當“網路安全”遇上“智慧製造”——華為亮相2018智慧製造網路安全大會
2018年11月28日,由中央網信辦、工業和資訊化部指導,湖南省人民政府、中國工程院、中國科學技術協會、國防科技大學和中國電子資訊產業集團有限公司共同主辦的2018中國(長沙)網路安全·智慧製造大會在長沙國際會展中心隆重召開。
華為應邀展出了全棧全場景AI、智慧製造、智慧計算以及華為安全能力四大部分內容。
其中,華為安全能力重點展示了SDSec安全解決方案、基於自研晶片的AI防火牆產品、SDSec核心技術價值、安全態勢感知產品以及安全研究成果等內容。
隨著製造業的逐步發展,企業辦公網路與生產網路一直以來通過物理隔離或間接隔離實現的安全體系正在被打破,生產控制系統越來越多的採用通用硬體和通用軟體,開放性與日俱增,增加了系統漏洞被所利用、感染病毒的可能,其一體化融合在促進數字化轉型的同時也給大企業帶來了諸多安全挑戰:
- 生產網與辦公網互通、內部網與外部網互通,造成安全威脅可擴散至整個網路,企業網路的被攻擊面增多;
- 高階持續性威脅日益增多,造成基於已知威脅的防禦體系失效,無論是IT系統還是OT系統都面臨巨大安全風險;
- OT系統設計時缺乏安全考慮,大量的定製化的作業系統和軟體平臺在執行多年期間的安全漏洞仍未修補;
- 由於只能防禦已知病毒、影響主機系統執行速度、誤報損壞生產檔案等原因,生產主機基本為“裸奔”執行;
- 專用的生產控制協議導致以往在IT系統中廣泛部署的安全防禦手段很難適用於OT系統;
- 要求安全防護能力不能影響生產網的業務連續性,停機維護不可接受;
為解決以上問題,華為全新推出基於SDSec(軟體定義安全)架構的製造業安全解決方案,主要內容包括:
1. 構建基於網路邊界的安全防護,實現邏輯隔離
在IT/OT融合的過程中,辦公網和生產網採用物理隔離的方式逐漸消失,通過梳理企業辦公園區、資料中心區和生產廠房的資產分佈、網路拓撲和資料流量等情況,劃分多個安全區域,並通過部署防火牆、安全沙箱和入侵檢測系統來構建邊界安全能力,減少企業的被攻擊面。
2. 構建安全隔離區,實現生產網的前置安全防護
部署第三代沙箱和檔案交換伺服器,只有通過沙箱的安全性檢測,該檔案才能進入生產網,可解決U盤拷貝、郵件附件帶來的安全隱患。對於新加入的操作站等裝置通過邏輯網路劃分的方式先行部署在該區域以進行入網驗證,只有通過漏洞檢測等安全驗證後才能正式接入生產網。對於進入生產網的運維流量通過堡壘機進行跳轉,防止來自於運維終端的安全威脅擴散。部署流探針實時採集並上送流量特徵資訊,用於識別安全威脅行為。
3. 構建全網威脅分析中心,實現高階威脅及時發現
部署安全分析器CIS(網路安全智慧系統),通過採集辦公網、生產網和安全隔離區中關鍵節點上的日誌資訊、流量資訊和惡意檔案檢測資訊,並基於大資料分析和AI識別技術,發現隱藏在正常流量中的高階安全威脅,及時告警呈現並下發處置任務。
4. 構建網路誘捕系統,實現主動發現威脅
辦公網、生產網和安全隔離區均可部署網路誘捕系統,可利用交換機和防火牆作為誘捕探針,通過構造虛假網路來主動響應攻擊者,並將其引流至構造了虛假業務的誘捕器來進行混淆欺騙。該系統通過確認攻擊意圖來識別攻擊行為,而無需被動的安全資料分析,降低了真實業務被攻擊的可能,及早發現攻擊源。
5. 構建全網威脅控制中樞,實現威脅及時阻斷
部署安全控制器SecoManager,該系統北向對接CIS系統實現威脅處置任務的接收與編排,南向納管各安全邊界上的防火牆等防禦類裝置。經過Secomanager安全管理系統的中樞控制,可將企業網路中的安全防禦裝置形成統一排程的安全響應資源,一旦發現安全威脅,可在安全隔離區與生產網之間、各生產廠房之間等安全邊界進行隔離阻斷,阻止威脅的擴散。
華為SDSec安全解決方案與製造業的深度融合,將安全防護從辦公網延伸至生產網,實現IT/OT一體化安全防護,安全能力對生產環境的正常執行“零”影響,並引入安全大資料分析和AI識別技術,幫助大企業抵禦高階持續性威脅。華為希望通過SDSec軟體定義安全架構進一步促進安全產業的不斷進步,通過人工智慧、大資料等安全技術的創新,為客戶提供更可靠更貼心的安全解決方案,為製造業的持續健康發展做出貢獻。