方案概述

本方案方案應用于國內(nèi)一家大型化工集團央企，總部位于上海，但是集團和各分廠、廠區(qū)遍布全國（18個省、直轄市），核心需求是實現(xiàn)集團與各分廠的安全風險和威脅實時檢測，掌握總體安全態(tài)勢，支撐安全決策和規(guī)劃，同時滿足工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級工作的管理需要。

1.方案背景

為深入貫徹落實《國務院關于深化“互聯(lián)網(wǎng)＋先進制造業(yè)”發(fā)展工業(yè)聯(lián)網(wǎng)的指導意見》（國發(fā)〔2017〕50號〉，2022年3月31日工網(wǎng)安函【2022】235號關于征求開展工業(yè)互聯(lián)網(wǎng)安全深度行活動意見建議的函，2022年5月《工業(yè)和信息化部辦公廳關于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動的通知》工信廳網(wǎng)安函【2022】97號推動在全國范圍內(nèi)深入實施工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級管理的要求。

本方案實施在某大型化工集團企業(yè)，廠區(qū)和分公司遍布全國，實現(xiàn)企業(yè)（包括各分廠）安全風險和威脅檢測，掌握總體安全態(tài)勢，支撐安全決策和規(guī)劃。通過方案方案實施為化工企業(yè)提供分類分級全生命周期安全服務，包括工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級綜合管理、企業(yè)安全防護能力建設、企業(yè)態(tài)勢感知呈現(xiàn)，對接省工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺，實現(xiàn)IT與OT的融合分析，提供安全監(jiān)測和預警通報、威脅溯源、公共安全服務技術手段，實現(xiàn)工業(yè)互聯(lián)網(wǎng)相關企業(yè)安全態(tài)勢可感、可知、可監(jiān)管，為工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護航。

2.方案簡介

方案目前已經(jīng)驗收并在企業(yè)實際工作中產(chǎn)生了效益，解決企業(yè)：

（1）各地域設備和系統(tǒng)的數(shù)據(jù)孤島問題嚴重

在分廠與總部、廠區(qū)內(nèi)各設備和系統(tǒng)的安全數(shù)據(jù)沒有統(tǒng)一匯聚和分析，安全數(shù)據(jù)和分析結(jié)果沒有打通和共享，各自為戰(zhàn)。

（2）工控威脅和異常行為檢測能力缺失

生產(chǎn)網(wǎng)（OT域）缺少安全檢測手段和能力，生產(chǎn)網(wǎng)絡的安全狀態(tài)不可知。

（3）威脅溯源分析無從下手

缺少安全數(shù)據(jù)關聯(lián)分析和威脅溯源的技術手段，針對發(fā)現(xiàn)的攻擊和威脅不能進行行為回溯和威脅畫像，以及快速定位和確定所有被攻擊資產(chǎn)和影響范圍，并對威脅處置進行有效支撐。

（4）威脅處置無法聚焦，效率低

集團總部和各廠區(qū)每天產(chǎn)生的安全時間數(shù)量平均達10萬多條，安全管理和運營人員完全無法有效分析和處理海量的安全事件和報警。

（5）安全態(tài)勢不可視

集團和各廠區(qū)的安全態(tài)勢做不到可知可控，不清楚安全風險和威脅的當前狀態(tài)、影響范圍和發(fā)展趨勢，威脅信息也無法共享。

（6）不能滿足工信部分類分級省企對接合規(guī)要求

作為三級聯(lián)網(wǎng)企業(yè)，未按照分類分級管理要求與省級安全監(jiān)管平臺對接，也不清楚如何實現(xiàn)對接。

通過本方案建設工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護系統(tǒng)，為該化工行業(yè)企業(yè)提供工業(yè)網(wǎng)絡安全綜合防護平臺能力和與省/市工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺對接等安全服務，形成了企業(yè)安全監(jiān)測、預警通報、威脅溯源、安全服務能力，實現(xiàn)了工業(yè)互聯(lián)網(wǎng)相關企業(yè)安全態(tài)勢可感、可知、可監(jiān)管，為工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護航。

