★北京雙湃智安科技有限公司

1 項(xiàng)目概況

1.1 項(xiàng)目背景

目前紫光UNIPower工業(yè)互聯(lián)網(wǎng)平臺已經(jīng)發(fā)布百余種工業(yè)應(yīng)用服務(wù)和多個(gè)行業(yè)解決方案，齊聚超過200家生態(tài)合作伙伴，為TCL集團(tuán)、新華三集團(tuán)、人本集團(tuán)、華亞智能科技等企業(yè)提供工業(yè)云服務(wù)和智能化改造的解決方案。

紫光UNIPower工業(yè)互聯(lián)網(wǎng)平臺服務(wù)特點(diǎn)包括以下幾個(gè)方面：一是全面的設(shè)備連接與數(shù)據(jù)整合能力；二是強(qiáng)大的數(shù)據(jù)分析和工業(yè)算法模型構(gòu)建；三是提供PaaS層四庫四池，為企業(yè)和開發(fā)者提供工業(yè)應(yīng)用開發(fā)所需的豐富資源服務(wù)；四是建設(shè)以“工業(yè)為基礎(chǔ)、數(shù)據(jù)為核心、云平臺為支撐”的安全能力，建立一個(gè)智能分析、協(xié)同防護(hù)、安全可控的工業(yè)互聯(lián)網(wǎng)安全平臺，做到事前預(yù)警、事中監(jiān)控、事后分析響應(yīng)，全面提升工業(yè)互聯(lián)網(wǎng)平臺安全管理與防護(hù)水平。

1.2 項(xiàng)目簡介

項(xiàng)目歷時(shí)6個(gè)月，按照統(tǒng)籌規(guī)劃、務(wù)求實(shí)效、立足創(chuàng)新、方便擴(kuò)展的建設(shè)原則，以IITM（工業(yè)互聯(lián)網(wǎng)威脅檢測平臺）和ISOC（工業(yè)安全運(yùn)營中心）為基礎(chǔ)建設(shè)成符合紫光云引擎業(yè)務(wù)需求，并且與工業(yè)互聯(lián)網(wǎng)平臺相融合的工業(yè)互聯(lián)網(wǎng)綜合防護(hù)平臺。

同時(shí)，通過部署探針類設(shè)備ITD（工業(yè)威脅探測器）和現(xiàn)有的工業(yè)安全系統(tǒng)搭建起完整的三級聯(lián)動(dòng)安全防護(hù)體系構(gòu)架，提升內(nèi)部工業(yè)安全防護(hù)能力的同時(shí)也讓紫光工業(yè)互聯(lián)網(wǎng)平臺具備了對外提供工業(yè)網(wǎng)絡(luò)安全業(yè)務(wù)的能力。

1.3項(xiàng)目目標(biāo)

1.3.1 行業(yè)所面臨的挑戰(zhàn)

（1）工業(yè)互聯(lián)網(wǎng)安全管理體系不健全

評估發(fā)現(xiàn)，大多數(shù)企業(yè)尚未結(jié)合生產(chǎn)應(yīng)用場景建立適應(yīng)工業(yè)互聯(lián)網(wǎng)發(fā)展需求的網(wǎng)絡(luò)安全管理制度，缺少針對工業(yè)互聯(lián)網(wǎng)安全考核機(jī)制，安全責(zé)權(quán)不清，人員和經(jīng)費(fèi)投入有限，缺乏有效的督促和激勵(lì)制度；缺少工業(yè)互聯(lián)網(wǎng)安全評估制度，多數(shù)企業(yè)對工業(yè)互聯(lián)網(wǎng)改造后需要保護(hù)的網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)等保護(hù)對象及其應(yīng)達(dá)到的安全要求掌握分析不足，對網(wǎng)絡(luò)中已存在的漏洞、病毒不掌握；網(wǎng)絡(luò)安全應(yīng)急保障不完善，絕大多數(shù)企業(yè)沒有針對自身工業(yè)互聯(lián)網(wǎng)情況明確網(wǎng)絡(luò)安全應(yīng)急預(yù)案并開展演練。

