智能制造新型基础设施数据安全防护解决方案

2022-04-07

概述

近年来，各地方政府紧紧围绕落实"中国制造2025"战略，以云计算、大数据、工业互联网技术为支撑，着力构建具有特色的新型基础设施，提高企业资源配置效率，降低信息化建设成本，提高企业智能升级改造水平，促进共享经济发展，高标准推动"企业上云"行动。然而，新技术的应用在推进传统产业升级改造的同时，也带来了新的数据安全隐患。本方案面向智能制造迈向云端场景，提出工业互联网数据安全的解决方案，构建全方位的数据安全防护体系，在风险可控的基础上实现数据的安全流转和使用，确保工业系统业务安全可控。

需求分析

2020年3月，中共中央政治局常务委员会召开会议提出，加快5G网络、数据中心等新型基础设施建设进度。各地采取政府引导与企业自愿相结合的方式，发挥云平台服务商的主导牵引作用和云应用提供商的服务支撑作用，利用政策和资金鼓励引导企业积极融入云服务平台，共同参与云平台建设与推广，推进实施"企业上云"。同时，"企业上云"也作为政府推动传统产业改造升级和发展智能制造的重要抓手，促进企业向"互联网+智能制造"转型升级。

在该趋势下，加强工业互联网、云平台安全防护和数据安全保护，提高互联网安全管理、态势感知、实时监控预警和风险防范能力，强化"企业上云"的应用及数据安全保障也成为新型基础设施建设的基本要求。在该类新型基础设施建设模式下，为保障工业互联网安全，安全防护对象主要应涵盖设备、控制、网络、应用、数据五大对象，如下图所示。

图 2‑1工业互联网安全防护对象

数据安全面向数据全生命周期，包括数据收集、存储、传输、使用、迁移、销毁等各个环节，整体安全目标应包括保密性、完整性、可用性、可靠性、弹性和隐私等多个维度。具体安全需求如下：

（1）在用户侧设备端及工业互联网平台，数据的收集须合法合规，依据规定保存和处理收集的数据。

（2）数据的存储环节，对关键设计和工艺参数等敏感数据须采用访问控制技术，对存储业务进行隔离，对存储节点接入认证，数据按重要性等级加密，提供数据的备份和恢复。

（3）数据在系统中各异构网络的通信传输过程中，应防止被窃听而泄露，应保障数据传输的机密性、完整性与可用性，并需要通过网络隔离技术保障数据交换的同时不会引入安全风险。

（4）在数据使用环节，工业现场环境生产与控制层，设备对访问用户进行身份认证，数据使用时需授权，数据具备脱敏、销毁等措施。系统不同安全等级区域边界数据访问进行隔离。

（5）在企业协同和数据共享环节，需保证数据不被泄露和滥用，数据共享和使用全过程可溯。

（6）企业数据和应用托管至云平台，需进行租户隔离、信息脱敏和加密保护，以保护企业敏感数据不被泄露。

本方案可体系化地解决以上各类需求，满足工业领域该类项目数据保护和安全建设要求。

方案架构

针对数据防护需求，在现场设备与控制层、现场监控层、过程监控层、生产管理层进行全方位的网络安全防护、数据安全防护和数据安全隔离与交换；在各企业MES、ERP、CRM等业务系统集中的工业互联网云平台区域，以数据安全中台多租户服务的模式，为各企业提供应用和数据安全保护服务。本案以典型的智能制造企业为例，介绍工业互联网数据安全防护架构。

技术架构：

本防护体系结合《网络安全等级保护基本要求》（2.0）对工业控制系统扩展要求，对工业企业安全通信网络、安全区域边界、安全计算环境等安全需求，遵循《数据安全法》、《工业和信息化领域数据安全管理办法》，针对智能制造企业数据面临的威胁，通过终端防护、边界防护、身份认证、访问控制、数据加密、数据脱敏、数据溯源等技术，形成智能制造新型基础设施数据安全防护解决方案。方案的技术架构图如下图所示：

图 3‑1技术架构图

典型应用场景：

通过在现场设备与控制层、过程监控层、生产管理层的数据安全产品和服务的部署，在云、管、边、端形成对数据生命周期各环节的保护。

图 3‑2典型应用场景图

（1）设备数据防护

工控主机卫士部署于工程师站、操作员站、服务器等设备上，防止违规和误操作、阻止不明程序、授权移动存储介质访问权限等，提供系统防破坏功能，提供数据完整性保护和防泄露。

机甲卫士专用于机床防护。数控机床网络中部署该防护系统，可为数控机床提供串口防护、USB防护、网络防护，拦截非法数据传输。

在安全管理中心部署工业漏洞扫描系统、统一安全管理平台、安全运维管理系统，更好地提升系统防护水平。

（2）数据隔离与交换

工业防火墙部署于监控层和控制网之间，实现分层级的隔离防护。采用工业协议信令控制、参数控制、内容过滤、智能识别、集中管理等技术手段，对工业协议和数据交互进行安全防护。

