以下是現場速記。
騰訊安全高級架構師 張樂
張樂:各位領導、各位專家,大家上午好,我是騰訊安全的架構師張樂。今天由我為大家介紹一下我們騰訊在工業互聯網平臺這一側相關的一些安全解決方案,整個工業互聯網的建設肯定不只是安全,這一塊我只是把安全的部分給提煉出來了,因為時間原因我就只講安全這一塊的內容。它還包括很多的像一些PaaS層、SaaS層,以及基礎IaaS層建設的內容,今天這些內容先不做介紹。
1.我們先看一下整個工業互聯網它面臨的安全風險都有哪些?工業互聯網產業聯盟已經對工業互聯網做了相關的定義,簡單理解就是把人、機、物這三者進行互聯,對我們傳統的一些生產模式逐步嘗試進行相關的顛覆,從而對我們企業帶來一個降本增效的作用。也正是因為它的這樣一個價值,在國家相關層面、相關會議當中也一直在強調工業互聯網它的重要性。目前工業互聯網也是躋身于和5G、新能源充電樁、高鐵之類的已經是新基建七大關鍵領域之一了。
工業互聯網我們可以把它分成兩個大的部分,第一部分是上層,就是工業互聯網的云平臺,可以看到從整個架構上來講,它和一個常見的云數據中心的架構是相對比較類似的,底層的IaaS,中間層PaaS,上層的SaaS層的相關應用,再結合用戶側的一些運營支撐相關的平臺,去實現整個工業互聯網的統籌經營的效果。在底層,也就是邊緣層或者設備層這一塊,這個就下沉到我們的工廠里面去了,這一塊會包含工廠相關的一些設備,我們的一些基臺控制監控,以及工業網關,以及核心層運算,在整個這一塊都是運行在工業通信的網絡里面。
可以看到,整個工業互聯網它是把上層云平臺打通到工廠側相關的網絡里面來了。這樣的話,它隨之帶來的肯定是相關的一些安全風險,這些風險我們總結主要有四個方面:一是隨著控制網的開放,給控制安全這方面會帶來相關的安全隱患,因為不法分子或者說黑客,或者說攻防演練期間的攻擊隊可以通過互聯網對我們生產網發起一些攻擊。二是大量的工業數據向互聯網側流轉過程當中包括向其他單位流轉過程當中也會帶來相關的泄漏或者被篡改的風險。三是網絡層面的相關風險,它會進一步擴散,擴散到工廠里面去,因為工廠里面設備會進一步IP化、無線化,甚至5G這些接入方式,都會帶來各種各樣的風險。四是工廠側設備本身它在操作系統的支撐下可能也會有相關的漏洞被暴露出來,因為之前我們很多工廠的設備是不連接外網的,它有些什么樣的漏洞,但是黑客很難找到攻擊路徑。但是隨著工業互聯網把整個網絡打通,也把一些風險帶到了我們工業生產的網絡里面來,就是我們的設備也會存在相關的風險。
基于這個的話,我們也可以從整個業務生產流程上來看一下。在邊緣接入這個層面,它同時介于工業互聯網以及企業生產網之間,由于這塊的打通,把相關的安全風險也進一步呈現出來。就像剛才有領導講到安全這一塊如果不解決的話,我們直接去上工業互聯網,那基本上就無異于殺了,這個確實是很有道理的,確實會把我們所面臨的風險以及導致的后果呈幾何倍數的放大。
2.這對這些問題,我們騰訊這邊一直在思考相關的解決方案,首先我們提出工業互聯網我們認為相對合理的網絡安全架構。這個架構在講之前我們可以先看一下傳統的方案,在落地過程當中會有哪些問題?我們這邊總結主要是這幾方面:傳統方法落地相對比較重視差別建設、防御以設備堆疊方式為主,它在整個服務、運營和檢測方面,以及一體化的,把IT、OT一體化運營的能力是相對不足的。還有整個IT和OT的割裂,很多廠商說我只負責IT部分的安全建設,工控就是工控廠商去負責,安全運營的割裂也缺乏統一的視圖,很難把一些問題給真正定位出來去解決。整個安全人員的缺失也是目前的一個現狀,在用戶側表現出來的就是運維能力或者運維精力這方面的一個不足。最后一點就是安全價值難以量化,這個一直都是存在的,很多領導認為安全一年到頭不出事,這個就是信息化做的還不錯,稍微出過一點事,那就是做的不好,那真的是這樣嗎?其實我們很多做信息化的人,這方面都是很不認可的,因為確實很委屈,因為誰都沒法保證我們的網絡安全不出任何事情。關鍵在于出事之后,我們響應的機制以及所挽回的相應的損失,這個也是能夠比較有效的去體現我們整個信息化的價值。
