云涌科技守護(hù)工業(yè)物聯(lián)網(wǎng)安全

分類：云涌新聞
作者：
來源：
發(fā)布時間：2022-11-18
訪問量：2344





云涌科技守護(hù)工業(yè)物聯(lián)網(wǎng)安全

【概要描述】

? ? ? 2022年9月5日，國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受美國國家安全局網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告，美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)使用了40余種不同的專屬網(wǎng)絡(luò)攻擊武器，持續(xù)對西北工業(yè)大學(xué)開展攻擊竊密，竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置、網(wǎng)管數(shù)據(jù)、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)。

美國攻擊我西北工大竊取重要信息

? ? ? 證據(jù)表明，美國國家安全局針對西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的證據(jù)鏈清晰完整，是一盤精心布局、蓄謀已久、用心險惡的“大棋”。今年4月，西北工業(yè)大學(xué)報(bào)警稱，發(fā)現(xiàn)一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件，內(nèi)含木馬程序，引誘部分師生點(diǎn)擊鏈接。部分教職工電腦也存在遭受網(wǎng)絡(luò)攻擊的痕跡。技術(shù)分析顯示，攻擊的發(fā)起方正是美國國家安全局！攻擊過程使用的專業(yè)網(wǎng)絡(luò)攻擊武器包含了41種之多，分四種類型，先攻擊突破，再持久控制，再潛伏竊取，最后消除痕跡，手段無比嫻熟。?

? ? ? 隨著工業(yè)網(wǎng)絡(luò)智能化的不斷提升，工控系統(tǒng)接入云平臺網(wǎng)絡(luò)是用戶的剛性需求，然而工業(yè)互聯(lián)網(wǎng)的安全隱患尚未引發(fā)業(yè)界足夠的重視，很多不設(shè)防的工業(yè)物聯(lián)在黑客面前幾乎裸奔，就最近針對關(guān)鍵基礎(chǔ)設(shè)施的惡意軟件（如Industroyer2、Triton和INCONTROLLER ）來看，攻擊者已經(jīng)意識到工控上存在大量的不安全設(shè)計(jì)，并準(zhǔn)備利用這些漏洞對基礎(chǔ)設(shè)施發(fā)起攻擊。?

? ? ? 在現(xiàn)實(shí)世界里，這些漏洞很有可能被武器化，并大規(guī)模在、天然氣管道、風(fēng)力渦輪機(jī)或離散制造裝配線等領(lǐng)域應(yīng)用，以擾亂燃料運(yùn)輸、超越安全設(shè)置、停止控制壓縮機(jī)站的能力以及改變可編程邏輯的功能控制器（PLC）等?？紤]到受影響的產(chǎn)品廣泛應(yīng)用于石油和天然氣、化學(xué)、核能、發(fā)電和配電、制造、水處理和配電、采礦和樓宇自動化等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，這些漏洞一旦被攻擊者大規(guī)模利用，很有可能會對社會造成災(zāi)難性后果。

? ? ? 云涌工業(yè)物聯(lián)網(wǎng)安全解決方案

? ? ? 1.方案介紹

? ? ? 云涌工業(yè)物聯(lián)網(wǎng)安全解決方案基于先進(jìn)的零信任理念即永不信任、始終驗(yàn)證，動態(tài)授權(quán)原則，采用SDP軟件定義邊界網(wǎng)絡(luò)安全架構(gòu)，為基于云/邊/端三級分層模型的物聯(lián)網(wǎng)系統(tǒng)，提供增強(qiáng)身份認(rèn)證和授權(quán)，設(shè)備身份安全，數(shù)據(jù)存儲安全，網(wǎng)絡(luò)訪問與傳輸安全，主機(jī)加固，軟件供應(yīng)鏈安全等多維度防護(hù)。

? ? ? 整體方案由零信任網(wǎng)絡(luò)訪問平臺，零信任邊緣網(wǎng)關(guān)管理平臺，零信任邊緣應(yīng)用分發(fā)平臺，主機(jī)加固管理平臺4部分組成。

基于零信任的云邊端管控系統(tǒng)整體網(wǎng)絡(luò)拓?fù)鋱D

? ? ? 2.各子系統(tǒng)功能介紹

? ? ? 零信任網(wǎng)絡(luò)訪問平臺

? ? ? 零信任網(wǎng)絡(luò)訪問平臺融合了當(dāng)前最新的安全技術(shù)，通過聯(lián)動的安全矩陣設(shè)計(jì)，形成一個整體的安全閉環(huán)。安全矩陣主要包括：SDP安全框架，遠(yuǎn)程瀏覽器隔離，增強(qiáng)IAM, 內(nèi)網(wǎng)穿透，動態(tài)審計(jì)與行為分析，態(tài)勢感知，端點(diǎn)檢測與響應(yīng)EDR，主機(jī)加固，API代理等。

? ? ? 零信任邊緣計(jì)算平臺

? ? ? 平臺支持邊緣網(wǎng)關(guān)設(shè)備全生命周期管理，IoT設(shè)備接入策略管理，邊緣各節(jié)點(diǎn)之間強(qiáng)制多種安全的身份認(rèn)證技術(shù)，加密傳輸隧道技術(shù)，邊緣節(jié)點(diǎn)微隔離技術(shù)，借助基于用戶空間的加密文件系統(tǒng)，實(shí)現(xiàn)邊緣設(shè)備的身份安全、接入安全、數(shù)據(jù)傳輸安全及數(shù)據(jù)存儲安全等功能。

? ? ? 零信任邊緣應(yīng)用分發(fā)平臺

? ? ? 通過建立中心和二級分布式的應(yīng)用倉庫節(jié)點(diǎn)，保證設(shè)備升級和部署的應(yīng)用程序供應(yīng)鏈安全。所有應(yīng)用上傳后均通過EDR進(jìn)行惡意木馬病毒掃描，保障了邊緣網(wǎng)關(guān)安裝應(yīng)用的安全性。中心化的管理保證數(shù)據(jù)安全的同時還能簡化管理的成本和工作量。

? ? ? 二級節(jié)點(diǎn)自動同步中心的倉庫數(shù)據(jù)，靠近邊緣側(cè)就近部署，保證了應(yīng)用下載的負(fù)載能力和網(wǎng)絡(luò)的可靠性。應(yīng)用倉庫支持docker鏡像倉庫和原生本地應(yīng)用軟件倉庫。

? ? ? 應(yīng)用分發(fā)延續(xù)控制面和數(shù)據(jù)面的分離架構(gòu)，中心提供應(yīng)用的灰度發(fā)布,代碼漏洞掃描分析，和下載認(rèn)證憑證的集中管理。邊緣網(wǎng)關(guān)出廠部署了應(yīng)用升級engine程序。通過管理控制臺實(shí)現(xiàn)主動推送或設(shè)備主動拉取方式獲取實(shí)際下載URL、新版本通知、下載認(rèn)證token的分發(fā)。實(shí)際下載過程在二級節(jié)點(diǎn)完成。

? ? ??

主機(jī)加固平臺

? ? ? 平臺從操作系統(tǒng)安全的角度出發(fā)，以可信計(jì)算為基礎(chǔ)、訪問控制為核心，圍繞“可信、可控、可管”三個維度構(gòu)建服務(wù)器主動防御體系，從源頭上保證服務(wù)器安全。

? ? ? 方案先進(jìn)性

? ? ? 本方案融合了當(dāng)前最新的安全技術(shù)通過聯(lián)動的安全矩陣設(shè)計(jì)，形成一個整體的安全閉環(huán)。安全矩陣主要包括：SDP安全框架，遠(yuǎn)程瀏覽器隔離，增強(qiáng)IAM, 端點(diǎn)檢測與響應(yīng)EDR，邊緣微隔離，內(nèi)網(wǎng)穿透，動態(tài)審計(jì)與行為分析，態(tài)勢感知，API代理、主機(jī)加固與可信計(jì)算。

? ? ? 方案在設(shè)計(jì)上兼顧了最重要的7個不同維度的安全：身份安全，設(shè)備安全，應(yīng)用程序安全，數(shù)據(jù)存儲安全，網(wǎng)絡(luò)訪問與傳輸安全，軟件供應(yīng)鏈安全，云和 IT安全。

? ? ? 方案在設(shè)計(jì)上覆蓋了不同階段的安全：事前檢測防御，事中及時響應(yīng)阻斷隔離，事后審計(jì)追溯修復(fù)。

? ? ? 云涌零信任云邊端安全管控系統(tǒng)，作為嚴(yán)格基于零信任理念的新一代整體解決方案，具有以下優(yōu)點(diǎn)：

? ? ? 控制中心與數(shù)據(jù)中心分離，控制面與數(shù)據(jù)面的解耦分離，實(shí)現(xiàn)可擴(kuò)展的安全系統(tǒng)。概念劃分清晰，職責(zé)明確?？刂浦行?，統(tǒng)一負(fù)責(zé)安全接入，認(rèn)證，授權(quán)，不涉及數(shù)據(jù)傳輸。數(shù)據(jù)中心專注于數(shù)據(jù)加密傳輸。

? ? ? 控制中心和數(shù)據(jù)中心，無狀態(tài)部署，可以隨時擴(kuò)容滿足更大網(wǎng)絡(luò)傳輸，認(rèn)證，授權(quán)需求。

? ? ? 控制中心，數(shù)據(jù)中心服務(wù)隱藏，不開放端口，有效避免端口掃描，有效防止DDos攻擊。

? ? ? 邊緣網(wǎng)關(guān)雙向TLS+多因子認(rèn)證，細(xì)粒度授權(quán)，多重安全保障邊緣網(wǎng)關(guān)的數(shù)據(jù)安全。建立網(wǎng)關(guān)之間，網(wǎng)關(guān)到數(shù)據(jù)中心的安全傳輸保障數(shù)據(jù)安全,所有功能基于透明代理實(shí)現(xiàn)，第三方業(yè)務(wù)程序無需任何修改，無縫集成。