當“網絡安全”遇上“智能制造”——華為亮相2018智能制造網絡安全大會
責編:gltian |2018-12-07 13:17:102018年11月28日,由中央網信辦、工業和信息化部指導,湖南省人民政府、中國工程院、中國科學技術協會、國防科技大學和中國電子信息產業集團有限公司共同主辦的2018中國(長沙)網絡安全·智能制造大會在長沙國際會展中心隆重召開。
華為應邀展出了全棧全場景AI、智能制造、智能計算以及華為安全能力四大部分內容。
其中,華為安全能力重點展示了SDSec安全解決方案、基于自研芯片的AI防火墻產品、SDSec核心技術價值、安全態勢感知產品以及安全研究成果等內容。
隨著制造業的逐步發展,企業辦公網絡與生產網絡一直以來通過物理隔離或間接隔離實現的安全體系正在被打破,生產控制系統越來越多的采用通用硬件和通用軟件,開放性與日俱增,增加了系統漏洞被所利用、感染病毒的可能,其一體化融合在促進數字化轉型的同時也給大企業帶來了諸多安全挑戰:
- 生產網與辦公網互通、內部網與外部網互通,造成安全威脅可擴散至整個網絡,企業網絡的被攻擊面增多;
- 高級持續性威脅日益增多,造成基于已知威脅的防御體系失效,無論是IT系統還是OT系統都面臨巨大安全風險;
- OT系統設計時缺乏安全考慮,大量的定制化的操作系統和軟件平臺在運行多年期間的安全漏洞仍未修補;
- 由于只能防御已知病毒、影響主機系統運行速度、誤報損壞生產文件等原因,生產主機基本為“裸奔”運行;
- 專用的生產控制協議導致以往在IT系統中廣泛部署的安全防御手段很難適用于OT系統;
- 要求安全防護能力不能影響生產網的業務連續性,停機維護不可接受;
為解決以上問題,華為全新推出基于SDSec(軟件定義安全)架構的制造業安全解決方案,主要內容包括:
1. 構建基于網絡邊界的安全防護,實現邏輯隔離
在IT/OT融合的過程中,辦公網和生產網采用物理隔離的方式逐漸消失,通過梳理企業辦公園區、數據中心區和生產廠房的資產分布、網絡拓撲和數據流量等情況,劃分多個安全區域,并通過部署防火墻、安全沙箱和入侵檢測系統來構建邊界安全能力,減少企業的被攻擊面。
2. 構建安全隔離區,實現生產網的前置安全防護
部署第三代沙箱和文件交換服務器,只有通過沙箱的安全性檢測,該文件才能進入生產網,可解決U盤拷貝、郵件附件帶來的安全隱患。對于新加入的操作站等設備通過邏輯網絡劃分的方式先行部署在該區域以進行入網驗證,只有通過漏洞檢測等安全驗證后才能正式接入生產網。對于進入生產網的運維流量通過堡壘機進行跳轉,防止來自于運維終端的安全威脅擴散。部署流探針實時采集并上送流量特征信息,用于識別安全威脅行為。
3. 構建全網威脅分析中心,實現高級威脅及時發現
部署安全分析器CIS(網絡安全智能系統),通過采集辦公網、生產網和安全隔離區中關鍵節點上的日志信息、流量信息和惡意文件檢測信息,并基于大數據分析和AI識別技術,發現隱藏在正常流量中的高級安全威脅,及時告警呈現并下發處置任務。
4. 構建網絡誘捕系統,實現主動發現威脅
辦公網、生產網和安全隔離區均可部署網絡誘捕系統,可利用交換機和防火墻作為誘捕探針,通過構造虛假網絡來主動響應攻擊者,并將其引流至構造了虛假業務的誘捕器來進行混淆欺騙。該系統通過確認攻擊意圖來識別攻擊行為,而無需被動的安全數據分析,降低了真實業務被攻擊的可能,及早發現攻擊源。
5. 構建全網威脅控制中樞,實現威脅及時阻斷
部署安全控制器SecoManager,該系統北向對接CIS系統實現威脅處置任務的接收與編排,南向納管各安全邊界上的防火墻等防御類設備。經過Secomanager安全管理系統的中樞控制,可將企業網絡中的安全防御設備形成統一調度的安全響應資源,一旦發現安全威脅,可在安全隔離區與生產網之間、各生產廠房之間等安全邊界進行隔離阻斷,阻止威脅的擴散。
華為SDSec安全解決方案與制造業的深度融合,將安全防護從辦公網延伸至生產網,實現IT/OT一體化安全防護,安全能力對生產環境的正常運行“零”影響,并引入安全大數據分析和AI識別技術,幫助大企業抵御高級持續性威脅。華為希望通過SDSec軟件定義安全架構進一步促進安全產業的不斷進步,通過人工智能、大數據等安全技術的創新,為客戶提供更可靠更貼心的安全解決方案,為制造業的持續健康發展做出貢獻。