工业云安全防护参考方案.pdf

工业云安全防护参考方案 目录 工业云安全防护参考方案 . 1 目录 . 3 1 工业云概述 . 1 1.1 工业云概念 . 1 1.2 工业云典型应用 . 3 1.3 工业云典型架构 . 5 1.4 工业云的国内外发展现状 . 6 1.4.1 国内发展现状 . 6 1.4.2 国外发展现状 . 7 2 工业云安全威胁及相关安全标准 . 9 2.1 工业云安全威胁 . 9 2.2 工业云安全标准 . 12 2.2.1 国外云安全标准现状 . 12 2.2.2 国内云安全标准现状 . 14 3 工业云安全防护方案 . 17 3.1 工业云安全总体方案 . 17 3.2 工业云安全职责划分 . 19 3.2.1 工业云关键角色与职责划分 . 19 3.2.2 工业云安全组织架构与职责 . 19 3.3 工业云分区分域设计 . 23 3.3.1 总体安全域划分 . 23 3.3.2 安全域边界防护 . 24 3.4 工业云安全检测 . 25 3.4.1 网络层安全检测 . 25 3.4.2 物理机层安全检测 . 26 3.4.3 虚拟化层安全检测 . 26 3.4.4 虚拟机层安全检测 . 27 3.4.5 应用层安全检测 . 28 3.4.6 数据层安全检测 . 28 3.4.7 设备层安全检测 . 28 3.4.8 全网检测 . 29 3.5 工业云安全防御 . 30 3.5.1 网络层安全防御 . 30 3.5.2 物理机层安全防御 . 30 3.5.3 云主机层安全防御 . 30 3.5.4 应用层安全防御 . 32 3.5.5 数据层安全防御 . 33 3.5.6 边界访问与接入防御 . 35 3.6 工业云安全运维 . 36 3.6.1 带外管理模式 . 36 3.6.2 分级管理模式 . 36 3.7 工业云安全响应 . 37 3.7.1 重点工作内容 . 37 3.7.2 安全应急流程 . 38 3.8 工业云安全恢复 . 41 3.8.1 恢复能力 . 41 3.8.2 云平台智能恢复 . 41 3.9 工业云安全过程管理 . 41 3.9.1 安全事件管理 . 41 3.9.2 环境和资产管理 . 42 3.9.3 网络和系统管理 . 42 3.9.4 可移动介质管理 . 42 3.9.5 恶意代码防护管理 . 42 3.9.6 变更管理 . 43 3.9.7 补丁管理 . 43 3.9.8 安全监控管理 . 43 3.9.9 日志管理 . 43 4 工业云安全发展与展望 . 44 1 1 工业云概述 1.1 工业云概念 工业云是在国家工信部 “ 工业云创新行动计划 ” 的背景之下提出的，是充分利用云计算、物联网、大数据等新一代信息技术，结合 “ 资源及能力整合 ” 业务手段，汇集各类加快新型工业化进程的成熟资源，面向工业企业，通过网络将弹性的、可共享的资源和业务能力，以按需自服务方式供应和管理的新型服务模式。工业云为工业转型升级、产业创新发展提供重要支持，通过构建安全、稳定、知识共享及高度适应且可扩展的云端能力资源集，为 “互联网 +”和工业实践相结 合的 “ 中国制造 2025” 提供保障。 本文中说描述的工业云指工业互联网产业联盟发布的工业互联网体系架构（版本 1.0）中“应用支撑的实施”部分和 中的工业互联网平台架构中所描述的工业云和工厂云平台，从实施部署角度，工业云可以部署在工厂内部，也可以部署在工厂外部，如图 1所示。 