（2）缺乏工業(yè)互聯(lián)網(wǎng)安全保障技術(shù)體系

目前，多數(shù)企業(yè)工業(yè)互聯(lián)網(wǎng)處于試點(diǎn)或改造階段，未完全實(shí)現(xiàn)從傳統(tǒng)單點(diǎn)、隔離工業(yè)控制系統(tǒng)到工業(yè)互聯(lián)網(wǎng)的轉(zhuǎn)變，更注重工業(yè)互聯(lián)網(wǎng)場景可用性，未做到網(wǎng)絡(luò)安全三同步要求；對網(wǎng)絡(luò)區(qū)域打通后的網(wǎng)絡(luò)隔離、安全監(jiān)控、數(shù)據(jù)保護(hù)等安全問題考慮欠缺，工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力不足，缺乏專業(yè)安全防護(hù)設(shè)備與技術(shù)支持，缺乏工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障技術(shù)體系。

（3）工業(yè)數(shù)據(jù)安全保護(hù)措施不足

工業(yè)互聯(lián)網(wǎng)企業(yè)普遍對工業(yè)數(shù)據(jù)保護(hù)缺乏有效管控防護(hù)措施。多數(shù)平臺企業(yè)對數(shù)據(jù)安全的保護(hù)措施較欠缺，未對重要工業(yè)數(shù)據(jù)進(jìn)行識別、分類分級；未采取加密存儲和傳輸、定期備份等防護(hù)措施；未對存儲、處理關(guān)鍵工業(yè)數(shù)據(jù)的設(shè)備的漏洞及時(shí)跟蹤處理，許多設(shè)備存在如弱口令、命令注入、遠(yuǎn)程代碼執(zhí)行等常見漏洞，工業(yè)數(shù)據(jù)遭竊取、破壞的風(fēng)險(xiǎn)較高；70%以上工業(yè)互聯(lián)網(wǎng)平臺企業(yè)對云服務(wù)外包缺乏安全管控，缺少云端業(yè)務(wù)數(shù)據(jù)防護(hù)舉措。

（4）工業(yè)互聯(lián)網(wǎng)軟硬件安全檢測不足

工業(yè)互聯(lián)網(wǎng)應(yīng)用推廣過程中，涉及傳統(tǒng)工業(yè)控制系統(tǒng)與產(chǎn)品、工業(yè)互聯(lián)網(wǎng)網(wǎng)關(guān)、工業(yè)App等，但相關(guān)軟硬件產(chǎn)品安全檢測不足，引入了安全風(fēng)險(xiǎn)。如許多工業(yè)App產(chǎn)品存在反編譯和硬編碼等安全漏洞，能夠通過一些App直接調(diào)用生產(chǎn)系統(tǒng)控制功能，攻擊者可通過篡改控制指令引發(fā)重大生產(chǎn)事故和財(cái)產(chǎn)損失。對部分企業(yè)工業(yè)App檢測發(fā)現(xiàn)，App信息交互過程中存在數(shù)據(jù)明文傳輸、訪問控制不受限等風(fēng)險(xiǎn)，可以通過App獲取生產(chǎn)控制指令和工業(yè)生產(chǎn)參數(shù)，可能造成工藝生產(chǎn)流程泄露。

當(dāng)前，工業(yè)互聯(lián)網(wǎng)企業(yè)面臨著安全風(fēng)險(xiǎn)，工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)手段尚需健全。為有效提升工業(yè)互聯(lián)網(wǎng)服務(wù)商及其服務(wù)企業(yè)的網(wǎng)絡(luò)安全防范水平，適應(yīng)新技術(shù)潮流下安全治理的新挑戰(zhàn)，需開展工業(yè)互聯(lián)網(wǎng)平臺安全監(jiān)測與防護(hù)系統(tǒng)建設(shè)，依托自有網(wǎng)絡(luò)資源和系統(tǒng)，圍繞工業(yè)互聯(lián)網(wǎng)服務(wù)商及其服務(wù)企業(yè)的安全需求，利用大數(shù)據(jù)、人工智能等技術(shù)手段，為工業(yè)企業(yè)等提供網(wǎng)絡(luò)安全服務(wù)，實(shí)現(xiàn)本網(wǎng)絡(luò)內(nèi)的威脅溯源定位、安全防護(hù)、入侵防御、安全監(jiān)測、風(fēng)險(xiǎn)診斷與研判、應(yīng)急處置等服務(wù)，最大程度降低企業(yè)系統(tǒng)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

