概述

近年來，各地方政府緊緊圍繞落實"中國制造2025"戰(zhàn)略，以云計算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)技術為支撐，著力構(gòu)建具有特色的新型基礎設施，提高企業(yè)資源配置效率，降低信息化建設成本，提高企業(yè)智能升級改造水平，促進共享經(jīng)濟發(fā)展，高標準推動"企業(yè)上云"行動。然而，新技術的應用在推進傳統(tǒng)產(chǎn)業(yè)升級改造的同時，也帶來了新的數(shù)據(jù)安全隱患。本方案面向智能制造邁向云端場景，提出工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的解決方案，構(gòu)建全方位的數(shù)據(jù)安全防護體系，在風險可控的基礎上實現(xiàn)數(shù)據(jù)的安全流轉(zhuǎn)和使用，確保工業(yè)系統(tǒng)業(yè)務安全可控。

需求分析

2020年3月，中共中央政治局常務委員會召開會議提出，加快5G網(wǎng)絡、數(shù)據(jù)中心等新型基礎設施建設進度。各地采取政府引導與企業(yè)自愿相結(jié)合的方式，發(fā)揮云平臺服務商的主導牽引作用和云應用提供商的服務支撐作用，利用政策和資金鼓勵引導企業(yè)積極融入云服務平臺，共同參與云平臺建設與推廣，推進實施"企業(yè)上云"。同時，"企業(yè)上云"也作為政府推動傳統(tǒng)產(chǎn)業(yè)改造升級和發(fā)展智能制造的重要抓手，促進企業(yè)向"互聯(lián)網(wǎng)+智能制造"轉(zhuǎn)型升級。

在該趨勢下，加強工業(yè)互聯(lián)網(wǎng)、云平臺安全防護和數(shù)據(jù)安全保護，提高互聯(lián)網(wǎng)安全管理、態(tài)勢感知、實時監(jiān)控預警和風險防范能力，強化"企業(yè)上云"的應用及數(shù)據(jù)安全保障也成為新型基礎設施建設的基本要求。在該類新型基礎設施建設模式下，為保障工業(yè)互聯(lián)網(wǎng)安全，安全防護對象主要應涵蓋設備、控制、網(wǎng)絡、應用、數(shù)據(jù)五大對象，如下圖所示。

圖 2?1工業(yè)互聯(lián)網(wǎng)安全防護對象

數(shù)據(jù)安全面向數(shù)據(jù)全生命周期，包括數(shù)據(jù)收集、存儲、傳輸、使用、遷移、銷毀等各個環(huán)節(jié)，整體安全目標應包括保密性、完整性、可用性、可靠性、彈性和隱私等多個維度。具體安全需求如下：

（1）在用戶側(cè)設備端及工業(yè)互聯(lián)網(wǎng)平臺，數(shù)據(jù)的收集須合法合規(guī)，依據(jù)規(guī)定保存和處理收集的數(shù)據(jù)。

（2）數(shù)據(jù)的存儲環(huán)節(jié)，對關鍵設計和工藝參數(shù)等敏感數(shù)據(jù)須采用訪問控制技術，對存儲業(yè)務進行隔離，對存儲節(jié)點接入認證，數(shù)據(jù)按重要性等級加密，提供數(shù)據(jù)的備份和恢復。

（3）數(shù)據(jù)在系統(tǒng)中各異構(gòu)網(wǎng)絡的通信傳輸過程中，應防止被竊聽而泄露，應保障數(shù)據(jù)傳輸?shù)臋C密性、完整性與可用性，并需要通過網(wǎng)絡隔離技術保障數(shù)據(jù)交換的同時不會引入安全風險。

（4）在數(shù)據(jù)使用環(huán)節(jié)，工業(yè)現(xiàn)場環(huán)境生產(chǎn)與控制層，設備對訪問用戶進行身份認證，數(shù)據(jù)使用時需授權，數(shù)據(jù)具備脫敏、銷毀等措施。系統(tǒng)不同安全等級區(qū)域邊界數(shù)據(jù)訪問進行隔離。

（5）在企業(yè)協(xié)同和數(shù)據(jù)共享環(huán)節(jié)，需保證數(shù)據(jù)不被泄露和濫用，數(shù)據(jù)共享和使用全過程可溯。

（6）企業(yè)數(shù)據(jù)和應用托管至云平臺，需進行租戶隔離、信息脫敏和加密保護，以保護企業(yè)敏感數(shù)據(jù)不被泄露。

本方案可體系化地解決以上各類需求，滿足工業(yè)領域該類項目數(shù)據(jù)保護和安全建設要求。

方案架構(gòu)

針對數(shù)據(jù)防護需求，在現(xiàn)場設備與控制層、現(xiàn)場監(jiān)控層、過程監(jiān)控層、生產(chǎn)管理層進行全方位的網(wǎng)絡安全防護、數(shù)據(jù)安全防護和數(shù)據(jù)安全隔離與交換；在各企業(yè)MES、ERP、CRM等業(yè)務系統(tǒng)集中的工業(yè)互聯(lián)網(wǎng)云平臺區(qū)域，以數(shù)據(jù)安全中臺多租戶服務的模式，為各企業(yè)提供應用和數(shù)據(jù)安全保護服務。本案以典型的智能制造企業(yè)為例，介紹工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護架構(gòu)。

