“新基建”與工業(yè)互聯(lián)網(wǎng)安全的春天

1、精選優(yōu)質(zhì)文檔-傾情為你奉上“新基建”與工業(yè)互聯(lián)網(wǎng)安全的春天（北京國基華電科技有限公司）建國以來，級別最高最嚴(yán)重的“新冠”疫情正在影響著人們的生活和一切，而新基建異常的火熱。新基建全稱為“新型基礎(chǔ)設(shè)施建設(shè)”，它包含7大領(lǐng)域：5G基建、特高壓、高鐵軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工智能和工業(yè)互聯(lián)網(wǎng)。這7大發(fā)力于科技端的基礎(chǔ)設(shè)施建設(shè)，同時涉及諸多產(chǎn)業(yè)鏈提速發(fā)展，必將為國家經(jīng)濟(jì)增長提供新動力。一、工業(yè)互聯(lián)網(wǎng)的機(jī)會工業(yè)互聯(lián)網(wǎng)是智能制造發(fā)展的基礎(chǔ)，可以提供共性的基礎(chǔ)設(shè)施和能力。2018年5月31日，工信部發(fā)布工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018-2020年）。發(fā)展目標(biāo)為到2020年底，初步建成工業(yè)互

2、聯(lián)網(wǎng)基礎(chǔ)設(shè)施和產(chǎn)業(yè)體系。進(jìn)入到2020年，工業(yè)互聯(lián)網(wǎng)和5G、AI等一同被納入“新基建”重點領(lǐng)域，新基建的加速推進(jìn)將促進(jìn)工業(yè)互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，對工業(yè)未來發(fā)展會產(chǎn)生革命性的影響。疫情肆虐全國甚至全球，工業(yè)互聯(lián)網(wǎng)企業(yè)發(fā)揮自身特色，新技術(shù)新服務(wù)在醫(yī)療設(shè)施建設(shè)、醫(yī)療物資對接、疫情信息防控、復(fù)產(chǎn)復(fù)工等方面發(fā)揮了應(yīng)有的效果。工業(yè)互聯(lián)網(wǎng)平臺的高效、快速響應(yīng)也向社會展示了“互聯(lián)互通、資源共享、智能協(xié)同”的價值。國內(nèi)工業(yè)互聯(lián)網(wǎng)的發(fā)展還將在5G加速落地的進(jìn)程中受益。5G高連接速率、超低網(wǎng)絡(luò)延時、海量終端接入、高可靠性等特征非常匹配工業(yè)互聯(lián)網(wǎng)建設(shè)，越來越多的工業(yè)應(yīng)

3、用場景，在5G的技術(shù)支撐下變得可行。2019年11月19日工信部推出“5G+工業(yè)互聯(lián)網(wǎng)”512工程推進(jìn)方案。發(fā)展目標(biāo)為到2022年，突破一批面向工業(yè)互聯(lián)網(wǎng)特定需求的5G關(guān)鍵技術(shù)，“5G+工業(yè)互聯(lián)網(wǎng)”的產(chǎn)業(yè)支撐能力顯著提升。工業(yè)互聯(lián)網(wǎng)也將成為5G的重要應(yīng)用場景。5G與工業(yè)互聯(lián)網(wǎng)的融合，可以與既有的研發(fā)設(shè)計系統(tǒng)、生產(chǎn)控制系統(tǒng)及服務(wù)管理系統(tǒng)等相結(jié)合，還可全面推動5G與垂直行業(yè)的研發(fā)設(shè)計、生產(chǎn)制造、管理服務(wù)等生產(chǎn)流程的深刻變革，實現(xiàn)制造業(yè)從單點、局部的信息技術(shù)應(yīng)用向數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)變。工業(yè)互聯(lián)網(wǎng)走向“人-機(jī)-物”全面互聯(lián)，極大擴(kuò)展了網(wǎng)絡(luò)空間的邊界和功能，也打破了工業(yè)控制系統(tǒng)傳統(tǒng)的封閉格局，使工