图 1 工业互联网平台部署示意 工业云的典型构成如下图 2 所示： 2 工 业 云 平 台平 台 基 础 能 力基 础 应 用 能 力应 用 使 能 层数 据 分 析 层数 据 共 享 层数 据 处 理 层数 据 连 接 层云 管 理 云 存 储 云 应 用 云 社 区 云 设 计 云 制 造开 发 支 撑环 境运 行 支 撑环 境服 务 调 用与 编 排业 务 运 行管 理 支 撑多 用 户管 理数 据 检 索 O L A P 分 析 模 型 引 擎 机 器 学 习数 据可 视 化物 理 数 据 经 营 数 据 能 力 数 据 用 户 数 据 产 品 数 据数 据 准 备 数 据 存 储 模 型 赋 值连 接 管 理 数 据 采 集 模 型 赋 值云基础设施安全保障体系边 界 网 关 数 据 资 源工 业 设 备(机 床 ， 工 业 机 器 人 ， 传 感 器 等 )工 业 系 统( E R P ， M E S ， S C A D A ， P L C ， D C S 等 )智 能 产 品(机 器 人 ， 挖 掘 机 ， 空 调 等 )工 厂 内 部 网 络 ， 工 厂 外 部 网 络工 业 云 平 台 用 户(平 台 运 营 方 ,平 台 使 用 方 ,服 务 提 供 方 等 )工 业 云 应 用(智 能 化 生 成 应 用 ,网 络 化 协 同 应 用 ,个 性 化 定 制 应 用 ,服 务 化 延 伸 应 用 等 )图 2 工业云典型构成图 工业云面向工业产品研发设计、生产、销售以及订单化生产的全生命周 期所需制造资源和制造能力实施整合与池化，为工业企业方便、快捷地提供各种制造服务，以实现社会制造资源的共享与制造能力的协同。在工业云，服务提供者与服务客户角色并不固定。作为服务提供者向工业云贡献制造资源、制造能力、制造技术和知识。同时，服务客户角色可以在工业云上获取所需的制造资源、制造能力、制造技术和知识开展活动。工业云能够利用云计算理论开展服务业务，快速叠加多种类型的资源与能力。面对工业用户的需求，工业云通过解决方案契合，合理调度用户所需的服务，推动用户从以订单和产品为中心的传统制造模式向以需求为中心的制造 模式转变，实现新一代工业转型升级。 工业云整合了云计算的基础设施和工业制造的基础设施，为工业云平台资源服务和软件应用服务层提供运行最基础的设施支撑，同 IT 云 IaaS 一样，工业云亦可向外提供基础设施服务；工业云亦包括制造资源（智能机器人、 3D 打印、智能仪表等）、工业软件（ CAX、 MES、 ERP、 PLM 3 等）、 IT 资源（计算资源、存储资源、网络资源等）、大数据资源（设备数据、物料数据、客户数据、知识库等），不仅可以直接向产业用户提供资源服务，也可通过软件应用将资源服务封装之后，作为应用向最终用户提供。 作为关联产 业生态新模式建立，企业智能生产的支撑要素，工业云的在线资源及服务对安全性的依赖程度极高。在工业云提供服务的全过程中，以风险控制，运行、数据安全保障，业务合规核查，冗余副本机制为主要内容的安全保障体系贯穿全局，为工业云的资源能力整合、资源准入、工业云运行以及企业服务交付应用提供全方位的安全保障。 1.2 工业云典型应用 从云计算和工业技术角度来看，典型的应用包括云存储、云应用、云制造、云社区、云设计、云生产、云管理。 1) 云存储 云存储是工业云基于互联网或者分布式存储理论提供的存储解决方案。该服务提供面 向工业智能化应用需要实施的查询、实时监管、仿真、渲染、量级归档、流程化或离散化工作逻辑集中的存储服务。 云存储提供给企业分散、分步、分时、分区域的灵活存储方式，并在工业企业生产组织整个生产周期中提供对数据的整体管理、灵活调用。云存储的按需交付、成本低廉，灵活定制、扩展自如等特性使得工业企业或工业智能应用专注生产制造、智能化支撑的核心业务而无需为复杂、逻辑繁琐、权限横向集成要求高的存储业务进行投入。 2) 云应用 工业云应用通过资源整合、能力池化并进一步实施产品化特征封装集群化服务。