助力智能制造|安盟信息新型基础设施数据安全防护解决方案
目前,“加快企业云平台的步伐,推动企业数字化、网络化、智能化转型”已成为企业的重要任务之一。但是,如何在推动企业云发展的同时避免数据安全风险呢?作为一家以技术为基础的公司,安盟信息在边境安全、工业控制安全和商业密码学方面有着深刻的理解和经验。面向智能制造的云场景,安盟信息提出了工业互联网数据安全解决方案,构建全面的数据安全体系,在风险控制的基础上实现数据的安全流动和使用,确保工业系统运行的安全可控。加强工业互联网、云平台安全防护和数据安全防护,提高互联网安全管理、态势感知、实时监控预警和风险防范能力,加强“企业云”应用和数据安全保障。已成为新基础设施建设的基本要求。在这种新的基础设施建设模式下,为了保证工业互联网的安全,安全保护对象主要要覆盖设备、控制、网络、应用和数据五个对象。
数据安全是针对数据的整个生命周期,包括数据收集、存储、传输、使用、迁移、销毁等各个方面,总体安全目标应包括保密性、完整性、可用性、可靠性、弹性和隐私等方面。(1)在用户端的设备端和工业互联网平台上,数据的收集应当合法并符合要求,所收集的数据应当进行存储和处理。(2)数据存储环节应对敏感数据采用访问控制技术,如关键设计和工艺参数,隔离存储服务,对存储节点的访问进行身份验证,并按严重程度级别对数据进行加密,并提供数据备份和恢复。(3)在系统内异构网络之间的通信传输中,数据应防止窃听和泄漏,保证数据传输的保密性、完整性和可用性,在通过网络隔离技术保证数据交换的同时不引入安全隐患。(4)在数据使用环节、工业现场环境的生产控制层、设备在使用数据时需要对访问用户进行认证和批准,数据已采取脱敏、销毁等措施。隔离不同安全级别的区域边界数据访问。(5)企业在协作和数据共享中,应确保数据不被泄露或滥用,数据共享和使用的全过程可追溯。(6)企业数据和应用程序托管在云平台上,需要租户隔离、信息脱敏和加密保护,以保护敏感数据免受泄露。该解决方案系统地解决了这些需求,满足了工业领域项目数据保护和安全建设的要求。2.程序架构2.程序架构针对数据保护的需要,在现场设备和控制层、现场监控层、过程监控层、生产管理层进行全面的网络安全保护、数据安全保护和数据安全的分离和交换。在各企业MES、ERP、CRM等业务系统集中的工业互联网云平台区域,数据安全中间台多租户服务模式为各企业提供应用和数据安全保护服务。以典型的智能制造企业为例,介绍了工业互联网数据安全保护架构。技术架构:本保护系统结合网络安全等级保护的基本要求。(2.0)工业控制系统扩展要求、工业企业安全通信网络、安全区域边界、安全计算环境等安全需求,符合《数据安全法》、《工业信息领域数据安全管理办法》,对终端保护、边界保护、身份认证、访问控制、数据加密、数据脱敏等进行监控。通过数据可追溯性等技术,应对智能制造企业数据面临的威胁。形成智能制造新的基础设施数据安全保护解决方案。方案的技术架构图如下图所示:
典型应用场景:通过在现场设备和控制层、过程监控层和生产管理层部署数据安全产品和服务,保护云、管道、边缘和端数据生命周期的所有环节。
图-典型应用场景图(1)设备数据控制主机防护配置在工程师站、操作员站、服务器等设备上,防止误操作,阻止未知程序,授予媒体访问权限等,提供系统的防破坏,提供数据的完整性和防止。机甲卫士专用于机床防护。在数控机床网络中部署这种保护系统,提供串行保护、USB保护和网络保护,并拦截非法数据传输。在安全管理中心部署工业漏洞扫描系统、统一的安全管理平台和安全维护管理系统,更好地提高了系统防护水平。(2)数据隔离与交换工业防火墙部署在监控层与控制网络之间,实现分层隔离保护。采用工业协议信号控制、参数控制、内容过滤、智能识别、集中管理等技术手段,保障工业协议和数据交互的安全。工业网络门位于生产网络和办公网络的边界上,结合工业控制系统的特殊性,通过对工业协议的深度分析和多重过滤,实现不同网络边界的隔离和数据交互,确保生产控制系统和管理网络之间数据的安全交换。(3)数据传输保护部署VPN安全网关,配置国家机密算法,使用IPSec加密通道或SSL加密通道,保护通信传输过程中数据的机密性和完整性。可部署便携VPN设备,灵活提供有线、4G/5G、WiFi等网络模式,轻松构建数据加密传输通道。配备运用维护管理系统,采用国家机密算法,保障用户登录各种业务系统的账号和密码等识别信息的传输安全。