云涌科技守護工業物聯網安全
- 分類:云涌新聞
- 作者:
- 來源:
- 發布時間:2022-11-18
- 訪問量:3334
云涌科技守護工業物聯網安全
【概要描述】
? ? ? 2022年9月5日,國家計算機病毒應急處理中心發布了關于西北工業大學遭受美國國家安全局網絡攻擊的調查報告,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)使用了40余種不同的專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。
?
美國攻擊我西北工大 竊取重要信息
?
? ? ? 證據表明,美國國家安全局針對西北工業大學實施網絡攻擊和數據竊密的證據鏈清晰完整,是一盤精心布局、蓄謀已久、用心險惡的“大棋”。今年4月,西北工業大學報警稱,發現一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件,內含木馬程序,引誘部分師生點擊鏈接。部分教職工電腦也存在遭受網絡攻擊的痕跡。技術分析顯示,攻擊的發起方正是美國國家安全局!攻擊過程使用的專業網絡攻擊武器包含了41種之多,分四種類型,先攻擊突破,再持久控制,再潛伏竊取,最后消除痕跡,手段無比嫻熟。?
? ? ? 隨著工業網絡智能化的不斷提升,工控系統接入云平臺網絡是用戶的剛性需求,然而工業互聯網的安全隱患尚未引發業界足夠的重視,很多不設防的工業物聯在黑客面前幾乎裸奔,就最近針對關鍵基礎設施的惡意軟件(如Industroyer2、Triton和INCONTROLLER )來看,攻擊者已經意識到工控上存在大量的不安全設計,并準備利用這些漏洞對基礎設施發起攻擊。?
?
?
? ? ? 在現實世界里,這些漏洞很有可能被武器化,并大規模在、天然氣管道、風力渦輪機或離散制造裝配線等領域應用,以擾亂燃料運輸、超越安全設置、停止控制壓縮機站的能力以及改變可編程邏輯的功能控制器(PLC)等。考慮到受影響的產品廣泛應用于石油和天然氣、化學、核能、發電和配電、制造、水處理和配電、采礦和樓宇自動化等關鍵基礎設施行業,這些漏洞一旦被攻擊者大規模利用,很有可能會對社會造成災難性后果。
?
? ? ? 云涌工業物聯網安全解決方案
? ? ? 1.方案介紹
? ? ? 云涌工業物聯網安全解決方案基于先進的零信任理念即永不信任、始終驗證,動態授權原則,采用SDP軟件定義邊界網絡安全架構,為基于云/邊/端三級分層模型的物聯網系統,提供增強身份認證和授權,設備身份安全,數據存儲安全,網絡訪問與傳輸安全,主機加固,軟件供應鏈安全等多維度防護。
? ? ? 整體方案由零信任網絡訪問平臺,零信任邊緣網關管理平臺,零信任邊緣應用分發平臺,主機加固管理平臺4部分組成。
基于零信任的云邊端管控系統整體網絡拓撲圖
?
? ? ? 2.各子系統功能介紹
? ? ? 零信任網絡訪問平臺
? ? ? 零信任網絡訪問平臺融合了當前最新的安全技術,通過聯動的安全矩陣設計,形成一個整體的安全閉環。安全矩陣主要包括:SDP安全框架,遠程瀏覽器隔離,增強IAM, 內網穿透,動態審計與行為分析,態勢感知,端點檢測與響應EDR,主機加固,API代理等。
? ? ? 零信任邊緣計算平臺
? ? ? 平臺支持邊緣網關設備全生命周期管理,IoT設備接入策略管理,邊緣各節點之間強制多種安全的身份認證技術,加密傳輸隧道技術,邊緣節點微隔離技術,借助基于用戶空間的加密文件系統,實現邊緣設備的身份安全、接入安全、數據傳輸安全及數據存儲安全等功能。
? ? ? 零信任邊緣應用分發平臺
? ? ? 通過建立中心和二級分布式的應用倉庫節點,保證設備升級和部署的應用程序供應鏈安全。所有應用上傳后均通過EDR進行惡意木馬病毒掃描,保障了邊緣網關安裝應用的安全性。中心化的管理保證數據安全的同時還能簡化管理的成本和工作量。
? ? ? 二級節點自動同步中心的倉庫數據,靠近邊緣側就近部署,保證了應用下載的負載能力和網絡的可靠性。應用倉庫支持docker鏡像倉庫和原生本地應用軟件倉庫。
? ? ? 應用分發延續控制面和數據面的分離架構,中心提供應用的灰度發布,代碼漏洞掃描分析,和下載認證憑證的集中管理。邊緣網關出廠部署了應用升級engine程序。通過管理控制臺實現主動推送或設備主動拉取方式獲取實際下載URL、新版本通知、下載認證token的分發。實際下載過程在二級節點完成。
? ? ??
