今日頭條
官方微信
官方抖音
案例頻道中國移動通信集團安徽有限公司 岑嵐
澳門科技大學 肖銘遠
中國移動通信集團安徽有限公司 雷穎,蔡宇進
北京天融信網絡安全技術有限公司 韓昱煒
1 目標和概述
安徽合力5G工業互聯網制造系統融合5G與邊緣計算技術,利用端到端的網絡切片技術適配不同生產場景,從人、機、料、法、環、測等生產過程的各個要素入手,不僅實現了提質增效、降本減耗,也實現了“5G柔性制造”“5GAGV高效物流”“5G智能安防”和“5GMEC合力工業APP”等多個場景的落地,推動了企業從先進制造到智能制造的跨越式邁進。安徽合力股份5G智慧工廠邊緣安全風險探查平臺針對5G工業系統的脆弱性和安全防護需求,攻克了脆弱性機理分析和安全威脅溯源、防護模型歸納、大縱深防護策略等共性關鍵技術,提煉了涵蓋信息系統與制造系統風險評估的安全指標體系,構建了典型行業應用的原型系統與工業安全知識庫,開發了評估模型實現對原型系統的安全性能測試、分析和驗證,形成了橫跨工控系統、物聯網系統、通信系統與邊緣云的風險識別分析與安全響應處置為一體的邊緣安全風險探查平臺,為保障5G智能制造的安全提供了理論與技術支撐。
2 方案介紹
2.1 設計理念
傳統的工業制造系統安全防護模型主要在技術層面上對網絡的安全防護問題進行討論,忽視了管理在安全防護中的地位和作用,同時所建立的防護技術也欠缺動態防護和主動防御的理念。面對5G智能制造系統,傳統的安全防護模型和防護技術已經無法滿足其更復雜更全面的安全防護需求。因此,從防護對象、防護措施和防護管理三方面出發歸納5G智能制造系統安全防護模型,同時基于安全檢測技術、軟件定義網絡(SDN)技術、災備恢復技術等建立基于場景的風險探查、主動防御、多維攻擊畫像、多攻擊面協同防御的大縱深防護策略是本項目的基本設計理念。
2.2 系統架構
安徽合力股份5G智慧工廠邊緣安全風險探查平臺基于大數據架構,采用AI智能設計理念,以發現內網失陷和內部違規為核心目標,全面收集終端、業務系統、網絡流量三個方面的行為觀測點的數據。它通過工控EDR與終端EDR收集終端數據,通過全流量探針對邊緣計算網絡、5G通信網絡、工控網絡、物聯網絡的流量進行解析,并結合工控安全設備與邊緣云安全設備的日志進行安全分析與模型構建。系統針對5G智能制造的場景,對工控網、物聯網、通信網、邊緣云的風險進行探查,發現違規行為和潛在風險,最終形成了以員工、設備、事件為維度的風險發現、告警、處置、改進的安全閉環,全面提升了5G智慧工廠的安全運營水平。
圖1 系統架構
2.3 項目方案
安徽合力股份5G智慧工廠應用場景如圖2所示。
圖2 安徽合力股份5G智慧工廠應用場景圖
(1)5G智能制造場景
利用5G低時延的特點,結合邊緣云計算平臺,基于車間數據采集,構建MES系統,打造透明工廠,助力生產過程的降本增效,場景如圖3所示。
圖3 5G智能制造場景圖
(2)5G柔性生產場景
使用5G網絡將車間內多種設備(固定設備與移動終端)聯網,借助5G實現機床設備的“剪辮子”,助力合力車間的柔性制造,場景如圖4所示。
圖4 5G柔性生產場景圖
(3)5GMEC承載工業APP
將邊緣云(MEC)部署在合力園區內,在保證數據不出園區與更低時延的同時,為合力的工業APP提供資源支持,構建更加安全、可靠、高速的邊緣云平臺,如圖5所示。
圖5 5GMEC承載工業APP示意圖
(4)5GAGV高效物流場景
通過5G高質量網絡的覆蓋為AGV調度提供平滑切換的可靠網絡,提高AGV之間的協作水平,并通過邊緣云支持系統特殊環境的遠距離實時控制,場景如圖6所示。
圖6 5GAGV高效物流場景圖
(5)智能安防場景
使用5G攝像機實現攝像機位置的相對靈活調整;基于5G相機的智能安防,在邊緣云計算平臺上通過圖像識別的方式,發現異常行為,留存視頻日志,助力安全溯源,將被動式安防提升為主動式安防,如圖7所示。
