工业云安全防护参考方案
2月20日~21日,由工业和信息化部指导,中国信息通信研究院和工业互联网产业联盟联合主办的“2017工业互联网峰会”在北京召开。工业和信息化部部长苗圩、中央网络安全和信息化领导小组办公室副主任庄荣文出席大会并致辞,工业和信息化部副部长陈肇雄主持峰会开幕式。联盟安全组360企业安全高级研发工程师于博:工业云安全防护参考方案。
大家下午好!我今天分享的内容同样是联盟安全组在去年经过大家多轮讨论,集体的智慧结晶,工业云安全防护参考方案。我们看一下工业互联网云平台的概念,根据我们联盟的工业互联网云平台通用要求及工业互联网平台体系结构,工业互联网云平台可以部署在工厂的外部,也可以部署在工厂的内部。我们将这两个部分统称为工业互联网云平台,在我们这篇文章里统称为工业云。下面我们看一下工业云平台典型架构,工业云平台可以与工业设备、工业系统及智能产品进行互联,同时还能够与边界网关,及获取各种数据资源的系统进行互联。工业互联网为用户提供云基准能力,应用开发环境及基础应用能力。从结构上来看,工业云平台有云基础设施,基础应用能力,平台基础能力,安全保障体系共同组成。工业云平台目前在国内得到了长足发展,很多省市构建了工业云试点,很多企业都构建了工业云网。在国外,也有很多企业构建了工业云,比较著名的是GE发布了企业工业云平台Predix,包括西门子也发布了工业云平台。可以预见,工业云平台在未来发展空间是巨大的,但是其面临的安全威胁也是巨大的。
这里面有一组数据,国家信息安全漏洞截止到2016年底,已经收录了1383个漏洞,并且是2010年开始呈快速增长趋势,另外从漏洞危害性分析,我们可以看到未授权信息泄漏,信息修改,管理员访问权限,信息服务的漏洞危害相关性越来越大。我们列举出一些工业云平台可能面临的安全威胁,工业云平台安全防护上应重点关注的是数据安全,拒绝服务攻击,设备接入安全,权限控制异常和App攻击。工业云数据都是非常敏感的,涉及到企业的产权机密甚至国家安全,对于这些数据破坏、利用,都将对企业造成巨大损失,甚至影响国家安全问题。另外是拒绝服务攻击,很多企业服务都需要保持7×24小时连续性,一旦中断将会对系统造成影响。拒绝服务攻击大家在去年已经听到很多的事件,设备接入安全,攻击者可能会先攻击设备,以设备作为跳板来攻击工业云。权限控制异常,工业云在权限设置上是非常严格的,当权限出现异常的时候,工业云将面临严重威胁。当然更重要的是App攻击,App攻击已经成为当前国家安全重要问题了。
针对工业云防护思路有很多,并且不同行业,不同应用场景其防护思路都是不同的。在这里面我们给出一个通用防护思想作为参考。首先当前信息安全时代已经处于持续攻击的时代了,我们应当意识到对工业云的防护,也将是一个持续性的过程。从应急响应到持续响应,应急响应认为,一次攻击是偶发偶然的,持续响应认为攻击是有针对性的,持续性的。系统应该承认自己时刻处于被攻击当中,并且系统是必然可以被攻破的。由于工业系统非常重要,工业云也将面临更多安全威胁,因为工业云安全防护上较传统App应当更加重视其安全性。工业云防护上应当制定五个基本服务,识别、检测、防护、响应、恢复。工业云尤其要注重其恢复能力。基于以上情况,我们给出了基本的防护框架,首先建站初期我们先做到安全风险识别,安全责任划分,安全级别划分,区域划分,运行期间要做到安全防御,安全检测,安全响应,安全恢复。整个过程是一个闭环,持续不断的过程。然后安全管理,安全运维为整个过程提供保证。