3.方案目標

本次方案重點方向為搭建工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全綜合防護平臺，圍繞工業(yè)控制系統(tǒng)安全、工業(yè)生產(chǎn)網(wǎng)絡與管理網(wǎng)絡安全、工業(yè)數(shù)據(jù)安全等，建設工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護系統(tǒng)，構(gòu)建包括資產(chǎn)管理、漏洞檢測、配置核查、邊界防護、入侵檢測、態(tài)勢感知、病毒防范、安全審計、數(shù)據(jù)保護等的一體化動態(tài)綜合防御體系，形成工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護能力，全天候全方位監(jiān)控關鍵生產(chǎn)設備及重要業(yè)務系統(tǒng)安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡安全隱患風險，并支撐溯源取證，為中化總部和21個分廠提供安全保障和滿足分類分級管理需求。

方案實施概況

根據(jù)經(jīng)信委專家評審建議，結(jié)合工信部方案的管理要求，方案在2021年以公開招標的方式完成工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全綜合防護平臺方案的采購工作，目前方案已完成實施并取得很好的應用效果，實現(xiàn)了總部和分廠多源異構(gòu)全安全數(shù)據(jù)接入，構(gòu)建工控網(wǎng)絡威脅檢測能力和安全事件回溯能力。通過安全告警解決海量安全事件處理失焦問題，同時構(gòu)建企業(yè)全領域態(tài)勢感知能力，并按照工信部分類分級管理要求，實現(xiàn)了省企對接，滿足分類分級合規(guī)要求。

1. 方案總體架構(gòu)和主要內(nèi)容

（1）方案總體架構(gòu)

圖3-1  方案總體架構(gòu)

平臺的建設是整個方案的主要部分，主要包括如下內(nèi)容：

數(shù)據(jù)采集接入：

實現(xiàn)對企業(yè)內(nèi)外部多源異構(gòu)數(shù)據(jù)的接入及匯聚，形成統(tǒng)一標準格式化數(shù)據(jù)。

數(shù)據(jù)處理及分析：

調(diào)用數(shù)據(jù)采集接入層形成的標準化數(shù)據(jù)進行分析及存儲。通過IT+OT域研判結(jié)果匯聚、研判模型構(gòu)建、事件智能研判及人工核驗，梳理形成工業(yè)安全態(tài)勢感知平臺基礎資源信息、聯(lián)網(wǎng)設備及系統(tǒng)資產(chǎn)信息，形成基礎信息庫，安全技術庫、知識庫和規(guī)則庫，為網(wǎng)絡側(cè)的安全監(jiān)測分析提供數(shù)據(jù)支撐。

應用服務展示：

企業(yè)安全態(tài)勢感知呈現(xiàn)，深度分析，日志檢索，威脅溯源，資產(chǎn)管理，報表及策略管理，形成工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護能力，全天候全方位監(jiān)控關鍵生產(chǎn)設備及重要業(yè)務系統(tǒng)安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡安全隱患風險，并支撐溯源取證。

同時，平臺與省級工業(yè)互聯(lián)網(wǎng)平臺對接，滿足分類分級合規(guī)要求及數(shù)據(jù)共享，形成工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全的完整閉環(huán)。

（2）方案技術方案

資產(chǎn)畫像：

通過主動探測、被動探測和靜態(tài)導入等多種方式，全面探測全域資產(chǎn)，并通過自學習功能，收集業(yè)務訪問日志，建立資產(chǎn)業(yè)務訪問關系模型，實現(xiàn)精準的資產(chǎn)畫像。

圖3-2  資產(chǎn)畫像

多源異構(gòu)數(shù)據(jù)靈活自動化配置接入：

通過人性化的設計和界面，為安全人員提供便捷的可視化安全策略配置功能，實現(xiàn)多源異構(gòu)數(shù)據(jù)的快速靈活接入。

圖3-3 多源異構(gòu)數(shù)據(jù)自動化配置接入

告警規(guī)則配置與運營：

依托

海量現(xiàn)網(wǎng)安全

數(shù)據(jù)匯聚和專家分析，積累網(wǎng)絡安全告警規(guī)則并內(nèi)置到系統(tǒng)，幫助客戶快速建立安全能力。提供圖形化、人性化的規(guī)則配置框架，通過時間段、威脅類型、發(fā)生頻次等多維度，以及歸并、去重等邏輯匹配規(guī)則的靈活配