技術架構(gòu)：

本防護體系結(jié)合《網(wǎng)絡安全等級保護基本要求》（2.0）對工業(yè)控制系統(tǒng)擴展要求，對工業(yè)企業(yè)安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境等安全需求，遵循《數(shù)據(jù)安全法》、《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法》，針對智能制造企業(yè)數(shù)據(jù)面臨的威脅，通過終端防護、邊界防護、身份認證、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)溯源等技術，形成智能制造新型基礎設施數(shù)據(jù)安全防護解決方案。方案的技術架構(gòu)圖如下圖所示：

圖 3?1技術架構(gòu)圖

典型應用場景：

通過在現(xiàn)場設備與控制層、過程監(jiān)控層、生產(chǎn)管理層的數(shù)據(jù)安全產(chǎn)品和服務的部署，在云、管、邊、端形成對數(shù)據(jù)生命周期各環(huán)節(jié)的保護。

圖 3?2典型應用場景圖

（1）設備數(shù)據(jù)防護

工控主機衛(wèi)士部署于工程師站、操作員站、服務器等設備上，防止違規(guī)和誤操作、阻止不明程序、授權移動存儲介質(zhì)訪問權限等，提供系統(tǒng)防破壞功能，提供數(shù)據(jù)完整性保護和防泄露。

機甲衛(wèi)士專用于機床防護。數(shù)控機床網(wǎng)絡中部署該防護系統(tǒng)，可為數(shù)控機床提供串口防護、USB防護、網(wǎng)絡防護，攔截非法數(shù)據(jù)傳輸。

在安全管理中心部署工業(yè)漏洞掃描系統(tǒng)、統(tǒng)一安全管理平臺、安全運維管理系統(tǒng)，更好地提升系統(tǒng)防護水平。

（2）數(shù)據(jù)隔離與交換

工業(yè)防火墻部署于監(jiān)控層和控制網(wǎng)之間，實現(xiàn)分層級的隔離防護。采用工業(yè)協(xié)議信令控制、參數(shù)控制、內(nèi)容過濾、智能識別、集中管理等技術手段，對工業(yè)協(xié)議和數(shù)據(jù)交互進行安全防護。

工業(yè)網(wǎng)閘部署于生產(chǎn)網(wǎng)與辦公網(wǎng)邊界，結(jié)合工業(yè)控制系統(tǒng)的特殊性，通過對工業(yè)協(xié)議的深度解析和多重過濾，實現(xiàn)不同網(wǎng)絡邊界的隔離與數(shù)據(jù)交互，保障生產(chǎn)控制系統(tǒng)和管理網(wǎng)之間數(shù)據(jù)的安全交換。

（3）數(shù)據(jù)傳輸保護

部署VPN安全網(wǎng)關，配置國密算法，采用IPSec加密通道或SSL加密通道，保護數(shù)據(jù)在通信傳輸過程中的機密性和完整性。可部署便攜式VPN設備，靈活提供有線、4G/5G、WiFi等組網(wǎng)方式，便捷構(gòu)建數(shù)據(jù)加密傳輸通道。部署運維管理系統(tǒng)，采用國密算法，保障用戶登錄各種業(yè)務系統(tǒng)的賬號和密碼等鑒別信息傳輸安全。

（4）云平臺數(shù)據(jù)安全綜合服務

在工業(yè)互聯(lián)網(wǎng)云平臺部署數(shù)據(jù)安全中臺，以多租戶的應用模式，為各工業(yè)企業(yè)上云的MES、SCM、ERP等應用系統(tǒng)提供綜合的數(shù)據(jù)安全服務。

為企業(yè)數(shù)據(jù)提供基于國密算法的通用密碼運算服務、加解密、簽名驗簽等運算服務，提供數(shù)據(jù)完整性和機密性保護；提供身份認證服務、可信時間服務、密鑰托管服務；為企業(yè)用戶提供數(shù)據(jù)庫加密、文件加密服務，保障數(shù)據(jù)存儲的機密性和完整性。

提供數(shù)據(jù)脫敏服務，可支持隱私數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)提取、數(shù)據(jù)漂白、測試數(shù)據(jù)管理、數(shù)據(jù)裝載等功能，多種脫敏算法（可選）對敏感數(shù)據(jù)進行變形、屏蔽、替換、加密；提供數(shù)據(jù)溯源服務，對工業(yè)的數(shù)據(jù)追蹤、信息評估、過程重現(xiàn)等；提供數(shù)據(jù)安全共享交換服務、智能合約服務。

提供數(shù)據(jù)安全防護監(jiān)測服務，幫助企業(yè)實時掌握自身數(shù)據(jù)保護應用合規(guī)性及數(shù)據(jù)安全防護態(tài)勢。