下面我们对整个防控思路每一项进行详细说明,首先我们需要划分清楚工业云中的关键角色,之后我们将制定一个工业云安全组织架构,然后明确其中的关键角色,在架构中它的职责和明确分工,以及它的权限。总体上分两个部分,云安全领导小组和云安全工作组,云安全领导小组主要分析对工业云信息安全做一些监管工作,包括顶层设计。云安全工作组包括云安全服务商,本地安全管理员,远程高级安全管理员,云服务商及企业租户信息安全相关人员,他们共同来负责云安全日常工作。之后是分区分域防护设计,在工业云的分级防护设计上,我们应坚持如下原则,包括业务保障原则,结构简化原则,等级保护原则,生命周期运用,一体协防原则。根据这些原则我们给出工业云区域划分方案,总体上分为数据服务域,安全接入域,用户域,设备资源域,运营服务域。数据服务域是重点保护对象,安全接入域提供管理接入,用户域提供安全管理服务及运营管理服务。安全边界我们应当重视访问控制,协议手段,网络攻击检测及通讯加密等等。首先我们看一下云平台安全防御,云平台安全防御应包含如下方面,首先看一下网络层防御,网络层防御考虑应该使用VPN接入等虚拟网络方面,物理层考虑物理机接入,设备层防御应当考验设备接入安全,虚拟化层应该支持对重要文件,配置信息进行基于硬件级的完整性保护,虚拟化层防御应考虑主机防病毒,主机防火墙,主机IPS,账号安全管理,应用层防御应考虑外部入侵防御,DNS防护等等,数据层应该考虑数据管理,数据备份等等。
云安全检测分为几个方面,首先看网络层检测,可以应用云安全管理平台,虚拟化可视化界面,实现网络层检测。物理机检测应当对云平台主件、辅件进行检测。设备层应该对设备进行检测,虚拟层应该对虚拟化文件程序进行检测,虚拟机检测包含文件检测,云平台检测,虚拟机资源检测,应用层检测包含应用漏洞扫描,应用日志检测,数据层检测应考虑过滤驱动技术,文件级动态加减密技术。同时我们构建全网检测,我们建立专门的威胁情报部门,感知外部安全威胁,并将这些情报与防御、响应、恢复等环节结合起来。在安全运维方面,我们考虑待遇管理,分级管理,待遇管理可以全程接入运维人员,对运维操作行为,用于事前警示和事后定责,避免运维设备自身感染的设备扩散到其他运维设备当中。紧接着是分级管理,分级管理应制定操作权限,分级管理制度,建立多级管理账户,为不同级别账户设置不同用户权限。
下面看云安全平台的响应与恢复,首先云平台响应处理流程应包含如下五个步骤,响应、检测、抑制、根除、恢复。在响应阶段,我们需要了解事情发生的情况,判断事件的类型,并确定是否需要启动应急服务。之后在检测阶段,我们需要在现场进行大量信息搜集,包括使用多个维度检测技术对事件详细分析,查找路线痕迹,最后确定安全事件类型,评估事件影响。在抑制阶段应采取行动,限制事件扩散和影响的范围,限制潜在损失与破坏,同时确保抑制方法对工业系统影响最小。根除阶段我们应查找所有受影响的系统,在准确判断安全事件原因基础上,安全工作小组考虑提出基于安全事件,整体安全解决方案,排除系统安全隐患。恢复阶段,要恢复安全事件所涉及的系统,并保证还原到正常状态,使业务能够正常运行,恢复工作时尤其注意避免出现误操作,导致数据丢失。
工业云较传统IT云,尤其应注重其平台恢复能力,首先看恢复能力,我们应该意识到工业云在各个阶段,各个位置都有可能被攻破的。因此我们需要制定在攻破以后我们所具备的恢复能力。另外一个是考虑智能恢复,通过云平台智能恢复程序,可以尽快完成恢复工作,减少恢复中的错误,避免二次异常,同时使系统尽快回到正常状态。随着万物互联时代的到来,传统安全思维依靠单一力量,将显得越来越力不从心,工业云在安全防护上应该加强平台内部及平台间的协同合作,构建一个工业云共同的生命体。
以上就是我今天分享的全部内容,首先感谢编写组单位,感谢联盟单位提供的评审意见,希望工业云防护参考方案能够给行业提供参考,谢谢大家!