針對這些問題,我們提出相關的方案就是“平臺+設備+服務”這樣一個創新性的模式。平臺的話,就是安全大數據平臺,這也是騰訊作為一個互聯網公司經過20幾年的沉淀,我們在各個層面是有大量的威脅情報的積累,目前在整個威脅情報,不管是樣本庫還是規則庫,還是信息庫這些層面,我們都是目前全球相對比較領先的規模的威脅情報系統,這一塊也不斷給我們安全進行相關的賦能。然后再結合我們云端和本地相關的安全設備去形成一整套的安全能力的模型,最后再結合整個安全服務去彌補安全人員短缺的短板,彌補這樣一個問題。
針對這個模式,我們也是提出相應的安全整體框架。在最左側我們會結合用戶實際的情況,人員規模,網絡情況、業務情況給出相應的安全管理規范,當然這一塊它肯定不是說直接一個模板改改單元名稱、人員名稱放上去就行了,這一塊我們可以提供安全專家咨詢的方式,協助我們把落地切實可行的管理制度規范。在技術體系方面,主要包含這幾方面的內容,首先是整體IOT安全運營中心,把我們IT和OT這些東西實現一體化的管控,再一個就是工業數據安全層面,這也是管理+技術一起去落地的,因為前期可能會有相應的咨詢把我們的數據進行相應的分級分類工作。再就是在平臺和應用側去加強相關的安全建設以及網絡通信和現場設備安全方面的建設。同時我們也可以為用戶提供相應的安全服務,包括相應的安全咨詢、風險評估、應急托管的服務。最后我們也可以根據用戶的實際需要去做相關的能力輸出,比如紅藍演練,攻防對抗之類的,還有安全靶場、人員培訓,根據我們用戶實際需求去做一些選擇。
對于行業監管單位和政府部門,我們也是可以給他們提供一體化的監管運營平臺,包括整個行業工業態勢感知情況,整個應急響應和指揮平臺的搭建,安全通報預警系統的搭建,包括行業工況演練,或者地市工業的工況演練組織搭建。
3.針對這個框架,我們也給出我們自己的解決方案。因為它是涵蓋IT和OT兩個部分,所以在內容上來說也是相對多一些,這一塊因為時間原因,我就不會太深的講。這一塊我們分為六個部分,首先是平臺和應用安全,就是我們整個云平臺,就是工業互聯網,上層云平臺安全的內容。再就是通信網絡安全,還有設備和控制層的,就是工廠里面的生產設備相應的安全,以及我們工業數據的安全,再就是IOT運營中心的建設,最后是安全服務。
1)我們先看一下第一部分,就是針對平臺和應用這一側的。我們給出一個整體的安全框架,在安全建設的框架當中,左側這一部分,它跟一個傳統常見的云平臺建設相對比較類似的,只不過的話,我們在物理安全,就是最下側和IaaS層這一塊的建設,中間我們加入了邊緣計算層的接入安全相關的內容。這里主要包括工控設備接入時候可能會遇到的一些安全問題,比如邊界防護、訪問控制、通信過程中的加密、設備認證、數據采集保護等等一系列的相關內容,還有物聯網設備接入的管控。上層這些內容跟其他云平臺建設相對比較類似,我們就不逐一展開了。
在整個云平臺這一塊,我們主要分四個層面去保證它的基礎安全。在整個云平臺互聯網接入側,我們部署DDoS和防火墻類的按照產品,主要是抵御來自于互聯網側的相關攻擊。二是在整個出口側核心交換機這一塊部署相關的檢測類的產品,高級維修檢測以及可落地處置方案的產品。三是在整個計算資源層這一塊,就是我們服務器主機層面會部署相關的主機安全的產品,去保證我們主機側的相關安全。四是安全管理中心,部署安全運維有關的產品。
