1、方案背景與目標(biāo)

1.1當(dāng)前工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問題日趨嚴(yán)重

工業(yè)互聯(lián)網(wǎng)涉及到很多與人民群眾生活息息相關(guān)的重要基礎(chǔ)設(shè)施，例如電力能源、軌道交通、石油化工、鋼鐵、有色、建材、新材料、民爆、礦業(yè)、工業(yè)母機(jī)和機(jī)器人等生產(chǎn)制造的關(guān)鍵環(huán)節(jié)和場景，關(guān)系到國計民生。隨著以互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等為代表的新一代信息技術(shù)與傳統(tǒng)工業(yè)生產(chǎn)系統(tǒng)的加速融合，工業(yè)互聯(lián)網(wǎng)在提升工業(yè)生產(chǎn)效率、加速向智能制造轉(zhuǎn)型的同時，也打破了傳統(tǒng)工業(yè)相對封閉可信的環(huán)境，導(dǎo)致病毒、木馬和網(wǎng)絡(luò)攻擊等安全風(fēng)險對工業(yè)生產(chǎn)和關(guān)鍵基礎(chǔ)設(shè)施的威脅日益加劇，一旦受到安全攻擊，不僅會造成巨大的經(jīng)濟(jì)損失，甚至?xí)＜肮娚詈蛧野踩?/p>

因此保障工業(yè)互聯(lián)網(wǎng)的安全可控是確保智能制造在生產(chǎn)領(lǐng)域?qū)嵤┑谋匾疤帷９I(yè)互聯(lián)網(wǎng)的信息安全問題已引起國家和社會各界的高度重視。

工業(yè)互聯(lián)網(wǎng)安全是全局的、多層次、多維度的系統(tǒng)性安全。從分層結(jié)構(gòu)的角度，安全威脅可分為設(shè)備層安全威脅、控制層安全威脅、車間層安全威脅、企業(yè)層安全威脅和協(xié)同層安全威脅；從體系架構(gòu)的角度，安全威脅可分為設(shè)備層安全威脅、網(wǎng)絡(luò)層安全威脅、應(yīng)用層安全威脅、數(shù)據(jù)層安全威脅、控制層安全威脅、人員管理威脅和高級持續(xù)性威脅。當(dāng)前工業(yè)互聯(lián)網(wǎng)安全形勢復(fù)雜，針對工業(yè)互聯(lián)網(wǎng)的攻擊仍處于高發(fā)態(tài)勢，涉及到國家級網(wǎng)絡(luò)公共基礎(chǔ)設(shè)施和國計民生的重要信息系統(tǒng)，涵蓋了病毒、木馬、漏洞、流量攻擊等多種類型，攻擊門檻不斷降低，攻擊對象更加廣泛，攻擊手段復(fù)雜多樣，攻擊范圍跨洲跨國，攻擊目的利益驅(qū)動。當(dāng)前信息安全威脅已經(jīng)成為我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的一個顯著制約因素。較低的信息安全防護(hù)水平以及安全生產(chǎn)的重大責(zé)任使得數(shù)量眾多的工業(yè)企業(yè)在互聯(lián)互通、業(yè)務(wù)創(chuàng)新上非常謹(jǐn)慎，甚至有些企業(yè)談“網(wǎng)”色變，可以說信息安全已經(jīng)成為我國進(jìn)行工業(yè)產(chǎn)業(yè)升級的實(shí)際阻礙。據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測顯示，截至2022年底，我國各類低防護(hù)聯(lián)網(wǎng)設(shè)備總數(shù)再創(chuàng)新高。其中，物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)大量暴露，且極易遭受攻擊利用，可能造成設(shè)備宕機(jī)、停產(chǎn)停工等嚴(yán)重后果，存在較大安全隱患。2022年公開披露的工業(yè)領(lǐng)域勒索事件共89起，較2021年增長78%。從受影響的行業(yè)來看，制造業(yè)首當(dāng)其沖。具體而言，電子制造行業(yè)遭勒索攻擊最多，占全部勒索事件的23.3%。工業(yè)和信息化部工業(yè)控制產(chǎn)品安全漏洞專業(yè)庫統(tǒng)計發(fā)現(xiàn)，2022年工控漏洞數(shù)量再度攀升，共涉及緩沖區(qū)錯誤、代碼問題、權(quán)限許可和訪問控制問題等多種類型風(fēng)險。