主機加固平臺
? ? ? 平臺從操作系統安全的角度出發,以可信計算為基礎、訪問控制為核心,圍繞“可信、可控、可管”三個維度構建服務器主動防御體系,從源頭上保證服務器安全。
?
?
? ? ? 方案先進性
? ? ? 本方案融合了當前最新的安全技術通過聯動的安全矩陣設計,形成一個整體的安全閉環。安全矩陣主要包括:SDP安全框架,遠程瀏覽器隔離,增強IAM, 端點檢測與響應EDR,邊緣微隔離,內網穿透,動態審計與行為分析,態勢感知,API代理、主機加固與可信計算。
? ? ? 方案在設計上兼顧了最重要的7個不同維度的安全:身份安全,設備安全,應用程序安全,數據存儲安全,網絡訪問與傳輸安全,軟件供應鏈安全,云和 IT安全。
? ? ? 方案在設計上覆蓋了不同階段的安全:事前檢測防御,事中及時響應阻斷隔離,事后審計追溯修復。
? ? ? 云涌零信任云邊端安全管控系統,作為嚴格基于零信任理念的新一代整體解決方案,具有以下優點:
? ? ? 控制中心與數據中心分離,控制面與數據面的解耦分離,實現可擴展的安全系統。概念劃分清晰,職責明確。控制中心,統一負責安全接入,認證,授權,不涉及數據傳輸。數據中心專注于數據加密傳輸。
? ? ? 控制中心和數據中心,無狀態部署,可以隨時擴容滿足更大網絡傳輸,認證,授權需求。
? ? ? 控制中心,數據中心服務隱藏,不開放端口,有效避免端口掃描,有效防止DDos攻擊。
? ? ? 邊緣網關雙向TLS+多因子認證,細粒度授權,多重安全保障邊緣網關的數據安全。建立網關之間,網關到數據中心的安全傳輸保障數據安全,所有功能基于透明代理實現,第三方業務程序無需任何修改,無縫集成。
- 分類:云涌新聞
- 作者:
- 來源:
- 發布時間:2022-11-18
- 訪問量:3334
? ? ? 2022年9月5日,國家計算機病毒應急處理中心發布了關于西北工業大學遭受美國國家安全局網絡攻擊的調查報告,美國國家安全局(NSA)下屬的特定入侵行動辦公室(TAO)使用了40余種不同的專屬網絡攻擊武器,持續對西北工業大學開展攻擊竊密,竊取該校關鍵網絡設備配置、網管數據、運維數據等核心技術數據。
?
美國攻擊我西北工大 竊取重要信息
?
? ? ? 證據表明,美國國家安全局針對西北工業大學實施網絡攻擊和數據竊密的證據鏈清晰完整,是一盤精心布局、蓄謀已久、用心險惡的“大棋”。今年4月,西北工業大學報警稱,發現一批以科研評審、答辯邀請和出國通知等為主題的釣魚郵件,內含木馬程序,引誘部分師生點擊鏈接。部分教職工電腦也存在遭受網絡攻擊的痕跡。技術分析顯示,攻擊的發起方正是美國國家安全局!攻擊過程使用的專業網絡攻擊武器包含了41種之多,分四種類型,先攻擊突破,再持久控制,再潛伏竊取,最后消除痕跡,手段無比嫻熟。?
? ? ? 隨著工業網絡智能化的不斷提升,工控系統接入云平臺網絡是用戶的剛性需求,然而工業互聯網的安全隱患尚未引發業界足夠的重視,很多不設防的工業物聯在黑客面前幾乎裸奔,就最近針對關鍵基礎設施的惡意軟件(如Industroyer2、Triton和INCONTROLLER )來看,攻擊者已經意識到工控上存在大量的不安全設計,并準備利用這些漏洞對基礎設施發起攻擊。?
?
?
? ? ? 在現實世界里,這些漏洞很有可能被武器化,并大規模在、天然氣管道、風力渦輪機或離散制造裝配線等領域應用,以擾亂燃料運輸、超越安全設置、停止控制壓縮機站的能力以及改變可編程邏輯的功能控制器(PLC)等。考慮到受影響的產品廣泛應用于石油和天然氣、化學、核能、發電和配電、制造、水處理和配電、采礦和樓宇自動化等關鍵基礎設施行業,這些漏洞一旦被攻擊者大規模利用,很有可能會對社會造成災難性后果。
?
