今日頭條
官方微信
官方抖音
案例頻道★陸晗北京安盟信息技術(shù)股份有限公司
1 項(xiàng)目概況
1.1 項(xiàng)目背景
網(wǎng)絡(luò)戰(zhàn)已成為高技術(shù)戰(zhàn)爭(zhēng)的重要作戰(zhàn)形式,工業(yè)控制系統(tǒng)作為國(guó)家基礎(chǔ)設(shè)施的重要組成部分,已成為網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊目標(biāo)。不同于傳統(tǒng)網(wǎng)絡(luò)攻擊僅對(duì)信息系統(tǒng)和數(shù)據(jù)造成破壞,工控系統(tǒng)控制現(xiàn)實(shí)物理設(shè)備,通過(guò)對(duì)工控網(wǎng)絡(luò)進(jìn)行攻擊,可以達(dá)成與傳統(tǒng)物理空間攻擊(甚至是火力打擊)的等效作用——斷能源、斷管網(wǎng)、設(shè)備損壞、放毒、爆炸等。國(guó)外工控產(chǎn)品及系統(tǒng)平臺(tái)產(chǎn)品中包含的零日(0day)漏洞與各類后門程序,以及層出不窮的“工業(yè)控制系統(tǒng)攻擊武器”,都使得國(guó)家安全和社會(huì)穩(wěn)定面臨巨大威脅。智能制造為工業(yè)發(fā)展帶來(lái)便利之時(shí),也帶來(lái)了嚴(yán)峻風(fēng)險(xiǎn)問(wèn)題。尤其是網(wǎng)絡(luò)安全和工業(yè)自動(dòng)化控制系統(tǒng)信息安全問(wèn)題引發(fā)的事故案例正快速增加,工控網(wǎng)絡(luò)邊界日益模糊。
某企業(yè)已完成了兩化融合和智能制造系統(tǒng)的初步建設(shè),核心業(yè)務(wù)流程實(shí)現(xiàn)了縱向打通和橫向貫通。生產(chǎn)環(huán)境采用了典型的工控生產(chǎn)系統(tǒng),主要?jiǎng)澐譃槠髽I(yè)辦公網(wǎng)、控制管理網(wǎng)、生產(chǎn)制造網(wǎng)、視頻網(wǎng)和無(wú)線網(wǎng)五個(gè)區(qū)域,各區(qū)域通過(guò)不同設(shè)備進(jìn)行網(wǎng)絡(luò)隔離,共同實(shí)現(xiàn)重型設(shè)備從零件生產(chǎn)、加工、組裝、出貨到管理的全流程自動(dòng)化、信息化和數(shù)字化。但企業(yè)對(duì)內(nèi)部工控生產(chǎn)系統(tǒng)中流轉(zhuǎn)的數(shù)據(jù)缺乏可控性、安全性評(píng)估和保護(hù)手段。
1.2 項(xiàng)目簡(jiǎn)介
某企業(yè)是重裝設(shè)備的制造大廠,在全國(guó)乃至國(guó)際市場(chǎng)占據(jù)重要位置,尤其是其智能制造業(yè)務(wù)板塊關(guān)系到國(guó)計(jì)民生、經(jīng)濟(jì)命脈和城市運(yùn)行。例如,其生產(chǎn)的產(chǎn)品涉及電力、水利甚至軍工等重要領(lǐng)域,裝備產(chǎn)品參數(shù)既是企業(yè)的敏感數(shù)據(jù)也是關(guān)系國(guó)家重要基礎(chǔ)設(shè)施的核心數(shù)據(jù),如被竊取或破壞將對(duì)企業(yè)運(yùn)營(yíng)、生產(chǎn)安全甚至國(guó)家安全帶來(lái)影響。另外,在智能制造業(yè)務(wù)板塊中,核心的生產(chǎn)設(shè)備、工控系統(tǒng)等(如數(shù)控機(jī)床、機(jī)器人、坐標(biāo)測(cè)量機(jī)以及PLC可編程邏輯控制器等)國(guó)產(chǎn)化率較低,大都來(lái)自于國(guó)外品牌,技術(shù)受制于人的同時(shí),數(shù)據(jù)安全風(fēng)險(xiǎn)系數(shù)也較高。目前該企業(yè)工控生產(chǎn)系統(tǒng)的80%核心組件和工具產(chǎn)品均來(lái)自國(guó)外品牌,且在生產(chǎn)控制系統(tǒng)建設(shè)中,國(guó)外廠商參與實(shí)施的集成實(shí)現(xiàn)細(xì)節(jié)也不對(duì)其公布。因此,亟需密碼這一底層保障技術(shù)提升其裝備制造業(yè)務(wù)安全防護(hù)水平,建立基礎(chǔ)信任能力,進(jìn)行底層安全賦能,構(gòu)造智能制造板塊的第一道防線,保障企業(yè)效益長(zhǎng)足穩(wěn)定發(fā)展。
