今日頭條
官方微信
官方抖音
案例頻道中國(guó)移動(dòng)通信集團(tuán)安徽有限公司 岑嵐
澳門科技大學(xué) 肖銘遠(yuǎn)
中國(guó)移動(dòng)通信集團(tuán)安徽有限公司 雷穎,蔡宇進(jìn)
北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 韓昱煒
1 目標(biāo)和概述
安徽合力5G工業(yè)互聯(lián)網(wǎng)制造系統(tǒng)融合5G與邊緣計(jì)算技術(shù),利用端到端的網(wǎng)絡(luò)切片技術(shù)適配不同生產(chǎn)場(chǎng)景,從人、機(jī)、料、法、環(huán)、測(cè)等生產(chǎn)過程的各個(gè)要素入手,不僅實(shí)現(xiàn)了提質(zhì)增效、降本減耗,也實(shí)現(xiàn)了“5G柔性制造”“5GAGV高效物流”“5G智能安防”和“5GMEC合力工業(yè)APP”等多個(gè)場(chǎng)景的落地,推動(dòng)了企業(yè)從先進(jìn)制造到智能制造的跨越式邁進(jìn)。安徽合力股份5G智慧工廠邊緣安全風(fēng)險(xiǎn)探查平臺(tái)針對(duì)5G工業(yè)系統(tǒng)的脆弱性和安全防護(hù)需求,攻克了脆弱性機(jī)理分析和安全威脅溯源、防護(hù)模型歸納、大縱深防護(hù)策略等共性關(guān)鍵技術(shù),提煉了涵蓋信息系統(tǒng)與制造系統(tǒng)風(fēng)險(xiǎn)評(píng)估的安全指標(biāo)體系,構(gòu)建了典型行業(yè)應(yīng)用的原型系統(tǒng)與工業(yè)安全知識(shí)庫(kù),開發(fā)了評(píng)估模型實(shí)現(xiàn)對(duì)原型系統(tǒng)的安全性能測(cè)試、分析和驗(yàn)證,形成了橫跨工控系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)、通信系統(tǒng)與邊緣云的風(fēng)險(xiǎn)識(shí)別分析與安全響應(yīng)處置為一體的邊緣安全風(fēng)險(xiǎn)探查平臺(tái),為保障5G智能制造的安全提供了理論與技術(shù)支撐。
2 方案介紹
2.1 設(shè)計(jì)理念
傳統(tǒng)的工業(yè)制造系統(tǒng)安全防護(hù)模型主要在技術(shù)層面上對(duì)網(wǎng)絡(luò)的安全防護(hù)問題進(jìn)行討論,忽視了管理在安全防護(hù)中的地位和作用,同時(shí)所建立的防護(hù)技術(shù)也欠缺動(dòng)態(tài)防護(hù)和主動(dòng)防御的理念。面對(duì)5G智能制造系統(tǒng),傳統(tǒng)的安全防護(hù)模型和防護(hù)技術(shù)已經(jīng)無法滿足其更復(fù)雜更全面的安全防護(hù)需求。因此,從防護(hù)對(duì)象、防護(hù)措施和防護(hù)管理三方面出發(fā)歸納5G智能制造系統(tǒng)安全防護(hù)模型,同時(shí)基于安全檢測(cè)技術(shù)、軟件定義網(wǎng)絡(luò)(SDN)技術(shù)、災(zāi)備恢復(fù)技術(shù)等建立基于場(chǎng)景的風(fēng)險(xiǎn)探查、主動(dòng)防御、多維攻擊畫像、多攻擊面協(xié)同防御的大縱深防護(hù)策略是本項(xiàng)目的基本設(shè)計(jì)理念。
2.2 系統(tǒng)架構(gòu)
