威努特龙国东先生:领先智能云平台的综合纵深防御实践

供稿:北京威努特技术有限公司

  在前不久举行的2016ICS论坛上,来自科研院所、设计院与信息安全服务企业的6位专家代表在收官的“高峰对话”环节,纷纷对工控信息安全的发展现状发表了自己的看法。嘉宾们一致认为:用户厂商的预防性、前瞻性思维至关重要。

  其中一位对话嘉宾——来自北京威努特技术有限公司的CEO龙国东先生,在谈到市场前景时欣慰地指出,现在跟客户交流起工控信息安全,彼此的理念很容易达成一致,并且基于工控安全的市场需求正逐步显现出“合规性”,整个工业信息安全推广过程逐步透明化、正面化,这对推广工控信息安全服务业务无疑是一件好事。


图为北京威努特技术有限公司CEO龙国东先生


  8月16日下午,龙国东先生再一次公开亮相,他在出席中国互联网安全大会的工业互联网安全论坛时带来了一个工控安全方面的实际运行案例。

  “我们以智能云科平台为例,是因为它在目前来讲是一个落地实施的项目”,龙国东先生解释道。据了解,智能云科平台(iSESOL)是一个云协同制造平台,它是由沈阳机床集团、神州数码和光大金控三方共同投资打造的,以智能数控设备为基础的社会化协同云制造服务平台。

图为智能云科平台截止目前的统计数据


  在他看来,这个项目算是国内一个较为前沿的智能化生产的实例,这因为它是真正意义上的跨地域管理的平台,平台上的智能机床设备遍布于全国,这些机床设备在统一的平台上实现了生产安排的协同;并且它完全实现了用户厂商的定制化需求,设备采购者可以通过网络提出零配件的采购需求,平台根据实际情况将生产任务直接下达到某一台具体的机床设备,以此实现定制化的生产。

  由于该项目在运行过程中存在诸多的安全需求——无论是出于协同需要的数据计算,还是智能化平台本身所要求的云端用户数据存储,抑或是本地机床安全考虑,平台运营者在建设初期就对系统安全给予了足够的重视,可谓具备了前瞻性的思维及视野。

  经过分析,威努特的服务团队对客户在此项目中的系统安全需求进行了识别,最终确认了云平台安全、网络链路安全以及厂侧工控网络安全三个层面,可简单归纳为“云、管(链路)、端(工厂)”三个字。服务团队围绕着这三方面的总体需求,根据实际运行状况又细化出了贴合该云平台的解决方案式全景图,参见下图:



  1.在云平台安全方面,龙国东先生认为传统信息安全中的分级分域、纵深防护的基本原则在工业互联网架构中依然适用。除了安全分区,威努特还为智能云科实施了安全边界、安全应用、安全运维的综合解决方案。

  安全边界主要是通过部署防火墙、WAF、入侵检测等,将网络设备由内至外、由外至内的双向流量予以监测,以防止或减少云计算中心受异常流量的影响以及外发异常流量对厂侧设备与系统的影响;安全应用主要根据WAF提供专用的应用层规则,且具备检测变形攻击的能力,把Web应用防火墙部署在Web服务器之前,进行逻辑串联,保护云计算平台的Web服务器,确保其应用和服务免受侵害;安全运维主要是针对云平台的管理运维人员、第三方运维人员以及租户的运行主机和网络设备,为了发现和防止以上人员不当操作或越权操作,对此类用户进行认证、授权、访问控制和审计管理。


威努特工控安全攻防演练平台


  2.在网络链路安全方面,服务团队通过VPN和数字证书技术,解决链路可能产生的信息截获、重放攻击、数据篡改等安全风险,同时实现基于互联网的身份鉴别、访问控制、资源分配、权限管理等安全措施。

  3.在厂侧工控安全方面,威努特主打基于“白环境”的安全隔离措施,依然通过分层分级的纵深防御原则设计工业控制网络;并通过工业防火墙实现区域和管道之间的安全隔离,阻止病毒、蠕虫等恶意软件扩散和入侵攻击;在管道间的防火墙实现横向逻辑隔离,将危险源控制在有限范围之内。此外,服务团队还针对厂侧工控安全,制定了基于“白环境”的主机防护、统一安全管理和漏洞扫描与挖掘的综合防护方案。

  龙国东先生表示,随着信息技术(IT)与运营技术(OT)的高度融合,信息安全的边界变得越发模糊,一旦遭遇到无论是物理层面还是网络层面的攻击,都可能引发设备的大规模停机,造成灾难性的损失。他认为今后针对工控网络的攻击会变得越发隐蔽,攻击的种类也会越来越多,因此一套综合性的纵深防御策略必不可少。(文/gongkong田皓)

发布时间:2016年8月22日 11:00 人气: 审核编辑:田皓
更多内容请访问(北京威努特技术有限公司

我有需求