《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 通過“安全標(biāo)記”實(shí)現(xiàn)工控云環(huán)境的精細(xì)化安全管理

通過“安全標(biāo)記”實(shí)現(xiàn)工控云環(huán)境的精細(xì)化安全管理

2022-03-21
來源:安全牛

  隨著城市軌道交通信息化高速發(fā)展,,智慧城市軌道云平臺(tái)建設(shè)已經(jīng)成為必然趨勢(shì),,各項(xiàng)業(yè)務(wù)系統(tǒng)上云,,對(duì)軌道交通行業(yè)的數(shù)據(jù)安全保障工作提出了新的挑戰(zhàn),,企業(yè)面臨著云環(huán)境網(wǎng)絡(luò)邊界模糊、細(xì)粒度管控需求難以實(shí)現(xiàn)等難題,,針對(duì)上述行業(yè)用戶痛點(diǎn),,發(fā)布本期牛品推薦:天琴科技——基于標(biāo)記的強(qiáng)制訪問行為控制體系(簡稱標(biāo)記強(qiáng)訪控制體系),該體系通過主客代理模塊對(duì)數(shù)據(jù)和用戶進(jìn)行標(biāo)記,,并與服務(wù)資源代理,、安全隔離網(wǎng)關(guān),、集中配置模塊和可視化集中展示模塊協(xié)同聯(lián)動(dòng),,實(shí)現(xiàn)了對(duì)云應(yīng)用相關(guān)數(shù)據(jù)安全流轉(zhuǎn)的保障。

  標(biāo)簽

  01

  精細(xì)化管控,,高適配度,,數(shù)字化管控,標(biāo)記性管控,,可視化管控

  用戶痛點(diǎn)

  02

  隨著云計(jì)算和關(guān)基建設(shè)的要求,,城市軌道交通行業(yè)著力打造“智慧城軌云”,城軌相關(guān)業(yè)務(wù)上云,,業(yè)務(wù)數(shù)據(jù)流的環(huán)境發(fā)生巨大的變化,,不再在傳統(tǒng)的網(wǎng)絡(luò)中進(jìn)行,,原有的針對(duì)網(wǎng)絡(luò)層的防護(hù)“老三樣”——防火墻、入侵檢測(cè)和防病毒由于其被動(dòng)防御的特征和防御對(duì)象的局限性,,對(duì)城軌云整個(gè)網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)流的保護(hù)力度減弱,,而針對(duì)云環(huán)境的惡意攻擊手段在不斷的演進(jìn),使得城軌云環(huán)境中的數(shù)據(jù)安全防護(hù)面臨著更多的風(fēng)險(xiǎn):

  1,、隱蔽通道和越權(quán)訪問

  虛擬化技術(shù)是云計(jì)算平臺(tái)的核心,,虛擬化技術(shù)提供了大量的共享資源,數(shù)據(jù)資源流向開放,,催生了隱蔽通道和越權(quán)訪問的各種條件,,云內(nèi)的非正常操作和各種攻擊的隱蔽性更強(qiáng),更難發(fā)現(xiàn),;

  2,、惡意訪問高速傳播

  由于云環(huán)境內(nèi)邊界模糊,一旦產(chǎn)生惡意訪問,,惡意代碼的橫向傳播速度極快,,輕則消耗云內(nèi)計(jì)算資源,重則對(duì)業(yè)務(wù)應(yīng)用造成影響,,導(dǎo)致業(yè)務(wù)停滯甚至癱瘓,,恢復(fù)難度大、成本高,;

  3,、數(shù)據(jù)管控粒度粗

  現(xiàn)有監(jiān)測(cè)手段對(duì)云環(huán)境內(nèi)數(shù)據(jù)交換過程的管控力度不足,無法對(duì)各個(gè)組成模塊下的業(yè)務(wù)運(yùn)行狀態(tài)和通信過程進(jìn)行細(xì)粒度把控,,發(fā)生異常時(shí),,難以覺察,一旦發(fā)現(xiàn),,可能已經(jīng)造成較大的損失,。

