搜索
1工业互联网安全体系建立与发展重点2目录一、工业互联网内涵二、工业互联网安全风险三、工业互联网安全体系四、工业互联网安全发展重点3工业互联网成为智能制造竞争的新热点工业互联网是实现制造业智能化的核心美国:先进制造战略先进制造战略工业互联网/CPS:先进制造战略的重要创新方向和基础德国:工业4.0战略工业4.0战略工业互联网/CPS:工业4.0的核心基础无论美德使用何种名词,均将工业互联网作为变革工业和确立竞争新优势的技术基础,注重将顶层设计与优势企业主导相结合,突出数据在整个架构中的核心作用,加快相关领域标准化进程。德国重点是基于制造装备、工业自动化、工业软件等方面的领先地位,通过全工业体系的协同(研究机构、协会、大学等),强化“硬制造”优势,同时拓展“软服务”能力。美国是利用基础科学、工业、信息技术、互联网等领域的综合优势,构建全球性的生态体系组织,从大数据应用等“软服务”切入,带动工业全流程、全环节竞争力的整体提升。(IndustrialInternet)4德国工业4.0:人机物信息互联互通时间18世纪末工业1.0创造了机器工厂的“蒸汽时代”20世纪初电力广泛应用蒸汽机信息物联系统1970年代初今天工业2.0将人类带入分工明确、大批量生产的流水线模式和“电气时代”工业3.0应用电子信息技术,进一步提高生产自动化水平自动化、信息化工业4.0开始应用信息物理融合系统(CPS)复杂度目标:建立一个高度灵活的个性化、数字化产品与服务的生产模式关键点:“原材料(物质)”=“信息”。智能工厂使用了含有信息的原材料,实现了“原材料(物质)”=“信息”,制造业终将成为信息产业的一部分。所以,工业4.0将成为最后一次工业革命。5中国制造2025——战略规划国家效益:20年3万亿美元GDP增量。企业效益:效率↑20%,成本↓20%,节能减排↓10%。4十大重点领域五大工程核心关键一条主线2015年《中国制造2025》+“1+X”实施方案和规划体系+高端领域技术路线图的绿皮书信息化与工业化深度融合创新驱动、智能转型国家制造业创新中心建设工程大力推进智能制造新一代信息技术高档数控机床和机器人航空航天装备海洋工程装备及高技术船舶先进轨道交通装备智能制造网络化、数字化、智能化工业强基工程绿色发展工程节能与新能源汽车电力装备新材料生物医药及高性能医疗器械农业机械装备高端装备创新工程已通过近期印发互联网+6什么是工业互联网个性化定制网络化协同…服务化延伸工厂外网络/全球互联网络工厂内网络IT网络OT网络云计算/边缘计算云计算智能化生产端到端数据流动工业互联网是互联网和新一代信息技术与全球工业系统全方位深度融合集成所形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施①工业互联网是网络,实现机器、物品、控制系统、信息系统、人之间的泛在联接②工业互联网是平台,通过工业云和工业大数据实现海量工业数据的集成、处理与分析③工业互联网是新模式新业态,实现智能化生产、网络化协同、个性化定制和服务化延伸7工业互联网与智能制造目标质量、效率、效益、创新、绿色……特征战略方向技术基础战略计划外在:个性化定制、智能化生产、网络化协同、服务化延伸……外在:个性化定制、智能化生产、网络化协同、服务化延伸……智能制造工业互联网(工业物联网/工业CPS)+智能化设备+新材料+新工艺+……德国工业4.0美国先进制造/工业互联网中国制造2025/互联网+/两化深度融合8工业互联网的范畴先进材料3D打印元器件工艺与整机…生产设备本体传感终端工业网络制造管理平台(实时监测、系统控制)行业应用工业云平台+智能装备泛在感知终端智能网连汽车智能家居……个性化定制协同制造供应链协作…智能制造工业互联网9核心是基于全面互联而形成数据驱动的智能智能控制资产优化虚拟仿真智能化生产服务化延伸设计协作供应协作制造协作智能服务全面互联端管云网络化协同个性化定制C2B定制数据采集数据连接与传输数据计算与处理数据智能产品良率预