2022年9月5日��,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布了關(guān)于西北工業(yè)大學(xué)遭受美國(guó)國(guó)家安全局網(wǎng)絡(luò)攻擊的調(diào)查報(bào)告���,美國(guó)國(guó)家安全局(NSA)下屬的特定入侵行動(dòng)辦公室(TAO)使用了40余種不同的專屬網(wǎng)絡(luò)攻擊武器��,持續(xù)對(duì)西北工業(yè)大學(xué)開(kāi)展攻擊竊密��,竊取該校關(guān)鍵網(wǎng)絡(luò)設(shè)備配置��、網(wǎng)管數(shù)據(jù)�����、運(yùn)維數(shù)據(jù)等核心技術(shù)數(shù)據(jù)�����。
美國(guó)攻擊我西北工大 竊取重要信息
證據(jù)表明�����,美國(guó)國(guó)家安全局針對(duì)西北工業(yè)大學(xué)實(shí)施網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密的證據(jù)鏈清晰完整��,是一盤(pán)精心布局��、蓄謀已久���、用心險(xiǎn)惡的“大棋”��。今年4月�����,西北工業(yè)大學(xué)報(bào)警稱��,發(fā)現(xiàn)一批以科研評(píng)審�����、答辯邀請(qǐng)和出國(guó)通知等為主題的釣魚(yú)郵件�����,內(nèi)含木馬程序���,引誘部分師生點(diǎn)擊鏈接。部分教職工電腦也存在遭受網(wǎng)絡(luò)攻擊的痕跡��。技術(shù)分析顯示�����,攻擊的發(fā)起方正是美國(guó)國(guó)家安全局�����!攻擊過(guò)程使用的專業(yè)網(wǎng)絡(luò)攻擊武器包含了41種之多��,分四種類型���,先攻擊突破�����,再持久控制�����,再潛伏竊取��,最后消除痕跡���,手段無(wú)比嫻熟。
隨著工業(yè)網(wǎng)絡(luò)智能化的不斷提升���,工控系統(tǒng)接入云平臺(tái)網(wǎng)絡(luò)是用戶的剛性需求��,然而工業(yè)互聯(lián)網(wǎng)的安全隱患尚未引發(fā)業(yè)界足夠的重視���,很多不設(shè)防的工業(yè)物聯(lián)在黑客面前幾乎裸奔�����,就最近針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的惡意軟件(如Industroyer2��、Triton和INCONTROLLER )來(lái)看��,攻擊者已經(jīng)意識(shí)到工控上存在大量的不安全設(shè)計(jì)�����,并準(zhǔn)備利用這些漏洞對(duì)基礎(chǔ)設(shè)施發(fā)起攻擊���。
在現(xiàn)實(shí)世界里,這些漏洞很有可能被武器化��,并大規(guī)模在���、天然氣管道��、風(fēng)力渦輪機(jī)或離散制造裝配線等領(lǐng)域應(yīng)用��,以擾亂燃料運(yùn)輸�����、超越安全設(shè)置��、停止控制壓縮機(jī)站的能力以及改變可編程邏輯的功能控制器(PLC)等��?����?紤]到受影響的產(chǎn)品廣泛應(yīng)用于石油和天然氣�����、化學(xué)�����、核能��、發(fā)電和配電�����、制造�����、水處理和配電��、采礦和樓宇自動(dòng)化等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)��,這些漏洞一旦被攻擊者大規(guī)模利用���,很有可能會(huì)對(duì)社會(huì)造成災(zāi)難性后果��。
云涌工業(yè)物聯(lián)網(wǎng)安全解決方案
1.方案介紹
云涌工業(yè)物聯(lián)網(wǎng)安全解決方案基于先進(jìn)的零信任理念即永不信任��、始終驗(yàn)證�����,動(dòng)態(tài)授權(quán)原則�����,采用SDP軟件定義邊界網(wǎng)絡(luò)安全架構(gòu)��,為基于云/邊/端三級(jí)分層模型的物聯(lián)網(wǎng)系統(tǒng)���,提供增強(qiáng)身份認(rèn)證和授權(quán)��,設(shè)備身份安全���,數(shù)據(jù)存儲(chǔ)安全�����,網(wǎng)絡(luò)訪問(wèn)與傳輸安全��,主機(jī)加固�����,軟件供應(yīng)鏈安全等多維度防護(hù)���。
整體方案由零信任網(wǎng)絡(luò)訪問(wèn)平臺(tái),零信任邊緣網(wǎng)關(guān)管理平臺(tái)���,零信任邊緣應(yīng)用分發(fā)平臺(tái)��,主機(jī)加固管理平臺(tái)4部分組成�����。
基于零信任的云邊端管控系統(tǒng)整體網(wǎng)絡(luò)拓?fù)鋱D
2.各子系統(tǒng)功能介紹
零信任網(wǎng)絡(luò)訪問(wèn)平臺(tái)
零信任網(wǎng)絡(luò)訪問(wèn)平臺(tái)融合了當(dāng)前最新的安全技術(shù)�����,通過(guò)聯(lián)動(dòng)的安全矩陣設(shè)計(jì)�����,形成一個(gè)整體的安全閉環(huán)�����。安全矩陣主要包括:SDP安全框架���,遠(yuǎn)程瀏覽器隔離,增強(qiáng)IAM, 內(nèi)網(wǎng)穿透�����,動(dòng)態(tài)審計(jì)與行為分析�����,態(tài)勢(shì)感知�����,端點(diǎn)檢測(cè)與響應(yīng)EDR�����,主機(jī)加固�����,API代理等��。
平臺(tái)支持邊緣網(wǎng)關(guān)設(shè)備全生命周期管理,IoT設(shè)備接入策略管理�����,邊緣各節(jié)點(diǎn)之間強(qiáng)制多種安全的身份認(rèn)證技術(shù)���,加密傳輸隧道技術(shù)���,邊緣節(jié)點(diǎn)微隔離技術(shù),借助基于用戶空間的加密文件系統(tǒng)��,實(shí)現(xiàn)邊緣設(shè)備的身份安全���、接入安全��、數(shù)據(jù)傳輸安全及數(shù)據(jù)存儲(chǔ)安全等功能�����。
零信任邊緣應(yīng)用分發(fā)平臺(tái)
通過(guò)建立中心和二級(jí)分布式的應(yīng)用倉(cāng)庫(kù)節(jié)點(diǎn),保證設(shè)備升級(jí)和部署的應(yīng)用程序供應(yīng)鏈安全���。所有應(yīng)用上傳后均通過(guò)EDR進(jìn)行惡意木馬病毒掃描��,保障了邊緣網(wǎng)關(guān)安裝應(yīng)用的安全性���。中心化的管理保證數(shù)據(jù)安全的同時(shí)還能簡(jiǎn)化管理的成本和工作量。
二級(jí)節(jié)點(diǎn)自動(dòng)同步中心的倉(cāng)庫(kù)數(shù)據(jù)��,靠近邊緣側(cè)就近部署��,保證了應(yīng)用下載的負(fù)載能力和網(wǎng)絡(luò)的可靠性��。應(yīng)用倉(cāng)庫(kù)支持docker鏡像倉(cāng)庫(kù)和原生本地應(yīng)用軟件倉(cāng)庫(kù)�����。
應(yīng)用分發(fā)延續(xù)控制面和數(shù)據(jù)面的分離架構(gòu)�����,中心提供應(yīng)用的灰度發(fā)布,代碼漏洞掃描分析�����,和下載認(rèn)證憑證的集中管理���。邊緣網(wǎng)關(guān)出廠部署了應(yīng)用升級(jí)engine程序��。通過(guò)管理控制臺(tái)實(shí)現(xiàn)主動(dòng)推送或設(shè)備主動(dòng)拉取方式獲取實(shí)際下載URL��、新版本通知��、下載認(rèn)證token的分發(fā)。實(shí)際下載過(guò)程在二級(jí)節(jié)點(diǎn)完成���。
主機(jī)加固平臺(tái)
平臺(tái)從操作系統(tǒng)安全的角度出發(fā)��,以可信計(jì)算為基礎(chǔ)���、訪問(wèn)控制為核心���,圍繞“可信��、可控���、可管”三個(gè)維度構(gòu)建服務(wù)器主動(dòng)防御體系,從源頭上保證服務(wù)器安全��。
方案先進(jìn)性
本方案融合了當(dāng)前最新的安全技術(shù)通過(guò)聯(lián)動(dòng)的安全矩陣設(shè)計(jì)��,形成一個(gè)整體的安全閉環(huán)���。安全矩陣主要包括:SDP安全框架�����,遠(yuǎn)程瀏覽器隔離,增強(qiáng)IAM, 端點(diǎn)檢測(cè)與響應(yīng)EDR��,邊緣微隔離���,內(nèi)網(wǎng)穿透��,動(dòng)態(tài)審計(jì)與行為分析�����,態(tài)勢(shì)感知,API代理�����、主機(jī)加固與可信計(jì)算���。
方案在設(shè)計(jì)上兼顧了最重要的7個(gè)不同維度的安全:身份安全,設(shè)備安全���,應(yīng)用程序安全�����,數(shù)據(jù)存儲(chǔ)安全��,網(wǎng)絡(luò)訪問(wèn)與傳輸安全�����,軟件供應(yīng)鏈安全���,云和 IT安全�����。
方案在設(shè)計(jì)上覆蓋了不同階段的安全:事前檢測(cè)防御�����,事中及時(shí)響應(yīng)阻斷隔離�����,事后審計(jì)追溯修復(fù)��。
云涌零信任云邊端安全管控系統(tǒng)��,作為嚴(yán)格基于零信任理念的新一代整體解決方案�����,具有以下優(yōu)點(diǎn):
控制中心與數(shù)據(jù)中心分離��,控制面與數(shù)據(jù)面的解耦分離�����,實(shí)現(xiàn)可擴(kuò)展的安全系統(tǒng)�����。概念劃分清晰,職責(zé)明確��?�?刂浦行?����,統(tǒng)一負(fù)責(zé)安全接入���,認(rèn)證��,授權(quán),不涉及數(shù)據(jù)傳輸�����。數(shù)據(jù)中心專注于數(shù)據(jù)加密傳輸���。
控制中心和數(shù)據(jù)中心��,無(wú)狀態(tài)部署���,可以隨時(shí)擴(kuò)容滿足更大網(wǎng)絡(luò)傳輸,認(rèn)證�����,授權(quán)需求���。
控制中心��,數(shù)據(jù)中心服務(wù)隱藏���,不開(kāi)放端口,有效避免端口掃描���,有效防止DDos攻擊��。
邊緣網(wǎng)關(guān)雙向TLS+多因子認(rèn)證���,細(xì)粒度授權(quán)���,多重安全保障邊緣網(wǎng)關(guān)的數(shù)據(jù)安全。建立網(wǎng)關(guān)之間��,網(wǎng)關(guān)到數(shù)據(jù)中心的安全傳輸保障數(shù)據(jù)安全,所有功能基于透明代理實(shí)現(xiàn)��,第三方業(yè)務(wù)程序無(wú)需任何修改���,無(wú)縫集成�����。
