助力智能制造｜安盟信息新型基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)解決方案

當(dāng)前，“加快企業(yè)上云上平臺(tái)步伐，推動(dòng)企業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型”已經(jīng)成為企業(yè)的重要工作之一。然而，如何在推動(dòng)企業(yè)上云的同時(shí)，避免數(shù)據(jù)安全隱患問(wèn)題？

作為科技型企業(yè)，安盟信息在邊界安全、工控安全、商用密碼方面有深入的理解和深厚的經(jīng)驗(yàn)。面向智能制造邁向云端場(chǎng)景，安盟信息提出工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的解決方案，構(gòu)建全方位的數(shù)據(jù)安全防護(hù)體系，在風(fēng)險(xiǎn)可控的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)的安全流轉(zhuǎn)和使用，確保工業(yè)系統(tǒng)業(yè)務(wù)安全可控。

一、需求分析

加強(qiáng)工業(yè)互聯(lián)網(wǎng)、云平臺(tái)安全防護(hù)和數(shù)據(jù)安全保護(hù)，提高互聯(lián)網(wǎng)安全管理、態(tài)勢(shì)感知、實(shí)時(shí)監(jiān)控預(yù)警和風(fēng)險(xiǎn)防范能力，強(qiáng)化“企業(yè)上云”的應(yīng)用及數(shù)據(jù)安全保障成為新型基礎(chǔ)設(shè)施建設(shè)的基本要求。在該類新型基礎(chǔ)設(shè)施建設(shè)模式下，為保障工業(yè)互聯(lián)網(wǎng)安全，安全防護(hù)對(duì)象主要應(yīng)涵蓋設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大對(duì)象，如下圖所示。

圖-工業(yè)互聯(lián)網(wǎng)安全防護(hù)對(duì)象

數(shù)據(jù)安全面向數(shù)據(jù)全生命周期，包括數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用、遷移、銷毀等各個(gè)環(huán)節(jié)，整體安全目標(biāo)應(yīng)包括保密性、完整性、可用性、可靠性、彈性和隱私等多個(gè)維度。具體安全需求如下：

（1）在用戶側(cè)設(shè)備端及工業(yè)互聯(lián)網(wǎng)平臺(tái)，數(shù)據(jù)的收集須合法合規(guī)，依據(jù)規(guī)定保存和處理收集的數(shù)據(jù)。

（2）數(shù)據(jù)的存儲(chǔ)環(huán)節(jié)，對(duì)關(guān)鍵設(shè)計(jì)和工藝參數(shù)等敏感數(shù)據(jù)須采用訪問(wèn)控制技術(shù)，對(duì)存儲(chǔ)業(yè)務(wù)進(jìn)行隔離，對(duì)存儲(chǔ)節(jié)點(diǎn)接入認(rèn)證，數(shù)據(jù)按重要性等級(jí)加密，提供數(shù)據(jù)的備份和恢復(fù)。

（3）數(shù)據(jù)在系統(tǒng)中各異構(gòu)網(wǎng)絡(luò)的通信傳輸過(guò)程中，應(yīng)防止被竊聽(tīng)而泄露，應(yīng)保障數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性與可用性，并需要通過(guò)網(wǎng)絡(luò)隔離技術(shù)保障數(shù)據(jù)交換的同時(shí)不會(huì)引入安全風(fēng)險(xiǎn)。

（4）在數(shù)據(jù)使用環(huán)節(jié)，工業(yè)現(xiàn)場(chǎng)環(huán)境生產(chǎn)與控制層，設(shè)備對(duì)訪問(wèn)用戶進(jìn)行身份認(rèn)證，數(shù)據(jù)使用時(shí)需授權(quán)，數(shù)據(jù)具備脫敏、銷毀等措施。系統(tǒng)不同安全等級(jí)區(qū)域邊界數(shù)據(jù)訪問(wèn)進(jìn)行隔離。

（5）在企業(yè)協(xié)同和數(shù)據(jù)共享環(huán)節(jié)，需保證數(shù)據(jù)不被泄露和濫用，數(shù)據(jù)共享和使用全過(guò)程可溯。

（6）企業(yè)數(shù)據(jù)和應(yīng)用托管至云平臺(tái)，需進(jìn)行租戶隔離、信息脫敏和加密保護(hù)，以保護(hù)企業(yè)敏感數(shù)據(jù)不被泄露。本方案可體系化地解決以上各類需求，滿足工業(yè)領(lǐng)域該類項(xiàng)目數(shù)據(jù)保護(hù)和安全建設(shè)要求。二、方案架構(gòu)

二、方案架構(gòu)

