2019工业互联网峰会--华能公司

“业务不断、数据不丢”--工业互联网安全解决之“道”主讲人：郭森赵峰2019年2月22日为什么做工业互联网，为什么做工业互联网安全？工业互联网安全怎么做？我们的实践，我们的呼吁！为什么做工业互联网，为什么做工业互联网安全？工业互联网安全怎么做？我们的实践，我们的呼吁！世界经济形势和能源行业发展的背景信息技术的发展带来的机遇我国核心流程化企业产值占世界比例粗钢~50%水泥~60%平板玻璃~50%电解铝~70%化肥~35%化纤43%~43%发电~25%国家工业互联网建设的要求工业互联网的应用环境Aidustry：行业互联，星云智造工业互联网安全的急迫性各生产企业发生安全事件的可能性逐年加大！工业互联网对于网络安全的新需求为什么做工业互联网，为什么做工业互联网安全？工业互联网安全怎么做？我们的实践，我们的呼吁！工业互联网安全的现状-德国2015年4月电工电子与信息技术标准化委员会(DKE)工业4.0参考架构模型(RAMI4.0)工业互联网安全的现状-美国2016年9月美国工业互联网联盟(IIC)工业互联网安全框架(IISF)工业互联网安全的现状-中国2018年2月中国工业互联网产业联盟（AII）《工业互联网安全框架》工业互联网安全总体解决方案意识先行培训制度防护对象网络数据应用防护目标数据不丢业务不断防护手段终端防护云安全加密认证单向隔离监测审计态势感知应急处置管理改进打通IT与OT安全管理界面业务不断、数据不丢全球工业互联网平台应用案例分析报告国家工业信息安全发展研究中心工业互联网的安全保障方案（一）——云、端互信PLCHMIDCSSCADA数据库…………生产建模计划编程物料管理设备管理能源管理……APSWMS……ERPPLMCRMSCMQMSQAHRMLevel3企业层Level2管理层Level1控制层单向网闸A云（公有云、私有云）开放、协作环境，威胁相对较大B端（厂矿侧）封闭、私有环境，威胁相对较小BI-商业智能SEM-战略绩效管理S&OP-供应链优化……Level4决策层终端防护流量审计加密认证云安全终端防护最小化资源管控：进程白名单、移动介质管控等智能运维：终端性能监控告警、补丁分发、安全策略分发、软件远程分发等可信计算：确保登录系统的用户是可信的、系统运行的程序是可信的，防止非法用户、进程及已知或未知攻击在KDM、KKM上部署终端防护软件模块（xGuard），安装后系统开机时间延时应小于20秒，系统内存占用小于20M，系统整机扫描时间不超过25分钟。流量审计a实时数据采集和机器学习b工控协议全流量分析，动态拓扑c自动生成通信行为白名单内置黑名单d与KDM、KKM平台模块级集成接口交换机流量解析审计KDM工业互联网检修管理PI同步接口安全大数据挖掘管理软件模块KKM认证加密密钥管理中心工作密钥服务密钥分发密钥存储密钥销毁密钥恢复综合管理服务安全策略管理操作员审核接入审核操作日志审计工作日志审计分布式密钥协商安全节点1密钥同步密钥启用密钥校验密钥注销安全节点2密钥同步密钥启用密钥校验密钥注销安全节点服务节点签到节点签退节点状态节点认证KDM-1KDM-3KDM-2KDM-4WEB服务中心状态监控用户管理密钥审核应用审核日志查看建设集中统一的企业级密钥管理体系，为边缘计算设备安全申请和下发密钥、实现工业控制设备的安全认证、应用系统间的安全加解密服务。加密机资源池云安全防护云平台SaaSPaaSIaaS平台虚拟化安全（Hypervisor）云平台系统加固虚拟网络安全：安全资源池（监测审计、防火墙、WAF、入侵检测、配置核查）虚机间隔离及安全防护数据库审计终端防护、加固容器安全监控、OPENAPI安全存储服务器网络操作系统中间件虚拟化数据云应用运行环境机房设施云数据防泄漏、云用户行为审计、云文件安全管控、云安全管理平台云管理平台工业互联网的安全保障方案（二）——数据安全BI-商业智能SEM-战略绩效管理S&OP-供应链优化…………生产建模计划编程物料管理设备管理能源管理……APSWMS……ERPPLMCRMSCMQMSQAHRMLevel3企业层Level2管理层数据脱敏数据加密数据备份Level4决策层数据防泄漏（云）依托部署在工厂侧的边缘计算设备，传至云端的是经过加工的脱敏的特征值是数据从端到云的传输和使用过程中应加密，保障数据不被窃取和篡改由工业互联网平台实现数据的备份和恢复功能数据脱敏数据加密数据备份工业互联网的安全保障方案（三）——应用安全BI-商业智能SEM-战略绩效管理S&OP-供应链优化…………生产建模计划编程物料管理设备管理能源管理……APSWMS……ERPPLMCRMSCMQMSQAHRMLevel3企业层Level2管理层应用冗余Level4决策层WEB防护应用冗余由工业互联网平台自身冗余热备特性，保障对外提供服务的应用不断WEB防护采用类似于CASB等技术，实现对DDOS和ATP的防护为工业互联网平台提供一套认证授权系统认证授权签名认证工业互联网的安全保障方案（四)基于大数据技术及先进的算法模型，可视化展现工业互联网的态势感知、安全监控、通报预警、追踪溯源、应急处置决策 ——可视化展现，态势感知、应急处置为什么做工业互联网，为什么做工业互联网安全？工业互联网安全怎么做？我们的实践，我们的呼吁！四川水电应用案例携手共建工业互联网和工业互联网安全的生态主讲人：郭森赵峰2018年2月22日