1.2智能工廠工業(yè)網(wǎng)絡(luò)安全一體化防護(hù)能力嚴(yán)重不足

雖然我國在工業(yè)互聯(lián)網(wǎng)的頂層設(shè)計，包括政策實(shí)施、標(biāo)準(zhǔn)制定等方面跟進(jìn)較快，但由于我國工業(yè)互聯(lián)網(wǎng)安全技術(shù)的研究起步較晚，與國外先進(jìn)水平相比仍有較大差距。在工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)方面，我國除依托傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行安全技術(shù)產(chǎn)品功能的拓展外，著重基于新興互聯(lián)網(wǎng)技術(shù)，開展新一代網(wǎng)絡(luò)安全技術(shù)產(chǎn)品的研發(fā)創(chuàng)新。相關(guān)研究主要有：工業(yè)互聯(lián)網(wǎng)邊緣端點(diǎn)的防護(hù)技術(shù)、工業(yè)防火墻技術(shù)、工業(yè)互聯(lián)網(wǎng)漏洞挖掘技術(shù)、滲透測試技術(shù)、安全態(tài)勢感知技術(shù)等，多為針對某一種技術(shù)的分析及應(yīng)用研究。

在工業(yè)互聯(lián)網(wǎng)安全企業(yè)應(yīng)用推廣方面，企業(yè)基于安全認(rèn)識和意識、安全成本預(yù)算等方面的考慮，主要采取分步建設(shè)的思路，缺哪補(bǔ)哪的外掛式建設(shè)思路，導(dǎo)致產(chǎn)品之間的融合和協(xié)同能力差，表現(xiàn)在如下幾個方面：

·   網(wǎng)絡(luò)安全流量、日志、漏洞、設(shè)備終端等安全數(shù)據(jù)采集不足，風(fēng)險資產(chǎn)底數(shù)不清晰；

·   采集的網(wǎng)絡(luò)安全數(shù)據(jù)割裂，存在“安全數(shù)據(jù)孤島”現(xiàn)場，無法實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)集中管理和關(guān)聯(lián)分析；

·   安全智能分析能力不足，對勒索攻擊、惡意程序等高級威脅攻擊形態(tài)缺乏感知分析能力；

·   安全協(xié)同響應(yīng)能力不足，各設(shè)備之間缺乏聯(lián)動效應(yīng)，應(yīng)對威脅響應(yīng)處置不及時。

據(jù)工業(yè)和信息化部等八部門對外公布了《“十四五”智能制造發(fā)展規(guī)劃》，未來15年將通過“兩步走”，加快推動生產(chǎn)方式變革：一是到2025年，規(guī)模以上制造業(yè)企業(yè)大部分實(shí)現(xiàn)數(shù)字化網(wǎng)絡(luò)化，重點(diǎn)行業(yè)骨干企業(yè)初步應(yīng)用智能化；70%的規(guī)模以上制造業(yè)企業(yè)基本實(shí)現(xiàn)數(shù)字化網(wǎng)絡(luò)化，建成500個以上引領(lǐng)行業(yè)發(fā)展的智能制造示范工廠。二是到2035年，規(guī)模以上制造業(yè)企業(yè)全面普及數(shù)字化網(wǎng)絡(luò)化，重點(diǎn)行業(yè)骨干企業(yè)基本實(shí)現(xiàn)智能化。對國家《“十四五”智能制造發(fā)展規(guī)劃》規(guī)化要求，當(dāng)前針對智能工廠安全防護(hù)解決方案及配套產(chǎn)品存在技術(shù)儲備不足、測試驗證不足、應(yīng)用推廣不足等多方面的問題，迫切需要針對當(dāng)前智能工廠的上述痛點(diǎn)問題，打造貫穿工業(yè)網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)采集、監(jiān)測、分析、預(yù)測到響應(yīng)的全過程的安全能力，攻關(guān)工業(yè)網(wǎng)安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應(yīng)控制等技術(shù)，構(gòu)建集工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知、風(fēng)險評估、威脅預(yù)警、攻擊阻斷、網(wǎng)端聯(lián)動、縱深防御于一體化的綜合安全解決方案，為制造業(yè)的轉(zhuǎn)型升級保駕護(hù)航。

2、方案詳細(xì)介紹

2.1 總體技術(shù)架構(gòu)