針對(duì)數(shù)據(jù)防護(hù)需求，在現(xiàn)場(chǎng)設(shè)備與控制層、現(xiàn)場(chǎng)監(jiān)控層、過(guò)程監(jiān)控層、生產(chǎn)管理層進(jìn)行全方位的網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)安全防護(hù)和數(shù)據(jù)安全隔離與交換；在各企業(yè)MES、ERP、CRM等業(yè)務(wù)系統(tǒng)集中的工業(yè)互聯(lián)網(wǎng)云平臺(tái)區(qū)域，以數(shù)據(jù)安全中臺(tái)多租戶服務(wù)的模式，為各企業(yè)提供應(yīng)用和數(shù)據(jù)安全保護(hù)服務(wù)。本案以典型的智能制造企業(yè)為例，介紹工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)架構(gòu)。

技術(shù)架構(gòu)：

本防護(hù)體系結(jié)合《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（2.0）對(duì)工業(yè)控制系統(tǒng)擴(kuò)展要求，對(duì)工業(yè)企業(yè)安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等安全需求，遵循《數(shù)據(jù)安全法》、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》，針對(duì)智能制造企業(yè)數(shù)據(jù)面臨的威脅，通過(guò)終端防護(hù)、邊界防護(hù)、身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)溯源等技術(shù)，形成智能制造新型基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)解決方案。方案的技術(shù)架構(gòu)圖如下圖所示：

圖-技術(shù)架構(gòu)圖

典型應(yīng)用場(chǎng)景：

通過(guò)在現(xiàn)場(chǎng)設(shè)備與控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層的數(shù)據(jù)安全產(chǎn)品和服務(wù)的部署，在云、管、邊、端形成對(duì)數(shù)據(jù)生命周期各環(huán)節(jié)的保護(hù)。

圖-典型應(yīng)用場(chǎng)景圖

（1）設(shè)備數(shù)據(jù)防護(hù)

工控主機(jī)衛(wèi)士部署于工程師站、操作員站、服務(wù)器等設(shè)備上，防止違規(guī)和誤操作、阻止不明程序、授權(quán)移動(dòng)存儲(chǔ)介質(zhì)訪問(wèn)權(quán)限等，提供系統(tǒng)防破壞功能，提供數(shù)據(jù)完整性保護(hù)和防泄露。機(jī)甲衛(wèi)士專用于機(jī)床防護(hù)。數(shù)控機(jī)床網(wǎng)絡(luò)中部署該防護(hù)系統(tǒng)，可為數(shù)控機(jī)床提供串口防護(hù)、USB防護(hù)、網(wǎng)絡(luò)防護(hù)，攔截非法數(shù)據(jù)傳輸。在安全管理中心部署工業(yè)漏洞掃描系統(tǒng)、統(tǒng)一安全管理平臺(tái)、安全運(yùn)維管理系統(tǒng)，更好地提升系統(tǒng)防護(hù)水平。

（2）數(shù)據(jù)隔離與交換

工業(yè)防火墻部署于監(jiān)控層和控制網(wǎng)之間，實(shí)現(xiàn)分層級(jí)的隔離防護(hù)。采用工業(yè)協(xié)議信令控制、參數(shù)控制、內(nèi)容過(guò)濾、智能識(shí)別、集中管理等技術(shù)手段，對(duì)工業(yè)協(xié)議和數(shù)據(jù)交互進(jìn)行安全防護(hù)。工業(yè)網(wǎng)閘部署于生產(chǎn)網(wǎng)與辦公網(wǎng)邊界，結(jié)合工業(yè)控制系統(tǒng)的特殊性，通過(guò)對(duì)工業(yè)協(xié)議的深度解析和多重過(guò)濾，實(shí)現(xiàn)不同網(wǎng)絡(luò)邊界的隔離與數(shù)據(jù)交互，保障生產(chǎn)控制系統(tǒng)和管理網(wǎng)之間數(shù)據(jù)的安全交換。

（3）數(shù)據(jù)傳輸保護(hù)

部署VPN安全網(wǎng)關(guān)，配置國(guó)密算法，采用IPSec加密通道或SSL加密通道，保護(hù)數(shù)據(jù)在通信傳輸過(guò)程中的機(jī)密性和完整性?？刹渴鸨銛y式VPN設(shè)備，靈活提供有線、4G/5G、WiFi等組網(wǎng)方式，便捷構(gòu)建數(shù)據(jù)加密傳輸通道。部署運(yùn)維管理系統(tǒng)，采用國(guó)密算法，保障用戶登錄各種業(yè)務(wù)系統(tǒng)的賬號(hào)和密碼等鑒別信息傳輸安全。

