CN116566747A - 基于工业互联网的安全防护方法及装置 - Google Patents
基于工业互联网的安全防护方法及装置 Download PDFInfo
- Publication number
- CN116566747A CN116566747A CN202310841363.7A CN202310841363A CN116566747A CN 116566747 A CN116566747 A CN 116566747A CN 202310841363 A CN202310841363 A CN 202310841363A CN 116566747 A CN116566747 A CN 116566747A
- Authority
- CN
- China
- Prior art keywords
- intranet
- industrial internet
- firewall
- platform
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000002955 isolation Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims description 74
- 238000007726 management method Methods 0.000 claims description 42
- 238000013500 data storage Methods 0.000 claims description 16
- 230000002265 prevention Effects 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 6
- 230000003993 interaction Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000004321 preservation Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 238000011084 recovery Methods 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000011269 treatment regimen Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于工业互联网的安全防护方法及装置。本发明涉及网络安全技术领域,本发明通过部署出口防火墙实现互联网与工业互联网平台内网的隔离,工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;本发明能够兼顾工业互联网平台的网络使用需求和安全防护能力,提升工业互联网平台的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于工业互联网的安全防护方法及装置。
背景技术
工业互联网平台是面向制造业数字化、网络化、智能化需求,构建基于海量数据采集、汇聚、分析的服务体系,支撑制造资源泛在连接、弹性供给、高效配置的工业云平台。
工业互联网的连接逐步打破了传统工业相对封闭可信的生产环境,但工业互联网平台涉及到大量的设备、传感器和系统之间的连接,工厂原有的内部网络为封闭网络,原生产区域及各个设备之间未做严格的权限管控及区域隔离,在接入互联网后,存在着各种潜在的安全风险。如果不加以有效防范和控制,这些风险可能会导致上述一系列问题的出现。在建立和运营工业互联网平台时必须高度重视安全保障,并采取一系列措施来确保其安全性。目前对于工业互联网平台的安全防护措施较为单一,无法兼顾工业互联网平台的网络使用需求和安全防护能力。因此,有必要提出一种基于工业互联网的安全防护方法及装置,以解决上述问题。
发明内容
本发明的目的在于提供一种基于工业互联网的安全防护方法及装置,以解决现有工业互联网平台的安全防护措施无法兼顾工业互联网平台的网络使用需求和安全防护能力的问题。
本发明提供一种基于工业互联网的安全防护方法,包括:
出口防火墙接收部署在出口区域的设备和内网核心服务器的第一通讯请求;其中,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离;出口防火墙划分的互联网与工业互联网平台内网之间的第一访问策略为:工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;
出口防火墙判断所述第一通讯请求是否符合第一访问策略;
如果所述第一通讯请求符合第一访问策略,出口防火墙打开相应的IP和端口,允许部署在出口区域的设备和内网核心服务器的通讯;
如果所述第一通讯请求不符合第一访问策略,出口防火墙禁止部署在出口区域的设备和内网核心服务器的通讯;