主要功能：

（1）實現(xiàn)工業(yè)生產(chǎn)各環(huán)節(jié)數(shù)據(jù)產(chǎn)生、收集的安全防護。對工業(yè)生產(chǎn)環(huán)境各主機、服務器、數(shù)控機床等設備進行安全防護加固，實現(xiàn)數(shù)據(jù)存儲的機密性和完整性保護，防止數(shù)據(jù)泄露。對設備數(shù)據(jù)、應用系統(tǒng)數(shù)據(jù)、知識庫數(shù)據(jù)、企業(yè)數(shù)據(jù)、用戶個人數(shù)據(jù)等各類型數(shù)據(jù)按重要性等級不同進行保護。

（2）實現(xiàn)數(shù)據(jù)的傳輸保護。方案中提供的安全網(wǎng)關、便攜式加密設備、安全客戶端軟件，均配置國密算法，可在異構(gòu)工業(yè)網(wǎng)絡中構(gòu)建安全的VPN加密通道，保障關鍵業(yè)務數(shù)據(jù)、管理數(shù)據(jù)、用戶鑒別信息傳輸?shù)谋Ｃ苄院屯暾浴?/p>

（3）采用國密算法為數(shù)據(jù)存儲提供保密性和完整性保護。云平臺可提供統(tǒng)一接口的數(shù)據(jù)加密及密鑰管理服務，對企業(yè)的重要業(yè)務系統(tǒng)數(shù)據(jù)進行加密保護。提供數(shù)據(jù)庫加密、文件加密及磁盤加密保護服務，提供透明加密保護機制。提供數(shù)據(jù)本地備份與恢復功能，可為企業(yè)用戶建立生產(chǎn)備份中心、同城或異地災備中心。

（4）實現(xiàn)數(shù)據(jù)的使用保護。系統(tǒng)在各數(shù)據(jù)訪問環(huán)節(jié)均實現(xiàn)了授權和驗證，防止應用和數(shù)據(jù)越權訪問。對MES、SCM、ERP等業(yè)務系統(tǒng)使用、數(shù)據(jù)使用均進行審計記錄并形成審計分析。系統(tǒng)提供多種算法可選的數(shù)據(jù)脫敏服務。

（5）實現(xiàn)數(shù)據(jù)在不同網(wǎng)絡區(qū)域的隔離和交換保護。采用高性能隔離交換設備，保障數(shù)據(jù)高性能地單向、雙向數(shù)據(jù)交換保護，滿足生產(chǎn)網(wǎng)高實時性要求。

（6）實現(xiàn)數(shù)據(jù)安全可靠地銷毀。通過主機衛(wèi)士軟件、云平臺數(shù)據(jù)安全服務以及數(shù)據(jù)專項清除工具軟件，系統(tǒng)確保以不可逆的方式銷毀數(shù)據(jù)；企業(yè)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間在刪除釋放時均確保安全清除。

（7）在工業(yè)互聯(lián)網(wǎng)云平臺區(qū)域，以數(shù)據(jù)安全中臺的形式為企業(yè)租戶提供種類豐富的數(shù)據(jù)安全服務。企業(yè)可登錄租戶管理中心，根據(jù)企業(yè)數(shù)據(jù)保護需求選擇服務并進行相關配置。云平臺數(shù)據(jù)安全服務采用租戶隔離機制，確保不同企業(yè)資源安全隔離。

（8）系統(tǒng)提供全面的審計功能和安全管理功能。通過部署的審計節(jié)點、統(tǒng)一安管平臺、日志審計與分析系統(tǒng)以及安全態(tài)勢感知系統(tǒng)，企業(yè)用戶可全面掌握工業(yè)系統(tǒng)網(wǎng)絡和數(shù)據(jù)的安全情況。

方案特色

（1）方案符合網(wǎng)絡安全等級保護2.0及工業(yè)控制系統(tǒng)擴展要求，符合信息系統(tǒng)密碼應用基本要求，符合工業(yè)和信息化領域數(shù)據(jù)安全管理辦法。本方案與管理制度相結(jié)合，可為企業(yè)構(gòu)建科學完備的安全防護管理流程，全面提升企業(yè)數(shù)據(jù)安全防護管理水平。

（2）構(gòu)建工業(yè)領域云、管、邊、端全方位的縱深數(shù)據(jù)安全防護體系，適配多種工業(yè)生產(chǎn)應用場景，方案建設實用性強。

（3）終端防護、邊界防護、身份認證、訪問控制、入侵檢測、傳輸加密和云平臺數(shù)據(jù)及應用安全防護技術相結(jié)合，滿足智能制造企業(yè)上云場景下多租戶安全隔離和分層分級數(shù)據(jù)防護要求。

（4）網(wǎng)絡安全、數(shù)據(jù)安全和密碼技術融合賦能，數(shù)據(jù)保護和監(jiān)測兼顧，符合工業(yè)新型基礎設施數(shù)據(jù)保護發(fā)展方向。

適用領域

該系統(tǒng)可為智能制造、航空航天、石油化工等重點行業(yè)提供工業(yè)數(shù)據(jù)全生命周期的安全綜合防護。與入侵檢測、運維管理與審計、態(tài)勢感知等安全產(chǎn)品相結(jié)合，構(gòu)建多層次縱深防御體系，為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)提供全面的安全防護。