2018年11月28日,由中央网信办、工业和信息化部指导,湖南省人民政府、中国工程院、中国科学技术协会、国防科技大学和中国电子信息产业集团有限公司共同主办的2018中国(长沙)网络安全·智能制造大会在长沙国际会展中心隆重召开。
华为应邀展出了全栈全场景AI、智能制造、智能计算以及华为安全能力四大部分内容。
其中,华为安全能力重点展示了SDSec安全解决方案、基于自研芯片的AI防火墙产品、SDSec核心技术价值、安全态势感知产品以及安全研究成果等内容。
随着制造业的逐步发展,企业办公网络与生产网络一直以来通过物理隔离或间接隔离实现的安全体系正在被打破,生产控制系统越来越多的采用通用硬件和通用软件,开放性与日俱增,增加了系统漏洞被所利用、感染病毒的可能,其一体化融合在促进数字化转型的同时也给大企业带来了诸多安全挑战:
为解决以上问题,华为全新推出基于SDSec(软件定义安全)架构的制造业安全解决方案,主要内容包括:
1. 构建基于网络边界的安全防护,实现逻辑隔离
在IT/OT融合的过程中,办公网和生产网采用物理隔离的方式逐渐消失,通过梳理企业办公园区、数据中心区和生产厂房的资产分布、网络拓扑和数据流量等情况,划分多个安全区域,并通过部署防火墙、安全沙箱和入侵检测系统来构建边界安全能力,减少企业的被攻击面。
2. 构建安全隔离区,实现生产网的前置安全防护
部署第三代沙箱和文件交换服务器,只有通过沙箱的安全性检测,该文件才能进入生产网,可解决U盘拷贝、邮件附件带来的安全隐患。对于新加入的操作站等设备通过逻辑网络划分的方式先行部署在该区域以进行入网验证,只有通过漏洞检测等安全验证后才能正式接入生产网。对于进入生产网的运维流量通过堡垒机进行跳转,防止来自于运维终端的安全威胁扩散。部署流探针实时采集并上送流量特征信息,用于识别安全威胁行为。
3. 构建全网威胁分析中心,实现高级威胁及时发现
部署安全分析器CIS(网络安全智能系统),通过采集办公网、生产网和安全隔离区中关键节点上的日志信息、流量信息和恶意文件检测信息,并基于大数据分析和AI识别技术,发现隐藏在正常流量中的高级安全威胁,及时告警呈现并下发处置任务。
4. 构建网络诱捕系统,实现主动发现威胁
办公网、生产网和安全隔离区均可部署网络诱捕系统,可利用交换机和防火墙作为诱捕探针,通过构造虚假网络来主动响应攻击者,并将其引流至构造了虚假业务的诱捕器来进行混淆欺骗。该系统通过确认攻击意图来识别攻击行为,而无需被动的安全数据分析,降低了真实业务被攻击的可能,及早发现攻击源。
5. 构建全网威胁控制中枢,实现威胁及时阻断
部署安全控制器SecoManager,该系统北向对接CIS系统实现威胁处置任务的接收与编排,南向纳管各安全边界上的防火墙等防御类设备。经过Secomanager安全管理系统的中枢控制,可将企业网络中的安全防御设备形成统一调度的安全响应资源,一旦发现安全威胁,可在安全隔离区与生产网之间、各生产厂房之间等安全边界进行隔离阻断,阻止威胁的扩散。
华为SDSec安全解决方案与制造业的深度融合,将安全防护从办公网延伸至生产网,实现IT/OT一体化安全防护,安全能力对生产环境的正常运行“零”影响,并引入安全大数据分析和AI识别技术,帮助大企业抵御高级持续性威胁。华为希望通过SDSec软件定义安全架构进一步促进安全产业的不断进步,通过人工智能、大数据等安全技术的创新,为客户提供更可靠更贴心的安全解决方案,为制造业的持续健康发展做出贡献。