区域防火墙接收工业互联网平台内网的二级节点和内网核心服务器的第二通讯请求;其中,通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;
区域防火墙判断所述第二通讯请求是否符合第二访问策略;
如果所述第二通讯请求符合第二访问策略,区域防火墙开放特定主机的IP与服务端口,允许二级节点和内网核心服务器的通讯;
如果所述第二通讯请求不符合第二访问策略,区域防火墙禁止二级节点和内网核心服务器的通讯。
进一步地,所述方法还包括:入侵防御系统监控工业互联网平台内网与互联网之间的数据交互、互联网对工业互联网平台内网的访问数据;其中,所述入侵防御系统部署在工业互联网平台的网络前端核心设备。
进一步地,所述方法还包括:漏洞扫描系统对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果及时发现系统漏洞并及时采取措施;其中,漏洞扫描系统部署在核心内网管理区域。
进一步地,所述方法还包括:
通过虚拟化层实现虚拟机间存储访问隔离,隔离用户数据;
对用户和虚拟机镜像间进行权限控制,对用户挂接卷进行权限确认,对对象存储用户对象进行访问控制;
对存储资源重分配给VM之前进行完整的数据擦除,存储的用户文件/对象删除后,对应的存储区进行完整的数据擦除或标识为只写;
数据存储与备份采取以下策略:将数据库数据存储路径定义至专用磁盘阵列存储介质;采用全备份和差分备份相结合的方式进行数据备份;每周进行一次全备份,每天进行一次业务数据差分备份;对备份数据进行异地保存管理。
进一步地,所述方法还包括:
安全管理平台服务器管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别;通过声光电或邮件、短信方式报警,及时提醒管理员;其中,安全管理平台服务器部署在工业互联网平台内网管理区域,由防火墙提供保护,外部互联网用户不允许访问该安全管理平台服务器。
第二方面,本发明提供一种基于工业互联网的安全防护装置,包括:
出口防火墙,用于接收部署在出口区域的设备和内网核心服务器的第一通讯请求;其中,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离;出口防火墙划分的互联网与工业互联网平台内网之间的第一访问策略为:工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;判断所述第一通讯请求是否符合第一访问策略;如果所述第一通讯请求符合第一访问策略,打开相应的IP和端口,允许部署在出口区域的设备和内网核心服务器的通讯;如果所述第一通讯请求不符合第一访问策略,禁止部署在出口区域的设备和内网核心服务器的通讯;
区域防火墙,用于接收工业互联网平台内网的二级节点和内网核心服务器的第二通讯请求;其中,通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;判断所述第二通讯请求是否符合第二访问策略;如果所述第二通讯请求符合第二访问策略,开放特定主机的IP与服务端口,允许二级节点和内网核心服务器的通讯;如果所述第二通讯请求不符合第二访问策略,禁止二级节点和内网核心服务器的通讯。
进一步地,所述装置还包括:入侵防御系统,用于监控工业互联网平台内网与互联网之间的数据交互、互联网对工业互联网平台内网的访问数据;其中,所述入侵防御系统部署在工业互联网平台的网络前端核心设备。
进一步地,所述装置还包括:漏洞扫描系统,用于对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果及时发现系统漏洞并及时采取措施;其中,漏洞扫描系统部署在核心内网管理区域。
进一步地,所述装置还包括:
数据安全系统,用于通过虚拟化层实现虚拟机间存储访问隔离,隔离用户数据;对用户和虚拟机镜像间进行权限控制,对用户挂接卷进行权限确认,对对象存储用户对象进行访问控制;对存储资源重分配给VM之前进行完整的数据擦除,存储的用户文件/对象删除后,对应的存储区进行完整的数据擦除或标识为只写;数据存储与备份采取以下策略:将数据库数据存储路径定义至专用磁盘阵列存储介质;采用全备份和差分备份相结合的方式进行数据备份;每周进行一次全备份,每天进行一次业务数据差分备份;对备份数据进行异地保存管理。
进一步地,所述装置还包括:安全管理平台服务器,用于管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别;通过声光电或邮件、短信方式报警,及时提醒管理员;其中,安全管理平台服务器部署在工业互联网平台内网管理区域,由防火墙提供保护,外部互联网用户不允许访问该安全管理平台服务器。
本发明的有益效果如下:本发明提供的一种基于工业互联网的安全防护方法及装置,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离,工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;本发明能够兼顾工业互联网平台的网络使用需求和安全防护能力,提升工业互联网平台的安全性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一种基于工业互联网的安全防护方法一实施方式流程图;