工业网闸部署于生产网与办公网边界，结合工业控制系统的特殊性，通过对工业协议的深度解析和多重过滤，实现不同网络边界的隔离与数据交互，保障生产控制系统和管理网之间数据的安全交换。

（3）数据传输保护

部署VPN安全网关，配置国密算法，采用IPSec加密通道或SSL加密通道，保护数据在通信传输过程中的机密性和完整性。可部署便携式VPN设备，灵活提供有线、4G/5G、WiFi等组网方式，便捷构建数据加密传输通道。部署运维管理系统，采用国密算法，保障用户登录各种业务系统的账号和密码等鉴别信息传输安全。

（4）云平台数据安全综合服务

在工业互联网云平台部署数据安全中台，以多租户的应用模式，为各工业企业上云的MES、SCM、ERP等应用系统提供综合的数据安全服务。

为企业数据提供基于国密算法的通用密码运算服务、加解密、签名验签等运算服务，提供数据完整性和机密性保护；提供身份认证服务、可信时间服务、密钥托管服务；为企业用户提供数据库加密、文件加密服务，保障数据存储的机密性和完整性。

提供数据脱敏服务，可支持隐私数据发现、数据提取、数据漂白、测试数据管理、数据装载等功能，多种脱敏算法（可选）对敏感数据进行变形、屏蔽、替换、加密；提供数据溯源服务，对工业的数据追踪、信息评估、过程重现等；提供数据安全共享交换服务、智能合约服务。

提供数据安全防护监测服务，帮助企业实时掌握自身数据保护应用合规性及数据安全防护态势。

主要功能：

（1）实现工业生产各环节数据产生、收集的安全防护。对工业生产环境各主机、服务器、数控机床等设备进行安全防护加固，实现数据存储的机密性和完整性保护，防止数据泄露。对设备数据、应用系统数据、知识库数据、企业数据、用户个人数据等各类型数据按重要性等级不同进行保护。

（2）实现数据的传输保护。方案中提供的安全网关、便携式加密设备、安全客户端软件，均配置国密算法，可在异构工业网络中构建安全的VPN加密通道，保障关键业务数据、管理数据、用户鉴别信息传输的保密性和完整性。

（3）采用国密算法为数据存储提供保密性和完整性保护。云平台可提供统一接口的数据加密及密钥管理服务，对企业的重要业务系统数据进行加密保护。提供数据库加密、文件加密及磁盘加密保护服务，提供透明加密保护机制。提供数据本地备份与恢复功能，可为企业用户建立生产备份中心、同城或异地灾备中心。

（4）实现数据的使用保护。系统在各数据访问环节均实现了授权和验证，防止应用和数据越权访问。对MES、SCM、ERP等业务系统使用、数据使用均进行审计记录并形成审计分析。系统提供多种算法可选的数据脱敏服务。

（5）实现数据在不同网络区域的隔离和交换保护。采用高性能隔离交换设备，保障数据高性能地单向、双向数据交换保护，满足生产网高实时性要求。

（6）实现数据安全可靠地销毁。通过主机卫士软件、云平台数据安全服务以及数据专项清除工具软件，系统确保以不可逆的方式销毁数据；企业的文件、目录和数据库记录等资源所在的存储空间在删除释放时均确保安全清除。

（7）在工业互联网云平台区域，以数据安全中台的形式为企业租户提供种类丰富的数据安全服务。企业可登录租户管理中心，根据企业数据保护需求选择服务并进行相关配置。云平台数据安全服务采用租户隔离机制，确保不同企业资源安全隔离。

（8）系统提供全面的审计功能和安全管理功能。通过部署的审计节点、统一安管平台、日志审计与分析系统以及安全态势感知系统，企业用户可全面掌握工业系统网络和数据的安全情况。

方案特色

（1）方案符合网络安全等级保护2.0及工业控制系统扩展要求，符合信息系统密码应用基本要求，符合工业和信息化领域数据安全管理办法。本方案与管理制度相结合，可为企业构建科学完备的安全防护管理流程，全面提升企业数据安全防护管理水平。

（2）构建工业领域云、管、边、端全方位的纵深数据安全防护体系，适配多种工业生产应用场景，方案建设实用性强。

（3）终端防护、边界防护、身份认证、访问控制、入侵检测、传输加密和云平台数据及应用安全防护技术相结合，满足智能制造企业上云场景下多租户安全隔离和分层分级数据防护要求。

（4）网络安全、数据安全和密码技术融合赋能，数据保护和监测兼顾，符合工业新型基础设施数据保护发展方向。

适用领域

该系统可为智能制造、航空航天、石油化工等重点行业提供工业数据全生命周期的安全综合防护。与入侵检测、运维管理与审计、态势感知等安全产品相结合，构建多层次纵深防御体系，为工业互联网数据提供全面的安全防护。

关闭

上一篇：无

下一篇：无

相关新闻