1.3 項(xiàng)目目標(biāo)
本項(xiàng)目嚴(yán)格遵循網(wǎng)絡(luò)安全、數(shù)據(jù)安全和密碼應(yīng)用相關(guān)法律法規(guī)及政策規(guī)范,依照等級(jí)保護(hù)、密碼測(cè)評(píng)等合規(guī)要求,進(jìn)行智能制造領(lǐng)域數(shù)據(jù)全生命周期管理及密碼應(yīng)用建設(shè)。在該企業(yè)智能制造業(yè)務(wù)、數(shù)據(jù)安全現(xiàn)狀和密碼應(yīng)用需求基礎(chǔ)上,搭建智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái),通過(guò)與企業(yè)自身智能制造典型應(yīng)用場(chǎng)景耦合的功能設(shè)計(jì),實(shí)現(xiàn)智能制造設(shè)備的安全防護(hù)、網(wǎng)絡(luò)邊緣側(cè)的安全接入與數(shù)據(jù)匯聚及網(wǎng)絡(luò)邊界數(shù)據(jù)通信強(qiáng)邏輯隔離,為企業(yè)構(gòu)建覆蓋終端、通道及邊界的智能制造領(lǐng)域數(shù)據(jù)安全防護(hù)體系,全面提升體系化安全保障能力,有效促進(jìn)密碼技術(shù)與智能制造業(yè)務(wù)的融合,為企業(yè)整體安全保障體系建設(shè)貢獻(xiàn)力量。
2 項(xiàng)目實(shí)施
2.1 系統(tǒng)架構(gòu)
智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái)由七部分構(gòu)成,如圖1所示,分別是機(jī)甲衛(wèi)士、5G安全接入終端、安全隔離認(rèn)證網(wǎng)關(guān)、VPN安全網(wǎng)關(guān)、密鑰管理系統(tǒng)、服務(wù)器密碼機(jī)及數(shù)據(jù)安全集中管理系統(tǒng)。
圖1 智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái)建設(shè)總體架構(gòu)圖
作為邊緣側(cè)安全產(chǎn)品,5G安全接入終端和機(jī)甲衛(wèi)士分別完成各類物聯(lián)網(wǎng)設(shè)備和一線數(shù)控機(jī)床等工控設(shè)備的安全加固和可信認(rèn)證,并與安全邊界的VPN安全網(wǎng)關(guān)/安全隔離認(rèn)證網(wǎng)關(guān)建立安全加密通道,通過(guò)密鑰管理系統(tǒng)和服務(wù)器密碼機(jī)實(shí)現(xiàn)密碼資源靈活調(diào)度及密鑰管理,“云-管-端-邊”多側(cè)協(xié)同、聯(lián)合實(shí)現(xiàn)企業(yè)工控系統(tǒng)工業(yè)設(shè)備安全防護(hù)、生產(chǎn)數(shù)據(jù)安全傳輸及業(yè)務(wù)系統(tǒng)安全管控。
2.2 系統(tǒng)部署
