1、方案背景與目標

1.1當前工業(yè)互聯(lián)網領域的安全問題日趨嚴重

工業(yè)互聯(lián)網涉及到很多與人民群眾生活息息相關的重要基礎設施，例如電力能源、軌道交通、石油化工、鋼鐵、有色、建材、新材料、民爆、礦業(yè)、工業(yè)母機和機器人等生產制造的關鍵環(huán)節(jié)和場景，關系到國計民生。隨著以互聯(lián)網+、物聯(lián)網、云計算、大數據、人工智能等為代表的新一代信息技術與傳統(tǒng)工業(yè)生產系統(tǒng)的加速融合，工業(yè)互聯(lián)網在提升工業(yè)生產效率、加速向智能制造轉型的同時，也打破了傳統(tǒng)工業(yè)相對封閉可信的環(huán)境，導致病毒、木馬和網絡攻擊等安全風險對工業(yè)生產和關鍵基礎設施的威脅日益加劇，一旦受到安全攻擊，不僅會造成巨大的經濟損失，甚至會危及公眾生活和國家安全。

因此保障工業(yè)互聯(lián)網的安全可控是確保智能制造在生產領域實施的必要前提。工業(yè)互聯(lián)網的信息安全問題已引起國家和社會各界的高度重視。

工業(yè)互聯(lián)網安全是全局的、多層次、多維度的系統(tǒng)性安全。從分層結構的角度，安全威脅可分為設備層安全威脅、控制層安全威脅、車間層安全威脅、企業(yè)層安全威脅和協(xié)同層安全威脅；從體系架構的角度，安全威脅可分為設備層安全威脅、網絡層安全威脅、應用層安全威脅、數據層安全威脅、控制層安全威脅、人員管理威脅和高級持續(xù)性威脅。當前工業(yè)互聯(lián)網安全形勢復雜，針對工業(yè)互聯(lián)網的攻擊仍處于高發(fā)態(tài)勢，涉及到國家級網絡公共基礎設施和國計民生的重要信息系統(tǒng)，涵蓋了病毒、木馬、漏洞、流量攻擊等多種類型，攻擊門檻不斷降低，攻擊對象更加廣泛，攻擊手段復雜多樣，攻擊范圍跨洲跨國，攻擊目的利益驅動。當前信息安全威脅已經成為我國工業(yè)互聯(lián)網產業(yè)發(fā)展的一個顯著制約因素。較低的信息安全防護水平以及安全生產的重大責任使得數量眾多的工業(yè)企業(yè)在互聯(lián)互通、業(yè)務創(chuàng)新上非常謹慎，甚至有些企業(yè)談“網”色變，可以說信息安全已經成為我國進行工業(yè)產業(yè)升級的實際阻礙。據國家工業(yè)信息安全發(fā)展研究中心監(jiān)測顯示，截至2022年底，我國各類低防護聯(lián)網設備總數再創(chuàng)新高。其中，物聯(lián)網、工業(yè)控制系統(tǒng)大量暴露，且極易遭受攻擊利用，可能造成設備宕機、停產停工等嚴重后果，存在較大安全隱患。2022年公開披露的工業(yè)領域勒索事件共89起，較2021年增長78%。從受影響的行業(yè)來看，制造業(yè)首當其沖。具體而言，電子制造行業(yè)遭勒索攻擊最多，占全部勒索事件的23.3%。工業(yè)和信息化部工業(yè)控制產品安全漏洞專業(yè)庫統(tǒng)計發(fā)現，2022年工控漏洞數量再度攀升，共涉及緩沖區(qū)錯誤、代碼問題、權限許可和訪問控制問題等多種類型風險。

1.2智能工廠工業(yè)網絡安全一體化防護能力嚴重不足

雖然我國在工業(yè)互聯(lián)網的頂層設計，包括政策實施、標準制定等方面跟進較快，但由于我國工業(yè)互聯(lián)網安全技術的研究起步較晚，與國外先進水平相比仍有較大差距。在工業(yè)互聯(lián)網安全防護技術方面，我國除依托傳統(tǒng)網絡安全技術進行安全技術產品功能的拓展外，著重基于新興互聯(lián)網技術，開展新一代網絡安全技術產品的研發(fā)創(chuàng)新。相關研究主要有：工業(yè)互聯(lián)網邊緣端點的防護技術、工業(yè)防火墻技術、工業(yè)互聯(lián)網漏洞挖掘技術、滲透測試技術、安全態(tài)勢感知技術等，多為針對某一種技術的分析及應用研究。