置，幫助安全運營人員根據(jù)實際場景和階段性關注重點，快速建立安全策略，提升安全運營效率。

全流程安全分析：

針對企業(yè)遭受的網(wǎng)絡攻擊進行實時監(jiān)測，包括：密碼暴力破解、拒絕服務攻擊、勒索病毒、挖礦木馬等。

圖3-4  全流程安全分析

安全深度分析：

根據(jù)企業(yè)客戶業(yè)務需求，以及生產(chǎn)制造等領域的實際使用場景，挑選了

10

種工業(yè)協(xié)議，實現(xiàn)了這些工業(yè)協(xié)議的

100

多個字段深度解析，包括精準提取指令碼、功能碼、錯誤碼等，工業(yè)協(xié)議的深度解析為工控通信異常，工控行為異常等工業(yè)威脅檢測提供了基礎和有力支撐。

圖3-5  安全深度分析-攻擊路徑還原

圖3-6  安全深度分析-風險主機畫像

（2）方案主要功能

策略配置

策略配置包括區(qū)域配置、數(shù)據(jù)來源、范化策略和關聯(lián)規(guī)則等功能模塊，其功能是是實現(xiàn)多源異構(gòu)數(shù)據(jù)的統(tǒng)一接入，以及安全分析規(guī)則配置和運營，為安全告警，深度分析和攻擊行為回溯等功能提供支持。

數(shù)據(jù)接入策略

工業(yè)互聯(lián)網(wǎng)企業(yè)中可能存在的大量不同類型，不同廠商的設備，例如網(wǎng)絡設備，包括交換機、路由器等；安全設備，如堡壘機、防火墻、web應用安全網(wǎng)關、入侵防御系統(tǒng)等；以及工業(yè)控制設備和系統(tǒng)等。這些設備和系統(tǒng)，都可以作為數(shù)據(jù)來源，態(tài)感平臺通過范化策略模塊，將不同的設備的數(shù)據(jù)進行歸一化處理，統(tǒng)一接入到態(tài)感平臺中。

安全告警規(guī)則

關聯(lián)規(guī)則模塊是安全分析知識庫和規(guī)則庫，通過規(guī)則的配置和運營，針對接入的多源異構(gòu)數(shù)據(jù)進行多維度關聯(lián)分析，產(chǎn)生安全告警和深度分析結(jié)果。在多源異構(gòu)數(shù)據(jù)統(tǒng)一接入的基礎之上，態(tài)感平臺提供靈活、人性化的配置框架，幫忙用戶進行規(guī)則配置和運營。

日志檢索

提供接入的原始數(shù)據(jù)查詢和檢索功能。同時，通過對原始數(shù)據(jù)的統(tǒng)計和分析，向用戶展示威脅事件分布，歸屬區(qū)域，攻擊趨勢，威脅等級，失陷主機等維度的分析結(jié)果。

深度分析

基于ATT&CK安全分析模型，對威脅事件和攻擊行為進行攻擊鏈溯源和取證，如下圖所示，通過對各類威脅事件基于攻防視角等多維度歸類，依托安全分析模型和各攻擊階段的攻擊路徑和手法進行關聯(lián)分析，為用戶還原完整的攻擊過程和攻擊影響范圍，并針對攻擊者和被攻擊者進行行為回溯和畫像。

告警管理

平臺基于接入的多源異構(gòu)數(shù)據(jù)和告警規(guī)則產(chǎn)生安全告警，從攻擊方向（由外向內(nèi)，內(nèi)部橫向和由內(nèi)向外等）以及主機狀態(tài)等多個維度，向客戶展示資產(chǎn)的安全風險和面臨的威脅狀態(tài)，并進行預警。

資產(chǎn)管理

平臺的支持下列3種資產(chǎn)數(shù)據(jù)接入方式：

一是與客戶已有的資產(chǎn)管理平臺對接，接入資產(chǎn)數(shù)據(jù)。

二是與第三方資產(chǎn)掃描系統(tǒng)對接，接入資產(chǎn)探測結(jié)果。

三是手動錄入，提供資產(chǎn)錄入模板，實現(xiàn)資產(chǎn)數(shù)據(jù)的一鍵導入。

同時也接入資產(chǎn)的漏洞數(shù)據(jù)，并針對漏洞，從漏洞類型、危害級別、區(qū)域分布等多個維度，將資產(chǎn)與漏洞進行關聯(lián)分析，對高風險資產(chǎn)向客戶進行預警。