云应用服务在集成工业资源、 工业能力过程中，面向工业企业的宽泛、个性需求，形成产品化落实。 工业云应用包含一系列通用型的信息化管控服务。如：企业管理、企业在线营销、企业信息化协同办公等。还包括一系列面向工业生产制造专项服务。如：生产制造智能化支撑：设备运行优化、虚拟设计（ PDM）、 CAD、 CAM、在线 3D 打印服务、工业管理（ WPM）、制造执行（ MES）、质量管理（ QMS）、供应链（ SCM）、产品管理（ PLM）、设备远程维护、能源管理、环节管理。 云应用可以把传统软件 “ 本地安装、本地运算 ” 的使用方式变为 ” 即取即用 ” 的服务，通过互联网或局 域网连接并操控远程服务器集群，完成业务逻辑或运算任务的一种新型应用，云应用不但可以帮助用户降低 IT 成本，更能大大提高工作效率。 4 3) 云社区 云社区是工业云集合各个工业产业内外的应用厂商、用户、专家，以灵活多样的形式，实施知识库收集、经验分享、专业化咨询和权威辅导的在线交流平台，同一主题的社区集中了具有共同需求的访问者。 云社区作为工业云平台的服务，一方面可以向企业用户推送消息，使得企业用户随时随地及时地了解最新的行业政策，知晓国内外的行业动向。用户和企业可以在社区中发布相关信息、需求、问题，从不同的拥有 直接经验或者权威理论的用户、企业、专家处得到帮助。打造面向新时期工业产业知识汇集的社区化虚拟空间。在知识汇集的基础上，整合专业化服务和资源，向工业企业提供供需对接和资源共享服务，包括：企业资源信息发布、供需对接、企业沟通社交、设计标准、零部件库、设计案例、培训教程等。 4) 云设计 云设计服务于产品研发，为工业企业整体提升研发、创新竞争力提供支持。通过聚合顶端的设计资源和设计人才，打造 “ 工业设计仿真验证快速成型 ” 全流程设计服务，推行网络化协作以及众包的设计模式。从技术角度实现计算机辅助设计（ CAD）、计算机 辅助工程（ CAE）等先进设计工具同生产排产制造的有机融合。以云计算的理论为指导，按需租用将设计软件及周边辅助类应用提供给工业企业，辅以社区专家技术指导，企业能够在极大的成本可控前提下，方便、快捷的完成专业化产品创新研发设计。显著缩短研发周期、提高研发效率。利用协同设计模式，亦能够将企业外部设计能力引入到产品设计之中，使企业更好利用外部智力，提升自体产品竞争力。 5) 云制造 云制造为通过云计算技术为工业企业提供生产管理环节所需的信息技术手段。云制造提供的业务能力服务覆盖计划、排程、制造、质量、能源、设备、库 存等各环节。保证生产制造过程的高效、高质、低耗、灵活、准时。 6) 云管理 云管理是指借助云计算和其他相关技术，通过集中式管理系统建立完善的数据体系和信息共享机制。工业云通过资源与能力的整合，将通常意义上的云服务资源管理与企业管理应用进行合并，并封装为云管理应用。是应用互联网、云计算等新兴技术所带来的创新型管理模式，以实现经营管理优化为目的，提升总体管理的信息化与自动化程度。云管理平台服务中，用户可以实现对各种云资源和云服务的运维管理，包括资源管理、服务管理、用户管理、权限管理、费用查询和支付管理等功能。同 时，云管理打破传统的组织局限、突破时空局限、突破资源局限，进一步 5 整合企业资源管理、客户关系管理、制造执行管理、财务管理、进销存管理、成本管理等应用软件，帮助企业构建云端管理新模式。 1.3 工业云典型架构 工业云是在云计算模式下对工业企业提供 TI 服务，使工业企业的社会资源实现共享化。它是传统云与专业的工业软件和定制化管理系统的结合。是通过信息资源整合为工业提供服务支持的一种云计算创新服务模式，通过将云计算、工业软件、物联网、大数据和其他相关技术的有机结合为制造业构建了一种特有的 IT 服务生态链系统，以 PaaS 和 SaaS 模式为主体向工业企业提供云存储服务、云资源服务、云应用服务、云社区服务、云管理服务和云制造服务等。 图 3 工业云典型架构 工业云与云计算的架构相同，由基础设施服务层（ IaaS）、平台资源服务层（ PaaS）、软件应用服务层（ SaaS）。 基础设施服务层（ IaaS）包含云计算的基础设施和工业制造的基础设施，通过工业云亦可向外提供基础设施服务。基础设施服务层为工业云的平台资源服务和软件应用服务层提供运行最基础的设施支撑。 平台资源服务层（ PaaS）包括制造资源（智能机器人、 3D 打印、智能仪 表等）、工业软件（ CAX、MES、 ERP、 PLM 等）、 IT 资源（计算资源、存储资源、网络资源等）、大数据资源（设备数据、物料数据、客户数据、知识库等），不仅可以直接向客户提供资源服务，也可通过软件应用将资源服务封装之后，作为应用向最终客户提供。 6 软件应用服务层（ SaaS）提供制造全生命周期的软件应用，包括：营销应用、研发应用、生产应用、服务应用、测评应用、仿真应用，可针对客户的需求提供各种不同的软件应用，通过软件应用也可将基础设施服务和平台资源服务进行封装，向外提供软件应用服务。 1.4 工业云的国内外发 展现状 1.4.1 国内发展现状 我国高度重视工业云的发展。近年来，国家出台了一系列政策鼓励工业云的发展，把工业云作为推动两化深度融合和 “ 互联网 +” 的重要抓手，初步形成 “ 政府引导，企业主体，平台共享，联盟推进 ” 的基本方针。工业云政策发展历程见图 1。 图 4 工业云政策发展历程 除了政府主导搭建以外，各地有条件的企业也在工业云领域加紧布局，对工业云的发展模式进行了全新探索，进一步丰富了工业云的内涵，扩大了工业云产业的规模。 智能云科整合广泛的社会资源，打造社会化协同的云制造服务平台，提供一站式的云制造、个性 化定制及工业人才教育服务。 航天云网搭建的工业云平台满足企业以较低的成本获取制造所需的关键资源与服务，高效完成制造业务，支持企业进行产业链条管控与跨企业协同的产业及协作服务，提供协同研发、采购、营销、生产、售后等协作服务，帮助企业打通内外信息流、业务流、物流、资金流。中国电信基于电信云网一体化资源，构建云网合一的工业专网云平台，面向工业企业提供设计协同、制造协同、供应链协同、服务协同、资源共享等服务。 三一重工旗下的 树根互联已接入 23 万多台设备，实时采集 5000 多个运行参数，为众多客户提供精准的大数据分析、 预测、运营支持及商业模式创新服务。 此外，一些企业也陆续推出了自己的工业云平台，将核心业务向云平台迁移，用云计算模式改造原有生态系统，动态优化配置资源，实现生产制造全过程、全产业链、产品全生命周期的优 7 化管理，培育企业内部全流程信息共享和业务协同新模式。 沈阳机床基于 i5 智能数控系统实现了从机床的智能化到车间、工厂智能化的机床加工行业全链条解决方案，诞生了以智能设备互联、基于数据和信息分享的工业云平台，以此为载体连接社会的制造资源，实现社会化生产力协同的 “i5 新生态 ” 。 经过几年的建设与发展，国内工业云平台已 初具规模，并初显成效，为提高企业信息化水平、研发水平和制造能力、促进企业转型升级发挥了积极的作用。据不完全统计，国内公共工业云服务平台累计注册用户已超过 1500 万，推动了工业云服务的应用落地，合力打造出 “ 化云为雨 ” 的新局面。 1.4.2 国外发展现状 国外主要工业国家，如德国、美国，正在大力推广和应用工业云。德国在产业政策上对工业云相关的技术和应用给予了大力的支持。德国提出的工业 4.0，是以信息物理融合系统 (CPS)为基础，基于云计算平台来处理问题，实现生产高度数字化、网络化。德国在中小企业中进行试点示范 ，为中小型企业在物联网产业和互联网中的项目提供资金，尤其是数字产品，以及适应数字化进程和网络商业模式的开发测试。美国在未来智能制造中，不遗余力地支持工业云。美国提出的工业互联网是要将工业系统与云计算、分析、感应技术以及互联网连接融合，构建制造新模式。美国工业互联网联盟在 2015 年发布了工业互联网参考体系架构，助力软硬件厂商开发与工业互联网兼容的产品，实现企业、云计算系统、网络等不同类型实体互联。 工业云的产业化应用也得到了各个企业的重视，而投身其中的，不仅有工业企业，还有信息技术企业。 2014 年， GE 就发布了首个工业互联网云平台 Predix，该平台将机器、数据、人和其他设备连接起，实现分布式计算、大数据分析、数据资产管理和机器间通信，提高生产效率。到 2014年底， Predix 平台 每天监测和分析来自 1000 万个传感器的 5000 万项元数据 ， 这些数据涉及资产价值 高达数 万亿美元 ， 2015 年底 GE 宣布 Predix 营收 50 亿美元，并宣布开放其云平台，使用户可以开发个性化的应用，这将促使 Predix 快速增长并形成垄断优势。 2016 年西门子推出了开放工业云平台 MindSphere，可以提供预防性维护、能源数据管理以及工厂资源优化等数字化服务。菲尼克斯电气为工业定制的云技术 “ProfiCloud” ，是其在工业物联网领域最创新的产品。日本发那科与思科、罗克韦尔自动化发布了 FANUC Intelligent Edge Link and Drive（ FIELD） system， FIELD system 能实现自动化系统中的机床、机器人、周边设备及传感器 8 的连接并可提供先进的数据分析。 另外， 北欧最大的 IT 业务提供商叠拓 （ Tieto Information Technology）也推出了工业云服务，并将其称为工业社区云（ Industry Community Clouds）。 欧洲另一家 IT 服务提供商 Prevas 公司也推出了工业云服务。由 42Q 公司提供的基于云的MES(制造企业生产过程执行管理系统 )更便于部署和配置，并且更快更便宜。国外的研究机构针对工业云进行了一些列研究工作，欧盟委员会部署的欧洲合作项目 IMC-AESOP （ ArchitecturE for Service-Oriented Process Monitoring and Control） 就是典型的代表，该项目从系统架构、技术难点和工程实现等角度对工业云进行了深入的研究。 亚马逊等电商也开始探索工业云服务。亚马逊公司旗下的 Amazon Web Services（ AWS）发布了全新平台 AWS IoT，旨在让制造业客户硬件设备能够方便地连接 AWS 服务。 SAP、 Oracle 等信息技术公司依靠本企业在信息化领域的领先程度，从云计算操作系统（云 OS）、工业软件等方面推进工业云的发展。 9 2 工业云安全威胁及相关安全标准 2.1 工业云安全威胁 安全问题是阻碍工业云发展的重要因素，近些年国内外很多组织都发布过云安全威胁的报告，在这里我们列举出一些工业云可 能需要面对的安全威胁： 1）数据泄露、篡改、丢失 工业云中存储的数据具有较高的敏感性，涉及工业企业知识产权和商业机密，是其核心资产的重要组成部分，有些数据资料甚至关系到国家安全，因此对数据的窃取或者破坏将造成严重经济损失、社会影响甚至国家安全等问题。 2）权限控制出现异常 单一或松散的身份验证、弱口令、不安全的密钥或证书管理都可能导致访问权限出现异常，一旦恶意用户掌握了其不该拥有的权限后，对云计算平台所造成的安全影响是致命的，攻击者就可以伪装成合法用户读取、更改或者