图2是本发明的一种基于工业互联网的安全防护方法另一实施方式流程图;
图3是本发明的一种基于工业互联网的安全防护装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。以下结合附图,详细说明本发明各实施例提供的技术方案。
请参阅图1,本发明提供一种基于工业互联网的安全防护方法,包括:
S101,出口防火墙接收部署在出口区域的设备和内网核心服务器的第一通讯请求;其中,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离;出口防火墙划分的互联网与工业互联网平台内网之间的第一访问策略为:工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口。
具体地,可以部署两台千兆出口防火墙,两台防火墙一主一备,提高出口可靠性。工业互联网平台内网到互联网不做限制,主要是考虑到内网的上网终端上网需求,另有些设备需要到公网升级,兼顾工业互联网平台的网络使用需求和安全防护能力,提升工业互联网平台的安全性。
S102,出口防火墙判断所述第一通讯请求是否符合第一访问策略。
S103,如果所述第一通讯请求符合第一访问策略,出口防火墙打开相应的IP和端口,允许部署在出口区域的设备和内网核心服务器的通讯。
S104,如果所述第一通讯请求不符合第一访问策略,出口防火墙禁止部署在出口区域的设备和内网核心服务器的通讯。
请参阅图2,本发明还设置区域防火墙,对二级节点和内网核心服务器之间的通讯进行安全防护。
S105,区域防火墙接收工业互联网平台内网的二级节点和内网核心服务器的第二通讯请求;其中,通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止。
考虑到集中管理和控制需要,区域防火墙部署在广域网路由器上,针对业务的情况制订特定的访问策略,策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止。
S106,区域防火墙判断所述第二通讯请求是否符合第二访问策略。
S107,如果所述第二通讯请求符合第二访问策略,区域防火墙开放特定主机的IP与服务端口,允许二级节点和内网核心服务器的通讯。
S108,如果所述第二通讯请求不符合第二访问策略,区域防火墙禁止二级节点和内网核心服务器的通讯。
在本实施例中,所述方法还包括:入侵防御系统监控工业互联网平台内网与互联网之间的数据交互、互联网对工业互联网平台内网的访问数据;其中,所述入侵防御系统部署在工业互联网平台的网络前端核心设备。
在本实施例中,所述方法还包括:漏洞扫描系统对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果及时发现系统漏洞并及时采取措施;其中,漏洞扫描系统部署在核心内网管理区域。为了防止被黑客入侵,需要在网络系统中部署漏洞扫描系统,通过漏洞扫描系统可以定期对网络系统进行安全性分析,发现并修正存在的弱点和漏洞。漏洞扫描系统是管理员监控网络通信数据流、发现网络漏洞并解决问题的有力工具。针对本系统的网络设计,将漏洞扫描系统部署在核心内网管理区域,使漏洞扫描系统能够尽量不受限制的对待评估系统进行访问。漏洞扫描系统部署后,将会对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果可以及时发现系统漏洞并及时采取措施。
在本实施例中,所述方法还包括用户数据隔离、数据访问控制、剩余信息保护、数据存储与备份恢复。其中,用户数据隔离:通过虚拟化层实现虚拟机间存储访问隔离,隔离用户数据。数据访问控制:对用户和虚拟机镜像间进行权限控制,对用户挂接卷进行权限确认,对对象存储用户对象进行访问控制。剩余信息保护:对存储资源重分配给VM之前进行完整的数据擦除,存储的用户文件/对象删除后,对应的存储区进行完整的数据擦除或标识为只写,只能被新的数据覆写,保证不被非法恢复。数据存储与备份恢复:可依托机房的集中数据存储和备份存储实现本地数据存储、备份与恢复,同时在异地机房部署异地灾备存储环境,实现异地数据备份。
数据存储与备份采取以下策略:将数据库数据存储路径定义至专用磁盘阵列存储介质;采用全备份和差分备份相结合的方式进行数据备份;每周进行一次全备份,每天进行一次业务数据差分备份;对备份数据进行异地保存管理。
