“智改数转”工业生产网络信息安全
一、树立认知,了解“智改数转”概念
“智改数转”是一种复合概念,特指制造业智能化改造和数字化转型。智能化改造是企业着力发展应用智能装备和产品,在“机器换人”基础上进一步推动建设数字车间、智能工厂的必然技术路径,从根本上改变原有的工业生产方式;数字化转型是企业借助数字化解决方案,将物联网、云计算、大数据、移动化、智能化技术应用于企业,重塑业务模式。“智改数转”目的是对企业进行全链路的资源优化整合,提高企业经济效益或形成新的商业模式,它不仅仅是技术革新,更是经营理念、战略规划、组织运营等全方位的变革。
二、加强理解,探索“智改数转”背景
在新一代的信息技术广泛普及及推动生产方式变革下,各国纷纷提出数字制造、工业互联网、能源互联网等制造业发展新理念,德国和美国作为传统的工业强国,也是率先提出“工业4.0”和“工业互联网”概念。在这种数字化转型发展浪潮中,我国也明确信息技术是数字化转型的内核,工信部根据信息技术发展程度,将我国数字化转型分为信息化(1956-2003年)、业务数字化(2003-2016年)和数字化转型(2016年至今)3个阶段。信息化阶段以政府政策引领信息技术促进产业创新发展;业务数字化阶段为了推动行业发展,主动通过信息技术进行业务数字化发展;数字化转型阶段是信息技术高度发展奠定数字化转型生态环境阶段。其中,在数字化转型的阶段,2015年我国提出“中国制造2025”战略,明确以信息技术与制造技术深度融合的数字化、网络化、智能化制造为主线,促进产业转型升级,培育有中国特色的制造文化,实现制造业由大变强的历史跨越。2021年11月4日,工信部、发改委、财政部和市场监管总局联合对外发布《智能制造试点示范行动实施方案》,提出到2025年,建设一批技术水平高、示范作用显著的智能制造示范工厂,探索形成具有行业区域特色的智能转型升级路径。
三、明确目标,推动“智改数转”进程
以江苏省为例,为夯实工业互联网平台、工业软件、智能硬件和装备、网络设施及安全等基础支撑,加大优秀服务商培育和典型案例推广应用力度,推动“智改数转”各项任务加快落地落实,2021年12月30日,江苏省政府印发《江苏省制造业智能化改造和数字化转型三年行动计划(2022-2024年)》,提出通过三年的努力,全省制造业数字化、网络化、智能化水平显著提升,新业态、新模式、新动能显著壮大,制造业综合实力显著增强,率先建成全国制造业高质量发展示范区。并在行动计划中明确提出大力实施“十大工程”,快速推动龙头骨干企业、中小企业、产业链“智改数转”,详细包括:
1)龙头骨干企业引领工程;
2)中小企业“智改数转”推进工程;
3)产业链“智改数转”升级工程;
4)工业互联网创新工程;
5)领军服务商培育工程;
6)自主可控工业软件应用工程;
7)智能硬件和装备攻坚工程;
8)工业互联网支撑工程;
9)工业信息安全保障工程;
10)优秀解决方案推广工程。
四、理清思路,完善“智改数转”建设
“智改数转”是现代化企业提质增效、抢占发展制高点的关键之举,也是实现制造业高质量发展必由之路,我们需要在这条“必经之路”上打好“地基”,让企业具备防范新一代信息技术与制造业深度融合所带来的工业生产系统运行风险,加强企业工业信息安全建设,坚持贯彻《江苏省制造业智能化改造和数字化转型三年行动计划(2022-2024年)》中“工业信息安全保障工程”的指导方针,即“完善工业信息安全风险评估、信息通报、应急处置等制度。建设省级工业互联网安全信息共享与应急服务协同保障平台,培育工业信息安全防护星级企业”。
威努特作为中国工控安全领军者,始终专注于守护我国关键信息基础设施网络空间安全,并持续关注和参与到“智改数转”的建设,助力工业信息安全的发展。“智改数转”工业信息安全详细建设内容如下:
4.1 构建“1246”安全防护体系
如何降低“工业信息安全”风险是各工控安全厂家一直在研究的课题,威努特作为国内工控安全的领军者,能够运用科学的方法和手段,识别和分析工业控制系统所面临的威胁及其存在的脆弱性,梳理出工业控制系统安全现状,依托于率先独创的工业网络“白环境”核心技术理念,为工业企业客户构建出“1246”网络安全防护体系,该体系以风险管理为核心目标,以国内“两个要求”体系合规、与国际“技术体系”接轨为两个视角,形成可防御、可检测、可响应、可预测的全生命周期的四大体系,孵化出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的六大安全能力。