在工業(yè)互聯(lián)網安全企業(yè)應用推廣方面，企業(yè)基于安全認識和意識、安全成本預算等方面的考慮，主要采取分步建設的思路，缺哪補哪的外掛式建設思路，導致產品之間的融合和協(xié)同能力差，表現在如下幾個方面：

·   網絡安全流量、日志、漏洞、設備終端等安全數據采集不足，風險資產底數不清晰；

·   采集的網絡安全數據割裂，存在“安全數據孤島”現場，無法實現工業(yè)網絡安全數據集中管理和關聯(lián)分析；

·   安全智能分析能力不足，對勒索攻擊、惡意程序等高級威脅攻擊形態(tài)缺乏感知分析能力；

·   安全協(xié)同響應能力不足，各設備之間缺乏聯(lián)動效應，應對威脅響應處置不及時。

據工業(yè)和信息化部等八部門對外公布了《“十四五”智能制造發(fā)展規(guī)劃》，未來15年將通過“兩步走”，加快推動生產方式變革：一是到2025年，規(guī)模以上制造業(yè)企業(yè)大部分實現數字化網絡化，重點行業(yè)骨干企業(yè)初步應用智能化；70%的規(guī)模以上制造業(yè)企業(yè)基本實現數字化網絡化，建成500個以上引領行業(yè)發(fā)展的智能制造示范工廠。二是到2035年，規(guī)模以上制造業(yè)企業(yè)全面普及數字化網絡化，重點行業(yè)骨干企業(yè)基本實現智能化。對國家《“十四五”智能制造發(fā)展規(guī)劃》規(guī)化要求，當前針對智能工廠安全防護解決方案及配套產品存在技術儲備不足、測試驗證不足、應用推廣不足等多方面的問題，迫切需要針對當前智能工廠的上述痛點問題，打造貫穿工業(yè)網絡安全防護的數據采集、監(jiān)測、分析、預測到響應的全過程的安全能力，攻關工業(yè)網安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應控制等技術，構建集工業(yè)網絡安全態(tài)勢感知、風險評估、威脅預警、攻擊阻斷、網端聯(lián)動、縱深防御于一體化的綜合安全解決方案，為制造業(yè)的轉型升級保駕護航。

2、方案詳細介紹

2.1 總體技術架構

本項目主要針對當前工業(yè)網絡安全數據采集不充分，分析不智能，響應不協(xié)同等痛點問題，研制面向智能工廠的網端聯(lián)動一體化安全防護解決方案及配套產品，通過打造貫穿工業(yè)網絡安全防護的數據采集、監(jiān)測、分析、預測到響應的全過程的安全能力，攻關工業(yè)網安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應控制等技術，構建集工業(yè)網絡安全態(tài)勢感知、風險評估、威脅預警、攻擊阻斷、網端聯(lián)動、縱深防御于一體化的綜合安全解決方案，并以此為基礎針對能源電力、軌道交通、石油化工、高端制造、汽車電子、生物制藥、新能源等國計民生的廣泛行業(yè)領域的網絡特點，構建重點行業(yè)應用解決方案，進行應用推廣。

智能制造工控安全整體解決方案以工業(yè)安全威脅發(fā)現與運營管理平臺為核心，配合工控防火墻、工控監(jiān)測于審計、工控主機安全衛(wèi)士等安全防護設備，實現工業(yè)安全一體化落地。

方案體系架構如下圖所示。

圖1 智能制造工控安全整體解決方案總體架構

圖2 智能制造工控安全態(tài)勢感知平臺效果圖

2.2關鍵技術

（1）多維度智能高級威脅分析技術

基于人工智能對安全大數據多維度關聯(lián)分析，不僅能夠有效定位攻擊行為的路徑，還能發(fā)現威脅并預判趨勢，對攻擊者留下的任意線索進行多維拓展，使用大數據可視化手段，從不同視角、維度（如3D圖、雷達圖、拓撲圖、熱度圖等）繪制出完整的知識鏈條，呈現攻擊的完整過程，覆蓋攻擊的源頭、手段、目標、范圍等關鍵信息。

（2）指令級工業(yè)協(xié)議深度解析技術

本項目深度解析分析引擎能夠對各類數據包進行快速有針對性的捕獲與深度解析。對不同行業(yè)的工業(yè)系統(tǒng)，可以采取相應針對性的數據包探測機制和解析策略。在遵循工業(yè)系統(tǒng)可用性與完整性的基礎上，能夠檢測出數據包的有效內容特征、負載和可用匹配信息，對傳輸的工控協(xié)議指令請求進行實時安全檢測，對于不符合安全要求的操作指令及時進行攔截和報警，同時針對企業(yè)內部的私有協(xié)議提供定制化的功能支持，全面滿足各行業(yè)內部工業(yè)系統(tǒng)的兼容性要求。