安徽合力股份5G智慧工廠邊緣安全風(fēng)險(xiǎn)探查平臺(tái)基于大數(shù)據(jù)架構(gòu),采用AI智能設(shè)計(jì)理念,以發(fā)現(xiàn)內(nèi)網(wǎng)失陷和內(nèi)部違規(guī)為核心目標(biāo),全面收集終端、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)流量三個(gè)方面的行為觀測(cè)點(diǎn)的數(shù)據(jù)。它通過工控EDR與終端EDR收集終端數(shù)據(jù),通過全流量探針對(duì)邊緣計(jì)算網(wǎng)絡(luò)、5G通信網(wǎng)絡(luò)、工控網(wǎng)絡(luò)、物聯(lián)網(wǎng)絡(luò)的流量進(jìn)行解析,并結(jié)合工控安全設(shè)備與邊緣云安全設(shè)備的日志進(jìn)行安全分析與模型構(gòu)建。系統(tǒng)針對(duì)5G智能制造的場(chǎng)景,對(duì)工控網(wǎng)、物聯(lián)網(wǎng)、通信網(wǎng)、邊緣云的風(fēng)險(xiǎn)進(jìn)行探查,發(fā)現(xiàn)違規(guī)行為和潛在風(fēng)險(xiǎn),最終形成了以員工、設(shè)備、事件為維度的風(fēng)險(xiǎn)發(fā)現(xiàn)、告警、處置、改進(jìn)的安全閉環(huán),全面提升了5G智慧工廠的安全運(yùn)營(yíng)水平。
圖1 系統(tǒng)架構(gòu)
2.3 項(xiàng)目方案
安徽合力股份5G智慧工廠應(yīng)用場(chǎng)景如圖2所示。
圖2 安徽合力股份5G智慧工廠應(yīng)用場(chǎng)景圖
(1)5G智能制造場(chǎng)景
利用5G低時(shí)延的特點(diǎn),結(jié)合邊緣云計(jì)算平臺(tái),基于車間數(shù)據(jù)采集,構(gòu)建MES系統(tǒng),打造透明工廠,助力生產(chǎn)過程的降本增效,場(chǎng)景如圖3所示。
圖3 5G智能制造場(chǎng)景圖
(2)5G柔性生產(chǎn)場(chǎng)景
使用5G網(wǎng)絡(luò)將車間內(nèi)多種設(shè)備(固定設(shè)備與移動(dòng)終端)聯(lián)網(wǎng),借助5G實(shí)現(xiàn)機(jī)床設(shè)備的“剪辮子”,助力合力車間的柔性制造,場(chǎng)景如圖4所示。
圖4 5G柔性生產(chǎn)場(chǎng)景圖
(3)5GMEC承載工業(yè)APP
將邊緣云(MEC)部署在合力園區(qū)內(nèi),在保證數(shù)據(jù)不出園區(qū)與更低時(shí)延的同時(shí),為合力的工業(yè)APP提供資源支持,構(gòu)建更加安全、可靠、高速的邊緣云平臺(tái),如圖5所示。
圖5 5GMEC承載工業(yè)APP示意圖
(4)5GAGV高效物流場(chǎng)景
通過5G高質(zhì)量網(wǎng)絡(luò)的覆蓋為AGV調(diào)度提供平滑切換的可靠網(wǎng)絡(luò),提高AGV之間的協(xié)作水平,并通過邊緣云支持系統(tǒng)特殊環(huán)境的遠(yuǎn)距離實(shí)時(shí)控制,場(chǎng)景如圖6所示。
圖6 5GAGV高效物流場(chǎng)景圖
(5)智能安防場(chǎng)景
使用5G攝像機(jī)實(shí)現(xiàn)攝像機(jī)位置的相對(duì)靈活調(diào)整;基于5G相機(jī)的智能安防,在邊緣云計(jì)算平臺(tái)上通過圖像識(shí)別的方式,發(fā)現(xiàn)異常行為,留存視頻日志,助力安全溯源,將被動(dòng)式安防提升為主動(dòng)式安防,如圖7所示。
圖7 智能安防場(chǎng)景圖
2.4 安徽合力股份5G智慧工廠網(wǎng)絡(luò)架構(gòu)
合力股份5G智慧工廠根據(jù)自身業(yè)務(wù)特點(diǎn),兼顧網(wǎng)絡(luò)安全與數(shù)據(jù)安全需求,選擇5G專享模式進(jìn)行組網(wǎng),自建邊緣計(jì)算平臺(tái)。其網(wǎng)絡(luò)架構(gòu)如圖8所示。
圖8 安徽合力股份5G智慧工廠網(wǎng)絡(luò)架構(gòu)圖
網(wǎng)絡(luò)構(gòu)成主要包括:
(1)終端:包括高清攝像頭、AGV小車、數(shù)控機(jī)床、手持終端等。
(2)無線網(wǎng):采用5G宏基站,實(shí)現(xiàn)廠區(qū)道路、辦公場(chǎng)所等覆蓋,并對(duì)重要生產(chǎn)區(qū)域用室分進(jìn)行補(bǔ)充覆蓋。