4、業(yè)互聯(lián)網(wǎng)控制層、設(shè)備層、網(wǎng)絡(luò)層、平臺層、數(shù)據(jù)層等安全問題大量暴露出來，線上線下安全風(fēng)險交織疊加放大，安全形勢更為復(fù)雜。二、工業(yè)互聯(lián)網(wǎng)安全需求與應(yīng)對面對工業(yè)互聯(lián)網(wǎng)安全的新特征與新需求，北京國基華電科技有限公司（簡稱國基華電）在工控安全領(lǐng)域不斷創(chuàng)新完善，構(gòu)建全新的身份信任體系，提升威脅檢測預(yù)警能力、風(fēng)險防范能力、態(tài)勢感知能力、攻防對抗能力、蜜罐誘捕溯源、應(yīng)急響應(yīng)能力。國基華電自主研發(fā)生產(chǎn)的國基華電主機(jī)加固V3.0、N-GAP8000安全隔離網(wǎng)閘、GJsec-SIDS/V2.0入侵檢測、GJsec-LAS/V3.0日志審計系統(tǒng)、GJsec-OAS/V3.0堡壘機(jī)、GJsec-USG1000防火墻系列

5、、GJsec-ICS/V2.0工業(yè)網(wǎng)絡(luò)審計系統(tǒng)、GJ-NxSOC工控網(wǎng)絡(luò)安全管理平臺、結(jié)合漏洞掃描協(xié)同工作的資產(chǎn)風(fēng)險管理系統(tǒng)、GJsec-SCA/V2.0配置核查、GJsec-POT3000蜜罐誘捕預(yù)警系統(tǒng)等產(chǎn)品，依托公司多年在能源行業(yè)專注優(yōu)良的影響，已服務(wù)眾多現(xiàn)場，同時也廣泛應(yīng)用于煤炭、石油、鋼鐵、港口、軍隊、公檢法等各行業(yè)，運行良好并獲得好評。三、工業(yè)互聯(lián)網(wǎng)信息安全產(chǎn)品（一） 國基華電主機(jī)加固V3.0核心防護(hù)系統(tǒng)根據(jù)等級保護(hù)GB/T 20272-2006信息安全技術(shù)-操作系統(tǒng)安全技術(shù)要求規(guī)定，同時響應(yīng)能源行業(yè)文件要求，通過對主體和客體進(jìn)行標(biāo)記，主體不能隨意更改權(quán)限，在很大程度上使

6、非法訪問受到限制，增加了訪問控制的力度。國基華電主機(jī)加固V3.0為主輔機(jī)生產(chǎn)系統(tǒng)工控終端提供生命周期的安全管理，通過對文件的掃描建立白名單；通過對注冊表的掃描，來檢查系統(tǒng)的基線配置情況，提供一鍵配置基線的功能；支持基于數(shù)字簽名的強(qiáng)身份認(rèn)證，提供進(jìn)程保護(hù)，防止重要進(jìn)程被意外終止；有效防護(hù)惡意代碼，提供網(wǎng)絡(luò)訪問控制功能，對端口外設(shè)管控，提供對網(wǎng)絡(luò)數(shù)據(jù)流量的雙向過濾；具有主機(jī)IPS功能，能夠識別入侵行為或違法安全策略的操作，并自動做出阻斷、報警等響應(yīng)，確保終端的行為始終在受控信任范圍內(nèi)、實現(xiàn)對工控主機(jī)全面的安全防護(hù)，并保障工作站、服務(wù)器的可用性、可靠性和可信性。（二）工業(yè)日志審計系統(tǒng)按等級保護(hù)、IS

7、O27001等規(guī)定中要求記錄的相關(guān)日志作為數(shù)據(jù)源，根據(jù)不同的維度對采集的相應(yīng)日志進(jìn)行可視化統(tǒng)計，實現(xiàn)合規(guī)分析，并按法規(guī)文件要求留存6個月以上。GJSec-LAS/V3.0日志審計系統(tǒng)能夠?qū)崟r采集生產(chǎn)系統(tǒng)內(nèi)各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、業(yè)務(wù)系統(tǒng)等日志信息，協(xié)助用戶進(jìn)行安全分析及合規(guī)審計，及時、有效地發(fā)現(xiàn)安全事件及審計違規(guī)。該產(chǎn)品實現(xiàn)從生產(chǎn)系統(tǒng)內(nèi)各種設(shè)備資產(chǎn)操作行為的產(chǎn)生、采集、綜合分析與審計、到事件數(shù)據(jù)存儲、備份整個審計日志的生命周期管理，通過集中化的審計日志管理系統(tǒng)，協(xié)助客戶解決網(wǎng)絡(luò)中日志分散、種類繁多、數(shù)量巨大的問題，提升安全運營效率。同時在生產(chǎn)系統(tǒng)全局上實現(xiàn)對全網(wǎng)資產(chǎn)日志數(shù)據(jù)的實