  解決方案

  03

  智慧城軌云在建設(shè)時(shí),結(jié)合城軌業(yè)務(wù)需求及應(yīng)用特征,,將云環(huán)境劃分為外部服務(wù)網(wǎng),、內(nèi)部管理網(wǎng)、安全生產(chǎn)網(wǎng)和運(yùn)維管理網(wǎng)四個(gè)獨(dú)立的安全區(qū)域,,不同安全域的安全級(jí)別不同,,部署對(duì)應(yīng)安全級(jí)別的業(yè)務(wù)或者管理系統(tǒng)。相同安全域內(nèi)的訪問和跨安全域的數(shù)據(jù)交互,,構(gòu)成了整個(gè)城軌云業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)字運(yùn)行體系,,成為城市軌道交通業(yè)務(wù)運(yùn)行的重要基礎(chǔ)設(shè)施。

  智慧城軌云的計(jì)算環(huán)境及業(yè)務(wù)運(yùn)行產(chǎn)生的數(shù)據(jù)呈現(xiàn)出明顯的多源異構(gòu)的特征:不同系統(tǒng)應(yīng)用遵循的業(yè)務(wù)邏輯不同,,進(jìn)行安全管控的策略也有較大差異,,這增大了全網(wǎng)安全策略統(tǒng)一實(shí)施和控制的難度,,傳統(tǒng)防護(hù)手段對(duì)數(shù)據(jù)訪問控制的粒度較粗,無法深入應(yīng)用內(nèi)部,,云內(nèi)數(shù)據(jù)面臨較大的安全隱患,。

  標(biāo)記強(qiáng)訪控制體系將所有應(yīng)用系統(tǒng)間抽象的業(yè)務(wù)數(shù)據(jù)流細(xì)化為具體的訪問行為,并作為基礎(chǔ)的控制單元,,對(duì)訪問行為的主體(通常指用戶,,或者進(jìn)程)和客體(通常指由用戶啟動(dòng)的進(jìn)程,或者各類業(yè)務(wù)數(shù)據(jù))進(jìn)行伴隨其整個(gè)生命周期的標(biāo)記,,記錄它們的安全屬性,、應(yīng)用屬性、訪問行為等相關(guān)信息,,并以此為基礎(chǔ),,將城軌云環(huán)境內(nèi)的所有訪問行為轉(zhuǎn)換為相同的格式進(jìn)行描述,在訪問行為發(fā)生時(shí),,對(duì)主客體標(biāo)記進(jìn)行分析,,與安全策略進(jìn)行對(duì)比,放行正常訪問的報(bào)文,,截棄非正常訪問的報(bào)文,,記錄非正常訪問行為,從而實(shí)現(xiàn)對(duì)云環(huán)境內(nèi)各應(yīng)用系統(tǒng)運(yùn)行和云內(nèi)數(shù)據(jù)傳輸過程進(jìn)行細(xì)粒度的監(jiān)測(cè)及管控,。

  面向智慧城軌云的標(biāo)記強(qiáng)訪體系架構(gòu),,通過主客體保護(hù)模塊、服務(wù)資源代理,、安全隔離網(wǎng)關(guān),、集中配置模塊和可視化集中展示五大模塊覆蓋至城軌云環(huán)境中,協(xié)同作用形成完整的數(shù)據(jù)流安全控制體系,,保障了智慧城軌云應(yīng)用系統(tǒng)在云內(nèi)的安全運(yùn)行,。

  1、主客體保護(hù)模塊

  城軌云環(huán)境下,,通常采用虛擬主機(jī)部署各類應(yīng)用,。在虛擬主機(jī)(或主機(jī))上部署主客體保護(hù)模塊,實(shí)現(xiàn)對(duì)主機(jī)計(jì)算環(huán)境內(nèi)部I/O訪問和網(wǎng)絡(luò)訪問的管控,,從而對(duì)系統(tǒng)內(nèi)的主客體完整性進(jìn)行保護(hù),,也為計(jì)算環(huán)境內(nèi)的客體資源提供額外的加解密保護(hù)手段,。

  2,、服務(wù)資源代理

  城軌云環(huán)境下,業(yè)務(wù)應(yīng)用系統(tǒng)部署于多個(gè)安全區(qū)域內(nèi),,服務(wù)資源代理實(shí)現(xiàn)不同應(yīng)用之間的數(shù)據(jù)流轉(zhuǎn)及跨應(yīng)用訪問,。服務(wù)資源代理提供標(biāo)準(zhǔn)接口服務(wù),,彌補(bǔ)不同應(yīng)用系統(tǒng)數(shù)據(jù)的格式差異,并通過標(biāo)記強(qiáng)訪為不同應(yīng)用系統(tǒng)間的數(shù)據(jù)交換提供便利,、安全的總線,。

