工业互联网安全实践与趋势分析 龙国东 北京威努特技术有限公司CEO 目录 工业互联网与安全 工业互联网安全实践 工业互联网安全趋势分析 什么是工业互联网？其内含是什么 工业互联网总体架构 工业互联网与安全 工业互联网与安全 智能生产 数据处理 数据传输 真实生产 目录 工业互联网与安全 工业互联网安全实践 工业互联网信息安全态势分析 工业互联网安全实践—智能云科现状 工业互联网安全实践—安全需求 云平台计算 环境安全 云平台 存储安全 云平台安全 云平台 安全 Web服务 安全 网络链路安全 网络安全 机床 本地安全 厂侧工控网络安全 云平台安全 安全管理 安全管理 安全 风险管理 应用 安全 WAF 网站 安全监控 网页 防篡改 Email 安全 安全 设计与获取 主机 安全 主机 安全防护 OS安全 配置加固 服务器 防病毒 设备 安全 安全 开发与集成 网络 安全 安全域 划分 安全 事件管理 虚拟化 安全 安全 运维管理 业务 连续性 访问 控制 流量 清洗 入侵 检测 恶意代 码防护 VPN 接入 虚拟机 加固 HyperV 加固 虚拟机 镜像安全 虚拟化 管理安全 数据 安全 数据加密 数据 防泄漏 数据库 防火墙 数据库 审计 物理环 境安全 门禁系统 机房安全 安全职场基础设施 （PKI、身份管理等） 云平台安全——安全分区 内部网络 合作伙伴网络 Internet  传统信息安全中分 级分域、纵深防护 内联网出口 外联网出口 的基本原则在工控 互联网出口 核心交换区 互联网依然适用 子区A 子区B 生产区 生产资源子区 子区A 子区B 子区A 非生产区 子区B 子区A 支撑服务区 非生产资源子区 资源区 子区B 管理区 管理资源子区 云平台安全——安全边界（入侵检测、流量清洗、防火墙）  通过部署防火墙、WAF、 防火墙等网络设备监测由 内至外、由外至内的双向 云 侧 流量，以防止或减少云计 算中心受异常流量的影响 上行数据 日志、告警、消息 以及外发异常流量对厂测 设备及系统的影响。 厂 侧 下行数据 命令、配置、消息 云平台安全——安全应用  根据WAF提供专用的应用 层规则，且具备检测变形攻 击的能力，把Web 应用防 火墙应部署在Web服务器之 前，逻辑串联，保护云计算 平台的Web 服务器，确保 云计算平台Web 应用和服 务免受侵害 云平台安全——安全运维  云平台的管理运维人员、第 三方运维人员以及租户需要 多云计算平台的主机、应用 及网络设备进行管理、维护 操作。为了发 现和防止不当 操作、越权操作的发生，需 要对此类用户进行认证、授 权、访问控制和审计。 网络链路安全——加密、身份认证  通过VPN和数字证书技术， 解决链路可能产生的，信息 截获，重放攻击、数据篡改 等安全风险，同时实现基于 互联网的身份鉴别、访问控 制、资源分配、权限管理等 安全措施。 Server 厂侧工控安全——基于“白环境”的安全隔离  依然通过分层分级的纵深防 御原则设计工业控制网络；  通过工业防火墙实现区域和 管道之间的安全隔离，，阻 止病毒、蠕虫恶意软件扩散 和入侵攻击。管道间的防火 墙实现横向逻辑隔离，将危 险源控制在有限范围内 厂侧工控安全——基于“白环境”的主机防护  通过对工程师站安装安全 防护和加固软件，建立安 全模型和安全基线，生成 白名单。通过“白名单” 阻止所有非法软件的执 行，在没有杀毒软件和杀 毒软件更新不及时的环境 下，病毒、蠕虫、木马等 非法程序依然无法执行。 厂侧工控安全——统一安全管理  对整个工控的安全设备管 理统一，日志上报统一， 告警收集统一。通过单一 可视化界面完整展示工控 网络安全状态。同时统一 管理平台可以收集整个网 络消息、命令等流量，基 于工控协议的解析可以描 绘出整个工控网络的状 态，结合安全日志可以对 整个网络进行安全态势感 知和预警。 厂侧工控安全——漏洞扫描与挖掘  通过漏洞扫描和漏洞挖掘系统，对工控系 统和工控产品进行漏洞扫描和挖掘，在停 歇期间对全网系统设备进行“体检”  基于漏扫和漏挖的结果，建立安全工控产 品采购清单，从源头上控制安全风险。 目录 工业互联网与安全 工业互联网安全实践 工业互联网安全趋势分析