此外,可制定系统登录的错误锁定、会话超时退出等安全策略;定期进行系统的漏洞检测、补丁升级更新及备份/恢复测试;关闭不必要、不常用的系统服务和端口,慎重开放比较敏感的服务端口;开启系统日志审核功能,加强系统日志报表分析与数据备份。定期进行数据库漏洞检测、补丁升级更新;部署数据库安全审计系统,加强对数据库访问等操作行为记录审计;建立数据库系统人员与权限分离机制;定期对数据库系统软件、参数策略、升级文件、升级日志等进行备份与恢复测试。部署网络防病毒网关实现网络边界主动恶意代码的检测和清除,并依托已有防病毒服务,完善恶意代码防范机制,具体实现以下恶意代码防范的安全策略:建立针对文件系统访问监控策略,加强对可疑对象和染毒对象的检查分析;建立对可疑对象和染毒对象处理策略,通过隔离或删除方式实现;制定病毒检测、查杀、升级等相关事件的日志记录与报警通知;制定可疑对象程序文件的隔离周期、预处理时间及方式等;定期跟踪防毒厂商对可疑对象程序或病毒代码的处理方法;完善日志管理策略,加强对查杀病毒、库文件升级的日志分析及备案归档。
在本实施例中,所述方法还包括:安全管理平台服务器管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别;通过声光电或邮件、短信方式报警,及时提醒管理员;其中,安全管理平台服务器部署在工业互联网平台内网管理区域,由防火墙提供保护,外部互联网用户不允许访问该安全管理平台服务器。
此外,还包括虚拟化系统的安全防护措施,虚拟化带来好处的同时,也带来新的安全风险。首先是虚拟层能否真正地把虚拟机和主机安全地隔离开来,这一点正是保障虚拟机安全性的根本。其次由于虚拟机运行在同一台主机上,如果主机受到破坏,那么上面所有的虚拟机都都会受到影响,同样如果虚拟机之间的虚拟网络受到破坏,那么这些虚拟机也会受到影响。
本发明采用虚拟机无法接触网卡、磁盘等多数物理硬件,虚拟机监控器负责模拟虚拟机的所有物理设备,在物理上隔离虚拟机设备。虚拟机之间支持通过划分VLAN进行隔离,支持虚拟机安全组。对于恶意虚拟机的防护,实现防地址欺骗功能,限制虚拟机只能发送本机地址的报文,支持对VM端口扫描、嗅探等行为的检测和阻断内存和存储分配策略,为虚拟机和其他用户态进程分配内存时,清空内存页中的内容。删除虚拟机时清空所有磁盘映像文件内容;为虚拟机新分配存储空间时,清空相应磁盘块中的内容。防止虚拟机数据被随意存取,使用强制访问控制安全策略。在物理机中,虚拟机资源只能由特定的虚拟化管理程序存取,其他一切程序无论以什么身份运行都无法访问虚拟机资源。虚拟机的磁盘数据在物理机中加密存放。防止网络监听和地址欺骗,在物理机中绑定虚拟机Mac地址和IP地址,虚拟机无法修改自身IP和Mac地址,分别制定物理机的管理通讯网卡与虚拟机共享网卡,将物理机自身使用的网卡对虚拟机完全屏蔽。在物理机中,为所有运行的虚拟机提供完善的网络访问规则防火墙,有效发现和阻止虚拟机发起的非法访问企图。虚拟化网络中各虚拟机间网络安全实现依托于虚拟安全模块功能。虚拟安全功能模块包括虚拟模块安全代理功能、虚拟模块管理器功能、虚拟化安全管理中心:虚拟化安全代理模块,部署在受保护的服务器或虚拟机上。虚拟化安全管理器模块,提供集中式策略管理、发布安全更新并通过警报和报告进行监控。虚拟化安全管理中心,是一种托管门户,专业漏洞研究团队针对新出现的威胁通过该门户开发规则更新,然后由安全管理器定期发布这些更新。本发明中,应用系统域中服务器部署于同一安全域内,相应的应用服务部署于其物理机上虚机上。根据分级保护的安全保护规范,在同一安全域中对不同的应用服务还需进一步的逻辑隔离和访问控制。本发明充分利用虚拟化中的安全控制模块实现的访问控制功能和入侵检测功能满足了对同一安全应用服务域中对不同应用服务进行进一步的细分和安全访问控制,从而在不同的应用服务间通过虚拟安全访问控制和监控能力实现了虚拟化网络中对应用服务有效逻辑和访问控制。工业互联网平台采用1+1备份的方式运行,当一个管理节点出现故障的时候,系统自动切换到备用节点,保证整个系统不间断运行。
请参阅图3,本发明提供一种基于工业互联网的安全防护装置,包括:
出口防火墙201,用于接收部署在出口区域的设备203和内网核心服务器204的第一通讯请求;其中,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离;出口防火墙划分的互联网与工业互联网平台内网之间的第一访问策略为:工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;判断所述第一通讯请求是否符合第一访问策略;如果所述第一通讯请求符合第一访问策略,打开相应的IP和端口,允许部署在出口区域的设备和内网核心服务器的通讯;如果所述第一通讯请求不符合第一访问策略,禁止部署在出口区域的设备和内网核心服务器的通讯;
区域防火墙202,用于接收工业互联网平台内网的二级节点205和内网核心服务器204的第二通讯请求;其中,通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;判断所述第二通讯请求是否符合第二访问策略;如果所述第二通讯请求符合第二访问策略,开放特定主机的IP与服务端口,允许二级节点和内网核心服务器的通讯;如果所述第二通讯请求不符合第二访问策略,禁止二级节点和内网核心服务器的通讯。