  3、安全隔離網(wǎng)關(guān)

  城軌云環(huán)境下,,用戶的跨域訪問,,或者數(shù)據(jù)的跨域傳輸,都需要對(duì)請(qǐng)求報(bào)文進(jìn)行處理以確保安全,。安全隔離網(wǎng)關(guān)部署在不同安全區(qū)域的邊界,,通過識(shí)別請(qǐng)求報(bào)文中的會(huì)話信息,對(duì)其傳輸路徑,、安全級(jí)別和是否符合安全策略進(jìn)行判斷,,不符合安全策略的報(bào)文進(jìn)行丟棄,對(duì)正確的報(bào)文進(jìn)行安全屬性的重新匹配,,并確保該報(bào)文傳輸?shù)侥繕?biāo)地址所在的受保護(hù)區(qū)域的資源代理或者操作系統(tǒng),。

  4、集中配置模塊

  為應(yīng)對(duì)不同規(guī)模,、形式的云平臺(tái)建設(shè)需求,,標(biāo)記強(qiáng)訪控制體系提供了豐富的落地方案,通過集中配置模塊對(duì)全局安全策略進(jìn)行統(tǒng)一配置,,實(shí)現(xiàn)對(duì)云內(nèi)業(yè)務(wù)數(shù)據(jù)的分級(jí),、分類及多場(chǎng)景多模式的管理,充分滿足安全管理的不同層次的需求:

  面對(duì)阻斷需求,,能夠直接截?cái)嘣苾?nèi)的非正常訪問并進(jìn)行詳細(xì)記錄便于審計(jì),;面對(duì)云內(nèi)安全監(jiān)測(cè)的需求,能夠通過標(biāo)記相關(guān)日志對(duì)所有訪問行為進(jìn)行詳細(xì)記錄,,對(duì)非正常訪問進(jìn)行預(yù)警并依安全策略進(jìn)行干預(yù),;面對(duì)更高層次的溯源、主動(dòng)防御需求,,能夠提供仿真環(huán)境及異常訪問引導(dǎo),,捕獲更多數(shù)據(jù)以深入分析進(jìn)行入侵溯源。

  5,、可視化集中展示

  城軌云環(huán)境內(nèi),,標(biāo)記強(qiáng)訪控制體系的部署對(duì)普通業(yè)務(wù)用戶來說是無感的,安全策略在云環(huán)境內(nèi)的部署也是透明的,,符合安全策略的正常應(yīng)用可以按照既定的路徑進(jìn)行數(shù)據(jù)交互和業(yè)務(wù)訪問,,而沒有按照既定路徑進(jìn)行訪問的數(shù)據(jù)報(bào)文經(jīng)過安全模塊、資源代理,、安全網(wǎng)關(guān)的時(shí)候會(huì)根據(jù)安全策略的要求被處理,,達(dá)到系統(tǒng)防護(hù)的目標(biāo),,并通過可視化集中展示模塊為安全管理人員提供直觀的預(yù)警、查詢,、處理,、調(diào)度界面,協(xié)同其他網(wǎng)絡(luò)安全防護(hù)措施對(duì)云環(huán)境內(nèi)的安全問題進(jìn)行及時(shí)響應(yīng)和處理,。

  標(biāo)記強(qiáng)訪控制體系的部署,,相當(dāng)于在云環(huán)境內(nèi)建立了一整套數(shù)據(jù)訪問通道白名單的立體網(wǎng)絡(luò),正確的訪問行為才能夠通過層層通道完成數(shù)據(jù)交互,,而未經(jīng)授權(quán)的訪問和惡意的程序,、代碼在云內(nèi)的擴(kuò)展和傳播則能夠得到有效的杜絕。

  標(biāo)記強(qiáng)訪控制體系對(duì)計(jì)算環(huán)境I/O的管控,,基本阻斷了云內(nèi)非正常應(yīng)用的進(jìn)行,,對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)能夠?qū)υ苾?nèi)應(yīng)用的故障進(jìn)行快速定位,在云內(nèi)透明的運(yùn)行機(jī)制保障了業(yè)務(wù)之間交互和數(shù)據(jù)流轉(zhuǎn)的高性能,,綜合來看,,標(biāo)記強(qiáng)訪控制體系充分提升了云平臺(tái)用戶對(duì)云環(huán)境網(wǎng)絡(luò)安全的控制能力。