(4)云平台数据安全集成服务在工业互联网云平台上部署数据安全中心,采用多租户应用模式,为每个工业企业云上的MES、SCM、ERP等应用系统提供集成数据安全服务。它为企业数据提供基于国家机密算法的通用密码计算服务、解密、签名验证等计算服务,为数据完整性和保密性提供保护。提供身份验证服务、可靠时间服务和密钥存储服务;为企业用户提供数据库加密、文件加密服务,保证数据存储的保密性和完整性。提供数据脱敏服务,支持隐私数据发现、数据提取、数据漂白、测试数据管理、数据加载等功能,多种脱敏算法(可选)可对敏感数据进行变形、屏蔽、替换和加密;提供数据跟踪服务、工业数据跟踪、信息评估、过程再现等。它提供数据安全共享交换服务,智能合约服务。提供数据安全监控服务,帮助企业实时了解数据保护应用的合规性和数据安全保护状态。主要功能:(1)实现工业生产各环节数据生成、采集的安全保护。加强工业生产环境各主机、服务器、数控机床等设备的安全保护,实现数据存储的机密性和完整性保护,防止数据泄露。在重要级别保护不同类型的数据,包括设备数据、应用系统数据、知识库数据、公司数据和用户个人数据。(2)保护数据传输。方案提供的安全网关、便携式加密设备、安全客户端软件,均配置国家机密算法,可在异种产业网络中建立安全的VPN加密通道,保障关键业务数据、管理数据、用户鉴别信息传输的保密性和完整性。(3)采用国家机密算法,保护数据存储的机密性和完整性;云平台可以提供统一的接口数据加密和密钥管理服务,对企业的关键业务系统数据进行加密和保护。提供数据库加密、文件加密及磁盘加密服务,提供加密。提供数据本地备份和恢复功能,可为企业用户建立生产备份中心,城市或异地灾难恢复中心。(4)实现数据使用保护。该系统将在所有数据访问链接上实施授权和验证,以防止未经授权的访问应用程序和数据。对MES、SCM、ERP等业务系统的使用和数据的使用进行审核记录,形成审核分析。它为多种算法选项提供数据脱敏服务。(5)实现不同网络区域的数据隔离和交换保护。采用高性能隔离交换设备,保障数据高性能的单向、双向数据交换保护,满足生产网的高实时性要求。(6)以安全和可靠的方式销毁数据。通过Host Guard软件、云平台数据安全服务和特殊的数据删除工具软件,系统确保以不可逆的方式销毁数据。文件、目录和数据库记录等资源所在的存储空间在被删除后也会被安全地清除。(7)在工业互联网云平台区,以数据安全中间平台的形式为企业租户提供丰富的数据安全服务。企业可以登录租户管理中心,根据企业的数据保护需求选择和配置服务。云平台数据安全服务使用租户隔离机制,安全地隔离不同的企业资源。(8)该系统提供全面的审计功能和安全管理功能。通过引入审计节点、集成安全管理平台、日志审计分析系统、安全态势感知系统,企业用户可以全面了解工业系统网络和数据安全。方案特点(1)方案满足网络安全等级保护2.0和工业控制系统扩展要求,满足信息系统密码应用的基本要求,符合工业和信息技术领域数据安全管理方法。本方案结合管理制度,为企业构建科学完善的安全保护管理流程,全面提升企业数据安全保护管理水平。(2)在工业领域构建云、管、边、端的综合数据安全保护体系,适应各种工业生产应用场景,具有较高的程序构建实用性。(3)结合终端保护、外围保护、身份认证、访问控制、入侵检测、传输加密、云平台数据和应用安全保护技术,满足智能制造企业在云场景下的多租户安全隔离和分层级数据保护要求。(4)实现网络安全、数据安全、密码技术的融合,兼顾数据保护和监控,符合新型工业基础设施数据保护的发展方向。应用领域该系统为智能制造、航空航天、石油化工等关键行业的工业数据的整个生命周期提供全面的安全保护。与入侵检测、运维管理审核、态势感知等安全产品相结合,构建了多层次、深层次的防御体系,为工业互联网数据提供全面的安全保护。应用领域该系统为智能制造、航空航天、石油化工等关键行业的工业数据的整个生命周期提供全面的安全保护。与入侵检测、运维管理审核、态势感知等安全产品相结合,构建了多层次、深层次的防御体系,为工业互联网数据提供全面的安全保护。网络安全已经上升到国家战略的高度,网络安全涉及基础设施安全、城市安全、社会安全、国防安全,甚至国家安全。作为网络安全的守护者,安盟信息始终坚持以先进技术为核心,致力于为用户构建数据生命周期保护服务平台,树立数据安全新防线。