本項目主要針對當(dāng)前工業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)采集不充分，分析不智能，響應(yīng)不協(xié)同等痛點(diǎn)問題，研制面向智能工廠的網(wǎng)端聯(lián)動一體化安全防護(hù)解決方案及配套產(chǎn)品，通過打造貫穿工業(yè)網(wǎng)絡(luò)安全防護(hù)的數(shù)據(jù)采集、監(jiān)測、分析、預(yù)測到響應(yīng)的全過程的安全能力，攻關(guān)工業(yè)網(wǎng)安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應(yīng)控制等技術(shù)，構(gòu)建集工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知、風(fēng)險評估、威脅預(yù)警、攻擊阻斷、網(wǎng)端聯(lián)動、縱深防御于一體化的綜合安全解決方案，并以此為基礎(chǔ)針對能源電力、軌道交通、石油化工、高端制造、汽車電子、生物制藥、新能源等國計民生的廣泛行業(yè)領(lǐng)域的網(wǎng)絡(luò)特點(diǎn)，構(gòu)建重點(diǎn)行業(yè)應(yīng)用解決方案，進(jìn)行應(yīng)用推廣。

智能制造工控安全整體解決方案以工業(yè)安全威脅發(fā)現(xiàn)與運(yùn)營管理平臺為核心，配合工控防火墻、工控監(jiān)測于審計、工控主機(jī)安全衛(wèi)士等安全防護(hù)設(shè)備，實(shí)現(xiàn)工業(yè)安全一體化落地。

方案體系架構(gòu)如下圖所示。

圖1 智能制造工控安全整體解決方案總體架構(gòu)

圖2 智能制造工控安全態(tài)勢感知平臺效果圖

2.2關(guān)鍵技術(shù)

（1）多維度智能高級威脅分析技術(shù)

基于人工智能對安全大數(shù)據(jù)多維度關(guān)聯(lián)分析，不僅能夠有效定位攻擊行為的路徑，還能發(fā)現(xiàn)威脅并預(yù)判趨勢，對攻擊者留下的任意線索進(jìn)行多維拓展，使用大數(shù)據(jù)可視化手段，從不同視角、維度（如3D圖、雷達(dá)圖、拓?fù)鋱D、熱度圖等）繪制出完整的知識鏈條，呈現(xiàn)攻擊的完整過程，覆蓋攻擊的源頭、手段、目標(biāo)、范圍等關(guān)鍵信息。

（2）指令級工業(yè)協(xié)議深度解析技術(shù)

本項目深度解析分析引擎能夠?qū)Ω黝悢?shù)據(jù)包進(jìn)行快速有針對性的捕獲與深度解析。對不同行業(yè)的工業(yè)系統(tǒng)，可以采取相應(yīng)針對性的數(shù)據(jù)包探測機(jī)制和解析策略。在遵循工業(yè)系統(tǒng)可用性與完整性的基礎(chǔ)上，能夠檢測出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息，對傳輸?shù)墓た貐f(xié)議指令請求進(jìn)行實(shí)時安全檢測，對于不符合安全要求的操作指令及時進(jìn)行攔截和報警，同時針對企業(yè)內(nèi)部的私有協(xié)議提供定制化的功能支持，全面滿足各行業(yè)內(nèi)部工業(yè)系統(tǒng)的兼容性要求。

（3）工業(yè)通信行為智能分析技術(shù)

本項目基于工業(yè)通信協(xié)議深度解析，自學(xué)習(xí)工業(yè)網(wǎng)絡(luò)通信關(guān)系、操作功能碼和參數(shù)等，對正常通信行為建模，根據(jù)模型特定目標(biāo)和標(biāo)準(zhǔn)，對通信關(guān)系，操作功能碼以及定義的行為特征進(jìn)行關(guān)聯(lián)分析，自學(xué)習(xí)形成白名單規(guī)則庫，通過對工控協(xié)議的深度解析識別，只允許匹配工業(yè)協(xié)議規(guī)則白名單的業(yè)務(wù)流量通過，阻斷未知流量，可有效控制工控系統(tǒng)通信安全。

（4）網(wǎng)端協(xié)同一體化聯(lián)動技術(shù)

研究通過建立知識庫進(jìn)行策略管理，快速生成應(yīng)急響應(yīng)預(yù)案，實(shí)現(xiàn)安全事件的預(yù)警、響應(yīng)和處置，研究網(wǎng)端檢測，形成網(wǎng)端協(xié)同的主動防御體系，實(shí)現(xiàn)控制閉環(huán)反饋。研究網(wǎng)端協(xié)同聯(lián)動，根據(jù)實(shí)時場景自適應(yīng)決策響應(yīng)，全網(wǎng)關(guān)鍵設(shè)備被推送安全策略。

（5）基于大模型的智能安全運(yùn)營技術(shù)