(3)生產(chǎn)網(wǎng):采用專業(yè)工控設(shè)備、工業(yè)交換機(jī)、工控主機(jī)等搭建工控專網(wǎng)。
(4)傳輸網(wǎng):按照100GE/200GE端口配置,建設(shè)SPN網(wǎng)絡(luò),敷設(shè)貫通全廠區(qū)的雙路由光纜。
(5)核心網(wǎng)/UPF:利用SA組網(wǎng)模式,接入大區(qū)/省5GC,提供網(wǎng)絡(luò)切片能力和容災(zāi)能力。用戶面模塊UPF下沉到園區(qū),滿足數(shù)據(jù)不出園區(qū)的需求。
(6)邊緣云計(jì)算網(wǎng)絡(luò):通用服務(wù)器、交換機(jī)、防火墻設(shè)備通過虛擬化提供計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源和安全基礎(chǔ)設(shè)施。
2.5 安徽合力股份5G智慧工廠安全防護(hù)體系
安徽合力股份5G智慧工廠安全防護(hù)體系如圖9所示。
圖9 安徽合力股份5G智慧工廠安全防護(hù)體系圖
(1)生產(chǎn)系統(tǒng)安全防護(hù):通過訪問控制、漏洞掃描、工控主機(jī)安全防護(hù)等方式,配合工控防火墻,根據(jù)不同區(qū)域的業(yè)務(wù)特點(diǎn)進(jìn)行生產(chǎn)系統(tǒng)的安全防護(hù)。
(2)5G全流量解析:5G全流量解析探針通過旁路方式部署,實(shí)現(xiàn)流量解析、攻擊檢測(cè)、僵木蠕檢測(cè)、惡意程序檢測(cè)、WEB安全檢測(cè)、威脅情報(bào)、溯源取證等功能。系統(tǒng)支持5G協(xié)議、互聯(lián)網(wǎng)協(xié)議、物聯(lián)網(wǎng)協(xié)議、工控協(xié)議的解析。
(3)邊緣云安全防護(hù)體系:通信網(wǎng)絡(luò)/區(qū)域邊界安全組件、計(jì)算環(huán)境安全組件和管理中心安全組件,通過部署邊緣云安全資源池保障邊緣云的業(yè)務(wù)安全。
(4)5G智慧工廠邊緣安全風(fēng)險(xiǎn)探查平臺(tái):以用戶、資產(chǎn)和安全事件為視角,從基于規(guī)則分析到關(guān)聯(lián)分析、行為建模、智能分析,通過用戶實(shí)體行為異常分析來探查各種安全風(fēng)險(xiǎn)。
2.6 5G智慧工廠邊緣云安全防護(hù)體系
邊緣云安全防護(hù)體系由云安全管理平臺(tái)、安全組件和資源池管理平臺(tái)三大子系統(tǒng)組成,如圖10所示。云安全管理平臺(tái)提供操作和管理界面;安全組件承擔(dān)具體的安全功能;資源池管理平臺(tái)負(fù)責(zé)集群管理,為安全組件提供必要的基礎(chǔ)資源。
圖10 5G智慧工廠邊緣云安全防護(hù)體系圖
2.7 5G智慧工廠邊緣安全風(fēng)險(xiǎn)探查平臺(tái)
邊緣安全風(fēng)險(xiǎn)探查平臺(tái)基于大數(shù)據(jù)架構(gòu),采用AI智能設(shè)計(jì)理念,以發(fā)現(xiàn)內(nèi)網(wǎng)失陷和內(nèi)部違規(guī)為核心目標(biāo)。平臺(tái)分為采集層、數(shù)據(jù)層、引擎層、展示層,具體架構(gòu)如圖11所示。
圖11 智慧工廠邊緣安全風(fēng)險(xiǎn)探查平臺(tái)架構(gòu)圖
(1)5G信令異常風(fēng)險(xiǎn)探查
系統(tǒng)對(duì)5G用戶接入網(wǎng)絡(luò)的失敗請(qǐng)求進(jìn)行統(tǒng)計(jì)并建立基線,對(duì)超出基線的異常接入行為進(jìn)行告警。其分析邏輯如圖12所示。
圖12 5G信令異常風(fēng)險(xiǎn)探查分析邏輯圖
(2)5G機(jī)卡分離風(fēng)險(xiǎn)探查
為防止不法人員通過暴力拆解的方式獲得USIM卡,威脅內(nèi)網(wǎng)安全,系統(tǒng)建立終端設(shè)備IMEI號(hào)與USIM卡SUPI號(hào)的對(duì)應(yīng)關(guān)系庫(kù),發(fā)現(xiàn)異常的機(jī)卡分離行為將及時(shí)告警。其分析邏輯如圖13所示。
