化安全（Hypervisor） 云平臺系統(tǒng)加固虛機(jī)間隔離及安全防護(hù)安全運(yùn)維管理安全建設(shè)管理應(yīng)用和數(shù)據(jù)安全設(shè)備和計算安全網(wǎng)絡(luò)和通信安全物理和

6、環(huán)境安全 存儲 服務(wù)器 網(wǎng)絡(luò) 操作系統(tǒng) 中間件 虛擬化 數(shù)據(jù) 云應(yīng)用 運(yùn)行環(huán)境 機(jī)房設(shè)施云數(shù)據(jù)防泄漏、云用戶行為審計、 云文件安全管控、云安全管理平 臺數(shù)據(jù)庫審計終端防護(hù)、加固容器安全監(jiān)控、OPEN API安全云管理平臺工業(yè)互聯(lián)網(wǎng)的安全保障方案 （二） 數(shù)據(jù)安全BI-商業(yè)S績S&OP-供應(yīng)鏈優(yōu)化APSWMSERP生產(chǎn)計建模編智能PLM劃物料程管理EM-戰(zhàn)略CRM設(shè)備能源管理管理效管理SCMQMSQAHRMLevel3 企業(yè)層Level2 管理層數(shù)據(jù)脫敏數(shù)據(jù)加密數(shù)據(jù)備份Level4 決策層數(shù)據(jù)防泄漏（云）依托部署在工廠側(cè)的邊緣 計算設(shè)備，傳至云端的是 經(jīng)過加工的脫敏的特征值是數(shù)據(jù)從端到云的傳輸和

7、 使用過程中應(yīng)加密，保障 數(shù)據(jù)不被竊取和篡改由工業(yè)互聯(lián)網(wǎng)平臺實(shí)現(xiàn) 數(shù)據(jù)的備份和恢復(fù)功能數(shù)據(jù) 脫敏數(shù)據(jù) 加密數(shù)據(jù)備份工業(yè)互聯(lián)網(wǎng)的安全保障方案（三） 應(yīng)用安全BI-商理略S&OP-供應(yīng)鏈優(yōu)化生產(chǎn)計建模編料 理 APS WMSERP業(yè)智能PLM劃物程管SEM-戰(zhàn)CRM設(shè)備 管理績效管SC能源管理QMSQAHRMLevel3 企業(yè)層Level2 管理層應(yīng)用冗余Level4 決策層應(yīng)用冗余由工業(yè)互聯(lián)網(wǎng)平臺自身 冗余熱備特性，保障對 外提供服務(wù)的應(yīng)用不斷WEB防護(hù)采用類似于CASB等技 術(shù)，實(shí)現(xiàn)對DDOS和 ATP的防護(hù)認(rèn)證授權(quán)為工業(yè)互聯(lián)網(wǎng)平臺 提供一套認(rèn)證授權(quán) 系統(tǒng)WEB防護(hù)簽名認(rèn)證M基于大數(shù)據(jù)技術(shù)及先進(jìn)的算法模型，可視化展現(xiàn)工業(yè)互聯(lián)網(wǎng)的態(tài)勢感知、安全監(jiān)控、通 報預(yù)警、追蹤溯源、應(yīng)急處置決策工業(yè)互聯(lián)網(wǎng)的安全保障方案（四)可視化