工业互联网安全之道

1、工业互联网安全之道“业务不断、数据不丢”为什么做工业互联网，为什么做工业互联网安全？工业互联网安全怎么做？我们的实践，我们的呼吁！世界经济形势和能源行业发展的背景信息技术的发展带来的机遇我国核心流程化企业产值占世界比例粗钢50%水泥60%平板玻璃50%电解铝70%化肥35%化纤43%43%发电25%国家工业互联网建设的要求工业互联网的应用环境Aidustry：工业互联网安全的急迫性各生产企业发生安全事件的可能性逐年加大！工业互联网对于网络安全的新需求为什么做工业互联网，为什么做工业互联网安全？工业互联网安全怎么做？我们的实践，我们的呼吁！工业互联网安全的现状-德国2015年4月电工电子与信息技

2、术标准化委员会(DKE)工业4.0参考架构模型(RAMI4.0)工业互联网安全的现状-美国2016年9月美国工业互联网联盟(IIC)工业互联网安全框架(IISF)工业互联网安全的现状-中国2018年2月中国工业互联网产业联盟（AII）工业互联网安全框架工业互联网安全总体解决方案意识先行培训制度防护对象网络数据应用防护目标防护手段管理 改进打通态势 IT与 数据业务终端云安加密单向监测感知OT 不丢不断防护全认证隔离审计应急安全处置管理界面业务不断、数据不丢全 球 工 业 互 联 网 平 台 应 用 案 例 分 析 报 告国 家 工 业 信 息 安 全 发 展 研 究 中 心工业互联网的安全保障

3、方案（一） 云、端互信PLCHMIDCSSCADA数据库生产建模计划编程物料管理设备能源理管理管APSWMS ERP PLM CRM HRMLevel3 企业层Level2 管理层Level1 控制层单向网闸开放、协作环境，威胁相对较大AB云（公有云、私有云）端（厂矿侧）封闭、私有环境，威胁相对较小BI-商业智能SEM-战略绩效管理SCM&SQMS链OP-供应QA优化Level4 决策层终端防护流量审计加密认证云安全终端防护智能运维：终端性能监控告警、补丁分发、安全策略分发、软件远程分发 等可信计算：确保登录系统的用户是可信的、系统运行的程序是可信的，防止非法用户、进程及已知或未知攻击在KDM

4、、KKM上部署终端防护软件模块（xGuard），安装后系统开机时间延时应小于20秒，系统内存占用小于20M，系统整机扫描时间不超过25分钟。最小化资源管控：进程白名单、移动介质管控等流量审计a实时数据采集和机器学习b工控协议全流量分析，动态拓扑c自动生成通信行为白名单 内置黑名单d与KDM、KKM平台模块级集成接口交换机流量解析 审计KDM工业互联网检修管理PI同步接口安全大数据挖掘管理软件模块KKM认证加密密 钥 管 理 中 心工作密钥服务密钥分发密钥存储密钥销毁密钥恢复综合管理服务操作员审核接入审核安全策略管理 操作日志审计 工作日志审计安全节点1密钥同步密钥启用密钥校验密钥注销安全节点2

5、密钥同步密钥启用密钥校验密钥注销安全节点服务节点签到节点签退节点状态节点认证WEB服务中心状态监控用户管理 密钥审核 应用审核 日志查看建设集中统一的企业级密钥管理体系，为边缘计算设备安全申请和下发密钥、实现工业控制设备的安全认证、应用系统间的安全加解密服务。KDM-1KDM-2KDM-3KDM-4分布式密钥协商加密机资源池云安全防护云平台 Sa a SPa a SIa a S虚拟网络安全：安全资源池（监测审计、防火墙、WAF、 入侵检测、配置核查）平台虚拟化安全（Hypervisor） 云平台系统加固虚机间隔离及安全防护安全运维管理安全建设管理应用和数据安全设备和计算安全网络和通信安全物理和

6、环境安全 存储 服务器 网络 操作系统 中间件 虚拟化 数据 云应用 运行环境 机房设施云数据防泄漏、云用户行为审计、 云文件安全管控、云安全管理平 台数据库审计终端防护、加固容器安全监控、OPEN API安全云管理平台工业互联网的安全保障方案 （二） 数据安全BI-商业S绩S&OP-供应链优化APSWMSERP生产计建模编智能PLM划物料程管理EM-战略CRM设备能源管理管理效管理SCMQMSQAHRMLevel3 企业层Level2 管理层数据脱敏数据加密数据备份Level4 决策层数据防泄漏（云）依托部署在工厂侧的边缘 计算设备，传至云端的是 经过加工的脱敏的特征值是数据从端到云的传输和

7、 使用过程中应加密，保障 数据不被窃取和篡改由工业互联网平台实现 数据的备份和恢复功能数据 脱敏数据 加密数据备份工业互联网的安全保障方案（三） 应用安全BI-商理略S&OP-供应链优化生产计建模编料 理 APS WMSERP业智能PLM划物程管SEM-战CRM设备 管理绩效管SC能源管理QMSQAHRMLevel3 企业层Level2 管理层应用冗余Level4 决策层应用冗余由工业互联网平台自身 冗余热备特性，保障对 外提供服务的应用不断WEB防护采用类似于CASB等技 术，实现对DDOS和 ATP的防护认证授权为工业互联网平台 提供一套认证授权 系统WEB防护签名认证M基于大数据技术及先进的算法模型，可视化展现工业互联网的态势感知、安全监控、通 报预警、追踪溯源、应急处置决策工业互联网的安全保障方案（四)可视化