圖13 5G機(jī)卡分離風(fēng)險(xiǎn)探查分析邏輯圖
(3)5G終端位置異常風(fēng)險(xiǎn)探查
系統(tǒng)可對(duì)AGV小車等沿固定軌跡運(yùn)動(dòng)的移動(dòng)設(shè)備以及溫濕度傳感器等固定設(shè)備進(jìn)行電子圍欄管理與位置監(jiān)測(cè),并對(duì)位置異常進(jìn)行告警。其分析邏輯如圖14所示。
圖14 5G終端位置異常風(fēng)險(xiǎn)探查分析邏輯圖
(4)5G業(yè)務(wù)異常風(fēng)險(xiǎn)探查
系統(tǒng)對(duì)多種5G終端的不同APP類型、包長(zhǎng)大小、上下行流量等設(shè)置基線,對(duì)超出基線的異常業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行告警。其分析邏輯如圖15所示。
圖15 5G業(yè)務(wù)異常風(fēng)險(xiǎn)探查分析邏輯圖
(5)工控網(wǎng)安全風(fēng)險(xiǎn)探查
系統(tǒng)對(duì)工控網(wǎng)絡(luò)中包括非法訪問、非法操作、異常工控指令等風(fēng)險(xiǎn)行為的探查。
(6)物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)探查
系統(tǒng)對(duì)包括物聯(lián)網(wǎng)設(shè)備漏洞、口令破解、機(jī)卡分離、違規(guī)外聯(lián)等風(fēng)險(xiǎn)行為的探查。
(7)邊緣云安全風(fēng)險(xiǎn)探查
系統(tǒng)對(duì)包括僵木蠕行為、惡意程序、SQL注入行為的風(fēng)險(xiǎn)探查。
(8)安全總覽展示
平臺(tái)從風(fēng)險(xiǎn)員工、風(fēng)險(xiǎn)設(shè)備、風(fēng)險(xiǎn)業(yè)務(wù)系統(tǒng)、風(fēng)險(xiǎn)賬號(hào)、風(fēng)險(xiǎn)IP、告警事件等維度進(jìn)行數(shù)據(jù)的統(tǒng)計(jì),如圖16所示。
圖16 安全總覽展示圖
(9)UEBA展示
平臺(tái)將不同區(qū)域收集到的風(fēng)險(xiǎn)數(shù)據(jù),定位到具體員工或?qū)嶓w,如圖17所示。
圖17 UEBA展示圖
(10)安全分析展示
平臺(tái)提供多種安全分析模型,具備數(shù)據(jù)外聯(lián)、橫向威脅等多個(gè)安全分析方向與多個(gè)安全場(chǎng)景關(guān)聯(lián)的能力,如圖18所示。
圖18 安全分析展示圖
(11)智能分析展示
平臺(tái)提供多維度關(guān)聯(lián)分析、行為分析、AI分析的建模分析能力,支持自定義風(fēng)險(xiǎn)行為與安全建模,如圖19所示。
圖19 智能分析展示圖
2.8 5G智慧工廠邊緣安全風(fēng)險(xiǎn)探查平臺(tái)項(xiàng)目實(shí)施效果
項(xiàng)目實(shí)施以來,平臺(tái)針對(duì)智能制造的生產(chǎn)環(huán)境、邊緣云、終端設(shè)備與員工操作行為進(jìn)行風(fēng)險(xiǎn)探查、關(guān)聯(lián)分析、智能分析,及時(shí)探查、發(fā)現(xiàn)、告警、處置相關(guān)安全風(fēng)險(xiǎn),有效提高了5G智能工廠的安全運(yùn)營(yíng)水平。
事件視角:系統(tǒng)在近一個(gè)月內(nèi),發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件147起,其中WEB攻擊事件136起,威脅仿冒事件21起,包含5G非授權(quán)訪問與5G信令異常的混合攻擊事件3起,終端行為異常1次。
員工視角:內(nèi)網(wǎng)風(fēng)險(xiǎn)員工兩個(gè),其IP分別為10.243.37.70和10.243.31.57,原因?yàn)閲L試發(fā)起網(wǎng)絡(luò)攻擊。