在本实施例中,所述装置还包括:入侵防御系统,用于监控工业互联网平台内网与互联网之间的数据交互、互联网对工业互联网平台内网的访问数据;其中,所述入侵防御系统部署在工业互联网平台的网络前端核心设备。
在本实施例中,所述装置还包括:漏洞扫描系统,用于对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果及时发现系统漏洞并及时采取措施;其中,漏洞扫描系统部署在核心内网管理区域。
在本实施例中,所述装置还包括:
数据安全系统,用于通过虚拟化层实现虚拟机间存储访问隔离,隔离用户数据;对用户和虚拟机镜像间进行权限控制,对用户挂接卷进行权限确认,对对象存储用户对象进行访问控制;对存储资源重分配给VM之前进行完整的数据擦除,存储的用户文件/对象删除后,对应的存储区进行完整的数据擦除或标识为只写;数据存储与备份采取以下策略:将数据库数据存储路径定义至专用磁盘阵列存储介质;采用全备份和差分备份相结合的方式进行数据备份;每周进行一次全备份,每天进行一次业务数据差分备份;对备份数据进行异地保存管理。
在本实施例中,所述装置还包括:安全管理平台服务器,用于管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别;通过声光电或邮件、短信方式报警,及时提醒管理员;其中,安全管理平台服务器部署在工业互联网平台内网管理区域,由防火墙提供保护,外部互联网用户不允许访问该安全管理平台服务器。
本发明实施例还提供一种存储介质,本发明实施例还提供一种存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现本发明提供的基于工业互联网的安全防护方法各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:Read-OnlyMemory,简称:ROM)或随机存储记忆体(英文:RandomAccessMemory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于基于工业互联网的安全防护装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (10)
1.一种基于工业互联网的安全防护方法,其特征在于,包括:
出口防火墙接收部署在出口区域的设备和内网核心服务器的第一通讯请求;其中,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离;出口防火墙划分的互联网与工业互联网平台内网之间的第一访问策略为:工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;
出口防火墙判断所述第一通讯请求是否符合第一访问策略;
如果所述第一通讯请求符合第一访问策略,出口防火墙打开相应的IP和端口,允许部署在出口区域的设备和内网核心服务器的通讯;
如果所述第一通讯请求不符合第一访问策略,出口防火墙禁止部署在出口区域的设备和内网核心服务器的通讯;
区域防火墙接收工业互联网平台内网的二级节点和内网核心服务器的第二通讯请求;其中,通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;
区域防火墙判断所述第二通讯请求是否符合第二访问策略;
如果所述第二通讯请求符合第二访问策略,区域防火墙开放特定主机的IP与服务端口,允许二级节点和内网核心服务器的通讯;
如果所述第二通讯请求不符合第二访问策略,区域防火墙禁止二级节点和内网核心服务器的通讯。
2.如权利要求1所述的基于工业互联网的安全防护方法,其特征在于,所述方法还包括:入侵防御系统监控工业互联网平台内网与互联网之间的数据交互、互联网对工业互联网平台内网的访问数据;其中,所述入侵防御系统部署在工业互联网平台的网络前端核心设备。
3.如权利要求1所述的基于工业互联网的安全防护方法,其特征在于,所述方法还包括:漏洞扫描系统对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果及时发现系统漏洞并及时采取措施;其中,漏洞扫描系统部署在核心内网管理区域。
4.如权利要求1所述的基于工业互联网的安全防护方法,其特征在于,所述方法还包括:
通过虚拟化层实现虚拟机间存储访问隔离,隔离用户数据;
对用户和虚拟机镜像间进行权限控制,对用户挂接卷进行权限确认,对对象存储用户对象进行访问控制;
对存储资源重分配给VM之前进行完整的数据擦除,存储的用户文件/对象删除后,对应的存储区进行完整的数据擦除或标识为只写;
数据存储与备份采取以下策略:将数据库数据存储路径定义至专用磁盘阵列存储介质;采用全备份和差分备份相结合的方式进行数据备份;每周进行一次全备份,每天进行一次业务数据差分备份;对备份数据进行异地保存管理。
5.如权利要求1所述的基于工业互联网的安全防护方法,其特征在于,所述方法还包括:
安全管理平台服务器管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别;通过声光电或邮件、短信方式报警,及时提醒管理员;其中,安全管理平台服务器部署在工业互联网平台内网管理区域,由防火墙提供保护,外部互联网用户不允许访问该安全管理平台服务器。
6.一种基于工业互联网的安全防护装置,其特征在于,包括:
出口防火墙,用于接收部署在出口区域的设备和内网核心服务器的第一通讯请求;其中,通过部署出口防火墙实现互联网与工业互联网平台内网的隔离;出口防火墙划分的互联网与工业互联网平台内网之间的第一访问策略为:工业互联网平台内网到互联网不做限制,互联网到工业互联网平台内网只开放必要端口;判断所述第一通讯请求是否符合第一访问策略;如果所述第一通讯请求符合第一访问策略,打开相应的IP和端口,允许部署在出口区域的设备和内网核心服务器的通讯;如果所述第一通讯请求不符合第一访问策略,禁止部署在出口区域的设备和内网核心服务器的通讯;
区域防火墙,用于接收工业互联网平台内网的二级节点和内网核心服务器的第二通讯请求;其中,通过部署区域防火墙实现内网核心服务器与各二级节点之间的隔离;区域防火墙部署在广域网路由器上,预先设置二级节点和内网核心服务器的第二访问策略,第二访问策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止;判断所述第二通讯请求是否符合第二访问策略;如果所述第二通讯请求符合第二访问策略,开放特定主机的IP与服务端口,允许二级节点和内网核心服务器的通讯;如果所述第二通讯请求不符合第二访问策略,禁止二级节点和内网核心服务器的通讯。
7.如权利要求6所述的基于工业互联网的安全防护装置,其特征在于,所述装置还包括:入侵防御系统,用于监控工业互联网平台内网与互联网之间的数据交互、互联网对工业互联网平台内网的访问数据;其中,所述入侵防御系统部署在工业互联网平台的网络前端核心设备。
8.如权利要求6所述的基于工业互联网的安全防护装置,其特征在于,所述装置还包括:漏洞扫描系统,用于对工业互联网平台的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果及时发现系统漏洞并及时采取措施;其中,漏洞扫描系统部署在核心内网管理区域。
9.如权利要求6所述的基于工业互联网的安全防护装置,其特征在于,所述装置还包括:
数据安全系统,用于通过虚拟化层实现虚拟机间存储访问隔离,隔离用户数据;对用户和虚拟机镜像间进行权限控制,对用户挂接卷进行权限确认,对对象存储用户对象进行访问控制;对存储资源重分配给VM之前进行完整的数据擦除,存储的用户文件/对象删除后,对应的存储区进行完整的数据擦除或标识为只写;数据存储与备份采取以下策略:将数据库数据存储路径定义至专用磁盘阵列存储介质;采用全备份和差分备份相结合的方式进行数据备份;每周进行一次全备份,每天进行一次业务数据差分备份;对备份数据进行异地保存管理。
10.如权利要求6所述的基于工业互联网的安全防护装置,其特征在于,所述装置还包括:安全管理平台服务器,用于管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别;通过声光电或邮件、短信方式报警,及时提醒管理员;其中,安全管理平台服务器部署在工业互联网平台内网管理区域,由防火墙提供保护,外部互联网用户不允许访问该安全管理平台服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310841363.7A CN116566747B (zh) | 2023-07-11 | 2023-07-11 | 基于工业互联网的安全防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310841363.7A CN116566747B (zh) | 2023-07-11 | 2023-07-11 | 基于工业互联网的安全防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116566747A true CN116566747A (zh) | 2023-08-08 |
| CN116566747B CN116566747B (zh) | 2023-10-31 |
Family
ID=87503900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310841363.7A Active CN116566747B (zh) | 2023-07-11 | 2023-07-11 | 基于工业互联网的安全防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116566747B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117914627A (zh) * | 2024-03-15 | 2024-04-19 | 北方健康医疗大数据科技有限公司 | 一种基于dmz网络架构的数据要素流通系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790231A (zh) * | 2017-01-16 | 2017-05-31 | 武汉阳光荣信息智慧科技有限公司 | 安全域的生成方法、装置及安全运维监管系统 |