测性运维智能装备机器人智能产品……工厂/企业外互联工厂/企业内互联信息/生产系统互联……工厂/企业内专有云外部专有云/公有云……先进材料先进工艺其它基础…行业经验/知识/技能基于数据自决策自执行跨设备跨系统跨企业数据共享基于数据的建模与智能分析B2B定制……智能制造智能管理工业/产业基础10现在的工厂生产模式根据市场数据经验预测顾客选择产品型号经销商人库存企业主机交付有无订单人1人2产品机器1机器2物料1物料2合作厂3合作厂1合作厂2信息交互指令(订单)物的流向11未来的智慧工厂生产模式智慧工厂市场大数据判断顾客定制企业网络人网络交互产品机器1机器2物料1物料2合作厂3合作厂1合作厂2网络交互指令(订单)物的流向知道,我能在XXX时间完成交付知道,我可以按时完成交付知道,有点儿小困难,一定克服完成知道,订单紧急,正在寻求其他资源,一定完成全程可视化信息我从哪里来,要到哪里去?你来怎么操作在这里你要让我达到质量要求我是谁?我从哪来?要到哪去?要按什么时间、地点交付给谁?我们一起配合知道按程序1操作知道按程序2操作总体干得不错!XX机器下次需要修理,有些产品我们工厂可以做吗?怎么做?12未来的趋势——智慧大脑传统互联网移动互联网工业互联网物联网大数据云计算13工业互联网的发展与应用第一:通过大数据和分析建立核心竞争优势;第二:通过云计算重新塑造企业业务模式;第三:通过移动和社交技术构建互动参与体系。运用新一代信息技术促使传统企业向智慧企业转型14目录一、工业互联网内涵二、工业互联网安全风险三、工业互联网安全体系四、工业互联网安全发展重点15工业互联网总体架构三大智能化闭环:智能生产控制、智能运营决策优化、消费需求与生产制造精确对接智能化生产企业内网络化协同企业-企业个性化定制企业-用户服务化延伸企业-产品应用物理系统数据网络安全设备安全数据安全控制安全应用安全网络互联应用支撑标识解析产业视角互联网视角产业数据采集交换生产反馈控制数据集成处理产业建模、仿真与分析车间/工厂/企业运营决策优化网络安全数据:本质是数据智能在工业中的全周期应用,包括“采集交换-集成处理-建模分析-决策与控制”,形成优化闭环,驱动工业智能化。网络:本质是实现数据智能的网络基础,包括网络互联、标识解析、应用支撑三大体系。安全:本质是工业/产业互联网各个领域和环节的安全保障,包括设备安全、控制安全、网络安全、应用安全等。总体架构用户(消费者/企业用户)16开放、互联、智能形势下的工控安全挑战工业云平台工厂外网定制业务协同业务产品服务智能工厂协作企业工厂内网工业云平台ERPSCMCRMMESSCADA工程师/操作员站HMI智能传感器工业机器人智能机械…控制环境开放化使外部互联网威胁渗透到工厂控制环境控制安全网络安全数据安全网络IP化、无线化以及组网灵活化给工厂网络带来更大的安全风险数据的开放、流动和共享使数据和隐私保护面临前所未有的挑战设备安全设备智能化使生产装备和产品暴露在网络攻击之下17工业互联网面临的五大安全风险“两化融合”“中国制造2025”工业互联网漏洞剧增设备后门工业网络病毒攻击趋易组织化威胁工艺信息泄漏商业信息泄漏产品质量下降生产停顿安全事故社会动荡保密信息泄漏18五大威胁——漏洞剧增1552个工业控制软硬件设备漏洞涉及123家工控厂商33%(516个)没有被修复90%漏洞披露于“震网”事件后465个漏洞为易利用的HMI漏洞2000年-2016年19五大威胁——外国设备后门带入威胁2013年底-2014年初,某军工企业在广州采购了大批的高端数控机床运到兰州,到兰州开机后却无法运行,被锁住了,企业在与广州的代理商沟通后,代理厂商质疑机床采购地点在广州,操作使用地点在兰州,需要报备申请才可以使用。