資產(chǎn)視角:多個(gè)未知IP一小時(shí)內(nèi)多次攻擊統(tǒng)一資產(chǎn)。
3 代表性及推廣價(jià)值
3.1 項(xiàng)目效果
(1)系統(tǒng)可靠性達(dá)到99.9%以上,系統(tǒng)及相關(guān)設(shè)備年故障時(shí)間累計(jì)不超過1小時(shí);
(2)威脅情報(bào)庫(kù):威脅情報(bào)庫(kù)目前每周更新一次(更新周期可配置);
(3)風(fēng)險(xiǎn)探查模型:根據(jù)場(chǎng)景需求每三個(gè)月調(diào)整一次風(fēng)險(xiǎn)探查模型;
(4)提供系統(tǒng)整體安全防護(hù)及網(wǎng)管告警,保證產(chǎn)品的可靠性。
3.2 商業(yè)價(jià)值
邊緣安全風(fēng)險(xiǎn)探查平臺(tái)是橫跨工控系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)、通信系統(tǒng)與邊緣云的風(fēng)險(xiǎn)識(shí)別分析與安全響應(yīng)處置為一體的安全運(yùn)營(yíng)平臺(tái),其廣泛適用于5G細(xì)分垂直行業(yè)應(yīng)用場(chǎng)景,對(duì)企業(yè)的安全運(yùn)營(yíng)水平提升成效顯著,具備行業(yè)引領(lǐng)性。目前市面上主流安全廠家暫無同類型的跨域檢測(cè)、關(guān)聯(lián)、分析、研判、處置一體化的安全運(yùn)營(yíng)系統(tǒng),本項(xiàng)目具備一定的技術(shù)壁壘,產(chǎn)品的應(yīng)用前景廣闊。
收入預(yù)測(cè)1:安徽移動(dòng)每年投入開發(fā)成本150萬元,每個(gè)企業(yè)運(yùn)營(yíng)及支撐服務(wù)收入30萬。第一年服務(wù)10家企業(yè),純利潤(rùn)30×10-150=150萬,第二年服務(wù)20家企業(yè),純利潤(rùn)450萬元……隨著服務(wù)企業(yè)數(shù)量的增長(zhǎng),利潤(rùn)逐年上升。
收入預(yù)測(cè)2:企業(yè)一次性投入開發(fā)成本180萬元,安徽移動(dòng)負(fù)責(zé)運(yùn)維服務(wù)支撐,每年服務(wù)10家企業(yè),每個(gè)企業(yè)運(yùn)營(yíng)及支撐服務(wù)收入15萬,平臺(tái)利潤(rùn)10×30=300萬元,運(yùn)維利潤(rùn)10×15=150萬元……隨著服務(wù)企業(yè)數(shù)量的增長(zhǎng),利潤(rùn)逐年上升。
作者簡(jiǎn)介:
岑 嵐(1982-),女,安徽馬鞍山人,現(xiàn)就職于中國(guó)移動(dòng)通信集團(tuán)安徽有限公司,主要從事數(shù)據(jù)安全、安全審計(jì)、身份認(rèn)證方面的研究。
肖銘遠(yuǎn)(2003-),男,安徽合肥人,現(xiàn)就讀于澳門科技大學(xué),主要從事網(wǎng)絡(luò)安全規(guī)劃、實(shí)施與運(yùn)維工作。
雷 穎(1995-),男,安徽安慶人,現(xiàn)就職于中國(guó)移動(dòng)通信集團(tuán)安徽有限公司,主要從事應(yīng)用安全防護(hù)、態(tài)勢(shì)感知、風(fēng)險(xiǎn)管理等方面的研究。
蔡宇進(jìn)(1980-),男,安徽巢湖人,現(xiàn)就職于中國(guó)移動(dòng)通信集團(tuán)安徽有限公司,主要從事網(wǎng)絡(luò)安全、威脅檢測(cè)、風(fēng)險(xiǎn)管理等方面的研究。
韓昱煒(1977-),男,吉林鎮(zhèn)賚人,現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,主要從事5G安全、物聯(lián)網(wǎng)安全、云安全等方面的研究。
摘自《自動(dòng)化博覽》2024年第二期暨《邊緣計(jì)算2024專輯》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)