工业互联网典型安全解决方案案例汇编V3.0.docx

工业互联网 典型安全解决方案案例汇编 V3.0 2020 年 8 月 目 录 1. 工业互 联 网安全 概 述 . 1 1.1 工业互 联 网安全 形 势 . 1 1.2 工业互 联 网安全 挑 战 . 2 2. 典型安 全 解决方案 . 4 2.1 案 例 一 ： 工 业互 联 网 边 缘计 算 敏 感 数据 安 全 防 护解 决 方 案 . 4 2.1.1 方案 概 述 . 4 2.1.2 典型 安 全问题 . 5 2.1.3 安全 解 决方案 . 6 2.1.4 小结 . 11 2.1.5 单位 基 本信息 . 11 2.2 案 例 二 ： 某 新能 源 发 电 企业 旗 下 电 厂监 控 系 统 安全 解 决 方 案 . 13 2.2.1 方案 概 述 . 13 2.2.2 典型 安 全问题 . 13 2.2.3 安全 解 决方案 . 14 2.2.4 小结 . 17 2.2.5 单位 基 本信息 . 17 2.3 案例三 ： 南京港 华 燃气安 全 解决方案 . 18 2.3.1 方案 概 述 . 18 2.3.2 典型 安 全问题 . 18 2.3.3 安全 解 决方案 . 20 2.3.4 小 结 . 25 2.3.5 单位 基 本信息 . 26 2.4 案例四 ： 某城市 轨 道交通 信 号系统 网 络安 全 解 决 方案 . 27 2.4.1 方案 概 述 . 27 2.4.2 典型 安 全问题 . 28 2.4.3 安全 解 决方案 . 29 2.4.4 小结 . 34 2.4.5 单位 基 本信息 . 34 2.5 案例五 ： 风电场 电 力监控 系 统网络 安 全解 决 方案 . 35 2.5.1 方案 概 述 . 35 2.5.2 典型 安 全问题 . 35 2.5.3 安全 解 决方案 . 38 2.5.4 小结 . 44 2.5.5 单位 基 本信息 . 44 2.6 案例六 ： 智能工 厂 安全态 势 感知 . 45 2.6.1 方案 概 述 . 45 2.6.2 典型 安 全问题 . 45 2.6.3 安全 解 决方案 . 46 2.6.4 小结 . 49 2.6.5 单位 基 本信息 . 50 2.7 案例七 ： 智能工 厂 工业网 络 安全集 中 监测 与 态 势 感知 . 51 2.7.1 方案 概 述 . 51 2.7.2 典型 安 全问题 . 51 2.7.3 安全 解 决方案 . 52 2.7.4 小结 . 55 2.7.5 单位 基 本信息 . 55 2.8 案例八 ： 智慧港 口 场景 下 的 5G SA 安全解 决 方案 . 56 2.8.1 方案 概 述 . 56 2.8.2 典型 安 全问题 . 56 2.8.3 安全 解 决方案 . 57 2.8.4 小结 . 61 2.8.5 单位 基 本信息 . 61 2.9 案例九 ： 某大型 能 源企业 态 势感知 系 统安 全 解 决 方案 . 62 2.9.1 方案 概 述 . 62 2.9.2 典型 安 全问题 . 62 2.9.3 安全 解 决方案 . 62 2.9.4 小结 . 66 2.9.5 单位 基 本信息 . 67 2.10 案例 十 ：油气 田 生产基 础 网络的 安 全防护 平 台 建 设 . 68 2.10.1 方案 概 述 . 68 2.10.2 典型 安 全问题 . 68 2.10.3 安全 解 决方案 . 68 2.10.4 小结 . 69 2.10.5 单 位 基本信息 . 69 2.11 案例十一：某智 慧 矿山工 业 安全运 营 中心解 决方 案 . 70 2.11.1 方案概述 . 70 2.11.2 典型安 全 问题 . 70 2.11.3 安全解 决 方案 . 71 2.11.4 小结 . 74 2.11.5 单位基 本 信息 . 74 2.12 案例 十 二：卷 烟 厂工控 安 全解决 方 案 . 75 2.12.1 方案 概 述 . 75 2.12.2 典型 安 全问题 . 75 2.12.3 安全 解 决方案 . 79 2.12.4 小结 . 83 2.12.5 单位 基 本信息 . 83 3. 结束语 . 84 1. 