圖7 智能安防場景圖
2.4 安徽合力股份5G智慧工廠網絡架構
合力股份5G智慧工廠根據自身業務特點,兼顧網絡安全與數據安全需求,選擇5G專享模式進行組網,自建邊緣計算平臺。其網絡架構如圖8所示。
圖8 安徽合力股份5G智慧工廠網絡架構圖
網絡構成主要包括:
(1)終端:包括高清攝像頭、AGV小車、數控機床、手持終端等。
(2)無線網:采用5G宏基站,實現廠區道路、辦公場所等覆蓋,并對重要生產區域用室分進行補充覆蓋。
(3)生產網:采用專業工控設備、工業交換機、工控主機等搭建工控專網。
(4)傳輸網:按照100GE/200GE端口配置,建設SPN網絡,敷設貫通全廠區的雙路由光纜。
(5)核心網/UPF:利用SA組網模式,接入大區/省5GC,提供網絡切片能力和容災能力。用戶面模塊UPF下沉到園區,滿足數據不出園區的需求。
(6)邊緣云計算網絡:通用服務器、交換機、防火墻設備通過虛擬化提供計算資源、存儲資源、網絡資源和安全基礎設施。
2.5 安徽合力股份5G智慧工廠安全防護體系
安徽合力股份5G智慧工廠安全防護體系如圖9所示。
圖9 安徽合力股份5G智慧工廠安全防護體系圖
(1)生產系統安全防護:通過訪問控制、漏洞掃描、工控主機安全防護等方式,配合工控防火墻,根據不同區域的業務特點進行生產系統的安全防護。
(2)5G全流量解析:5G全流量解析探針通過旁路方式部署,實現流量解析、攻擊檢測、僵木蠕檢測、惡意程序檢測、WEB安全檢測、威脅情報、溯源取證等功能。系統支持5G協議、互聯網協議、物聯網協議、工控協議的解析。
(3)邊緣云安全防護體系:通信網絡/區域邊界安全組件、計算環境安全組件和管理中心安全組件,通過部署邊緣云安全資源池保障邊緣云的業務安全。
(4)5G智慧工廠邊緣安全風險探查平臺:以用戶、資產和安全事件為視角,從基于規則分析到關聯分析、行為建模、智能分析,通過用戶實體行為異常分析來探查各種安全風險。
2.6 5G智慧工廠邊緣云安全防護體系
邊緣云安全防護體系由云安全管理平臺、安全組件和資源池管理平臺三大子系統組成,如圖10所示。云安全管理平臺提供操作和管理界面;安全組件承擔具體的安全功能;資源池管理平臺負責集群管理,為安全組件提供必要的基礎資源。
圖10 5G智慧工廠邊緣云安全防護體系圖
2.7 5G智慧工廠邊緣安全風險探查平臺
邊緣安全風險探查平臺基于大數據架構,采用AI智能設計理念,以發現內網失陷和內部違規為核心目標。平臺分為采集層、數據層、引擎層、展示層,具體架構如圖11所示。
圖11 智慧工廠邊緣安全風險探查平臺架構圖
(1)5G信令異常風險探查
系統對5G用戶接入網絡的失敗請求進行統計并建立基線,對超出基線的異常接入行為進行告警。其分析邏輯如圖12所示。
圖12 5G信令異常風險探查分析邏輯圖
(2)5G機卡分離風險探查
為防止不法人員通過暴力拆解的方式獲得USIM卡,威脅內網安全,系統建立終端設備IMEI號與USIM卡SUPI號的對應關系庫,發現異常的機卡分離行為將及時告警。其分析邏輯如圖13所示。
圖13 5G機卡分離風險探查分析邏輯圖
(3)5G終端位置異常風險探查
系統可對AGV小車等沿固定軌跡運動的移動設備以及溫濕度傳感器等固定設備進行電子圍欄管理與位置監測,并對位置異常進行告警。其分析邏輯如圖14所示。
圖14 5G終端位置異常風險探查分析邏輯圖
(4)5G業務異常風險探查
系統對多種5G終端的不同APP類型、包長大小、上下行流量等設置基線,對超出基線的異常業務風險進行告警。其分析邏輯如圖15所示。
圖15 5G業務異常風險探查分析邏輯圖
(5)工控網安全風險探查
系統對工控網絡中包括非法訪問、非法操作、異常工控指令等風險行為的探查。