1.3.2 項(xiàng)目建設(shè)目標(biāo)

（1）形成邊界安全、業(yè)務(wù)和應(yīng)用安全、數(shù)據(jù)安全的工業(yè)互聯(lián)網(wǎng)平臺安全縱深防御解決方案，具備防攻擊、防病毒、防入侵、防盜竊、防控制等安全防護(hù)能力。應(yīng)用10類以上工業(yè)互聯(lián)網(wǎng)平臺安全防護(hù)核心技術(shù)及產(chǎn)品，實(shí)現(xiàn)抗DDoS、虛擬機(jī)逃逸、鏡像篡改、數(shù)據(jù)竊取與篡改等安全能力。

（2）建設(shè)工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護(hù)系統(tǒng)，實(shí)現(xiàn)對平臺接入終端、云基礎(chǔ)設(shè)施、工業(yè)微服務(wù)、工業(yè)APP和防護(hù)設(shè)備的安全數(shù)據(jù)匯聚并進(jìn)行綜合分析，實(shí)現(xiàn)對接入設(shè)備、防護(hù)設(shè)備、應(yīng)用服務(wù)和日志數(shù)據(jù)的統(tǒng)一管理。同時(shí)具備應(yīng)用發(fā)布安全感知、攻擊源畫像威脅展示及設(shè)備應(yīng)用連通監(jiān)測的功能。

（3）建設(shè)紫光工業(yè)互聯(lián)網(wǎng)設(shè)備安全接入系統(tǒng)，對設(shè)備接入平臺進(jìn)行統(tǒng)一認(rèn)證。

（4）對平臺安全綜合防護(hù)系統(tǒng)進(jìn)行實(shí)際應(yīng)用評價(jià)，對各項(xiàng)指標(biāo)進(jìn)行數(shù)據(jù)采集，對標(biāo)準(zhǔn)的合理性和科學(xué)性進(jìn)行反向驗(yàn)證，產(chǎn)生平臺安全綜合防護(hù)系統(tǒng)的測試用例，并利用市場渠道進(jìn)行對外服務(wù)和宣傳推廣，推動(dòng)平臺功能不斷完善，加快平臺在廣大制造業(yè)企業(yè)的落地應(yīng)用與實(shí)踐。

2 項(xiàng)目實(shí)施

2.1 系統(tǒng)架構(gòu)和主要內(nèi)容

建設(shè)工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護(hù)平臺，系統(tǒng)架構(gòu)如圖1所示。該平臺是針對工業(yè)互聯(lián)網(wǎng)企業(yè)的一個(gè)開放互聯(lián)的平臺，可匯總多站點(diǎn)工業(yè)安全設(shè)備上報(bào)的威脅數(shù)據(jù)以及資產(chǎn)數(shù)據(jù)，以數(shù)據(jù)可視化為核心，為資產(chǎn)及其脆弱性、告警事件、處置情況和網(wǎng)絡(luò)訪問情況提供集中視圖，為安全運(yùn)營提供跨地域的即時(shí)可見性。在此基礎(chǔ)上，增加工業(yè)設(shè)備與工業(yè)安全設(shè)備日志收集與分析、策略管控、數(shù)據(jù)上報(bào)等數(shù)據(jù)及產(chǎn)品管控功能，依托大數(shù)據(jù)分析，最終實(shí)現(xiàn)場景化運(yùn)營。該平臺有效提升工控網(wǎng)絡(luò)在線安全監(jiān)測能力，全面提高工業(yè)企業(yè)的風(fēng)險(xiǎn)預(yù)警能力，整體提升工業(yè)企業(yè)的安全運(yùn)營能力和安全防護(hù)水平。

圖1 系統(tǒng)架構(gòu)

建設(shè)紫光工業(yè)互聯(lián)網(wǎng)平臺監(jiān)測服務(wù)系統(tǒng)，如圖2所示，以資產(chǎn)探測和威脅發(fā)現(xiàn)為基礎(chǔ)，以威脅分析和安全保障為核心，以事前預(yù)防、事中控制和事后響應(yīng)為目標(biāo)，支撐監(jiān)管部門和安全服務(wù)運(yùn)營商對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)空間與工業(yè)互聯(lián)網(wǎng)企業(yè)提供資產(chǎn)探查、漏洞發(fā)現(xiàn)、風(fēng)險(xiǎn)評估、威脅推送、工業(yè)現(xiàn)場檢查、工業(yè)應(yīng)急響應(yīng)等安全服務(wù)，填補(bǔ)網(wǎng)絡(luò)安全監(jiān)管部門執(zhí)法監(jiān)督管理以及區(qū)域服務(wù)中心在線安全服務(wù)的空白，豐富安全監(jiān)管部門管理手段以及安全服務(wù)運(yùn)營商的運(yùn)營手段，幫助安全監(jiān)管部門和安全服務(wù)運(yùn)營商構(gòu)建全天候、全方位的安全監(jiān)測和威脅感知能力，強(qiáng)化通過自動(dòng)化工具開展實(shí)時(shí)安全監(jiān)測、風(fēng)險(xiǎn)評估、威脅推送、預(yù)警通報(bào)等安全服務(wù)，提升安全監(jiān)管部門權(quán)威性、安全服務(wù)運(yùn)營商安全建設(shè)與運(yùn)營的規(guī)范化程度，提高工業(yè)互聯(lián)網(wǎng)企業(yè)的安全管理能力，降低工業(yè)互聯(lián)網(wǎng)企業(yè)因安全事件導(dǎo)致的資產(chǎn)和人員損失，保障工業(yè)互聯(lián)網(wǎng)企業(yè)安全生產(chǎn)。

圖2 紫光工業(yè)互聯(lián)網(wǎng)平臺監(jiān)測服務(wù)系統(tǒng)

2.2 技術(shù)方案

工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護(hù)平臺由工業(yè)互聯(lián)網(wǎng)平臺安全綜合管理系統(tǒng)（DZ-SOCP）、工業(yè)安全運(yùn)營中心系統(tǒng)（SP-ISOC）和工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)模擬器系統(tǒng)（SP-DSS）組成。如圖3所示。

圖3 工業(yè)互聯(lián)網(wǎng)安全綜合防護(hù)典型部署

該平臺的威脅檢測分析系統(tǒng)和運(yùn)營管理系統(tǒng)，依托“九天”情報(bào)系統(tǒng)和“哈莫韋”工業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室，針對工業(yè)互聯(lián)網(wǎng)行業(yè)特點(diǎn)，建立從基礎(chǔ)信息采集到數(shù)據(jù)分析的一體化威脅情報(bào)分析。通過搭建威脅監(jiān)測和分析管理平臺，將“九天”系統(tǒng)的威脅分析能力和“哈莫韋”工業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室的研究成果，有效串聯(lián)至工業(yè)安全態(tài)勢感知平臺各業(yè)務(wù)環(huán)節(jié)，為工業(yè)安全態(tài)勢感知平臺的安全穩(wěn)定運(yùn)行提供堅(jiān)強(qiáng)支撐。

圖4 工業(yè)互聯(lián)網(wǎng)平臺防護(hù)能力模型

2.3 應(yīng)用場景分析

工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護(hù)平臺是針對工業(yè)互聯(lián)網(wǎng)企業(yè)的一個(gè)開放互聯(lián)的平臺。該平臺可匯總多站點(diǎn)工業(yè)安全設(shè)備上報(bào)的威脅數(shù)據(jù)以及資產(chǎn)數(shù)據(jù)，以數(shù)據(jù)可視化為核心，為資產(chǎn)及其脆弱性、告警事件、處置情況及網(wǎng)絡(luò)訪問情況提供集中視圖，為安全運(yùn)營提供跨地域的即時(shí)可見性。

直觀地體現(xiàn)總體安全態(tài)勢和潛在風(fēng)險(xiǎn)，主要包括態(tài)勢分析、地圖呈現(xiàn)、下鉆、設(shè)置模式和統(tǒng)計(jì)信息。其中態(tài)勢分析內(nèi)容包括風(fēng)險(xiǎn)等級資產(chǎn)分布、區(qū)域資產(chǎn)分布、行業(yè)資產(chǎn)分布、漏洞類型占比、行業(yè)風(fēng)險(xiǎn)排名、資產(chǎn)趨勢、風(fēng)險(xiǎn)趨勢、被篡改應(yīng)用站點(diǎn)行業(yè)統(tǒng)計(jì)、應(yīng)用站點(diǎn)漏洞行業(yè)分布、應(yīng)用站點(diǎn)流行漏洞排名、問題站點(diǎn)區(qū)域分布、問題站點(diǎn)、RTSP弱口令攝像頭、資產(chǎn)趨勢、區(qū)域資產(chǎn)分布等以及利用地圖直觀展現(xiàn)轄區(qū)應(yīng)用站點(diǎn)安全隱患的分布情況，并支持利用導(dǎo)航地圖技術(shù)結(jié)合站點(diǎn)地址經(jīng)緯度數(shù)據(jù)定位?？梢暬ㄒ晥D安全管控視圖和安全領(lǐng)導(dǎo)視圖：為安全運(yùn)營和實(shí)驗(yàn)室人員提供安全可視化視圖，支持安全事件調(diào)查、取證、溯源和處置等功能聯(lián)動(dòng)；為管理層領(lǐng)導(dǎo)提供安全可視化視圖，支持安全建設(shè)成果可視化、安全威脅統(tǒng)計(jì)可視化等數(shù)據(jù)，支持安全決策。

2.4 安全應(yīng)用模式

在眾多的用戶需求中，安全保障的基本需求是用戶最根本的利益所在。雙湃智安通過安全運(yùn)營平臺，圍繞資產(chǎn)、脆弱性、威脅和事件四個(gè)要素為客戶提供一系列安全服務(wù)，幫助用戶構(gòu)筑遠(yuǎn)程（24×7小時(shí)）對客戶側(cè)安全事件和相關(guān)數(shù)據(jù)源安全監(jiān)控和威脅檢測、漏洞（弱點(diǎn)）評估與管理、IT安全設(shè)備和工具管理、安全事件響應(yīng)等能力。

圖5 紫光工業(yè)互聯(lián)網(wǎng)平臺綜合防護(hù)整體架構(gòu)

2.5 實(shí)際應(yīng)用效果

（1）系統(tǒng)監(jiān)測和防護(hù)

實(shí)現(xiàn)1000個(gè)工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)與基礎(chǔ)信息系統(tǒng)的監(jiān)測和防護(hù)。

（2）設(shè)備采集

實(shí)現(xiàn)100萬臺以上工業(yè)聯(lián)網(wǎng)設(shè)備采集入庫。

（3）漏洞監(jiān)測

累計(jì)完成100萬次以上工業(yè)聯(lián)網(wǎng)設(shè)備和系統(tǒng)漏洞檢測。

（4）為企業(yè)用戶提供安全防護(hù)

服務(wù)對500家企業(yè)用戶網(wǎng)站、系統(tǒng)、設(shè)備進(jìn)行安全監(jiān)測。

（5）開發(fā)環(huán)境安全系統(tǒng)

防止源代碼泄密，防范勒索病毒，滿足開發(fā)環(huán)境和生產(chǎn)環(huán)境30臺服務(wù)器防護(hù)要求。

3 案例亮點(diǎn)及創(chuàng)新性

（1）構(gòu)建在線監(jiān)測網(wǎng)絡(luò)，直觀掌控安全態(tài)勢

基于多源數(shù)據(jù)支持安全威脅監(jiān)測以及安全威脅突出情況的分析展示。利用大數(shù)據(jù)技術(shù)進(jìn)行分析挖掘，實(shí)時(shí)掌握網(wǎng)絡(luò)攻擊對手情況、攻擊手段、攻擊目標(biāo)、攻擊結(jié)果以及網(wǎng)絡(luò)自身存在的隱患、問題、風(fēng)險(xiǎn)等情況，對比歷史數(shù)據(jù)，形成趨勢性、合理性判斷，為通報(bào)預(yù)警提供重要支撐。該模塊支持對網(wǎng)絡(luò)空間安全態(tài)勢進(jìn)行全方位、多層次、多角度和細(xì)粒度感知，包括但不限于對工業(yè)互聯(lián)網(wǎng)平臺、重點(diǎn)行業(yè)、重點(diǎn)單位、重點(diǎn)網(wǎng)站，重要信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等保護(hù)對象的態(tài)勢進(jìn)行感知。該模塊主要包括態(tài)勢分析和態(tài)勢呈現(xiàn)。

（2）實(shí)現(xiàn)多維風(fēng)險(xiǎn)監(jiān)測，增強(qiáng)威脅發(fā)現(xiàn)能力

匯聚網(wǎng)絡(luò)側(cè)和企業(yè)側(cè)安全監(jiān)測和態(tài)勢感知平臺的共享信息，結(jié)合國家態(tài)勢感知平臺的共享信息，構(gòu)建基礎(chǔ)資源庫、知識庫和威脅信息庫等信息資源；結(jié)合專業(yè)機(jī)構(gòu)的認(rèn)定結(jié)果和處置建議，有針對性地開展日常信息運(yùn)營，包括威脅分析和資產(chǎn)審核，提升安全威脅信息共享能力，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)綜合態(tài)勢可視化，完成與國家平臺信息共享和聯(lián)動(dòng)。

（3）建立協(xié)同聯(lián)動(dòng)體系，提高事件處置效率

以安全數(shù)據(jù)共享、安全監(jiān)測業(yè)務(wù)協(xié)同、安全處置協(xié)同聯(lián)動(dòng)為核心，基于工業(yè)互聯(lián)網(wǎng)安全監(jiān)管機(jī)構(gòu)、工業(yè)互聯(lián)網(wǎng)企業(yè)、運(yùn)營商與工業(yè)企業(yè)，構(gòu)建以工信部、省級監(jiān)管機(jī)構(gòu)、工業(yè)企業(yè)、運(yùn)營商為主的協(xié)同監(jiān)測和多級聯(lián)動(dòng)管理架構(gòu)，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測、預(yù)警通報(bào)、應(yīng)急處置、處置溯源和信息共享，形成上下聯(lián)動(dòng)、政企協(xié)同的工業(yè)互聯(lián)網(wǎng)安全管理系統(tǒng)

（4）基于業(yè)務(wù)的工業(yè)安全運(yùn)營

實(shí)現(xiàn)被動(dòng)到主動(dòng)的轉(zhuǎn)變：根據(jù)本地?cái)?shù)據(jù)結(jié)合云端大數(shù)據(jù)及威脅情報(bào)，結(jié)合服務(wù)過程中發(fā)現(xiàn)的工業(yè)安全事件，針對可能發(fā)生的攻擊行為提前做好響應(yīng)對策，并通過專業(yè)化的保障服務(wù)，使監(jiān)管具備處理突發(fā)事件的技術(shù)實(shí)力，提高安全事件響應(yīng)與處理能力。

安全運(yùn)營團(tuán)隊(duì)圍繞態(tài)勢感知平臺系統(tǒng)，通過資產(chǎn)梳理、安全事件監(jiān)測、流量深度分析、事件通報(bào)、應(yīng)急處置、重要時(shí)期安全保障等一系列安全措施，協(xié)助省監(jiān)管部門更全面、更準(zhǔn)確、更高效地行使工業(yè)安全監(jiān)管職能。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》