剛才我們提到整個方案,我們提到一個產品叫天幕,在歷年攻防演練過程當中它確實是一個神器,可以作為我們整個網絡阻斷的一個最終的執行器,任何一個網絡設備想阻斷一個訪問,阻斷一次攻擊的時候,我們都可以發到天幕產品上做一個阻斷,它發一個阻斷包去做阻斷,對整個落是零影響的。尤其我們想瞬間添加幾萬個黑IP進去的時候,它可以直接添加進去,目前我們接觸到絕大部分安全廠商的對接,比如像綠盟防火墻等等一系列的,他們想阻斷一個外部IP或者外部IP的時候,都可以把指令直接發給天幕,天幕向內、向外做雙向阻斷。當然我更傾向的還是通過安全運營中心把所有的安全數據、安全日志匯總之后,向它統一發送相關的指令,這一塊更強調的還是一個聯動的防御效果。
在聯動的防御效果之下,我們再結合騰訊的威脅情報以及安全專家的服務,我們希望能給用戶搭建的是一個,從外掛式“滅火器”到“集成式煙感器”,把很多工作量交給機器和設備,自動化去處置,去完成。我們可以把安全設計責任到人,有對應的人員去做處置,去提高整個運維的效率。
同時在Web安全這個層面,我們主要是通過我們WAF這個產品,現在很多產品確實同質化非常嚴重,各個廠商很難說哪個功能是我有他無的,更多還是靠大家在真正的安全能力這個層面。這一塊我們相對比較強的在于幾個方面,一個是威脅情報,發現能力相對比較強,再一個就是有一個機器人,能夠針對爬蟲類的攻擊實現比較有效的防御,同時它是私有化、虛擬化的部署方式,在性能擴充,高可用這個層面效果還是非常不錯的。
在主機安全層面,我們理解主機安全肯定不單單是一個高級代碼防護,不單單是一個殺毒軟件,騰訊的主機安全更多還是一種輕代理的主機安全防護系統,主要是四個層面的內容。一是安全資產清點,這一塊是至關重要的,如果我們搞不清楚我們有哪些資產,有哪些服務器的話,有可能就會存在影子資產,影子資產被攻擊的概率是非常高的,因為平時沒有人去管它,可能里面大量漏洞存在。二是安全風險相關的發現,包括存在的漏洞,是否有弱密碼,應用是否有風險之類的。三是異常登陸檢測,以及合規基線的檢測層面的內容。
在數據安全層面,主要是幾方面的內容。首先是精細化全線管控,基于AVEC全線管控從人到文件,到字段這樣一個級別的管控。在用戶側,我們可以實現動態的脫敏,防止IT運維人員或者內部人員發生越權的行為。還有我們面向服務側數據庫的加密,我們認為IT運維人員不需要看到數據庫里面真實的數據,我對整個數據庫進行一個加密之后,也能防止可能會有一些惡意DBA,就是數據庫運維人員包括黑客脫庫行為的發生。
在接入安全層面,這個就到我們的工廠這一塊了,這一側我們主要是通過工業智能網關這樣一個設備,就是邊緣計算、智能網關設備,作用于我們邊緣設備和云平臺之間,去實現整個數據采集過程當中相關的安全管控,以及通信方式的支持。這一塊也是比較重要的點,最終達到的是對整個接入安全的有效運營,實現資產的可視,安全的監測預警這方面的功能能力。
對整個網絡我們也是進行等保的核心原則,分區分域,縱深防護原則,把我們原則進行相應的區域劃分,基于最小化原則規劃每個區域和區域之間的訪問權限,這一塊用到傳統防火墻、公共防火墻以及單向、雙向網閘等產品,今天我們不講功能,所以就快速過了。
再就是辦公網與生產網之間,這一塊我們建議一定要做隔離。因為在歷年的工況演練過程中我們經常發現很多工控網絡帳號、密碼以及直接流通到辦公網絡里面來,攻擊隊很容易通過辦公網對生產網進行攻擊。其實不用攻擊,只要能夠登陸,就代表入侵進來了,這樣就會造成大量的丟分,這一塊我們也是建議通過隔離網閘的方式實現相應的管控。如果大家覺得使用起來不方便,我們多年前已經在公安和部委這些行業里面做過網閘穿透的嘗試,目前也是在大量公安和部委用戶里面有這種實際案例。我們有一個叫做邊界網關的東西,它能夠在不改變網閘原有協議基礎上去實現對協議剝離的穿透,七層應用直接跨網閘的訪問,這個如果感興趣的話,也可以聯系我們騰訊的相關人員。