自動化報表中心

形成企業(yè)安全自動化報表生成，提供安全報告生成和導出功能，為企業(yè)安全預警及安全決策支撐提供幫助。

企業(yè)安全態(tài)勢感知

通過實時安全事件監(jiān)測，結(jié)合威脅情報和豐富的知識庫進行分析和研判，幫助企業(yè)全面掌握安全狀態(tài)和發(fā)展趨勢。態(tài)勢感知模塊從監(jiān)測對象，攻擊方向，威脅類型等維度提供企業(yè)安全綜合態(tài)勢、資產(chǎn)態(tài)勢及威脅事件態(tài)勢大屏呈現(xiàn)。

系統(tǒng)管理

平臺系統(tǒng)存儲策略管理，操作日志及登錄日志管理，保障系統(tǒng)安全及分權分域管理。

2. 網(wǎng)絡、平臺或安全互聯(lián)架構(gòu)

（1）系統(tǒng)部署全圖示意

圖3-7  系統(tǒng)部署全圖示意

通過在車間，工廠部署相應安全防護設備，實現(xiàn)對多源異構(gòu)數(shù)據(jù)的采集分析，建設化工集團企業(yè)工業(yè)安全態(tài)勢感知平臺，同時通過企業(yè)安全協(xié)同聯(lián)動一體機，實現(xiàn)與省級平臺的數(shù)據(jù)對接及共享，滿足分類分級要求。

（2）網(wǎng)絡架構(gòu)示意

圖3-8  系統(tǒng)網(wǎng)絡架構(gòu)示意圖

在化工集團車間及工廠部署主動探測及網(wǎng)絡安全探針，以及對企業(yè)各類系統(tǒng)及日志的數(shù)據(jù)采集。整體平臺構(gòu)建統(tǒng)一大數(shù)據(jù)，實現(xiàn)對標準化數(shù)據(jù)的分析及處理、存儲、分析呈現(xiàn)。

3. 具體應用場景和安全應用模式

（1）安全應用場景

方案方案后續(xù)對工業(yè)互聯(lián)網(wǎng)企業(yè)各行各業(yè)均適用。

本次方案實用于工業(yè)企業(yè)的資產(chǎn)整體測繪、安全監(jiān)測、威脅識別及溯源、態(tài)勢感知呈現(xiàn)及省企對接服務。

（2）安全應用模式

方案的建成，極具推廣價值，這個方案的安全應用模式，主要體現(xiàn)在以下幾個方面發(fā)揮效果：

能夠快速實施部署并達到既定效果，發(fā)揮試點區(qū)域先行示范的良好作用，為后續(xù)向全國

工業(yè)互聯(lián)網(wǎng)企業(yè)建設積累足夠的建設經(jīng)驗，發(fā)揮試點區(qū)域現(xiàn)行示范的良好作用。

解決工業(yè)互聯(lián)網(wǎng)企業(yè)痛點需求，如對監(jiān)管部門要求理解不透徹，對省企接口規(guī)范了解不深入，難以滿足監(jiān)管部門的合規(guī)要求。

針對不同企業(yè)提供分類、分級差異化安全解決方案，開拓工業(yè)互聯(lián)網(wǎng)服務客戶市場，對分級分類工作提供全面保障，從企業(yè)安全全方位支撐工業(yè)互聯(lián)網(wǎng)企業(yè)分級分類保障工作，建立實戰(zhàn)化常態(tài)化安全技術手段，形成支持工業(yè)互聯(lián)網(wǎng)安全發(fā)展合力。

4. 安全及可靠性

本方案將通過構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)全周期生命安全體系，從工業(yè)互聯(lián)網(wǎng)企業(yè)互聯(lián)網(wǎng)網(wǎng)絡底層設計出發(fā)，采用多種先進的安全技術手段，為我國工業(yè)互聯(lián)網(wǎng)的安全提供了有效的監(jiān)測、預警、通報、協(xié)助處置能力。

該方案的實施，將會為工業(yè)互聯(lián)網(wǎng)領域的發(fā)展提供有效的安全保障。具體包括：

（1）為工業(yè)互聯(lián)網(wǎng)行業(yè)健康發(fā)展提供有效保護

我國是制造業(yè)大國，加快建設和發(fā)展工業(yè)互聯(lián)網(wǎng)，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實體經(jīng)濟深度融合，發(fā)展先進制造業(yè)，支持傳統(tǒng)產(chǎn)業(yè)優(yōu)化升級，具有重要意義。通過本方案的研發(fā)，建設工業(yè)互聯(lián)網(wǎng)安全態(tài)勢監(jiān)測與感知技術手段，有效應對網(wǎng)絡安全攻擊，形成與工業(yè)互聯(lián)網(wǎng)發(fā)展相匹配的安全保障能力，為我國深化“互聯(lián)網(wǎng)+先進制造業(yè)”戰(zhàn)略的順利推進和推廣保駕護航。

（2）構(gòu)建工業(yè)互聯(lián)網(wǎng)安全監(jiān)管技術體系

工業(yè)互聯(lián)網(wǎng)作是產(chǎn)業(yè)互聯(lián)網(wǎng)新業(yè)態(tài)，建設企業(yè)級工業(yè)互聯(lián)網(wǎng)平臺，有利于增強企業(yè)安全防護能力，為行業(yè)主管部門的安全技術保障提供支撐，為行業(yè)主管部門政策制定、安全監(jiān)管、事中處置、事后溯源提供強有力協(xié)同共榮。

5. 其他亮點

（1）靈活的接入安全設備

方案產(chǎn)品支持豐富的探針類型，包括工控漏掃、工控防火墻、工控網(wǎng)閘、工控入侵檢測、工控監(jiān)測審計、工控主機衛(wèi)士等，同時支持第三方設備接入，客戶可根據(jù)實際網(wǎng)絡、預算情況選擇安全探針進行部署，靈活組合不同類型的探針。

（2）領先的安全檢測能力

支持安全合規(guī)檢測、異常攻擊檢測、非法外聯(lián)檢測、設備運行狀態(tài)檢測、內(nèi)網(wǎng)異常訪問檢測、非法程序啟動檢測、APT攻擊檢測、惡意加密流量檢測等。

（3）全面的安全分析技術

方案支持匯總各類安全數(shù)據(jù)，運用關聯(lián)分析、用戶畫像、模型分析、威脅情報等安全技術，有效發(fā)現(xiàn)各類安全事件與風險隱患，識別漏報及誤報行為，提升安全運維工作效率，形成實時監(jiān)測、動態(tài)感知的整體安全分析能力。

（4）智能的識別工業(yè)資產(chǎn)

通過工業(yè)資產(chǎn)指紋識別技術，全面發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn)，從工業(yè)設備、主機、應用、業(yè)務等多個維度建立資產(chǎn)庫，對網(wǎng)內(nèi)資產(chǎn)進行實時安全監(jiān)控，呈現(xiàn)網(wǎng)絡安全風險、脆弱性等安全信息，為客戶提供強大的資產(chǎn)管理與安全監(jiān)控手段

（5）完善的政企聯(lián)動體系

快速實現(xiàn)省企對接，實現(xiàn)企業(yè)安全信息上報和省級平臺威脅情報接收，并及時掌握對接效果，構(gòu)建完善的省企聯(lián)動、聯(lián)防聯(lián)控的安全防御體系。

（6）多維度安全態(tài)勢感知

從資產(chǎn)的脆弱性、威脅和攻擊等多個視角全面分析工業(yè)網(wǎng)絡系統(tǒng)安全態(tài)勢。通過人工智能和大屏可視化技術，直觀呈現(xiàn)全網(wǎng)拓撲視圖、告警趨勢、實時告警等工業(yè)安全態(tài)勢。

下一步實施計劃

隨著5G+工業(yè)互聯(lián)網(wǎng)的發(fā)展，勢必帶來如下安全問題：

網(wǎng)絡安全邊界模糊

IT與OT技術的融合，從專有硬件設備變成了通用服務器和云；

專享組網(wǎng)模式將UPF和MEC從CT/IT信任域下沉到非信任域，業(yè)務通過切片進行邏輯隔離；

部分用戶數(shù)據(jù)仍會出公網(wǎng)，端到端安全邊界防護受限。

信令風暴風險

核心網(wǎng)下沉在企業(yè)后，信任域發(fā)生變化。 對UPF的N4接口以及BBU進行N1/N2接口的信令風暴監(jiān)測，避免對云化核心網(wǎng)形成信令DDoS攻擊

物聯(lián)終端接入?yún)f(xié)議復雜

新型物聯(lián)網(wǎng)終端接入?yún)f(xié)議較為復雜，并且面臨著代碼漏洞，邏輯缺陷。攻擊者可利用木馬或者APT等方式入侵。

網(wǎng)絡安全風險

網(wǎng)絡仍會通過N6接口訪問互聯(lián)網(wǎng)，會收到來自互聯(lián)網(wǎng)的網(wǎng)絡安全攻擊來自于利用物聯(lián)終端漏洞的攻擊。

PLC工控數(shù)據(jù)傳輸安全

PLC通過5G將相關數(shù)據(jù)回傳至管理平臺，需要對PLC信令數(shù)據(jù)進行校驗，防篡改。

因此，后續(xù)我們將于接下來解決5G+工業(yè)互聯(lián)網(wǎng)安全問題，如下圖所示：

圖3-9 5G+工業(yè)互聯(lián)網(wǎng)安全

方案創(chuàng)新點和實施效果

1. 方案先進性及創(chuàng)新點

（1）方案創(chuàng)新性

企業(yè)安全能力建設

建設工業(yè)互聯(lián)網(wǎng)完整基礎資產(chǎn)庫：工業(yè)互聯(lián)網(wǎng)資產(chǎn)是其安全監(jiān)測和預警的基礎。本方案通過備案數(shù)據(jù)、主動探測、流量分析、特征識別等多種機制，形成覆蓋全國各省的工業(yè)互聯(lián)網(wǎng)資產(chǎn)庫。

構(gòu)建工業(yè)互聯(lián)網(wǎng)特色安全知識庫：構(gòu)建最全面最權威的工業(yè)特征和安全知識庫，提升安全管理能力。基于工控專用協(xié)議的盲識別與逆向解析技術工控設備深度信息掃描技術：通過工控漏洞互聯(lián)網(wǎng)深度掃描技術，結(jié)合CNVD工控漏洞庫，對目標區(qū)域的工控接入互聯(lián)網(wǎng)設備進行深度掃描，從而實現(xiàn)攻擊威脅和風險隱患識別預警，有效提升工業(yè)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)能力。

大數(shù)據(jù)、云計算、人工智能關聯(lián)分析技術：關聯(lián)分析是對暗含攻擊行為的安全事件序列建立關聯(lián)規(guī)則。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全公共服務平臺可對網(wǎng)絡攻擊事件等建立關聯(lián)。

建立多方聯(lián)動安全管理和預警機制

通過建立工信部、省、企業(yè)等多方聯(lián)動監(jiān)測和預警機制，實現(xiàn)安全威脅數(shù)據(jù)共享、知識庫共享、應急能力共享的全方位聯(lián)動響應。

（2）方案先進性

貼近實戰(zhàn)為目標，服務企業(yè)工業(yè)互聯(lián)網(wǎng)安全

通過建設面向工業(yè)互聯(lián)網(wǎng)企業(yè)的企業(yè)安全綜合防護系統(tǒng)及態(tài)勢感知，打造完整生態(tài)，將工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)設備制造商、安全廠商、工創(chuàng)中心、監(jiān)管機構(gòu)聯(lián)合起來，一同治理工業(yè)互聯(lián)網(wǎng)安全問題。在技術層面重點突破工業(yè)互聯(lián)網(wǎng)安全診斷評估、安全預警、安全加固等相關核心技術。

政策優(yōu)勢與整合能力相結(jié)合推動工業(yè)互聯(lián)網(wǎng)安全研究

圖3-10 分析研究過程

開展關鍵技術方案研究

安全規(guī)范的落地：根據(jù)工業(yè)互聯(lián)網(wǎng)信息安全分級規(guī)范、信息安全要求、安全實施規(guī)范和安全測評的規(guī)范，結(jié)合北京亞鴻世紀科技發(fā)展有限公司多年的安全行業(yè)經(jīng)驗，形成工業(yè)行業(yè)安全管理規(guī)范知識庫進行落地，為工業(yè)互聯(lián)網(wǎng)企業(yè)提供技術標準、安全規(guī)劃、安全咨詢服務和安全培訓服務。

關鍵技術能力的提升：通過攻防演練與仿真技術、工業(yè)互聯(lián)網(wǎng)資產(chǎn)信息探測技術、工業(yè)互聯(lián)網(wǎng)未知威脅監(jiān)測技術等技術提升工業(yè)互聯(lián)網(wǎng)企業(yè)行業(yè)風險預警、安全診斷平臺、安全加固的能力。

全閉環(huán)安全能力覆蓋為企業(yè)提供“云管邊端業(yè)”多維安全防護服務

工業(yè)互聯(lián)網(wǎng)進行全過程安全事件監(jiān)測、事件溯源和處置，是保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行的關鍵。本方案以流量覆蓋檢測為基礎，數(shù)據(jù)安全能力相結(jié)合，從安全事件殺傷鏈的多個維度，實現(xiàn)安全串并分析能力建設，實現(xiàn)對工業(yè)互聯(lián)網(wǎng)的安全監(jiān)測、事件的追溯定位，安全問題及風險的封堵處置全流程實現(xiàn)安全事件的閉環(huán)管理服務。

2. 實施效果

通過方案的實施，解決了工業(yè)互聯(lián)網(wǎng)企業(yè)防護手段集中于IT域，OT域檢測防護手段缺失的問題；利用未知威脅深度檢測分析技術解決了傳統(tǒng)安全基于規(guī)則，難以防御未知威脅的問題；利用自動化數(shù)據(jù)清洗及歸類模塊，解決了企業(yè)IT設備眾多，各自為政的數(shù)據(jù)孤島無法產(chǎn)生價值的問題；構(gòu)建統(tǒng)一數(shù)據(jù)中心，解決工業(yè)互聯(lián)網(wǎng)企業(yè)海量數(shù)據(jù)研判分析效率低，響應時間長的問題，同時為態(tài)勢感知呈現(xiàn)提供數(shù)據(jù)支撐，解決企業(yè)安全現(xiàn)狀不可見，無法掌握全局安全態(tài)勢；與省平臺對接，滿足分類分級等合規(guī)要求。具體實施效果數(shù)據(jù)如下：

（1）通過多源異構(gòu)數(shù)據(jù)匯聚技術和安全數(shù)據(jù)關聯(lián)分析體系，實現(xiàn)18個省，21個工廠，56類設備，累計匯聚2千萬條安全數(shù)據(jù)，實現(xiàn)安全數(shù)據(jù)的統(tǒng)一匯聚和關聯(lián)分析，以及各廠區(qū)安全威脅實時檢測。

（2）基于100+工業(yè)協(xié)議深度解析能力，通過在指定廠區(qū)部署工業(yè)安全監(jiān)測與審計系統(tǒng)，接入和分析生產(chǎn)網(wǎng)的工業(yè)協(xié)議（S7，MODBUS等）流量，實現(xiàn)工業(yè)協(xié)議的深度解析和工控威脅檢測能力。在實際運行中，發(fā)現(xiàn)：工控異常報文、高危指令執(zhí)行、非法設備訪問等工控威脅合計1600余次，幫助企業(yè)及時響應和處置生產(chǎn)網(wǎng)威脅，保障生產(chǎn)安全、業(yè)務連續(xù)性。

（3）基于大數(shù)據(jù)分析引擎和安全知識庫，對接入的千萬級安全數(shù)據(jù)進行關聯(lián)分析，還原攻擊者的攻擊路徑和攻擊行為，關聯(lián)出受影響或被控制的主機，幫助客戶快速定位攻擊源。在實際運行中，發(fā)現(xiàn)某主機7天內(nèi)，對內(nèi)網(wǎng)47臺主機發(fā)起密碼暴力破解攻擊，達到14333次，通過進一步關聯(lián)分析和攻擊溯源，發(fā)現(xiàn)該主機遭受到外部攻擊者漏洞利用攻擊，可能已被控制，企業(yè)根據(jù)風險預警，對該主機進行了及時處置。

（4）幫助企業(yè)管理和運營人員，解決海量安全事件問題，基于已積累的300+條安全告警規(guī)則，達到業(yè)內(nèi)領先水平。在系統(tǒng)實際運行中，安全管理和運營人員從每天面對10萬條安全事件，降維到只需要聚焦處理1000條左右的安全告警，極大提升了安全管理和處理效率，讓真正的安全威脅得到優(yōu)先、及時和有效處理。

