2019工业互联网峰会--华能公司PPT.ppt

#,“业务不断、数据不丢”,-,工业互联网安全解决之“,道,”,主讲人：郭森 赵峰,2019,年,2,月,22,日,为什么做工业互联网，,为什么做工业互联网安全？,工业互联网安全怎么做？,我们的实践，我们的呼吁！,01,02,03,1,为什么做工业互联网，,为什么做工业互联网安全？,工业互联网安全怎么做？,我们的实践，我们的呼吁！,01,02,03,2,世界经济形势和能源行业发展的背景,3,信息技术的发展带来的机遇,我国核心流程化企业产值,占世界比例,粗钢,50%,水泥,60%,平板玻璃,50%,电解铝,70%,化肥,35%,化纤,43%,43%,发电,25%,4,国家工业互联网建设的要求,5,工业互联网的应用环境,Aidustry,：,行业互联，星云智造,6,工业互联网安全的急迫性,各生产企业发生安全事件的可能性逐年加大！,7,工业互联网对于网络安全的新需求,8,为什么做工业互联网，,为什么做工业互联网安全？,工业互联网安全怎么做？,我们的实践，我们的呼吁！,01,02,03,9,工业互联网安全的现状,-,德国,2015,年,4,月,电工电子与信息技术标准化委员会,(DKE),工业,4.0,参考架构模型,(RAMI4.0),10,工业互联网安全的现状,-,美国,2016,年,9,月,美国工业互联网联盟,(IIC),工业互联网安全框架,(IISF),11,工业互联网安全的现状,-,中国,2018,年,2,月,中国工业互联网产业联盟（,AII,）,工业互联网安全框架,12,工业互联网安全总体解决方案,意识先行,培训,制度,防护对象,网络,数据,应用,防护目标,数据不丢,业务不断,防护手段,终端防护,云安全,加密认证,单向隔离,监测审计,态势感知应急处置,管理改进,打通,IT,与,OT,安全管理界面,13,业务不断、数据不丢,全球工业互联网平台应用案例分析报告,国家工业信息安全发展研究中心,14,工业互联网的安全保障方案（一）,云、端互信,PLC,HMI,DCS,SCADA,数据库,生产,建模,计划编程,物料管理,设备管理,能源管理,APS,WMS,ERP,PLM,CRM,SCM,QMS,QA,HRM,Level3,企业层,Level2,管理层,Level1,控制层,单向网闸,A,云（公有云、私有云）,开放、协作环境，威胁相对较大,B,端（厂矿侧）,封闭、私有环境，威胁相对较小,BI-,商业智能,SEM-,战略绩效管理,S&OP-,供应链优化,Level4,决策层,终端防护,流量审计,加密认证,云安全,15,终端防护,最小化资源管控：进程白名单、移动介质管控等,智能运维：终端性能监控告警、补丁分发、安全策略分发、软件远程分发等,可信计算：确保登录系统的用户是可信的、系统运行的程序是可信的，防止非法用户、进程及已知或未知攻击,在,KDM,、,KKM,上部署终端防护软件模块（,xGuard,），,安装后系统开机时间延时应小于,20,秒，系统内存占用小于,20M,，系统整机扫描时间不超过,25,分钟,。,16,流量审计,a,实时数据采集和机器学习,b,工控协议全流量分析，动态拓扑,c,自动生成通信行为白名单,内置黑名单,d,与,KDM,、,KKM,平台模块级集成,17,认证加密,密钥管理中心,工作密钥服务,密钥分发,密钥存储,密钥销毁,密钥恢复,综合管理服务,安全策略管理,操作员审核,接入审核,操作日志审计,工作日志审计,分布式密钥协商,安全节点,1,密钥同步,密钥启用,密钥校验,密钥注销,安全节点,2,密钥同步,密钥启用,密钥校验,密钥注销,安全节点服务,节点签到,节点签退,节点状态,节点认证,KDM-1,KDM-3,KDM-2,KDM-4,WEB,服务中心,状态监控,用户管理,密钥审核,应用审核,日志查看,建设集中统一的企业级密钥管理体系，为边缘计算设备安全申请和下发密钥、实现工业控制设备的安全认证、应用系统间的安全加解密服务。,加密机资源池,18,云安全防护,云平台,S,aaS,P,aaS,I,aaS,平台虚拟化安全（,Hypervisor,）,云平台系统加固,虚拟网络安全：安全资源池（监测审计、防火墙、,WAF,、入侵检测、配置核查）,虚机间隔离及安全防护,数据库审计,终端防护、加固,容器安全监控、,OPEN API,安全,安全运维管理,安全建设管理,应用和数据安全,设备和计算安全,网络和通信安全,物理和环境安全,存储,服务器,网络,操作系统,中间件,虚拟化,数据,云应用,运行环境,机房设施,云数据防泄漏,、云用户行为审计、云文件安全管控、云安全管理平台,云管理平台,19,工业互联网的安全保障方案（二）,数据安全,BI-,商业智能,SEM-,战略绩效管理,S&OP-,供应链优化,生产,建模,计划编程,物料管理,设备管理,能源管理,APS,WMS,ERP,PLM,CRM,SCM,QMS,QA,HRM,Level3,企业层,Level2,管理层,数据脱敏,数据加密,数据备份,Level4,决策层,数据,防泄漏,（云）,依托部署在工厂侧的边缘计算设备，传至云端的是经过加工的脱敏的特征值,是数据从端到云的传输和使用过程中应加密，保障数据不被窃取和篡改,由工业互联网平台实现数据的备份和恢复功能,数据,脱敏,数据,加密,数据,备份,20,工业互联网的安全保障方案（三）,应用安全,BI-,商业智能,SEM-,战略绩效管理,S&OP-,供应链优化,生产,建模,计划编程,物料管理,设备管理,能源管理,APS,WMS,ERP,PLM,CRM,SCM,QMS,QA,HRM,Level3,企业层,Level2,管理层,应用冗余,Level4,决策层,WEB,防护,应用冗余,由工业互联网平台自身冗余热备特性，保障对外提供服务的应用不断,WEB,防护,采用类似于,CASB,等技术，实现对,DDOS,和,ATP,的防护,为工业互联网平台提供一套认证授权系统,认证授权,签名认证,21,工业互联网的安全保障方案（四,),基于大数据技术及先进的算法模型，可视化展现工业互联网的态势感知、安全监控、通报预警、追踪溯源、应急处置决策,可视化展现，态势感知、应急处置,22,为什么做工业互联网，,为什么做工业互联网安全？,工业互联网安全怎么做？,我们的实践，我们的呼吁！,01,02,03,23,四川水电应用案例,24,携手共建工业互联网和工业互联网安全的生态,25,主讲人：郭森 赵峰,2018,年,2,月,22,日,