（4）云平臺(tái)數(shù)據(jù)安全綜合服務(wù)

在工業(yè)互聯(lián)網(wǎng)云平臺(tái)部署數(shù)據(jù)安全中臺(tái)，以多租戶的應(yīng)用模式，為各工業(yè)企業(yè)上云的MES、SCM、ERP等應(yīng)用系統(tǒng)提供綜合的數(shù)據(jù)安全服務(wù)。為企業(yè)數(shù)據(jù)提供基于國(guó)密算法的通用密碼運(yùn)算服務(wù)、加解密、簽名驗(yàn)簽等運(yùn)算服務(wù)，提供數(shù)據(jù)完整性和機(jī)密性保護(hù)；提供身份認(rèn)證服務(wù)、可信時(shí)間服務(wù)、密鑰托管服務(wù)；為企業(yè)用戶提供數(shù)據(jù)庫(kù)加密、文件加密服務(wù)，保障數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性。提供數(shù)據(jù)脫敏服務(wù)，可支持隱私數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)提取、數(shù)據(jù)漂白、測(cè)試數(shù)據(jù)管理、數(shù)據(jù)裝載等功能，多種脫敏算法（可選）對(duì)敏感數(shù)據(jù)進(jìn)行變形、屏蔽、替換、加密；提供數(shù)據(jù)溯源服務(wù)，對(duì)工業(yè)的數(shù)據(jù)追蹤、信息評(píng)估、過(guò)程重現(xiàn)等；提供數(shù)據(jù)安全共享交換服務(wù)、智能合約服務(wù)。提供數(shù)據(jù)安全防護(hù)監(jiān)測(cè)服務(wù)，幫助企業(yè)實(shí)時(shí)掌握自身數(shù)據(jù)保護(hù)應(yīng)用合規(guī)性及數(shù)據(jù)安全防護(hù)態(tài)勢(shì)。

主要功能：

（1）實(shí)現(xiàn)工業(yè)生產(chǎn)各環(huán)節(jié)數(shù)據(jù)產(chǎn)生、收集的安全防護(hù)。對(duì)工業(yè)生產(chǎn)環(huán)境各主機(jī)、服務(wù)器、數(shù)控機(jī)床等設(shè)備進(jìn)行安全防護(hù)加固，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性保護(hù)，防止數(shù)據(jù)泄露。對(duì)設(shè)備數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)、知識(shí)庫(kù)數(shù)據(jù)、企業(yè)數(shù)據(jù)、用戶個(gè)人數(shù)據(jù)等各類型數(shù)據(jù)按重要性等級(jí)不同進(jìn)行保護(hù)。

（2）實(shí)現(xiàn)數(shù)據(jù)的傳輸保護(hù)。方案中提供的安全網(wǎng)關(guān)、便攜式加密設(shè)備、安全客戶端軟件，均配置國(guó)密算法，可在異構(gòu)工業(yè)網(wǎng)絡(luò)中構(gòu)建安全的VPN加密通道，保障關(guān)鍵業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)、用戶鑒別信息傳輸?shù)谋Ｃ苄院屯暾浴?/p>

（3）采用國(guó)密算法為數(shù)據(jù)存儲(chǔ)提供保密性和完整性保護(hù)。云平臺(tái)可提供統(tǒng)一接口的數(shù)據(jù)加密及密鑰管理服務(wù)，對(duì)企業(yè)的重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)進(jìn)行加密保護(hù)。提供數(shù)據(jù)庫(kù)加密、文件加密及磁盤(pán)加密保護(hù)服務(wù)，提供透明加密保護(hù)機(jī)制。提供數(shù)據(jù)本地備份與恢復(fù)功能，可為企業(yè)用戶建立生產(chǎn)備份中心、同城或異地災(zāi)備中心。

（4）實(shí)現(xiàn)數(shù)據(jù)的使用保護(hù)。系統(tǒng)在各數(shù)據(jù)訪問(wèn)環(huán)節(jié)均實(shí)現(xiàn)了授權(quán)和驗(yàn)證，防止應(yīng)用和數(shù)據(jù)越權(quán)訪問(wèn)。對(duì)MES、SCM、ERP等業(yè)務(wù)系統(tǒng)使用、數(shù)據(jù)使用均進(jìn)行審計(jì)記錄并形成審計(jì)分析。系統(tǒng)提供多種算法可選的數(shù)據(jù)脫敏服務(wù)。