8、時摘要監(jiān)控，如事件總數(shù)、事件EPS趨勢圖、告警類型、告警數(shù)儀表盤等，使用戶通過日志數(shù)據(jù)整體態(tài)勢了解全網(wǎng)資產(chǎn)情況。（三）國基華電工業(yè)網(wǎng)閘國基華電嚴(yán)格遵照國家設(shè)計規(guī)范標(biāo)準(zhǔn)，針對工業(yè)控制領(lǐng)域信息化的特點與要求，開發(fā)生產(chǎn)N-GAP8000系列網(wǎng)閘。該產(chǎn)品利用網(wǎng)絡(luò)隔離與訪問控制技術(shù)，其安全、固化的操作系統(tǒng)，采用嵌入式LINUX系統(tǒng)內(nèi)核，內(nèi)、外網(wǎng)關(guān)取消所有網(wǎng)絡(luò)功能，隔離工業(yè)生產(chǎn)網(wǎng)中的管理層與生產(chǎn)控制層，對重點數(shù)據(jù)提供高安全隔離的保護(hù)。N-GAP8000工業(yè)網(wǎng)閘支持 OPC、Modbus、S7、DNP3、IEC等工控協(xié)議，同時具有可定制的應(yīng)用層解析功能，支持應(yīng)用層特殊標(biāo)記識別，滿足不同應(yīng)用環(huán)境需求等工業(yè)協(xié)議

9、進(jìn)行深度解析，保障生產(chǎn)系統(tǒng)的安全有序進(jìn)行。（四）國基華電工業(yè)入侵檢測系統(tǒng)越來越多的工業(yè)設(shè)備實現(xiàn)了智能化和網(wǎng)絡(luò)化，通過工業(yè)控制系統(tǒng)網(wǎng)絡(luò)傳輸成為實現(xiàn)針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊的主要方式。同時隨著控制系統(tǒng)各種安全漏洞不斷被發(fā)現(xiàn)，入侵者的技巧和破壞能力不斷提高，且在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率。這些威脅對企業(yè)造成巨大的損失，我們需要利用入侵檢測技術(shù)，實時監(jiān)控網(wǎng)絡(luò)資源，精確識別各種入侵攻擊，防止入侵造成危害。在檢測到入侵攻擊時，能夠及時報警，動態(tài)防御，減少入侵帶來的損失。國基華電GJsec-SIDS/V3.0內(nèi)置先進(jìn)、可靠的工業(yè)協(xié)議威脅檢測機(jī)制，能夠在網(wǎng)絡(luò)傳輸時給予及時

10、報警，能夠協(xié)助操作員識別安全威脅，防止網(wǎng)絡(luò)攻擊和敏感信息外泄等安全事件的發(fā)生。支持Modbus/TCP，Modbus/RTU，Modbus/ASCII，IEC 101/102/103/104，DNP3.0,CDT,DLT 645/1997，DLT 645/2007，Profinet，S7，F(xiàn)INS，EIP等主流工業(yè)控制系統(tǒng)通訊協(xié)議的深度解析。支持不少于3000條針對工業(yè)控制系統(tǒng)通訊協(xié)議的檢測規(guī)則和入侵行為檢測。 國基華電工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)根據(jù)等級保護(hù)GB/T20271-2006信息安全技術(shù)-信息系統(tǒng)通用安全技術(shù)要求規(guī)定,同時根據(jù)國能安全【201536號國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總

11、體方案等安全防護(hù)方案和評估規(guī)范的通知,國家發(fā)改委令2016年第92號電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定等文件的要求,為保證企業(yè)業(yè)務(wù)操作數(shù)據(jù)不會被偽造的工業(yè)以太網(wǎng)報文、各種病毒木馬、利用工控漏洞入侵、惡意違規(guī)操作等異常行為所破壞,保證業(yè)務(wù)操作的安全性和實時性，國基華電自主生產(chǎn)GJsec-ISC/V2.0工控網(wǎng)絡(luò)安全審計系統(tǒng)。該產(chǎn)品可以提供直觀的，包含網(wǎng)絡(luò)告警信息的網(wǎng)絡(luò)拓?fù)鋱D，生成以時間為周期的系統(tǒng)網(wǎng)絡(luò)安全分析報告，并給出相應(yīng)的防御策略和事件溯源的報文源碼，使用戶在了解網(wǎng)絡(luò)拓?fù)涞耐瑫r獲知網(wǎng)絡(luò)告警分布，輕松掌握網(wǎng)絡(luò)運行狀況。電力、能源、冶金、石油、化工等各類過程自動化控制系統(tǒng)的一個鮮明特點就是系統(tǒng)的生產(chǎn)過程是