  智慧城軌云內(nèi)復(fù)雜多樣的業(yè)務(wù)應(yīng)用系統(tǒng),,通過標(biāo)記強(qiáng)訪體系,,實(shí)現(xiàn)了所有交互通信都按照統(tǒng)一格式、遵循相同的安全管控策略進(jìn)行,,這樣一來,,覆蓋于網(wǎng)絡(luò)范圍的安全策略,通過標(biāo)記滲透到計(jì)算環(huán)境和應(yīng)用當(dāng)中,,不僅簡化了多源異構(gòu)環(huán)境下繁復(fù)的安全策略邏輯,,更解決了城軌云環(huán)境中全局安全策略穿透性弱的問題,確保整個(gè)網(wǎng)絡(luò)內(nèi)應(yīng)用運(yùn)行及訪問行為的安全進(jìn)行,。

  用戶反饋

  04

  天琴科技的標(biāo)記強(qiáng)訪控制體系在合法合規(guī)的基礎(chǔ)上,,精準(zhǔn)的屏蔽了云環(huán)境中的異常訪問行為,并提供了詳細(xì)的屏蔽記錄,,使蠕蟲,、礦機(jī)等惡意代碼和惡意程序的非法訪問被快速識(shí)別,此外,,該體系對(duì)我司云系統(tǒng)的聯(lián)調(diào)聯(lián)試助力很大,,解決了不同人員誤操作時(shí)造成業(yè)務(wù)停滯的問題。

  ——某地鐵用戶設(shè)備部門負(fù)責(zé)人

  城軌建設(shè)公司業(yè)務(wù)上云后的合規(guī)性建設(shè)十分重要,,同時(shí)需要先進(jìn)的技術(shù)支持,。在對(duì)天琴科技標(biāo)記強(qiáng)訪控制體系的配置測(cè)試階段,我們發(fā)現(xiàn)該體系在保證業(yè)務(wù)運(yùn)行效率的基礎(chǔ)上實(shí)現(xiàn)了多方對(duì)接聯(lián)調(diào),這進(jìn)一步提升了我們對(duì)后續(xù)建設(shè)方案中加入標(biāo)記強(qiáng)訪問方案的信心,。

  ——某城軌建設(shè)公司技術(shù)負(fù)責(zé)人

  《城市軌道交通云平臺(tái)構(gòu)建技術(shù)規(guī)范T/CAMET 11002-2020》和等保在網(wǎng)絡(luò)安全方面都提出了使用標(biāo)記強(qiáng)訪控制,,該體系在我司與天琴科技共建的試點(diǎn)項(xiàng)目中發(fā)揮了重要作用,,標(biāo)記強(qiáng)訪控制體系讓業(yè)務(wù)系統(tǒng)更加透明化,,實(shí)現(xiàn)了安全策略和應(yīng)用系統(tǒng)匹配過程的精細(xì)化管理,其對(duì)異常行為的精準(zhǔn)阻斷,、告警能力加強(qiáng)了對(duì)系統(tǒng)的安全防護(hù)水平,,異常行為記錄可查、可追溯,,有效解決了應(yīng)用上云數(shù)據(jù)丟失包定位等關(guān)鍵問題,。

  ——某地鐵應(yīng)用開發(fā)公司技術(shù)負(fù)責(zé)人

  安全牛評(píng)

  工業(yè)互聯(lián)網(wǎng)應(yīng)用的特殊性和復(fù)雜性,使其訪問控制安全的重要性比企業(yè)級(jí)的遠(yuǎn)程訪問重要和復(fù)雜得多,,適用于工業(yè)環(huán)境的安全防護(hù)框架具有很高的挑戰(zhàn),。天琴科技在本方案中基于ABAC的“安全標(biāo)記”在城軌工業(yè)網(wǎng)絡(luò)中打造了集網(wǎng)絡(luò)、主機(jī),、業(yè)務(wù)及管理中心的系統(tǒng)化訪問控制體系,,符合信息系統(tǒng)“一個(gè)中心三層防護(hù)”的合規(guī)設(shè)計(jì)理念。

  在該合規(guī)框架基礎(chǔ)上可以構(gòu)建彈性的增強(qiáng)防護(hù)以滿足不同安全等級(jí)要求的工業(yè)控制環(huán)境,,能為其它工業(yè)場(chǎng)景的安全建設(shè)提供很好的借鑒,。



微信圖片_20220318121103.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。