20五大威胁——工业网络病毒2011年2012年2014年2015年Stuxnet病毒精准打击Duqu病毒战术情报收集渗透潜伏Flame病毒战略情报采集渗透潜伏Havex杀虫战略情报采集渗透潜伏“方程式组织”战略情报采集渗透潜伏高技术含量的攻击手段不断出现,病毒日趋复杂2010年21五大威胁——攻击趋易发现工控系统越来越容易22入侵事件时有发生23组织化攻击手段更隐蔽变种更多攻击范围更广民间组织发起传播速度更快针对工控网络核心功能24如何应对——建立主动防护系统25目录一、工业互联网内涵二、工业互联网安全风险三、工业互联网安全体系四、工业互联网安全发展重点261网络安全属性2网络安全保障体系3网络安全防御模型4风险评估与等级保护271网络安全属性1保密性(也称机密性,Confidentiality)保证信息与信息系统不被非授权者所获取或利用。保密性包含数据的保密性和访问控制等方面内容。2完整性(Integrity)保证信息与信息系统正确和完备,不被冒充、伪造或篡改,包括数据的完整性、系统的完整性等方面。3鉴别性(也称可认证性,Authentication)保证信息与信息系统真实,包括实体身份的真实性、数据的真实性、系统的真实性等方面。28网络安全属性4不可否认性(不可抵赖性,Non-Repudiation)建立有效的责任机制,防止用户否认其行为(如电子商务)5可用性(Availability)保证信息与信息系统可被授权者在需要的时候能够访问和使用。6可靠性(Reliability)保证信息系统为合法用户提供稳定、正确的信息服务。29网络安全属性7可追究性(Accountability)保证从一个实体的行为能够唯一地追溯到该实体,它支持不可否认、故障隔离、事后恢复、攻击阻断等应用,具有威慑作用,支持法律事务,其结果可以保证一个实体对其行为负责。8可控性(Controlability)指对信息和信息系统实施有效的安全监控管理,防止非法利用信息和信息系统9保障(Assurance)为在具体实现和实施过程中,保密性、完整性、可用性和可追究性等得到足够满足提供信心基础,这种信心基础主要通过认证和认可来实现。301网络安全属性2网络安全保障体系3网络安全防御模型4风险评估与等级保护312网络安全保障体系结构网络安全保障包括人、政策(包括法律、法规、制度、管理)和技术三大要素主要内涵是实现上述保密性、鉴别性、完整性、可用性等各种安全属性保证信息和信息系统的安全性目的。1技术体系机制加密、数字签名、访问控制、数据完整性、鉴别交换、通信业务填充、路由选择控制、公证、可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复、电磁辐射控制、抗电磁干扰等。服务鉴别/身份认证、访问控制、数据机密性、数据完整性、抗抵赖、可靠性、可用性、安全审计等。管理技术管理策略、系统安全管理、安全机制管理、安全服务管理、安全审计管理、安全恢复管理等。标准上述安全技术的实现依据、交互接口和评估准则。322组织体系机构决策层:明确总体目标、决定重大事宜。管理层:根据决策层的决定全面规划、制定策略、设置岗位、协调各方、处理事件等。执行层:按照管理层的要求和规定执行某一个或某几个特定安全事务。岗位负责某一个或某几个特定安全事务的职位。人事负责岗位上人员管理的部门。3管理体系法律根据国家法律和行政法规,强制性约束相关主体的行为。制度依据部门的实际安全需求,具体化法律法规,制定规章制度,规范相关主体的行为。培训培训相关主体的法律法规、规章制度、岗位职责、操作规范、专业技术等知识,提高其安全意识、安全技能、业务素质等。33安全服务GB/T9387.2-1995(ISO7498-2)信息系统--开放系统互连基本参考模型第2部分:安全体系结构安全服务(5项)①鉴别服务。②访问控制服务。③数据完整性服务。④数据保密性服务。⑤可审查性服务。网络威胁安全服务假冒攻击鉴别服务非授权侵犯访问控制服务窃听攻击数据保密性服务完整性破坏数据完整性服务服务否认可审查性服务拒绝服务鉴别服务、访问控制服务和数据完整性服务等341.身份认证服务(又叫身份鉴别服务)这是一个向其他人证明身份的过程,这种服务可防止实体假冒或重放以前的连接,即伪造连接初始化攻击。身份认