业务不断数据不丢工业互联网安全解决方案

1、“业务不停、数据不丢” -工业互联网安全处理之“道”主讲人：郭森 赵峰2月22日第1页为何做工业互联网，为何做工业互联网安全？工业互联网安全怎么做？我们实践，我们呼吁！010203第2页为何做工业互联网，为何做工业互联网安全？工业互联网安全怎么做？我们实践，我们呼吁！010203第3页世界经济形势和能源行业发展背景第4页信息技术发展带来机遇我国关键流程化企业产值 占世界百分比粗钢50%水泥60%平板玻璃50%电解铝70%化肥35%化纤43%43%发电25%第5页国家工业互联网建设要求第6页工业互联网应用环境Aidustry：行业互联，星云智造第7页工业互联网安全紧迫性各生产企业发生安全事件可能

2、性逐年加大！第8页工业互联网对于网络安全新需求第9页为何做工业互联网，为何做工业互联网安全？工业互联网安全怎么做？我们实践，我们呼吁！010203第10页工业互联网安全现实状况-德国4月电工电子与信息技术标准化委员会(DKE)工业4.0参考架构模型(RAMI4.0)第11页工业互联网安全现实状况-美国9月美国工业互联网联盟(IIC)工业互联网安全框架(IISF)第12页工业互联网安全现实状况-中国2月中国工业互联网产业联盟（AII）工业互联网安全框架第13页工业互联网安全总体处理方案意识先行培训制度防护对象网络数据应用防护目标数据不丢业务不断防护手段终端防护云安全加密认证单向隔离监测审计态势感

3、知应急处置管理改进打通IT与OT安全管理界面第14页业务不停、数据不丢全球工业互联网平台应用案例分析汇报国家工业信息安全发展研究中心第15页工业互联网安全保障方案（一） 云、端互信PLCHMIDCSSCADA数据库生产建模计划编程物料管理设备管理能源管理APSWMSERPPLMCRMSCMQMSQAHRMLevel3 企业层Level2 管理层Level1 控制层 单向网闸A云（公有云、私有云）开放、协作环境，威胁相对较大B端（厂矿侧）封闭、私有环境，威胁相对较小BI-商业智能SEM-战略绩效管理S&OP-供给链优化Level4 决议层终端防护流量审计加密认证云安全第16页终端防护最小化资源管

4、控：进程白名单、移动介质管控等智能运维：终端性能监控告警、补丁分发、安全策略分发、软件远程分发等可信计算：确保登录系统用户是可信、系统运行程序是可信，预防非法用户、进程及已知或未知攻击在KDM、KKM上布署终端防护软件模块（xGuard），安装后系统开机时间延时应小于20秒，系统内存占用小于20M，系统整机扫描时间不超出25分钟。第17页流量审计a实时数据采集和机器学习b工控协议全流量分析，动态拓扑c自动生成通信行为白名单内置黑名单d与KDM、KKM平台模块级集成第18页认证加密密钥管理中心工作密钥服务密钥分发密钥存放密钥销毁密钥恢复综合管理服务安全策略管理操作员审核接入审核操作日志审计工作日

5、志审计分布式密钥协商安全节点1密钥同时密钥启用密钥校验密钥注销安全节点2密钥同时密钥启用密钥校验密钥注销安全节点服务节点签到节点签退节点状态节点认证KDM-1KDM-3KDM-2KDM-4WEB服务中心状态监控用户管理密钥审核应用审核日志查看建设集中统一企业级密钥管理体系，为边缘计算设备安全申请和下发密钥、实现工业控制设备安全认证、应用系统间安全加解密服务。加密机资源池第19页云安全防护云平台SaaSPaaSIaaS平台虚拟化安全（Hypervisor）云平台系统加固虚拟网络安全：安全资源池（监测审计、防火墙、WAF、入侵检测、配置核查）虚机间隔离及安全防护数据库审计终端防护、加固容器安全监控

6、、OPEN API安全安全运维管理安全建设管理应用和数据安全设备和计算安全网络和通信安全物理和环境安全存放服务器网络操作系统中间件虚拟化数据云应用运行环境机房设施云数据防泄漏、云用户行为审计、云文件安全管控、云安全管理平台云管理平台第20页工业互联网安全保障方案 （二） 数据安全BI-商业智能SEM-战略绩效管理S&OP-供给链优化生产建模计划编程物料管理设备管理能源管理APSWMSERPPLMCRMSCMQMSQAHRMLevel3 企业层Level2 管理层数据脱敏数据加密数据备份Level4 决议层数据防泄漏（云）依靠布署在工厂侧边缘计算设备，传至云端是经过加工脱敏特征值是数据从端到云传

7、输和使用过程中应加密，保障数据不被窃取和篡改由工业互联网平台实现数据备份和恢复功效数据脱敏数据加密数据备份第21页工业互联网安全保障方案（三） 应用安全BI-商业智能SEM-战略绩效管理S&OP-供给链优化生产建模计划编程物料管理设备管理能源管理APSWMSERPPLMCRMSCMQMSQAHRMLevel3 企业层Level2 管理层应用冗余Level4 决议层WEB防护应用冗余由工业互联网平台本身冗余热备特征，保障对外提供服务应用不停WEB防护采取类似于CASB等技术，实现对DDOS和ATP防护为工业互联网平台提供一套认证授权系统认证授权署名认证第22页工业互联网安全保障方案（四)基于大数据技术及先进算法模型，可视化展现工业互联网态势感知、安全监控、通报预警、追踪溯源、应急处置决议可视化展现，态势感知