智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái)以XX公司數(shù)據(jù)安全需求和密碼應(yīng)用建設(shè)作為基礎(chǔ),結(jié)合智能制造系統(tǒng)構(gòu)建深入一線生產(chǎn)制造環(huán)節(jié),覆蓋終端、通道及邊界的制造領(lǐng)域數(shù)據(jù)安全防護(hù)體系,如圖2所示。智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái)根據(jù)各組成系統(tǒng)功能和部署位置,可劃分為端側(cè)防護(hù)設(shè)施、邊界防護(hù)設(shè)施、密碼資源與數(shù)據(jù)安全管理平臺(tái)三部分。
圖2 智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái)部署圖
生產(chǎn)制造區(qū)域存在大量數(shù)控機(jī)床、測(cè)試機(jī)床和試驗(yàn)設(shè)備等一線生產(chǎn)工控設(shè)備,在這些設(shè)備側(cè)部署機(jī)甲衛(wèi)士。機(jī)甲衛(wèi)士通過(guò)與安全隔離認(rèn)證網(wǎng)關(guān)連接,實(shí)現(xiàn)一線生產(chǎn)工控設(shè)備的接口威脅阻斷、外部接入安全認(rèn)證,以及重要生產(chǎn)數(shù)據(jù)、機(jī)床狀態(tài)數(shù)據(jù)的真實(shí)性和機(jī)密性保護(hù)。控制管理網(wǎng)連接辦公網(wǎng)及生產(chǎn)制造網(wǎng),是生產(chǎn)數(shù)據(jù)(如NC文件等)、策略指令、一線生產(chǎn)設(shè)備狀態(tài)數(shù)據(jù)等重要數(shù)據(jù)的匯聚中心,是上傳下達(dá)的重要媒介。因此,在控制管理網(wǎng)邊界部署安全隔離認(rèn)證網(wǎng)關(guān),提供終端安全接入、基于證書的身份認(rèn)證和SSL/IPSec數(shù)據(jù)傳輸加密等功能,保證網(wǎng)絡(luò)通信管道及通信數(shù)據(jù)安全;部署集中管理系統(tǒng)和密鑰管理系統(tǒng),作為安全防護(hù)平臺(tái)管理功能輸出模塊,提供密鑰管理、機(jī)床側(cè)接口安全管理及平臺(tái)側(cè)密碼設(shè)備的統(tǒng)一管控;通過(guò)調(diào)用服務(wù)器密碼機(jī),實(shí)現(xiàn)NC文件、重要產(chǎn)品參數(shù)、指令及數(shù)控機(jī)床狀態(tài)數(shù)據(jù)的加密存儲(chǔ),以及信源加密傳輸。在辦公網(wǎng)邊界部署安全隔離認(rèn)證網(wǎng)關(guān)及VPN安全網(wǎng)關(guān),解決互聯(lián)網(wǎng)威脅經(jīng)由辦公網(wǎng)破壞重裝制造系統(tǒng)的安全問(wèn)題。
無(wú)線網(wǎng)區(qū)域與辦公網(wǎng)直連,該區(qū)域覆蓋智能巡檢機(jī)器人、AGV小車等多種無(wú)線終端,在這些終端側(cè)部署5G安全接入終端,通過(guò)4G/5G無(wú)線與VPN安全網(wǎng)關(guān)/安全隔離認(rèn)證網(wǎng)關(guān)連接,實(shí)現(xiàn)邊緣側(cè)設(shè)備的安全認(rèn)證和高速加密組網(wǎng),以及業(yè)務(wù)數(shù)據(jù)的機(jī)密性和完整性保護(hù)。視頻專網(wǎng)區(qū)域包含視頻監(jiān)控、人臉識(shí)別、視頻數(shù)據(jù)采集等多種視頻終端,在這些終端側(cè)部署5G安全接入終端,通過(guò)4G/5G無(wú)線與VPN安全網(wǎng)關(guān)連接,實(shí)現(xiàn)邊緣側(cè)設(shè)備的安全認(rèn)證和高速加密組網(wǎng),以及視頻數(shù)據(jù)的機(jī)密性和完整性保護(hù);在網(wǎng)絡(luò)邊界部署VPN安全網(wǎng)關(guān),保障網(wǎng)域內(nèi)和網(wǎng)域間的數(shù)據(jù)流轉(zhuǎn)安全。