（5）實(shí)現(xiàn)數(shù)據(jù)在不同網(wǎng)絡(luò)區(qū)域的隔離和交換保護(hù)。采用高性能隔離交換設(shè)備，保障數(shù)據(jù)高性能的單向、雙向數(shù)據(jù)交換保護(hù)，滿足生產(chǎn)網(wǎng)高實(shí)時(shí)性要求。

（6）實(shí)現(xiàn)數(shù)據(jù)安全可靠地銷毀。通過(guò)主機(jī)衛(wèi)士軟件、云平臺(tái)數(shù)據(jù)安全服務(wù)以及數(shù)據(jù)專項(xiàng)清除工具軟件，系統(tǒng)確保以不可逆的方式銷毀數(shù)據(jù)；企業(yè)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間在刪除釋放時(shí)均確保安全清除。

（7）在工業(yè)互聯(lián)網(wǎng)云平臺(tái)區(qū)域，以數(shù)據(jù)安全中臺(tái)的形式為企業(yè)租戶提供種類豐富的數(shù)據(jù)安全服務(wù)。企業(yè)可登錄租戶管理中心，根據(jù)企業(yè)數(shù)據(jù)保護(hù)需求選擇服務(wù)并進(jìn)行相關(guān)配置。云平臺(tái)數(shù)據(jù)安全服務(wù)采用租戶隔離機(jī)制，確保不同企業(yè)資源安全隔離。

（8）系統(tǒng)提供全面的審計(jì)功能和安全管理功能。通過(guò)部署的審計(jì)節(jié)點(diǎn)、統(tǒng)一安管平臺(tái)、日志審計(jì)與分析系統(tǒng)以及安全態(tài)勢(shì)感知系統(tǒng)，企業(yè)用戶可全面掌握工業(yè)系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)的安全情況。

方案特色

（1）方案符合網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0及工業(yè)控制系統(tǒng)擴(kuò)展要求，符合信息系統(tǒng)密碼應(yīng)用基本要求，符合工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法。本方案與管理制度相結(jié)合，可為企業(yè)構(gòu)建科學(xué)完備的安全防護(hù)管理流程，全面提升企業(yè)數(shù)據(jù)安全防護(hù)管理水平。

（2）構(gòu)建工業(yè)領(lǐng)域云、管、邊、端全方位的縱深數(shù)據(jù)安全防護(hù)體系，適配多種工業(yè)生產(chǎn)應(yīng)用場(chǎng)景，方案建設(shè)實(shí)用性強(qiáng)。

（3）終端防護(hù)、邊界防護(hù)、身份認(rèn)證、訪問(wèn)控制、入侵檢測(cè)、傳輸加密和云平臺(tái)數(shù)據(jù)及應(yīng)用安全防護(hù)技術(shù)相結(jié)合，滿足智能制造企業(yè)上云場(chǎng)景下多租戶安全隔離和分層分級(jí)數(shù)據(jù)防護(hù)要求。

（4）網(wǎng)絡(luò)安全、數(shù)據(jù)安全和密碼技術(shù)融合賦能，數(shù)據(jù)保護(hù)和監(jiān)測(cè)兼顧，符合工業(yè)新型基礎(chǔ)設(shè)施數(shù)據(jù)保護(hù)發(fā)展方向。三、適用領(lǐng)域該系統(tǒng)可為智能制造、航空航天、石油化工等重點(diǎn)行業(yè)提供工業(yè)數(shù)據(jù)全生命周期的安全綜合防護(hù)。與入侵檢測(cè)、運(yùn)維管理與審計(jì)、態(tài)勢(shì)感知等安全產(chǎn)品相結(jié)合，構(gòu)建多層次縱深防御體系，為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)提供全面的安全防護(hù)。

三、適用領(lǐng)域

該系統(tǒng)可為智能制造、航空航天、石油化工等重點(diǎn)行業(yè)提供工業(yè)數(shù)據(jù)全生命周期的安全綜合防護(hù)。與入侵檢測(cè)、運(yùn)維管理與審計(jì)、態(tài)勢(shì)感知等安全產(chǎn)品相結(jié)合，構(gòu)建多層次縱深防御體系，為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)提供全面的安全防護(hù)。

網(wǎng)絡(luò)安全已上升到國(guó)家戰(zhàn)略高度,網(wǎng)絡(luò)安全關(guān)乎基礎(chǔ)設(shè)施安全、城市安全、社會(huì)安全、國(guó)防安全、甚至國(guó)家安全。作為網(wǎng)絡(luò)安全的守護(hù)者，安盟信息始終堅(jiān)持以先進(jìn)科技為核心，致力于為用戶打造數(shù)據(jù)全生命周期防護(hù)服務(wù)平臺(tái)，筑牢數(shù)據(jù)安全新防線。

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞：