La red Zero Trust ayuda a construir un sistema de seguridad industrial en Internet
Con el rápido desarrollo de la computación en la nube, big data, Internet de las cosas, 5G, computación de punta y otras tecnologías de TI, se ha respaldado la rápida implementación de aplicaciones industriales de Internet. Como una de las direcciones clave de la "nueva infraestructura", el desarrollo de la Internet industrial ha entrado en una vía rápida, lo que acelerará la transformación de "Hecho en China" a "Hecho en China inteligente" y promoverá el desarrollo de alta calidad de la economía real.
La profunda integración de la nueva tecnología de TI y la tecnología OT industrial tradicional ha hecho que los sistemas industriales se interconecten y abran gradualmente, lo que también ha intensificado los riesgos de seguridad que enfrenta la fabricación industrial y ha traído desafíos de seguridad más difíciles. El "Resumen de la situación de seguridad de la red de Internet de mi país en 2019" publicado por CNCERT señaló que el número promedio de ataques a las grandes plataformas industriales de Internet de mi país alcanzó las 90 veces por día.
La Internet industrial conecta una gran cantidad de sistemas y equipos de control industrial, recopila cantidades masivas de datos industriales y construye un ecosistema de aplicaciones de Internet industrial que está estrechamente relacionado con la producción industrial y las operaciones comerciales. Una vez invadido o atacado, puede provocar el estancamiento de la producción industrial, afectando no sólo a una sola empresa, sino también extendiéndose a toda la ecología industrial, causando graves daños a la economía nacional, afectando la estabilidad social e incluso planteando una amenaza a la economía nacional. seguridad.
Recientemente se han producido importantes incidentes de seguridad industrial que han causado graves consecuencias. El 7 de mayo, Colonial Pipeline, la empresa de oleoductos de transporte de combustible más grande de Estados Unidos, sufrió un ataque de ransomware que obligó a 5.500 millas de oleoductos. cerró la costa este de los Estados Unidos. Los suministros de combustible se vieron gravemente afectados y Estados Unidos declaró una emergencia nacional por primera vez debido a un ciberataque.
A continuación se analizan las amenazas a la seguridad que enfrenta la integración del 5G y el Internet Industrial desde los cuatro niveles de acceso a la red, control industrial, datos industriales y acceso a aplicaciones en función de diferentes objetos de protección.
01
Seguridad en el acceso a la red
El 5G abre la era del Internet de Todo La integración del 5G y el Internet industrial permite acceder a terminales industriales masivos. , como el control numérico Equipos de producción clave de alto valor, como máquinas herramienta, robots industriales, AGV, etc. Si estos equipos terminales clave tienen problemas de seguridad como lagunas, defectos y puertas traseras, una vez que están expuestos al 5G relativamente abierto red, aumentarán el riesgo de ataques.
02
Seguridad de control industrial
Las redes industriales tradicionales son relativamente cerradas, carecen de un concepto de seguridad global y de un sistema global de gestión y protección de la seguridad, como diversas industrias. protocolos de control, control La arquitectura de diseño de la plataforma y el software en sí carece de métodos completos de verificación de seguridad, como la integridad de los datos, la verificación de identidad y otros diseños de seguridad. La autorización y el control de acceso no son estrictos, y la verificación de identidad es insuficiente. se enfrenta a virus, problemas de seguridad como troyanos y lagunas han expuesto a Internet redes industriales que antes eran relativamente cerradas, lo que aumenta el riesgo de que los protocolos de control industrial y los sistemas de TI industriales sean atacados y explotados.
03
Transmisión de datos y seguridad de llamadas
La aplicación a gran escala de tecnologías de TI emergentes, como la computación en la nube y la tecnología de virtualización en la Internet industrial, está promoviendo la desarrollo de equipos industriales clave Al tiempo que utiliza la eficiencia y mejora la inteligencia y la transparencia del proceso de fabricación general, rompe el entorno de red industrial cerrado y autónomo original, haciendo que los límites de seguridad sean más borrosos o incluso debilitados. El tráfico de datos de diversas aplicaciones externas y el acceso al interno. Los recursos de datos de fábrica carecen de suficiente transparencia y las medidas regulatorias correspondientes, así como varias interfaces API abiertas y acceso a múltiples aplicaciones, hacen que los datos de gestión de producción internos cerrados tradicionales y los datos de operación de producción de la industria manufacturera se vuelvan abiertos y fluidos, y puedan conectarse con diversas aplicaciones fuera de la fábrica y las fuentes de datos generan interacción, flujo e intercambio maestros, lo que aumenta en gran medida el riesgo de transmisión y almacenamiento seguros de los datos de la industria.
04
Seguridad de acceso
Varias aplicaciones innovadoras basadas en escenarios en el núcleo de Internet industrial han atraído a más participantes a las redes básicas, redes OT y equipos de producción. , aplicaciones, sistemas, etc., a través de una integración profunda con las redes 5G, brindan capacidades de servicio de red más eficientes y se benefician de métodos de acceso cada vez más flexibles, pero también traen nuevos riesgos y desafíos, la seguridad del acceso a las aplicaciones El problema se está volviendo cada vez más prominente.
En respuesta a los problemas de seguridad mencionados anteriormente encontrados por Internet industrial, Evervite Networks, una subsidiaria de Qingyun Technology, propuso Industrial Internet SD-NaaS (red de definición de software y definición de software de seguridad como servicio) para la industria de Internet industrial y seguridad como servicio), que se basa en un diseño de arquitectura de modelo de seguridad de red unificada de confianza cero y autenticación de seguridad de identidad unificada, tráfico este-oeste y tráfico norte-sur. La plataforma de Internet industrial puede utilizar SD-NaaS para construir un límite virtual dinámico, sin exponer directamente las aplicaciones al mundo exterior, proporcionando autenticación en tiempo real y autorización de acceso dinámico para terminales/redes de acceso para la Internet industrial, y controlando de manera efectiva los datos internos y externos. usuarios externos, equipos terminales, hosts industriales de fábrica, El comportamiento de acceso de sujetos de acceso, como puertas de enlace de computación de borde y sistemas de aplicaciones a la plataforma de Internet industrial, mejorando así de manera integral las capacidades de protección de seguridad de la Internet industrial. Ayudar a las empresas a utilizar una arquitectura de protección de seguridad de red de confianza cero para construir sistemas de seguridad de Internet industrial, de modo que 5G, informática de punta, Internet de las cosas y otras capacidades puedan servir mejor al desarrollo de la Internet industrial.
El sistema de seguridad industrial de Internet basado en la arquitectura de red óptica SD-NaaS se puede dividir aproximadamente en cuatro niveles:
Acceso de seguridad a la red basado en autenticación de identidad unificada
En primer lugar, la plataforma SD-NaaS introduce el concepto de seguridad de confianza cero, permite un nuevo modelo de gestión de autenticación de identidad para varios usuarios y terminales de control industrial conectados a Internet industrial, y proporciona servicios integrales de autenticación, autorización comercial dinámica y capacidades de gestión de políticas centralizadas. Plataforma SD-NaaS NaaS recopila continuamente información de registro del terminal de acceso, realiza una evaluación continua de la confianza del terminal basada en la base de datos de identidad, la base de datos de permisos, el análisis de big data, el retrato de identidad, etc., y autoriza dinámicamente el acceso a la red según la identidad, los permisos y los niveles de confianza. , políticas de seguridad, etc., lo cual es poderoso Esto garantiza la seguridad del acceso al terminal en el escenario de Internet industrial 5G.
Control de seguridad industrial con permisos mínimos y autorización dinámica
En segundo lugar, en vista de los riesgos de seguridad que enfrentan las redes de control industrial en la era de Internet industrial, la SD-NaaS zero-trust La plataforma de red propone un nuevo mecanismo de asignación de permisos de control, basado en el principio de "permisos minimizados, autorización dinámica", la determinación de permisos de control ya no se basa en reglas estáticas simples (listas blancas y negras de IP, políticas de permisos estáticos, etc.), sino basado en las diferentes identidades y fideicomisos de administradores, ingenieros y operadores de control industrial, políticas de seguridad para diferentes terminales como servidores de control, equipos de control de campo e instrumentos de medición, y diferentes permisos de comando de control industrial, combinados con análisis de seguridad de big data para. evaluación y autorización dinámicas, para lograr una autorización mínima y un control de acceso refinado en la frontera industrial. Esto evita que la red de control industrial se vea amenazada por vulnerabilidades desconocidas y también puede prevenir eficazmente el daño causado por operaciones anormales de los operadores.
Cifrado de extremo a extremo, protección de datos autorizada refinada
La producción industrial generará cantidades masivas de datos industriales, incluido el diseño de I + D, pruebas de desarrollo, información de activos de equipos del sistema, información de control, y datos industriales, parámetros de proceso, etc., existe una gran cantidad de requisitos de procesamiento colaborativo y de intercambio de datos entre varias aplicaciones en la plataforma. La plataforma SD-NaaS proporciona un método de protección de seguridad de datos de extremo a extremo más sólido. La detección de confianza en tiempo real y la evaluación dinámica del nivel de seguridad del comportamiento de acceso, establecen un túnel cifrado seguro para garantizar la seguridad y confiabilidad del flujo de datos entre aplicaciones.
Al mismo tiempo, la plataforma SD-NaaS puede realizar un control detallado de permisos de operación para interacciones API, llamadas a bases de datos y otros comportamientos entre varios sistemas industriales, como sistemas de control de calidad de producción, sistemas automáticos de contabilidad de costos y sistemas de visualización del progreso de la producción. tales como eliminación, modificación y revisión se llevan a cabo para realizar auditorías de comportamiento.
Protección de aplicaciones mediante ocultación de aplicaciones y acceso proxy
Finalmente, la plataforma SD-NaaS utiliza la puerta de enlace de seguridad SDP y la tecnología de microsegmentación MSG para implementar el sigilo de aplicaciones y el proxy de acceso seguro para el sector industrial. Plataforma de Internet, que es eficaz Administre los límites de la red y las superficies de exposición de la plataforma de Internet industrial y realice la autorización dinámica más granular (como datos de producción, información de inventario, compra, venta y gestión de inventario, etc.) en función de diferentes identidades como como ingenieros, operadores, adquisiciones, ventas, cadena de suministro, etc. Audite todos los comportamientos de acceso y cree una barrera de protección de seguridad de aplicaciones integral para todo clima.
Con base en la solución SD-NaaS de red óptica, logramos una implementación segura y confiable en visión industrial, inspección inteligente, conducción remota, videovigilancia con IA y otros escenarios, ayudando a las empresas a generar soporte sobre la base de garantizar; seguridad Una plataforma industrial en la nube con conexión ubicua de recursos de fabricación, suministro flexible y configuración eficiente utiliza la plataforma de Internet industrial para explorar nuevos modelos y nuevos formatos comerciales para la digitalización y la transformación inteligente de la fabricación industrial.
Mejores prácticas de SD-NaaS:
Solicite el uso de soluciones de productos de red óptica
Haga clic para solicitar el uso de Solución de productos de red óptica