（5）從安全告警、資產(chǎn)漏洞、外部攻擊、風險外聯(lián)、橫向滲透等多個視角，全面分析和展示企業(yè)整體安全狀態(tài)，同時在實際運行中，通過分權分域管理和靈活的賬號配置，各分廠可掌握自己的安全態(tài)勢，而集團可掌握21個廠區(qū)安全態(tài)勢。

（6）通過工業(yè)互聯(lián)網(wǎng)協(xié)同聯(lián)動一體機，在10個工作日內(nèi)完成省企對接，滿足分類分級合規(guī)要求。

單位基本信息

北京亞鴻世紀科技發(fā)展有限公司（簡稱“亞鴻世紀”）成立于2012年，2017年正式成為任子行網(wǎng)絡技術股份有限公司的全資子公司，是一家專注于互聯(lián)網(wǎng)空間數(shù)據(jù)治理、網(wǎng)絡與信息安全及數(shù)據(jù)增值解決方案及服務的高科技公司。公司在北京和武漢設有分公司及研發(fā)基地中心，能夠快速響應客戶安全需求。目前研發(fā)中心技術人員達到400多人，其中985、211高校畢業(yè)人數(shù)達到80%以上。

公司成立以來，協(xié)助工信部起草《IDC/ISP信息安全管理系統(tǒng)技術要求》、《IDC/ISP信息安全管理系統(tǒng)接口規(guī)范》、《域名信息安全管理系統(tǒng)技術要求及接口規(guī)范》、《數(shù)據(jù)核驗技術要求及接口規(guī)范》等多項技術規(guī)范。公司目前已經(jīng)承建了工信部全國統(tǒng)一資源協(xié)作管理系統(tǒng)、工信部全國域名信息安全管理系統(tǒng)、工信部互聯(lián)網(wǎng)大數(shù)據(jù)管理子系統(tǒng)、設備運維子系統(tǒng)、全國25省通信管理局互聯(lián)網(wǎng)網(wǎng)絡與信息安全綜合管理平臺、19省移動IDC/ISP信息安全管理系統(tǒng)、17省聯(lián)通IDC/ISP信息安全管理系統(tǒng)、14省鐵通IDC/ISP信息安全管理系統(tǒng)、5省電信IDC/ISP信息安全管理系統(tǒng)。在IDC/ISP信息安全領域市場綜合占有率達80%以上，在互聯(lián)網(wǎng)反欺詐安全市場占50%以上。具備豐富的互聯(lián)網(wǎng)信息安全和網(wǎng)絡安全的實戰(zhàn)經(jīng)驗以及相關安全能力。

圍繞5G+工業(yè)互聯(lián)網(wǎng)安全建設方面：

國家級

國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與風險預警平臺：建立國家、省級、企業(yè)級聯(lián)動的工業(yè)互聯(lián)網(wǎng)安全監(jiān)管體系，實現(xiàn)重點行業(yè)、重點對象、重點風險的實時監(jiān)測、動態(tài)感知、及時預警，支撐政府監(jiān)管、服務企業(yè)防護。

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全分類分級管理平臺：自主定級、定級審核、現(xiàn)場評測、安全資源池建設，支撐分類分級政策落地。

工信部物聯(lián)網(wǎng)基礎安全接入監(jiān)測平臺：物聯(lián)網(wǎng)資產(chǎn)摸底、宏觀監(jiān)測、整體態(tài)勢分析。

省級

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全省平臺：廣東、湖南、河南、安徽、湖北、遼寧、貴州、新疆、黑龍江、海南、河北、四川、云南、內(nèi)蒙、甘肅、上海、西藏、山西等18個省級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全省平臺：貴州、四川工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管平臺試點。

工業(yè)互聯(lián)網(wǎng)企業(yè)

級

面向多個行業(yè)多個企業(yè)的MEC安全監(jiān)測平臺、邊緣計算敏感數(shù)據(jù)保護技術系統(tǒng)、多業(yè)務場景數(shù)據(jù)脫敏技術工具、面向工業(yè)和通信業(yè)的網(wǎng)絡及數(shù)據(jù)安全風險監(jiān)測發(fā)現(xiàn)與預警平臺、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全公共服務平臺、工控安全防護系列產(chǎn)品、企業(yè)安全服務等。