工业信息安全的最终落地,需要明确“四大体系”的安全建设,详细如下:
- 构建工业信息系统网络安全防御体系
工业信息系统安全防御体系以“面向失效的设计”基本原则,从计算环境、区域边界以及通信网络三个环节,分别进行安全防护,并通过统一的安全管理中心来协调工作,从而实现基于系统访问全过程的闭环控制,构建“深度结合、全面覆盖”的纵深防护安全防护体系。
- 构建工业信息系统网络安全检测体系
工业信息系统中网络安全检测体系的建设需做好工业信息系统全路、全网、全流量的流量实时检测和告警。首先基于未知文件行为检测的方法,在各工业信息系统内部署工业系统蜜罐系统,利用沙箱技术对恶意程序、非法行为进行模拟执行,通过对主体的行为分析来判断未知文件是否存在恶意威胁。同时基于终端应用监控的方法,采用文件信誉与黑、白名单技术在终端上检测应用和进程。最后结合预测体系中的威胁情报以及大量的日志来分析可能存在的APT攻击。
- 构建工业信息系统网络运维响应体系
工业信息系统网络运维响应体系围绕制订和完善各种流程规范,制订阶段性工作计划,开展工控网络安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。
- 构建工业信息系统网络评估预测体系
工业信息系统网络评估预测体系应实现态势感知、安全运营、数据关联、威胁预测,将静态防御转为积极动态防御;同时构建威胁情报共享体系,建立全路协同联动机制;并且能做做到定期对保护对象进行隐患排查与安全评估。
4.2 工业信息安全整体解决方案
工业信息安全防护设备整体部署图如下:
- 安全通信网络
通过串联部署工业互联防火墙和工业防火墙,对通信网络协议进行深度过滤,保障通信传输在被允许的情况下,传输的数据是安全可靠的;同时,通过加密传输功能,实现对通信链路的风险管控,保证网络和通信内容的安全。
- 安全区域边界
通过部署工业互联防火墙和工业防火墙对不同区域之间进行安全区域边界隔离防护,对不同区域间的访问行为进行管控,对区域内部和区域外部之间非授权连接行为进行审计记录;
通过部署入侵检测系统、高级威胁检测系统和工控安全监测与审计系统,对网络中的通信流量进行监测,对区域内已知和未知入侵行为等威胁进行感知预警,避免遭受DDos攻击等网络攻击。
- 安全计算环境
通过在工程师站、操作员站、服务器上部署工控主机卫士,采用基于进程的白名单防护技术,将工业主机中的应用程序、进程等可执行文件加入白名单库中,仅允许白名单库中的应用运行,阻止其它一切恶意程序、病毒木马,以及与业务无关的应用运行,为生产系统网络工作站和服务器等设备提供安全可靠的运行环境。
- 安全管理中心
通过部署安全运维管理平台、日志审计与分析系统、统一安全管理平台、工控漏洞扫描系统和工业安全态势感知平台,对全网的安全设备、安全事件、安全策略、安全运维进行统一集中的监控、调度、预警和管理,对运维操作员进行身份授权与鉴别,要求根据权限进行操作及操作审计,并记录安全日志,上传至工业安全态势感知平台,通过安全大数据建模分析,帮助用户看清现在面临的网络威胁,并对防护策略进行评估。
4.3 工业信息安全解决方案价值
通过构建工业信息安全纵深防御体系,助力企业“数改智转”,并为企业带来以下经济和社会效益:
- 满足网络安全法、等级保护2.0、工业控制系统信息安全防护能力成熟度模型等政策法规要求,从政策合规性层面保障企业生产系统网络安全
- 提升企业工业生产系统网络安全防护水平,确保设备、系统、网络的可靠性、稳定性和安全性;
- 通过对外部网络、应用软件、外设的管控,可以实现对操作人员的管控,有利于规范员工日常工作行为和上网行为;
- 通过工业控制系统安全体系建设,确保企业生产业务的安全运营,提升企业竞争力和企业形象;
- 通过工业信息安全纵深防御体系建设,帮助企业实现工业信息安全防护星级的申报与评定。