| CN109508224A (zh) * | 2018-11-15 | 2019-03-22 | 中国电子科技网络信息安全有限公司 | 一种基于kvm虚拟机的用户数据隔离防护系统及方法 |
| US10484334B1 (en) * | 2013-02-26 | 2019-11-19 | Zentera Systems, Inc. | Distributed firewall security system that extends across different cloud computing networks |
| CN110661761A (zh) * | 2018-06-29 | 2020-01-07 | 西门子股份公司 | 一种访问控制设备、方法、计算机程序产品和计算机可读介质 |
| CN113079185A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
| CN114189355A (zh) * | 2021-11-11 | 2022-03-15 | 华亭煤业集团有限责任公司 | 一种分层网络安全防护一体化联动防御方法 |
| CN114418263A (zh) * | 2021-11-26 | 2022-04-29 | 内蒙古大唐国际托克托发电有限责任公司 | 一种用于火电厂电力监控装置的防御系统 |
| CN114499927A (zh) * | 2021-12-13 | 2022-05-13 | 航天信息股份有限公司 | 一种混合云环境下的网络安全处理方法及系统 |
| CN114819655A (zh) * | 2022-04-29 | 2022-07-29 | 西安热工研究院有限公司 | 一种新建智慧电厂的管控架构 |
| CN115065548A (zh) * | 2022-07-19 | 2022-09-16 | 西安热工研究院有限公司 | 一种增强型网络安全接入区数据管控系统及方法 |
| CN116248352A (zh) * | 2022-12-28 | 2023-06-09 | 苏州长风航空电子有限公司 | 一种网络安全系统及防护方法 |
| CN116366689A (zh) * | 2023-03-22 | 2023-06-30 | 西门子(中国)有限公司 | 分布式工业私有云系统 |
-
2023
- 2023-07-11 CN CN202310841363.7A patent/CN116566747B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10484334B1 (en) * | 2013-02-26 | 2019-11-19 | Zentera Systems, Inc. | Distributed firewall security system that extends across different cloud computing networks |
| CN106790231A (zh) * | 2017-01-16 | 2017-05-31 | 武汉阳光荣信息智慧科技有限公司 | 安全域的生成方法、装置及安全运维监管系统 |
| CN110661761A (zh) * | 2018-06-29 | 2020-01-07 | 西门子股份公司 | 一种访问控制设备、方法、计算机程序产品和计算机可读介质 |
| CN109508224A (zh) * | 2018-11-15 | 2019-03-22 | 中国电子科技网络信息安全有限公司 | 一种基于kvm虚拟机的用户数据隔离防护系统及方法 |
| CN113079185A (zh) * | 2021-06-07 | 2021-07-06 | 北京网藤科技有限公司 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
| CN114189355A (zh) * | 2021-11-11 | 2022-03-15 | 华亭煤业集团有限责任公司 | 一种分层网络安全防护一体化联动防御方法 |
| CN114418263A (zh) * | 2021-11-26 | 2022-04-29 | 内蒙古大唐国际托克托发电有限责任公司 | 一种用于火电厂电力监控装置的防御系统 |
| CN114499927A (zh) * | 2021-12-13 | 2022-05-13 | 航天信息股份有限公司 | 一种混合云环境下的网络安全处理方法及系统 |