(6)物聯網安全風險探查
系統對包括物聯網設備漏洞、口令破解、機卡分離、違規外聯等風險行為的探查。
(7)邊緣云安全風險探查
系統對包括僵木蠕行為、惡意程序、SQL注入行為的風險探查。
(8)安全總覽展示
平臺從風險員工、風險設備、風險業務系統、風險賬號、風險IP、告警事件等維度進行數據的統計,如圖16所示。
圖16 安全總覽展示圖
(9)UEBA展示
平臺將不同區域收集到的風險數據,定位到具體員工或實體,如圖17所示。
圖17 UEBA展示圖
(10)安全分析展示
平臺提供多種安全分析模型,具備數據外聯、橫向威脅等多個安全分析方向與多個安全場景關聯的能力,如圖18所示。
圖18 安全分析展示圖
(11)智能分析展示
平臺提供多維度關聯分析、行為分析、AI分析的建模分析能力,支持自定義風險行為與安全建模,如圖19所示。
圖19 智能分析展示圖
2.8 5G智慧工廠邊緣安全風險探查平臺項目實施效果
項目實施以來,平臺針對智能制造的生產環境、邊緣云、終端設備與員工操作行為進行風險探查、關聯分析、智能分析,及時探查、發現、告警、處置相關安全風險,有效提高了5G智能工廠的安全運營水平。
事件視角:系統在近一個月內,發現網絡攻擊事件147起,其中WEB攻擊事件136起,威脅仿冒事件21起,包含5G非授權訪問與5G信令異常的混合攻擊事件3起,終端行為異常1次。
員工視角:內網風險員工兩個,其IP分別為10.243.37.70和10.243.31.57,原因為嘗試發起網絡攻擊。
資產視角:多個未知IP一小時內多次攻擊統一資產。
3 代表性及推廣價值
3.1 項目效果
(1)系統可靠性達到99.9%以上,系統及相關設備年故障時間累計不超過1小時;
(2)威脅情報庫:威脅情報庫目前每周更新一次(更新周期可配置);
(3)風險探查模型:根據場景需求每三個月調整一次風險探查模型;
(4)提供系統整體安全防護及網管告警,保證產品的可靠性。
3.2 商業價值
邊緣安全風險探查平臺是橫跨工控系統、物聯網系統、通信系統與邊緣云的風險識別分析與安全響應處置為一體的安全運營平臺,其廣泛適用于5G細分垂直行業應用場景,對企業的安全運營水平提升成效顯著,具備行業引領性。目前市面上主流安全廠家暫無同類型的跨域檢測、關聯、分析、研判、處置一體化的安全運營系統,本項目具備一定的技術壁壘,產品的應用前景廣闊。
收入預測1:安徽移動每年投入開發成本150萬元,每個企業運營及支撐服務收入30萬。第一年服務10家企業,純利潤30×10-150=150萬,第二年服務20家企業,純利潤450萬元……隨著服務企業數量的增長,利潤逐年上升。
收入預測2:企業一次性投入開發成本180萬元,安徽移動負責運維服務支撐,每年服務10家企業,每個企業運營及支撐服務收入15萬,平臺利潤10×30=300萬元,運維利潤10×15=150萬元……隨著服務企業數量的增長,利潤逐年上升。
作者簡介:
岑 嵐(1982-),女,安徽馬鞍山人,現就職于中國移動通信集團安徽有限公司,主要從事數據安全、安全審計、身份認證方面的研究。
肖銘遠(2003-),男,安徽合肥人,現就讀于澳門科技大學,主要從事網絡安全規劃、實施與運維工作。
雷 穎(1995-),男,安徽安慶人,現就職于中國移動通信集團安徽有限公司,主要從事應用安全防護、態勢感知、風險管理等方面的研究。
蔡宇進(1980-),男,安徽巢湖人,現就職于中國移動通信集團安徽有限公司,主要從事網絡安全、威脅檢測、風險管理等方面的研究。
韓昱煒(1977-),男,吉林鎮賚人,現就職于北京天融信網絡安全技術有限公司,主要從事5G安全、物聯網安全、云安全等方面的研究。
摘自《自動化博覽》2024年第二期暨《邊緣計算2024專輯》
北京市公安局海淀分局備案號:11010802023656號