12、基于復(fù)雜的數(shù)學(xué)模型，即變量之間存在一定的關(guān)聯(lián)關(guān)系，這就要求我們在對數(shù)據(jù)的合規(guī)性、有效性等監(jiān)測的同時，也能夠?qū)I(yè)務(wù)模型中數(shù)據(jù)的關(guān)聯(lián)性做出相應(yīng)的監(jiān)測，國基華電工控網(wǎng)絡(luò)安全審計系統(tǒng)充分考慮到各數(shù)據(jù)之間可能存在的關(guān)聯(lián)系，針對工控網(wǎng)絡(luò)敏感指令數(shù)據(jù)進(jìn)行記錄和異常檢測，監(jiān)測中心通過對網(wǎng)絡(luò)通信數(shù)據(jù)流的深度解析還原后，可以對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行還原，支持對URL、腳本、文檔、可執(zhí)行文件等內(nèi)容放入安全監(jiān)測沙箱進(jìn)行安全分析，通過提取其運行過程中的進(jìn)程行為、網(wǎng)絡(luò)行為、文件行為等動態(tài)行為等利用機(jī)器學(xué)習(xí)等智能分析手段，實現(xiàn)威脅分析及檢測、上報，提升生產(chǎn)系統(tǒng)的威脅檢測預(yù)警能力、減少風(fēng)險。（五）控安全統(tǒng)一管理平臺工控安全統(tǒng)一

13、管理平臺（GJsec-Nsoc1000）是面向工業(yè)互聯(lián)網(wǎng)安全防護(hù)的綜合管理系統(tǒng)，針對工控安全場景下，將控制系統(tǒng)內(nèi)相關(guān)安全設(shè)備集中管理、集中監(jiān)視等需求設(shè)計研發(fā)生產(chǎn)的工控安全管理類產(chǎn)品。產(chǎn)品整合工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)安全審計、日志審計、堡壘機(jī)等產(chǎn)品的統(tǒng)一管理、運行監(jiān)視、安全日志統(tǒng)一審計等功能，可通過一個平臺實現(xiàn)對全網(wǎng)工控安全設(shè)備的數(shù)據(jù)感知和策略管理，簡化工控安全業(yè)務(wù)管理流程，增強(qiáng)工控安全數(shù)據(jù)的互聯(lián)互通，保障工控安全設(shè)備的有效利用和安全功能的最大化。該產(chǎn)品具備強(qiáng)大的安全信息采集、分析和展現(xiàn)能力，可提供適應(yīng)工業(yè)互聯(lián)網(wǎng)環(huán)境安全監(jiān)控和防護(hù)的綜合研判管理功能。工控安全統(tǒng)一管理平臺集工控安全監(jiān)控、安全信息分析展現(xiàn)、工控異常告警、總體安全評估以及工控安全運維支撐多種能力于一身，為工業(yè)互聯(lián)網(wǎng)用戶安全運行保障提供了一站式的管理和監(jiān)控。四、工業(yè)互聯(lián)網(wǎng)的行業(yè)解決方案（一）電力行業(yè)對于工業(yè)互聯(lián)網(wǎng)為代表的電網(wǎng)、發(fā)電生產(chǎn)控制系統(tǒng)要求極為嚴(yán)格，保障電網(wǎng)SCADA生產(chǎn)系統(tǒng)和發(fā)電DCS控制系統(tǒng)的網(wǎng)絡(luò)空間安全至關(guān)重要。發(fā)電廠普遍采用高度自動化的生產(chǎn)技術(shù)裝備和高度信息化的運營管理手段。與此同時，嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險也如影隨形。一旦遭受攻擊，將帶來巨大危害直接威脅到國民經(jīng)濟(jì)的發(fā)展和社會安定。國基華電通過十多年在電力能源行業(yè)的深耕細(xì)作，完善了能源互聯(lián)網(wǎng)工控安全解決方案。通過建立邊緣側(cè)