? ? ? 云涌工業物聯網安全解決方案
? ? ? 1.方案介紹
? ? ? 云涌工業物聯網安全解決方案基于先進的零信任理念即永不信任、始終驗證,動態授權原則,采用SDP軟件定義邊界網絡安全架構,為基于云/邊/端三級分層模型的物聯網系統,提供增強身份認證和授權,設備身份安全,數據存儲安全,網絡訪問與傳輸安全,主機加固,軟件供應鏈安全等多維度防護。
? ? ? 整體方案由零信任網絡訪問平臺,零信任邊緣網關管理平臺,零信任邊緣應用分發平臺,主機加固管理平臺4部分組成。
基于零信任的云邊端管控系統整體網絡拓撲圖
?
? ? ? 2.各子系統功能介紹
? ? ? 零信任網絡訪問平臺
? ? ? 零信任網絡訪問平臺融合了當前最新的安全技術,通過聯動的安全矩陣設計,形成一個整體的安全閉環。安全矩陣主要包括:SDP安全框架,遠程瀏覽器隔離,增強IAM, 內網穿透,動態審計與行為分析,態勢感知,端點檢測與響應EDR,主機加固,API代理等。
? ? ? 零信任邊緣計算平臺
? ? ? 平臺支持邊緣網關設備全生命周期管理,IoT設備接入策略管理,邊緣各節點之間強制多種安全的身份認證技術,加密傳輸隧道技術,邊緣節點微隔離技術,借助基于用戶空間的加密文件系統,實現邊緣設備的身份安全、接入安全、數據傳輸安全及數據存儲安全等功能。
? ? ? 零信任邊緣應用分發平臺
? ? ? 通過建立中心和二級分布式的應用倉庫節點,保證設備升級和部署的應用程序供應鏈安全。所有應用上傳后均通過EDR進行惡意木馬病毒掃描,保障了邊緣網關安裝應用的安全性。中心化的管理保證數據安全的同時還能簡化管理的成本和工作量。
? ? ? 二級節點自動同步中心的倉庫數據,靠近邊緣側就近部署,保證了應用下載的負載能力和網絡的可靠性。應用倉庫支持docker鏡像倉庫和原生本地應用軟件倉庫。
? ? ? 應用分發延續控制面和數據面的分離架構,中心提供應用的灰度發布,代碼漏洞掃描分析,和下載認證憑證的集中管理。邊緣網關出廠部署了應用升級engine程序。通過管理控制臺實現主動推送或設備主動拉取方式獲取實際下載URL、新版本通知、下載認證token的分發。實際下載過程在二級節點完成。
? ? ??
主機加固平臺
? ? ? 平臺從操作系統安全的角度出發,以可信計算為基礎、訪問控制為核心,圍繞“可信、可控、可管”三個維度構建服務器主動防御體系,從源頭上保證服務器安全。
?
?
? ? ? 方案先進性
? ? ? 本方案融合了當前最新的安全技術通過聯動的安全矩陣設計,形成一個整體的安全閉環。安全矩陣主要包括:SDP安全框架,遠程瀏覽器隔離,增強IAM, 端點檢測與響應EDR,邊緣微隔離,內網穿透,動態審計與行為分析,態勢感知,API代理、主機加固與可信計算。
? ? ? 方案在設計上兼顧了最重要的7個不同維度的安全:身份安全,設備安全,應用程序安全,數據存儲安全,網絡訪問與傳輸安全,軟件供應鏈安全,云和 IT安全。
? ? ? 方案在設計上覆蓋了不同階段的安全:事前檢測防御,事中及時響應阻斷隔離,事后審計追溯修復。
? ? ? 云涌零信任云邊端安全管控系統,作為嚴格基于零信任理念的新一代整體解決方案,具有以下優點:
? ? ? 控制中心與數據中心分離,控制面與數據面的解耦分離,實現可擴展的安全系統。概念劃分清晰,職責明確。控制中心,統一負責安全接入,認證,授權,不涉及數據傳輸。數據中心專注于數據加密傳輸。
? ? ? 控制中心和數據中心,無狀態部署,可以隨時擴容滿足更大網絡傳輸,認證,授權需求。
? ? ? 控制中心,數據中心服務隱藏,不開放端口,有效避免端口掃描,有效防止DDos攻擊。
? ? ? 邊緣網關雙向TLS+多因子認證,細粒度授權,多重安全保障邊緣網關的數據安全。建立網關之間,網關到數據中心的安全傳輸保障數據安全,所有功能基于透明代理實現,第三方業務程序無需任何修改,無縫集成。