2.3 詳細(xì)設(shè)計(jì)
2.3.1 機(jī)甲衛(wèi)士
機(jī)甲衛(wèi)士是針對(duì)生產(chǎn)制造裝備操作終端進(jìn)行從內(nèi)到外全方位保護(hù)的自主可控安全產(chǎn)品。機(jī)甲衛(wèi)士以安全管控為核心,秉承“自主可控、主動(dòng)預(yù)防、過(guò)程監(jiān)控、行為審計(jì)”的設(shè)計(jì)理念,采用全方位信息隔離和監(jiān)管技術(shù),基于自主品牌的硬件平臺(tái)及密碼模塊,提供對(duì)數(shù)控機(jī)床串口、USB口及網(wǎng)口等通信端口的文件過(guò)濾、病毒查殺及在線狀態(tài)監(jiān)測(cè),支持?jǐn)?shù)控機(jī)床通信傳輸過(guò)程中的指令及重要數(shù)據(jù)加密和傳輸鏈路加密。機(jī)甲衛(wèi)士創(chuàng)新實(shí)現(xiàn)了數(shù)控機(jī)床系統(tǒng)從內(nèi)到外信息交換過(guò)程的數(shù)據(jù)防護(hù)、安全監(jiān)管和行為可追溯,在保證數(shù)控機(jī)床系統(tǒng)有效信息交換的前提下,最大限度地避免內(nèi)部和外界對(duì)數(shù)控機(jī)床系統(tǒng)環(huán)境的侵犯。
系統(tǒng)部署在智能制造裝備前端,與機(jī)床設(shè)備一對(duì)一接入,對(duì)智能制造裝備的所有通信端口進(jìn)行全方位數(shù)據(jù)防護(hù)及在線狀態(tài)監(jiān)測(cè),識(shí)別非法接入制造裝備的設(shè)備,并進(jìn)行實(shí)時(shí)報(bào)警。系統(tǒng)支持集中管理各前端的配置及監(jiān)控安全狀態(tài)。主要功能有:
(1)端口全方位防護(hù):對(duì)數(shù)控機(jī)床設(shè)備的網(wǎng)口、串口和USB端口進(jìn)行全方位的安全防護(hù),防止威脅數(shù)據(jù)進(jìn)入數(shù)控系統(tǒng)。
(2)網(wǎng)絡(luò)安全防護(hù):支持OPCUA/DA、Modbus TCP、S7、IEC-61850、IEC-104、DNP3、Profinet等工業(yè)控制協(xié)議,支持智能制造裝備私有協(xié)議定制開(kāi)發(fā)。
(3)文件過(guò)濾:提供文件規(guī)則過(guò)濾功能,可對(duì)文件內(nèi)容檢查,包括檢查NC文件指令及范圍、關(guān)鍵字等。
(4)病毒查殺:對(duì)移動(dòng)存儲(chǔ)類設(shè)備進(jìn)行手動(dòng)或自動(dòng)的病毒查殺,支持指定目錄查殺和全盤查殺。
(5)集中管理:集中管理平臺(tái)可提供機(jī)床防護(hù)系統(tǒng)群管理功能,可以進(jìn)行批量管理及配置,簡(jiǎn)化操作。
2.3.2 5G安全接入終端
5G安全接入終端是一款符合國(guó)內(nèi)4G/5G網(wǎng)絡(luò)規(guī)范的無(wú)線數(shù)據(jù)終端,可實(shí)現(xiàn)隨時(shí)隨地通過(guò)4G/5G網(wǎng)絡(luò)接入互聯(lián)網(wǎng),滿足移動(dòng)網(wǎng)絡(luò)接入的需求。同時(shí),還可以通過(guò)接入VPN服務(wù)器實(shí)現(xiàn)網(wǎng)絡(luò)的穿透。安全接入終端和VPN服務(wù)器之間的連接使用國(guó)密的IPSecVPN進(jìn)行加密,充分保證數(shù)據(jù)的安全性。在無(wú)線網(wǎng)絡(luò)環(huán)境下,可將生產(chǎn)制造的智能終端與安全接入終端進(jìn)行連接。安全接入終端啟動(dòng)可作為Wi-Fi熱點(diǎn),單臺(tái)可支持10個(gè)Wi-Fi終端同時(shí)接入并共享移動(dòng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)連接,并可橫向擴(kuò)展。
