我的位置 首页  >  新闻动态  >  国内新闻

为我国工业互联网筑起“安全之墙”

来源:科技成果转化中心时间:2019-05-25
      

工业互联网是新一代网络信息技术与制造业的深度融合,其本质就是通过开放的、全球化的通信网络平台,把设备、生产线、工厂、产品等紧密地连接起来,共享工业生产全流程的各种要素资源,使其数字化、网络化、自动化、智能化,是赋能制造业转型升级的关键支撑。

我国工业互联网发展历程

我国工业飞速发展得益于自动控制技术的引进和自我造血、自主创新能力的不断提升。

自1970年引入第一代自动化系统以来, 实现了机器换人,提高了生产效率和产品品质。随后在经历了以精益为基础、数字化建模、仿真和信息化生产、管理为特点的第二次数字化升级建设,使我国工业基础得到巨大提升,向数据要效益,给我国工业带来勃勃生机。进入20世纪,智能化成为新的趋势,大数据、人工智能技术高速发展,新产品、新模式、新业态使得我国在多个领域实现弯道超车,进一步推动我国工业发展。

近年,我国工业在逆境中前行,网络化成为新的主流趋势,云技术、工业互联网成为新的主题,新的技术和理念的应用,实现生产企业纵向、横向,端到端的集成,互联与社会化协同,信息系统融入人的智慧,实现真正的智慧智造。

我国工业互联网相关政策

2015年国务院发布《关于积极推进“互联网 +”行动的指导意见》提出推动互联网与制造业融合,提升制造业数字化、网络化、智能化水平,加强产业链协作,发展基于互联网的协同制造新模式。

2019年1月18日,工信部印发《工业互联网网络建设及推广指南》,初步建成工业互联网基础设施和技术产业体系,包括建设满足试验和商用需求的工业互联网企业外网标杆网络,建设一批工业互联网企业内网标杆网络,建成一批关键技术和重点行业的工业互联网网络实验环境,建设20个以上网络技术创新和行业应用测试床,形成先进、系统的工业互联网网络技术体系和标准体系等。 几乎每一年都推出新的政策和指导意见,涵盖加强工作指导,建立安全技术保障体系,建立安全检查机制,建立工业互联网数据安全保护,推进工业互联网安全产业发展等方面。

2019年3月,2019年全国两会上,“工业互联网”成为“热词”并写入《2019年国务院政府工作报告》。报告提出,围绕推动制造业高质量发展,强化工业基础和技术创新能力,促进先进制造业和现代服务业融合发展,加快建设制造强国。打造工业互联网平台,拓展“智能+”,为制造业转型升级赋能。

由此可见,国家对于工业互联网建设不遗余力,如何建设好我国的工业互联网已成为现阶段重点任务,这是国家给企业留下的答卷,如何建设好,并保证其安全可靠,是每个互联网企业和安全厂商需要面临的问题。

我国工业互联网构成

我国工业互联网构成主要包含两大基础要素,第一是工业企业,第二是工业互联网平台,如下图所示:

工业互联网组成要素示意图

从宏观上来看,我国现阶段工业互联网建设重点落实在制造业(国家制造强国建设领导小组关于设立工业互联网专项工作组的通知【工信部信管〔2018〕41号】),建设制造强国目标。其网络架构为企业生产管理网络+私有云+地区级公有云+国家级工业云的互联关系,如下图所示:

我国“工业互联网”是开放、全国化的网络,将人、数据和机器连接起来,属于泛互联网的目录分类。它是我国工业系统与高级计算、分析、传感技术及互联网的高度融合。

我国工业互联网面临的安全挑战

我国工业互联网发展起步较早,但与发达国家相比,仍面临差距,主要表现为关键基础能力不足、生态构建能力不足和保障支撑能力不足三个方面。现阶段的工业互联网安全,主要包含两层含义,一是系统安全,二是数据安全。对于工业企业而言,其基础安全不一而足,主要存在以下问题:

1.解决方案多样化

随着我国工控安全市场的爆发,绝大多数传统信息安全厂商加入市场角逐,由于其在工控领域的积累不足,造成安全解决方案多样、不足、片面的情况普遍存在,并且方案缺少针对性、落地性,往往高度很高,不能平稳落地;

2.安全建设片面化

我国的工控安全市场现阶段,还是以事件驱动为主要推动力,在企业工控系统遭受病毒攻击后才会真正的加以重视,而在建设时却过多的强调解决目前阶段紧迫性问题,缺少系统性顶层规划设计,安全建设不能着眼于全局,缺乏必要的前瞻性和开拓性,格局有限;

3.安全防护设备多样化、复杂化

由于工控系统安全产品标准尚未出台,属于摸着石头过河阶段,绝大多数企业信息主管人员,思想上存在传统IT防护产品带入的换位思维。由于对业务流程、系统特点的不熟悉,造成大量传统防护产品被带入工控网,但是由于“水土不服”造成防护效果不理想,甚至达不到要求,各家安全产品百家争鸣,很难形成有效的合力;