在我們整個工廠內側它的生產網里面也是需要去實現相關的隔離,這一塊我們也是建議通過工控防火墻方式進行相關的隔離,這一塊也是比較傳統的內容,就不多講了。
在數據安全這一側,因為今年9月1號《數據安全法》正式落地實施,很多用戶現在都尤為關注數據安全這方面的內容。它不單單是一個技術層面的事情,很多時候也會涉及到管理層面,這一塊我們也是可以通過咨詢+產品的方式,前期我們幫用戶做整個數據資產的清理,做相關的分級分類,制定相關的策略,協助我們去落地這些相關的安全策略,把我們整個數據安全貫穿于數據生命周期這一側。
在工控主機這一側相對比較簡單,就是通過工控主機安全軟件,基于最小化原則,從操作系統、服務、端口、進程各個層面去實現一個管控。同時對于工控網絡實時的漏洞掃描和基線核查,我認為也是至關重要的,及時發現工控網絡里面所存在的安全問題和風險。
在工控系統的監測審計層面,我們建議通過工控防火墻、工控安全的檢測審計系統以及工控安全管理系統,從工控協議深度識別分析、控制以及對異常行為一些網絡攻擊的實時發現,去做各方面的管控和保障。最終再通過可視化方式,把我們整個工控網絡的拓撲進行一個相關的展示,讓我們能夠實時發現所存在的異常行為。
再就是運維這一側,這一起也是相對比較傳統的,實現整個運維的管控。IOT運營中心我們就是把剛才提到的整個工業互聯網涉及到的IT和OT部分相關的產品和設備進行一個統一的、一體化管控,他們的安全數據統一上收到智能大數據平臺,經過我們的計算之后,我們做相關的輸出,就是我們有哪些安全事件,安全事件影響范圍以及這些事情應該怎么去處置,讓我們能夠非常直觀的看到我們有哪些威脅,處置的時候它也會給出比較有效的處置建議,包括整個處置的進展也會做到一目了然,這一塊也能協助我們去制定信息化或者安全這個層面績效KPI考核的機制。
這是IOT安全運營中心整體展示的效果。可以看到,它這里面能夠把網絡安全指數、資產情況這些層面做直觀的展示,也是看起來相對比較直觀的。
最后我們也為用戶提供安全服務,主要包括專家的咨詢、滲透測試、應急響應以及安全托管這些相關的服務。安全托管的話,我們也是提供不同級別的T1、T2、T3三級技術專家去解決不同的問題。
4.騰訊安全能力介紹一下。騰訊安全我們目前主要有四大業務矩陣,一是互聯網安全大數據矩陣,二是我們相關的安全產品,三是騰訊真正軟實力的內容,就是我們安全實驗室,四是產業聯盟,因為騰訊自己始終認為我們不可能把每塊內容都做到最精最專,所以我們也是一種開放合作的態度去包容,去聯盟這樣一個方式。
這是我們七大實驗室,他們也是在各個不同領域取得了比較優異的成績,因為時間原因,我就不多說了。可以看其中一個案例,我們的科研實驗室,通過一種無接觸的方式,成功的拿下了特斯拉整體的控制權,能夠讓特斯拉在行駛過程當中直接剎車,車窗直接降下來,整個車門能夠隨著他們做的音樂動態搖擺它的兩個小翅膀。當初很多網友看到之后還在問這個小程序在哪兒能下載到,在野外開一些小party的時候效果特別棒,整個燈光也會隨著音樂來回閃,這個也是拿到特斯拉有史以來最高的一個安全獎勵。
最后是我們在富士康的案例,它在2019年的時候想做工業互聯網的建設,我們得到這個消息之后,不斷跟它溝通,目前它的整個平臺已經建設完成了,也在逐步把它的應用上架,上到目前建設的工業互聯網平臺上面去,這個不具體細講了,大家如果感興趣可以隨時聯系我們的人去溝通。
今天我的演講就到這里,謝謝大家。
京公網安備 11010502049343號