使用安全數(shù)據(jù)并運(yùn)用遷移學(xué)習(xí)或微調(diào)技術(shù)，將大模型學(xué)到的知識應(yīng)用到安全領(lǐng)域，提高模型在安全領(lǐng)域的性能。訓(xùn)練復(fù)雜深度學(xué)習(xí)模型，訓(xùn)練安全分析引擎實(shí)現(xiàn)安全事件輔助判斷、安全處置建議自動生成、安全報告自動生成等功能，提升安全運(yùn)營效率。

2.3 產(chǎn)品研發(fā)

2.3.1 工業(yè)互聯(lián)網(wǎng)態(tài)勢感知產(chǎn)品

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知產(chǎn)品通過采集全網(wǎng)原始流量數(shù)據(jù)，結(jié)合云端的威脅情報，對海量安全數(shù)據(jù)進(jìn)行挖掘和關(guān)聯(lián)分析，對攻擊、威脅、脆弱性、流量和行為等五大態(tài)勢進(jìn)行感知，生成全方位的安全全景視圖。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知產(chǎn)品的具體能力包括：

·   支持勒索病毒等高級威脅分析；

·   支持網(wǎng)端一體化聯(lián)動響應(yīng)；

·   支持基于安全大模型的安全事件輔助判斷、安全處置建議自動生成等智能化運(yùn)營功能；

2.3.2 工控防火墻產(chǎn)品

工控防火墻是涵蓋傳統(tǒng)防火墻、工控網(wǎng)絡(luò)流量智能學(xué)習(xí)、工控協(xié)議數(shù)據(jù)包深度解析、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。工控防火墻具體能力包括：

·   支持涵蓋MODBUS/TCP，OPC Classic，OPC UA，OPC DA DNP3，S7，S7 plus，IEC104，EIP，Profinet等在內(nèi)的各類主流工控網(wǎng)絡(luò)協(xié)議深度解析分析。

2.3.3 工控監(jiān)測審計產(chǎn)品

工控監(jiān)測與審計系統(tǒng)是一款專門針對工業(yè)控制網(wǎng)絡(luò)設(shè)計的安全監(jiān)測、審計、告警和數(shù)據(jù)分析的軟硬件一體化產(chǎn)品。通過特定安全策略快速識別出生產(chǎn)控制系統(tǒng)中存在的非法操作、異常事件、外部攻擊行為并實(shí)時告警，并通過針對采集信息的統(tǒng)一存儲、統(tǒng)一管理與大數(shù)據(jù)分析，為滿足實(shí)時網(wǎng)絡(luò)監(jiān)測提供可靠數(shù)據(jù)支撐，幫助用戶感知準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢。

工控監(jiān)測與審計系統(tǒng)具體能力包括：

·   支持預(yù)置入侵檢測規(guī)則庫，規(guī)則庫應(yīng)至少支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類；

·   支持通過對網(wǎng)絡(luò)流量的深度解析、特征匹配，實(shí)現(xiàn)對工控網(wǎng)絡(luò)等關(guān)鍵事件進(jìn)行識別和告警；

2.3.4 工控主機(jī)安全衛(wèi)士產(chǎn)品

工控主機(jī)安全衛(wèi)士系統(tǒng)是一款針對工業(yè)控制系統(tǒng)工程師站、操作員站、服務(wù)器等主機(jī)系統(tǒng)進(jìn)行外設(shè)管理、應(yīng)用程序管理、注冊表防護(hù)、文件保護(hù)等功能的工控安全產(chǎn)品。通過掃描主機(jī)運(yùn)行進(jìn)程，建立應(yīng)用程序白名單基線，禁止非授權(quán)應(yīng)用的加載及執(zhí)行，保護(hù)關(guān)鍵目錄及注冊表，管理主機(jī)外設(shè)及移動存儲權(quán)限，可對工控上位機(jī)及服務(wù)器實(shí)現(xiàn)全方位安全防護(hù)，保障用戶業(yè)務(wù)連續(xù)穩(wěn)定運(yùn)行。

工控主機(jī)安全衛(wèi)士具體能力包括：

·   支持USB移動存儲設(shè)備安全防護(hù)；

·   支持阻斷白名單以外的非法進(jìn)程運(yùn)行，并產(chǎn)生安全事件通知，記錄非法進(jìn)程行為。

3、代表性及推廣價值

預(yù)期應(yīng)用成效

面向智能工廠工業(yè)解決方案大幅提升智能工廠的安全防護(hù)能力，取得以下應(yīng)用成效：

·   安全策略部署時間提升50%；

·   安全事件分析效率提升50%；

·   安全事件工單響應(yīng)時間小于10分鐘；

·   安全運(yùn)營成本下降30%。