| CN114819655A (zh) * | 2022-04-29 | 2022-07-29 | 西安热工研究院有限公司 | 一种新建智慧电厂的管控架构 |
| CN115065548A (zh) * | 2022-07-19 | 2022-09-16 | 西安热工研究院有限公司 | 一种增强型网络安全接入区数据管控系统及方法 |
| CN116248352A (zh) * | 2022-12-28 | 2023-06-09 | 苏州长风航空电子有限公司 | 一种网络安全系统及防护方法 |
| CN116366689A (zh) * | 2023-03-22 | 2023-06-30 | 西门子(中国)有限公司 | 分布式工业私有云系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117914627A (zh) * | 2024-03-15 | 2024-04-19 | 北方健康医疗大数据科技有限公司 | 一种基于dmz网络架构的数据要素流通系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116566747B (zh) | 2023-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190245829A1 (en) | System and method for implementing content and network security inside a chip | |
| US10057284B2 (en) | Security threat detection | |
| Mehmood et al. | Intrusion detection system in cloud computing: Challenges and opportunities | |
| US7398389B2 (en) | Kernel-based network security infrastructure | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| US20070192867A1 (en) | Security appliances | |
| Marinova-Boncheva | A short survey of intrusion detection systems | |
| US20110258208A1 (en) | Methods and systems for securing and protecting repositories and directories | |
| CN116566747B (zh) | 基于工业互联网的安全防护方法及装置 | |
| CN115720161A (zh) | 一种网络安全漏洞类型分析、漏洞检测及信息保护的方法 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
| CN117494144A (zh) | 基于云平台的安全环境防护方法 | |
| Çalışkan et al. | Benefits of the virtualization technologies with intrusion detection and prevention systems | |
| CN116566654A (zh) | 一种区块链管理服务器用的防护系统 | |
| Gupta et al. | Building secure products and solutions | |
| Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks | |
| CN110855653A (zh) | 一种私有云的云平台数据处理方法 | |
| Cardoso et al. | Security vulnerabilities and exposures in internet systems and services | |
| Ruha | Cybersecurity of computer networks | |
| US11960368B1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
| John et al. | Mitigating threats in a corporate network with a taintcheck-enabled honeypot | |
| Shaikh et al. | Disarming firewall | |
| Ou | Research and Design of Multi-level Network Security Active Defense System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |