2018年工业互联网案例汇编-典型安全解决方案案例

ᩎ鉎咀兿硑譗襛桑덑륥䡨䡨譏 声 明 本报告所载的材料和信息，包括但不限于文本、图片、数据、观点、建议，不构成法律建议，也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟所有（注明是引自其他方的内容除外），并受法律保护。如需转载，需联系本联盟并获得授权许可。未经授权许可，任何人不得将报告的全部或部分内容以发布、转载、汇编、转让、出售等方式使用，不得将报告的全部或部分内容通过网络方式传播，不得在任何公开场合使用报告内相关描述及相关数据图表。违反上述声明者，本联盟将追究其相关法律责任。 工业互联网产业联盟 联系电话：010-62305887 邮箱：aii@caict.ac.cn 编写说明 为落实《中国制造2025》规划，工信部明确了工业转型升级的重点领域和工作要求。工业互联网作为新一代信息技术与工业系统深度融合形成的产业和应用生态，是全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器间的连接并最终将人机连接，结合软件和大数据分析，重构全球工业、激发生产力，让世界更美好、更快速、更安全、更清洁且更经济。工业互联网的发展得到全球主要国家以及我国政府的高度重视和积极推进，产业界也正在加速开展相关探索和实践。 工业互联网广泛应用于能源、交通以及市政等关系国计民生的重要行业和领域，已成为国家关键信息基础设施的重要组成部分。工业互联网打破了传统工业相对封闭可信的制造环境，病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧，一旦受到网络攻击，将会造成巨大经济损失，并可能带来环境灾难和人员伤亡，危及公众安全和国家安全。工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提，也是产业安全和国家安全的重要基础和保障。 本案例汇编了工业互联网领域十三个典型安全解决方案案例，可作为工业互联网生态链上下游供应商、工业企业用户等在规划、建设和运营工业互联网时的安全参照。 本汇编由中国移动通信集团有限公司牵头编制，重点参与单位有中国信息通信研究院、360 企业安全技术（北京）集团有限公司、北— 503 — 京威努特技术有限公司、中国电子信息产业集团第六研究所、华为公司、深圳市腾讯计算机系统有限公司、江苏敏捷科技股份有限公司、长扬科技（北京）有限公司、常州万联网络数据信息安全股份有限公司。 本报告的参编人：张峰、田慧蓉、陶耀东、吴云峰、王绍杰、张旭武、侯聪、郭念文、崔君荣、马洁、倪海燕、马驰、王正、翟尤、李建文、黄超。其中，林欢、闫霞等协助审核了全文，并提出了诸多宝贵意见，在此一并致谢！ 因为案例汇编内容较多，且时间仓促，难免存在诸多不足之处，希望业界同仁多提宝贵意见。 工业互联网产业联盟 安全组 二〇一八年十一月 — 504 — 一、 工业互联网安全概述 1. 工业互联网安全概况 工业互联网是涵盖六大重点领域：工业互联网网络、工业传感与控制、工业互联网软件、工业互联网平台、安全保障以及系统集成服务等。安全作为其中的重要环节之一，面临着严峻的挑战。一方面，工业领域信息基础设施成为黑客重点关注和攻击目标，防护压力空前增大。另一方面，相较传统网络安全，工业互联网安全呈现新的特点，进一步增加了安全防护难度。在此背景下，我国应积极加强对工业控制系统的安全体系化研究，从安全规划、安全防护、安全运营、安全测评、应急保障等各方面，提出针对性安全解决方案，积极进行技术试点，探究技术可行性，逐步形成可推广、可复制的最佳实践，切实提升我国工业互联网安全技术水平。 2. 工业互联网安全相关政策进展 近年来，我国从法律法规、战略规划、标准规范等多个层面对工业互联网安全做出了一系列工作部署，提出了一系列工作要求。 2016年 12 月国家互联网信息办公室发布的《国家网络空间安全战略》提出要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。《 中国制造2025》提出要“加强智能制造工业控制系统网络安全保障能力建设，健全综合保障体系”。 2017年 6 月起正式实施的《中华人民共和国网络安全法》要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护。 2017年 12 月发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以“强化安全保障”为指导思想、“安全可靠”为基本原则，提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标，部署“强化安全保障”的主要任务， 为工业互联网安全保障工作制定了时间表和路线图。 2016至 2017年，工业和信息化部陆续发布《工业控制系统信息安全防护指— 505 — 南》、《工控系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护能力评估工作管理办法》等政策文件，明确工控安全防护、应急以及能力评估等工作要求，构建了工控安全管理体系，进一步完善了工业信息安全顶层设计。 3. 工业互联网典型安全问题 我国工业互联网安全主要面临以下几方面的问题： （1）工业控制系统漏洞频发，脆弱性高 工控设备的操作系统较为老旧，且升级更新周期长，众多工控系统存在漏洞，易被恶意病毒或代码感染，脆弱性高。根据国家信息安全漏洞共享平台(CNVD)统计，2017年新增信息安全漏洞4798个，其中工控系统新增漏洞数351 个，与2016年同期相比，新增数量几乎加倍，工业控制系统漏洞形势严峻且会持续呈现高发状态。 （2）生产设备大量暴露于互联网 传统工业生产设备以机械设备为主，随着工业互联网的发展，越来越多的机械设备进行数字化、信息化、网络化改造，但同时，安全防护建设速度落后于数字化信息化建设速度，导致越来越多的机械设备暴露于互联网中。暴露的设备一旦被攻击者扫描发现，可被远程操控或被利用成为“肉鸡”武器进行DDoS攻击等，危害巨大。 （3）企业内网安全性低，易作为跳板渗透工业系统控制层 2018 年 5 月份，Positive Technologies公司发布的《2018工业企业攻击向量报告》中指出73％的工业企业办公网络边界防护不严，且普遍存在安全漏洞，容易被黑客利用作为跳板渗透工业系统控制层。企业内网成为黑客突破工业网络的最佳入口之一。 （4）数据安全问题 工业互联网的核心是工业数据采集，但目前数据接口、数据格式标准不一导致数据采集难度加大。且工业互联网的数据体量大、种类多、结构复杂，数据通信缺乏加密认证，数据的存储、传输、分析与共享存在安全风险。 — 506 — 二、 安全解决方案典型案例 案例一 基于威胁情报和白名单的轨道交通安全解决方案 1. 方案概述 2012年 10 月开工建设的西成高铁，是第一条穿越秦岭进入四川的高速铁路，堪称名副其实的“高速蜀道”，于 2017年 12 月 6 日全线开通运营。我国高速铁路信号系统基于CTCS（中国列车运行控制系统）规范，包括计算机联锁系统（CBI）、列车自动防护系统(ATP)、列车控制中心(TCC)、无线闭塞中心(RBC)等系统组成。 随着这些数字化、网络化设备在高速铁路上的应用，基于通信传输的网络设备已经成为信号设备中非常重要的一部分。随着高铁信号系统各个子系统之间互联互通，工业控制系统内部网络开放性提高，网络管理系统（网管系统）成为高速铁路中不可或缺的网络检测设备。此系统虽然采用了一些安全防护措施，但仍面临日益严峻的信息安全风险。 2. 典型安全问题 高铁信号系统网管子系统可能面对的信息安全风险包括： 1) 操作人员违规使用移动存储设备 各地方铁路公司一般对在信号系统中使用移动存储设备有比较严格的信息安全管理措施。但在系统升级、数据备份等过程中仍存在违规操作风险，把病毒引入系统。 2) 系统组件的供应链污染 各铁路信号系统集成商一般都建立了比较严格的信息安全管控流程。但由于系统组件多，生产供应链长，在组件采购、生产、安装、调试过程中易受到病毒或恶意代码感染。 3. 安全解决方案 首先用工业信息安全检查评估工具箱和工业临检U 盘对信号系统的网管子— 507 — 系统进行APT 攻击和病毒检测。确认无毒后，部署360 工业安全管理系统、360主机安全防护软件，进行安全防护。 360 工业信息安全检查评估工具箱结合威胁情报知识库和异常行为检测模型对实时数据和历史数据进行威胁分析与检测，可为高铁信号系统网管子系统进行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资产发现、工控漏洞扫描、工控流量分析、威胁情报分析、安全事件、行为日志、报告自动生成等服务。该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展示，实现对攻击的快速检测和持续分析。此外，360 工业安全检查评估工具箱为便携式产品，带有高清显示屏幕，便于在多个单位进行现场快速分析，接入镜像流量即可，无需复杂配置。 利用工业临检U 盘对信号系统的网管子系统客户端进行病毒检测，通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估。同时，引入360病毒检测能力和威胁情报，在不影响高铁信号系统网管子系统正常运行的前提下，帮助用户去检测、评估、自查本身终端安全威胁和风险。一旦检测到攻击可形成可量化评估报告，为高铁信号系统安全加固，提供防护能力。即插即用的临检U盘设备采用国密芯片，是国家密码管理局认证通过的安全芯片，摒弃了传统的数据加解密处理方式，使数据流加解密速度大幅提升，特别适用于高速数据流加密。 图 1 问题处理及安全防护示意图 为解决病毒、恶意程序攻击等问题，在高铁信号系统网管子系统主机、服务— 508 — 器部署基于白名单机制的360 主机安全防护软件。该软件基于轻量级“应用程序白名单”技术，能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线，放行正常的操作系统进程及专用工业软件，主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，为高铁网管系统工业主机创建干净安全的运行环境。 对更好对部署的工控安全设备和系统进行管理，对高铁信号系统网管子系统部署360 工业安全管理系统，全面记录工业网络中的工业主机安全日志等情况，为高铁信号系统网管子系统提供管理体系。 经过以上操作，高速铁路信息安全防护得到极大提高，西成高铁顺利开通运营。 4. 创新点和应用价值 1) 先进性及创新点 该案例解决方案基于威胁情报大数据和白名单技术对高铁信号系统网管子系统进行安全防护。工业信息安全检查评估工具箱能够快速发现威胁，对流量回溯取证，及时产生应急响应。工业临检U 盘可对终端、服务器进行全方位的威胁扫描，对于威胁指标进行总体全面评估、量化结果。360 工业主机防护软件高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求，操作简单的特点也符合生产技术人员的操作习惯。 2) 实施效果 创新性的将威胁情报、大数据的理念应用于高铁信号系统网管子系统的安全防护中，工业信息安全检查评估工具箱基于机器学习、威胁情报对网络攻击研判引擎；临检U 盘利用360 的大数据中心，采用国密芯片对终端进行威胁评估，基于白名单机制的主机安全防护软件有着实时报警、日志审计的优势，全链条的立体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。 5. 案例提供方 360 企业安全技术（北京）集团有限公司 — 509 — 案例二 工业互联网数据安全解决方案 1. 方案概述 随着我国“两化融合”进程的推进与《中国制造2025》的提出，我国工业控制系统逐步向数字化、网络化、智能化转变，企业研发设计、生产制造、经营管理、销售服务等各个方面产生了海量数据。近年来，工业互联网的安全问题暴露的越来越明显，需加强对工业制造数据的智能安全管控。机器学习、自然语言处理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展，使数据安全管理呈智能化趋势，数据安全不仅仅是采用一刀切的数据强制加密方式来实现，更需要根据多样化的需求场景采取不同层次的安全控制手段，实现智能化安全管理。同