工业互联网安全概述 1.1 工业互联网安全形势 2019 年全国两会报告指出 “ 加强人工智能、工业互联网、物联网等新型基础设施建设和融合应用 ” ，工业互联网作为 “ 新基建 ” 的七大领域之一，其重要性 上升到一个新的高度。工业互联网的投资和建设将加快我国智能制造步伐，激发 新型消费和投资、促进就业创业、解放生产力、打造经济发展新动能，对人们生 产生活带来重大而深远的影响。据中国信息通信研究院预计， 2020 年中国工业 互联网产业经济增加值规模约 3.1 万亿元，占 GDP 比重为 2.9%，对经济增长的 贡献率超过 11%，并带动全社会新增就业岗位 255 万个。 国务院关于深化 “ 互联网 +先进制造业 ” 发展工业互联网的指导意见将 安全保障与网络、平台建设并列为工业互联网三大体系之一。各上级单位高度重 视工业互联网安全，并相继发布了一系列工业互联网安全方面的指导意见和要求， 涵盖安全管理、安全标准、安全评估、试点示范、考核指标等领域。 2019 年 7 月，工信部等十部门印发的工业互联网安全工作的指导意见中，指导企业建立监督检查、信息共享和通报、应急处置等工业互联网安全管理 制度，构建企业安全主体责任制，探索构建工业互联网安全评估体系；指出要至 少形成 20 个创新实用的安全产品、解决方案的试点示范，培育若干具有核心竞 争力的工业互联网安全企业。预计到 2025 年基本建立起较为完备可靠的工业互联网安全保障体系。 2019 年 9 月，工业和信息化部发布省级工业互联网安全监测与态势感知平台建设指南，指导各地工业和信息化主管部门、地方通信管理局建设专业化安全监测和预警通报技术手段。国资委印发的中央企业负责人经营业绩考核办法中，将网络安全纳入了中央企业负责人的考核指标。 2020 年 3 月，工信部发布了工业和信息化部办公厅关于推动工业互联网加快发展的通知，明确提出加快新型基础设施建设、加快拓展融合创新应用、加快健全安全 保障体系、加快壮大创新发展动能、加快完善产业生态布局、加大政策支持力度 等 6 个方面 20 项具体举措。 同时，工业互联网安全相关的法律和标准也在同步推进，为行业和企业的安 全建设提供参考。 2019 年 1 月，工信部、国标委两部委联合印发了工业互联网 综合标准化体系建设指南，明确了网络、平台、安全、应用相关建设内容。其 中安全标准包括 “ 设备安全 ” 、 “ 控制系统安全 ” 、 “ 网络安全 ” 、 “ 数据安全 ” 、 “ 平台安全 ” 、 “ 应用程序安全 ” 、 “ 安全管理 ” 。 2019 年中华人民共和国密码法正式通过，规范密码应用和管理，保障网络与信息安全。等保 2.0 国家标准中新增了工业控制系统安全的扩展要求，涵盖了物理和环境安全、网络和通信安全、设备和计算安全、安全建设管理、安全运维管理等方面的要求，对提升工 业互联网安全保护能力具有重要意义。为推动工业互联网安全责任落实，工业和 信息化部针对工业互联网企业网络安全实施分类分级管理，研究起草了工业互 联网 企业网络安全分类分级指南 （试行 ） （ 征求意见稿 ）， 可提升工业互联网 安全保障能力和水平。水利和电力等重点行业也相继出台了安全管理办法和实施 指南。 在工业互联网安全试点应用方面，工信部办公厅发布关于开展 2019 年工 业互联网试点示范项目推荐工作的通知，共公布了 81 个工业互联网试点示范 项目，其中共有 17 个工业互联网安全试点示范项目，覆盖安全测试、态势感知、集中管控、平台安全防护、安全认证、数据安全等多个安全细分领域，这些试点 示范项目将不断深入推动工业互联网安全的落地建设工作。 1.2 工业互联网安全挑战 工业互联网安全工作在深入推进的过程中，面临一系列新兴和固有的安全问题亟待解决。 （ 1） 新技术融合带来新风险 工业互联网技术与 5G、边缘计算等新技术的融合以及第三方协作服务的深度介入增加了信息泄露、数据窃取的风险。 5G 协议的全面互联网化，被外部攻击的可能性显著性增加。边缘计算对工业互联网数据就近处理减少了敏感数据泄 露的风险，安全防护能力不及云中心，且对原有的集中式内容监管模式带来挑战。 （ 2） 暴露面持续增大 随着 5G+工业互联网、工业上云等工作的推进，网络日益开放，大量工业互联网设备暴露在互联网上且不断增多。暴露在互联网的工业互联网设备长期遭受恶意嗅探，仅 2019 年上半年上半年嗅探事件达 5151 万起。 （ 3） 漏洞病毒依旧突出 由于工业互联网设备软件更新缓慢、用户及厂商通常无法及时发现或修复漏洞，导致设备漏洞较多。根据 CNCERT 对电力设备的安全摸底测试， 70 余个型号的产品中均发现了中高危漏洞。 同时，设备漏洞易被攻击者利用来构建完整攻击链路，并获取更高权限，甚 至制造病毒长期危害工业互联网安全。近几年全球水电、核电、制造等重要行业 的企业遭受病毒攻 击和感染的事件众多，造成了大范围停电、生产线停摆等重大 影响。 （ 4） 重点行业监控和管理系统存高危隐患 重点行业如能源、金融、物流、智能制造等，其大型工业云平台和系统持续遭受漏洞利用、拒绝服务、暴力破解等网络攻击。仅水电行业和医疗健康行业， 暴露在互联网上的系统中存在高危漏洞隐患的占比分别为 25%和 72%，部分遭受境外恶意嗅探。 2. 典型安全解决方案 2.1 案例一：工业互联网边缘计算敏感数据安全防护解决方案 2.1.1 方案概述 随着 5G、物联网时代的到来以及云计算应用的逐渐增加，传统的云计算技术已经无法满足终端侧 “ 大连接、低时延、大带宽 ” 的需求，工业互联网相关边缘设备连接数量和产生的数据呈海量增长趋势，边缘计算应运而生。传统的云计算模型采用集中处理方式，将所有数据通过网络传输到云计算中心，利用云计算中心强大的计算能力集中式地解决计算和存储问题。在工业互联网 “ 大连接、低时延、大带宽 ” 对数据高效处理低延迟对背景下，云计算中心负载、传输带宽和数据安全等云计算局限性问题越来越突出，各种接入设备感知产生的海量数据使云计算的网络带宽变得更加有限，让云端不堪重负，造成更大的数据瓶颈。因此，边缘计算模型应运而生 ，并成为近几年的技术发展热点。 边缘计算是在网络边缘执行计算的一种新型计算模型，边缘计算的边缘是指从数据源到云计算中心之间的任意计算资源和网络资源。边缘计算面向的对象包括来自物联网的上行数据和来自云服务的下行数据。边缘计算允许终端设备将存储和计算的任务迁移到网络边缘节点中，既可满足终端设备的计算能力扩展需求，又能有效地节约计算任务在终端设备与云服务器之间的传输链路资源。可见未来边缘计算对应用场景和覆盖程度将非常广泛。 在工业互联网领域，边缘计算是在靠近物或数据源头的网络边缘侧，构建融合网络、计算、存储、应用 核心能力的分布式开放体系，通过边缘计算能够 “ 就近 ” 提供边缘智能服务，满足工业在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。 边缘计算具有数据处理实时性、数据多源异构性、终端资源受限性和接入设备复杂性，使得传统云计算环境的安全机制不再适用于边缘设备产生的海量数据的安全防护，边缘计算的数据存储安全、共享安全、计算安全、传输和敏感数据保护等问题成为边缘计算模型必须面对的挑战性问题。因此，只有有效 的解决边缘计算的各种安全问题，才能促进边缘计算技术在各个领域健康快速的发展。 面向未来复杂网络环境下的边缘计算的敏感数据保护需求，主要包括边缘节点互联问题、边缘资源调度问题和边缘网络安全问题等现存问题，上述问题目前 虽然各种问题都有一些解决方案，但还不能从根本上解决问题，边缘计算应用亟 需数据安全保护方案。 2.1.2 典型安全问题 工业互联网应用场景相对孤立，不同行业的数字化和智能化水平不同，对边缘计算的需求也存在较大差别。以机械制造行业为例对行业需求进行分析。 机械制造业在国家行业中处于基础性地位，同时也是一个国家的支柱型行业。通过企业现场调研，查阅资料、文献等方式对机械制造行业边缘计算现状和需求 进行分析，机械制造行业整体基础设施建设水平不一，建设质量参差不齐，普遍 面临如下问题： （ 1） 数据开放性差且工业协议标准不统一 目前在机械制造行业领域，设备基本具有数据接口，但设备和系统的数据开放性不够，缺乏数据开放接口及文档说明。存在 RS232、 RJ45、 Profibus、 MTConnect、 MODBUS/TCP、 Profinet 等多种工业协议标准，各个自动化设备生产及集成商还会自己开发各种私有的工业协议，各种协议标准不统一、互不兼容， 导致协议适配、协议解析和数据互联互通困难。 （ 2） 数据采集种类有限 机械制造行业车间内的设备多数已有数据采集功能，但是采集的种类有限， 如数控机床多数能采集电压、电流等信号，但是振动信号等多需要外置传感器的方式进行采集，部分机床还没有部署此功能。 （ 3） 工业数据采集实时性要求难以保证 生产线的高速运转，精密生产和运动控制等场景则对数据采集的实时性要求不断提高，传统数据采集技术对于高精度、低时延的工业场景难以保证重要的信 息实时采集和上传，无法满足生 产过程的实时监控需求。 （ 4） 全车间统一网络尚未实现 机械制造行业基础设施建设水平不一，车间内设备联网水平也参差不齐。部分设备已经实现联网，但尚未形成全车间统一网络。 （ 5） 工业数据采集存在数据安全隐患 工业数据采集会涉及到大量重要工业数据和用户隐私信息，在传输和存储时都会存在一定的数据安全隐患，也存在黑客窃取数据、攻击企业生产系统的风险， 急需边缘计算的敏感数据防护措施。 2.1.3 安全解决方案 北京微智信业科技有限公司设计开发的边缘计算敏感数据安全防护系统主要由安全导向的网络通信平台（ Security-Oriented Cyber Communication Platform， SOC2Plat）服务器、核心 /边缘网关、终端软件、安全协议套件组成。 SOC2Plat 能够以服务组件形式加载并工作于云虚拟主机或服务器、网关硬件设备之上；核心 /边缘网关以系统固件形式自动加载并运行于网关硬件设备之上，其核心组件为具有自主知识产权的安全通信协议套件；终端软件以客户端形 式工作于常用操作系统平台之上，如 Windows、 MacOS、 Android、 iOS 平台，需 要用户主动、按需启动接入 SOC2Plat 平台。边缘计算敏感数据安全防护系统整 体架构图所示： 图 1 边缘计算敏感数据安全防护系统整体架构 SOC2PLA T服务器平台 边缘计算设备 管理 安 全 预 警 管 理 拓 扑 管 理 安 全 协 议 组 件 管 理 安全协议套件 安 全 态 势 管 理 安 全 服 务 编 排 管理 安 全 认证 管 理 安全资源调度 管理 安全互联模型 跨 域 安 全 策 略 管理 敏 感 数 据 知 识 库 管 理 恶意攻击知识 库管 理 安全认证技术 核心网关 / 边缘网关 边缘感知 边缘计算 控制器代理 安全隧道技术 攻击感知 攻击预警 日志审计 并行报文 安全路由 终端软件 敏感数据识别 敏感数据检测 控制器代理 跨域交换 恶意攻击检测 恶意攻击防护 跨域路由 1. SOCPlat 服务器平台 SOCPlat 服务器平台主要功能：安全协议组件管理、安全态势管理、安全认证管理、安全服务编排管理、边缘计算设备管理、拓扑管理、安全资源调度管理、跨域安全策略管理、敏感数据知识库管理、恶意攻击知识库管理、安全预警管理。 边缘计算设备管理对外提供边缘网络设备、接入终端设备、接入终端用户、基础网络拓扑、覆盖网络链路、多域网络服务等网络与服务的综合管理和集中控制。拓扑管理模块支持 OSPF、 BGP、 ISIS 等协议的数据平面主机和路由发现。 2. 核心 /边缘网关 由控制器代理、边缘计算模块、边缘感知模块、攻击感知模块、攻击预警模块、日志记录模块六部分组成。控制器代理与控制器创建 OpenFlow 协议控制通道，接收并反馈网关设备的状态信息。边缘计算模块进行网络接口和网络状态的实时感知，并进行网络协议识别、分类和统计。边缘感知模块负责主动发现边缘终端，并对边缘终端信息进行收集与管理。攻击感知模块通过相关攻击特征库发 现攻击事件。攻击预警模块根据攻击感知情况，发出相关攻击事件预警。日志记录模块做相关审计。 3. 终端软件 由控制器代理、敏感数据识别、敏感数据检测、跨域交换、恶意攻击检测、恶意攻击防护六部分组成。控制器代理功能与网关的控制器代理功能相同，故不 再赘述。敏感数据识别模块通过敏感数据特征库，发现终端上的敏感数据。 敏感 数据检测模块对终端上的敏感数据存储位置、相关操作和流向进行监测与追踪。 恶意攻击检测模块检测针对终端的攻击，恶意攻击防护模块可以防护针对终端的 网络攻击，跨域交换模块通过对终端系统进行实时、准确的监测与调控，确保跨域数据交换的安全性。 4. 安全协议套件 安全协议套件支持自主知识产权的网络安全通信协议，建立设备与设备、设备与平台间的安全互联隧道，设备间的设备身份认证、认证密钥交换、用户身份认证、认证加密传输、心跳包活机制等安全协议阶段。