安全接入終端基于通信網(wǎng)絡(luò)的高性能終端設(shè)備,創(chuàng)新應(yīng)用密碼技術(shù)與網(wǎng)絡(luò)通信技術(shù)融合,為企業(yè)提供入網(wǎng)身份認(rèn)證、安全組網(wǎng)、傳輸數(shù)據(jù)加密等高性能安全服務(wù)。安全接入終端支持IPSecVPN、SSLVPN等多種安全接入?yún)f(xié)議,支持SM1、SM2、SM3、SM4等多種國(guó)密算法,通過(guò)與安全接入網(wǎng)關(guān)的連接可實(shí)現(xiàn)基于國(guó)密體系的安全鏈路,充分保證XX企業(yè)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)的安全性。
2.3.3 安全隔離認(rèn)證網(wǎng)關(guān)
安全隔離認(rèn)證網(wǎng)關(guān)部署于該企業(yè)的生產(chǎn)制造網(wǎng)、控制管理網(wǎng)及辦公網(wǎng)的網(wǎng)絡(luò)邊界,解決了工業(yè)網(wǎng)絡(luò)邊界安全及邊緣側(cè)終端設(shè)備的安全接入和數(shù)據(jù)安全傳輸問(wèn)題,實(shí)現(xiàn)了工業(yè)邊界的安全隔離、工控設(shè)備數(shù)據(jù)的安全可控及生產(chǎn)數(shù)據(jù)的安全交換。
安全隔離認(rèn)證網(wǎng)關(guān)由VPN處理單元、內(nèi)、外網(wǎng)處理單元與數(shù)據(jù)交換單元(專用隔離芯片)四部分組成。VPN處理單元負(fù)責(zé)邊緣側(cè)的身份認(rèn)證、與采用國(guó)密算法的安全接入終端建立安全通道、數(shù)據(jù)安全加密和數(shù)據(jù)安全傳輸。內(nèi)、外網(wǎng)處理單元是兩套專有的網(wǎng)絡(luò)安全控制設(shè)備,分別連接內(nèi)外網(wǎng)絡(luò)。內(nèi)、外網(wǎng)處理單元之間通過(guò)專用的隔離芯片進(jìn)行數(shù)據(jù)的擺渡傳輸,其過(guò)程類似U盤拷貝。當(dāng)專用隔離芯片與內(nèi)網(wǎng)聯(lián)通時(shí)與外網(wǎng)電路是斷開(kāi)的,當(dāng)隔離部件與外網(wǎng)聯(lián)通時(shí)與內(nèi)網(wǎng)是斷開(kāi)的,在確保網(wǎng)絡(luò)隔離的前提下實(shí)現(xiàn)適度的數(shù)據(jù)交換。
2.3.4 密碼資源與管理平臺(tái)
密碼資源與管理平臺(tái)由集中管理系統(tǒng)、密鑰管理系統(tǒng)、服務(wù)器密碼機(jī)等產(chǎn)品組成,部署于該企業(yè)控制管理網(wǎng)中心機(jī)房。
集中管理系統(tǒng)通過(guò)集成5G安全接入終端、機(jī)甲衛(wèi)士終端等產(chǎn)品的管理模塊,同時(shí)與安全隔離認(rèn)證網(wǎng)關(guān)、VPN安全網(wǎng)關(guān)等密碼設(shè)備進(jìn)行對(duì)接適配,對(duì)企業(yè)智能制造系統(tǒng)中密碼應(yīng)用的密碼設(shè)備進(jìn)行統(tǒng)一管理和集中控制。
密鑰管理系統(tǒng)參照相關(guān)管理規(guī)范標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì),對(duì)VPN等各類密碼系統(tǒng)提供統(tǒng)一密鑰管理服務(wù)。密鑰管理包括對(duì)密鑰的生成、更新、存儲(chǔ)、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔、銷毀等全生命周期進(jìn)行管理,滿足信息系統(tǒng)三級(jí)密碼應(yīng)用要求。