3.安全标准不足、各自为政

由于工控安全建设标准正在完善过程,尤其涉及行业的标准一直处于空白,因此一些大型的集团企业各自推出自己的企业标准,由于其出发点存在一定的局限性,在标准订立时难免会出现偏向性。

我国的工业控制系统广泛分布在水力、电力能源、石油、化工、制造、航空航天、交通运输、市政等国家重要基础设施,筑牢工业互联网安全屏障刻不容缓。

我国工业互联网安全架构

依据《信息安全技术工业互联网平台网络安全设计指南》标准草案,工业互联网平台安全框架主要从基础安全、数据安全、应用安全及安全运营与管理等方面开展。如下图所示:

基础安全要从边界防护、身份鉴别、访问控制、入侵防范、恶意代码防范、安全审计、虚拟化安全、接入安全和资源控制9个层面开展。

数据安全需要从数据安全分类、数据存储安全、数据传输安全、数据使用安全、数据迁移安全、数据备份与还原和用户隐私数据保护7个层面开展。

应用安全需要从身份鉴别、访问控制、接口安全、资源控制4个层面展开。

随着IPV6技术的试点和推广,可使通信安全提升一个等级。加之区块链技术在工业领域的广泛应用,其共识算法、公开透明、不可篡改的特性,将进一步确保工业互联网的安全。

威努特工业互联网安全解决方案

从网络结构来看基础(工业企业)安全是重点,其涉及信息安全+工控安全,对企业自身安全提出很高要求。现场控制设备多样,复杂、异构的网络空间节点,给工控网络带来诸多安全隐患。安全防护产品多样化,功能复杂化,“百家争鸣、多龙治水”防护效果有限,各自为战,无法统一。

工控安全建设其根本目的是确保“数据不丢失,生产不停滞”,工控安全建设应当以不影响企业生产安全的稳定运行为第一要务,而要实现这一目标则首先要确保,安全防护方案最优化、产品轻量化、更新最少化、维护最简化。

威努特成立至今专注于工控安全,凭借在国家重点行业近500家客户的现场实施经验,针对工业互联网的各个层面进行相对应的综合安全解决方案。

该方案基于白名单,采用主动防御技术,建立整个工控网络白环境,杜绝事后诸葛亮式的被动防御,在企业侧通过开展工控安全评估建设,梳理网络资产和规范基础架构,实现网络空间节点优化,为建设“纵向到底、横向到边”的网络白环境,打下坚实基础。建立企业生产安全一张网,安全建设顶层规划,以大格局、大视角统揽全局,整合安全资产、资源,以多视角、多层次展现安全生产现状,概览安全总貌,彻底解决安全产品无法统一之问题,最大限度发挥安全产品防护效能。

在安全建设上注重技术与管理并重的原则,与企业一起整合现场各种管理应用系统,优化系统功能,落地可执行标准和相关制度建设、考核体系,持续提升工控安全防护能力。

总体架构图 

威努特工业互联防火墙

威努特TEG5500系列工业互联防火墙基于自主可控的操作系统和高性能硬件平台,采用访问控制、入侵防御、病毒过滤等融合的安全技术,重点监控工业网络中互联网边界、MES层边界的网络流量,发现并阻断已知和未知的网络攻击行为,保护工业网络内部核心设施,从而构建可管、可信和可视的工业网络系统,为工业用户提供安全智能的边界安全防护方案。

应用场景图

产品特点

深度业务感知,工业流量可视化及资产管理

通过自主研发的深度数据包解析引擎,能够检测出100+种的ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider等主流厂商工控协议和工控设备类型发现,基于协议和设备类型实现工业流量的可视化和资产管理。

丰富网络特性,适应复杂工业环境复杂网络

基于高性能硬件平台和智能工控安全操作系统(IICS-OS),融合了丰富的网络特性,在满足IPv4/IPv6双协议栈的同时,配合DDNS、智能路由、链路负载均衡、服务器负载均衡等特性,可在802.1Q、GRE 、RIP、OSPF、VRF、多ISP等各种复杂的工业网络环境中灵活组网,也更符合工业互联网时代的业务发展趋势。

一体化检测引擎,全面精准防御安全风险

集成了访问控制、负载均衡、入侵防御、病毒过滤、VPN接入、威胁可视化等功能,能够为工业用户提供一个灵活、高效、全面的边界安全解决方案。

通过超过4000种预定义的攻击特征库、攻击特征自定义能力、高性能病毒检测引擎和报文的深度还原解析技术,TEG 5500系列工业互联防火墙具备从数据链路层到应用层的入侵攻击防御和已知/未知病毒实时检测拦截能力,从而有效的阻断针对工业网络有目的的攻击行为,全方位保护工业网络中的核心设施,保障工业生产系统持续运行。

结束语

我国作为工业大国,工业互联网建设仍然面临诸多瓶颈,安全技术和危机意识亟待提高。威努特围绕工业互联网安全发展需求推出的工业互联网防护产品和安全解决方案,将致力为工业用户筑牢工业互联网“安全之墙“,为保障我国工业互联网建设不遗余力,实现安全与发展双轮并进。




文章来源:威努特工控安全


       (科技成果转化中心供稿)