服務(wù)器密碼機(jī)為生產(chǎn)制造環(huán)境中的DNC系統(tǒng)的重要NC文件、生產(chǎn)產(chǎn)品參數(shù)、MES系統(tǒng)的重要指令、數(shù)控機(jī)床狀態(tài)數(shù)據(jù)等重要數(shù)據(jù)提供數(shù)據(jù)加解密、簽名驗(yàn)簽等服務(wù)。
為實(shí)現(xiàn)制造網(wǎng)絡(luò)中多個(gè)應(yīng)用系統(tǒng)間的互信互認(rèn),平臺(tái)為各系統(tǒng)設(shè)備、用戶提供統(tǒng)一的身份認(rèn)證服務(wù)。服務(wù)支持多用戶隔離機(jī)制,有效保證不同系統(tǒng)數(shù)據(jù)隔離。各生產(chǎn)車間可建立獨(dú)立的管理員賬號(hào),以統(tǒng)一服務(wù)的方式為用戶提供身份認(rèn)證服務(wù),幫助整體系統(tǒng)實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一應(yīng)用管理、統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)管理和統(tǒng)一日志審計(jì),解決應(yīng)用系統(tǒng)用戶分散管理、獨(dú)立認(rèn)證及多次登錄等問(wèn)題。
平臺(tái)支持基于組織機(jī)構(gòu)和角色進(jìn)行統(tǒng)一授權(quán)管理,對(duì)智能制造設(shè)備采取訪問(wèn)控制措施,對(duì)操作用戶和應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)的訪問(wèn)操作權(quán)限進(jìn)行控制并審計(jì),限制其使用數(shù)據(jù)資源能力,保障數(shù)據(jù)資源在合法范圍內(nèi)得以使用和管理。在用戶訪問(wèn)的過(guò)程中,對(duì)環(huán)境、行為和身份進(jìn)行全程實(shí)時(shí)監(jiān)測(cè),一旦發(fā)現(xiàn)安全要求偏離基線,則快速調(diào)整用戶的訪問(wèn)權(quán)限,減少業(yè)務(wù)暴露面,降低安全風(fēng)險(xiǎn)。
平臺(tái)提供數(shù)據(jù)庫(kù)結(jié)構(gòu)化數(shù)據(jù)和文件等非結(jié)構(gòu)化數(shù)據(jù)的加密存儲(chǔ)服務(wù),保障智能制造環(huán)境中MES、PLM等系統(tǒng)存儲(chǔ)的重要數(shù)據(jù)安全。
2.3.5 數(shù)據(jù)安全集中管理平臺(tái)
數(shù)據(jù)安全集中管理平臺(tái)以“零信任”作為安全理念,基于密碼基因打造安全合規(guī)、統(tǒng)一管理、全面審計(jì)的數(shù)據(jù)全生命周期安全集中管理平臺(tái),為用戶解決數(shù)據(jù)從生成、傳輸、存儲(chǔ)、處理、交換直至銷毀的數(shù)據(jù)全生命周期安全問(wèn)題。
數(shù)據(jù)安全集中管理平臺(tái)承擔(dān)了整個(gè)安全平臺(tái)的維護(hù)、配置和管理任務(wù),包括設(shè)備狀態(tài)監(jiān)測(cè)、用戶管理、角色管理、配置管理和日志管理。集中管理平臺(tái)聯(lián)動(dòng)密鑰管理系統(tǒng)可以對(duì)在線的密碼設(shè)備和密碼資源進(jìn)行靈活調(diào)度;也可以對(duì)系統(tǒng)的用戶和角色權(quán)限進(jìn)行配置;還可以查看平臺(tái)所有的操作日志以及對(duì)系統(tǒng)運(yùn)行參數(shù)進(jìn)行配置。
平臺(tái)結(jié)合數(shù)據(jù)資產(chǎn)識(shí)別,發(fā)現(xiàn)需要保護(hù)的重要數(shù)據(jù)。采用信息摘要技術(shù)為重要數(shù)據(jù)提供信息摘要;融入數(shù)據(jù)使用、傳輸?shù)攘鞒蹋瑢?duì)重要數(shù)據(jù)的操作過(guò)程及其應(yīng)用系統(tǒng)或用戶簽名,確保數(shù)據(jù)完整性操作審計(jì)的全面記錄和不可抵賴性,防止業(yè)務(wù)數(shù)據(jù)被人為惡意篡改,確保智能制造系統(tǒng)運(yùn)行功能安全。
平臺(tái)對(duì)接MES、PLM等應(yīng)用系統(tǒng),記錄對(duì)用戶認(rèn)證日志、授權(quán)日志、鑒權(quán)日志、系統(tǒng)操作日志等多類日志,形成統(tǒng)一的行為審計(jì)管理體系。通過(guò)歸類合并、關(guān)聯(lián)分析及圖表展示等方法,使管理員可以輕松識(shí)別人員異常訪問(wèn)行為和操作時(shí)間等,以及保證出現(xiàn)安全事件后可根據(jù)日志事后溯源。
3 案例亮點(diǎn)及創(chuàng)新性
在智能制造領(lǐng)域數(shù)據(jù)安全管理平臺(tái)中,安全隔離認(rèn)證網(wǎng)關(guān)利用VPN安全傳輸技術(shù),在保障工業(yè)邊界安全的基礎(chǔ)上,通過(guò)工控網(wǎng)絡(luò)的數(shù)據(jù)安全加密和數(shù)據(jù)安全傳輸,實(shí)現(xiàn)了泛在部署的多種類終端的安全接入,提升了工控網(wǎng)絡(luò)、工控設(shè)備和工控?cái)?shù)據(jù)的安全性。
4G/5G安全接入終端將密碼技術(shù)和4G/5G通信技術(shù)相融合,建立基于商用密碼算法的安全通信體系,支持4G、5G和有線網(wǎng)絡(luò)等多方式網(wǎng)絡(luò)接入,為邊緣側(cè)提供安全、可溯、低時(shí)延和高性能的終端防護(hù)能力。同時(shí),與安全隔離認(rèn)證網(wǎng)關(guān)聯(lián)合構(gòu)建覆蓋終端、通道及邊界的安全防護(hù)體系,聯(lián)通邊緣側(cè)與中心端。
機(jī)甲衛(wèi)士將密碼技術(shù)與機(jī)床終端防護(hù)技術(shù)融合,實(shí)現(xiàn)了將安全防護(hù)深入到生產(chǎn)制造的一線生產(chǎn)環(huán)節(jié),重點(diǎn)解決了數(shù)控機(jī)床等企業(yè)重要資產(chǎn)自身安全防護(hù)和重要資產(chǎn)的核心生產(chǎn)參數(shù)機(jī)密性保護(hù)等問(wèn)題。
綜上所述,整體方案落實(shí)了國(guó)家“十四五智能制造發(fā)展規(guī)劃”等相關(guān)政策要求,基于工控安全、數(shù)據(jù)安全、5G等安全體系架構(gòu)設(shè)計(jì),相關(guān)產(chǎn)品融合工控安全檢測(cè)、商用密碼和異常點(diǎn)分析等技術(shù)。該方案面向企業(yè)智能制造生產(chǎn)應(yīng)用場(chǎng)景,提供了融合網(wǎng)絡(luò)安全、數(shù)據(jù)安全和功能安全的安全解決方案,提升了該企業(yè)生產(chǎn)制造過(guò)程的整體安全水平,保障了企業(yè)的業(yè)務(wù)運(yùn)營(yíng)、生產(chǎn)安全甚至相關(guān)國(guó)家重要項(xiàng)目安全。隨著智能制造和兩化融合的深入發(fā)展,相關(guān)方案、案例也值得進(jìn)一步擴(kuò)大應(yīng)用和推廣,以增強(qiáng)我國(guó)智能制造的安全防御能力。
《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第九輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)