（3）工業(yè)通信行為智能分析技術

本項目基于工業(yè)通信協(xié)議深度解析，自學習工業(yè)網絡通信關系、操作功能碼和參數等，對正常通信行為建模，根據模型特定目標和標準，對通信關系，操作功能碼以及定義的行為特征進行關聯(lián)分析，自學習形成白名單規(guī)則庫，通過對工控協(xié)議的深度解析識別，只允許匹配工業(yè)協(xié)議規(guī)則白名單的業(yè)務流量通過，阻斷未知流量，可有效控制工控系統(tǒng)通信安全。

（4）網端協(xié)同一體化聯(lián)動技術

研究通過建立知識庫進行策略管理，快速生成應急響應預案，實現安全事件的預警、響應和處置，研究網端檢測，形成網端協(xié)同的主動防御體系，實現控制閉環(huán)反饋。研究網端協(xié)同聯(lián)動，根據實時場景自適應決策響應，全網關鍵設備被推送安全策略。

（5）基于大模型的智能安全運營技術

使用安全數據并運用遷移學習或微調技術，將大模型學到的知識應用到安全領域，提高模型在安全領域的性能。訓練復雜深度學習模型，訓練安全分析引擎實現安全事件輔助判斷、安全處置建議自動生成、安全報告自動生成等功能，提升安全運營效率。

2.3 產品研發(fā)

2.3.1 工業(yè)互聯(lián)網態(tài)勢感知產品

工業(yè)互聯(lián)網態(tài)勢感知產品通過采集全網原始流量數據，結合云端的威脅情報，對海量安全數據進行挖掘和關聯(lián)分析，對攻擊、威脅、脆弱性、流量和行為等五大態(tài)勢進行感知，生成全方位的安全全景視圖。

工業(yè)互聯(lián)網態(tài)勢感知產品的具體能力包括：

·   支持勒索病毒等高級威脅分析；

·   支持網端一體化聯(lián)動響應；

·   支持基于安全大模型的安全事件輔助判斷、安全處置建議自動生成等智能化運營功能；

2.3.2 工控防火墻產品

工控防火墻是涵蓋傳統(tǒng)防火墻、工控網絡流量智能學習、工控協(xié)議數據包深度解析、工控協(xié)議指令控制等功能在內的工控網絡安全防護產品。工控防火墻具體能力包括：

·   支持涵蓋MODBUS/TCP，OPC Classic，OPC UA，OPC DA DNP3，S7，S7 plus，IEC104，EIP，Profinet等在內的各類主流工控網絡協(xié)議深度解析分析。

2.3.3 工控監(jiān)測審計產品

工控監(jiān)測與審計系統(tǒng)是一款專門針對工業(yè)控制網絡設計的安全監(jiān)測、審計、告警和數據分析的軟硬件一體化產品。通過特定安全策略快速識別出生產控制系統(tǒng)中存在的非法操作、異常事件、外部攻擊行為并實時告警，并通過針對采集信息的統(tǒng)一存儲、統(tǒng)一管理與大數據分析，為滿足實時網絡監(jiān)測提供可靠數據支撐，幫助用戶感知準確的網絡安全態(tài)勢。

工控監(jiān)測與審計系統(tǒng)具體能力包括：

·   支持預置入侵檢測規(guī)則庫，規(guī)則庫應至少支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類；

·   支持通過對網絡流量的深度解析、特征匹配，實現對工控網絡等關鍵事件進行識別和告警；

2.3.4 工控主機安全衛(wèi)士產品

工控主機安全衛(wèi)士系統(tǒng)是一款針對工業(yè)控制系統(tǒng)工程師站、操作員站、服務器等主機系統(tǒng)進行外設管理、應用程序管理、注冊表防護、文件保護等功能的工控安全產品。通過掃描主機運行進程，建立應用程序白名單基線，禁止非授權應用的加載及執(zhí)行，保護關鍵目錄及注冊表，管理主機外設及移動存儲權限，可對工控上位機及服務器實現全方位安全防護，保障用戶業(yè)務連續(xù)穩(wěn)定運行。

工控主機安全衛(wèi)士具體能力包括：

·   支持USB移動存儲設備安全防護；

·   支持阻斷白名單以外的非法進程運行，并產生安全事件通知，記錄非法進程行為。

3、代表性及推廣價值

預期應用成效

面向智能工廠工業(yè)解決方案大幅提升智能工廠的安全防護能力，取得以下應用成效：

·   安全策略部署時間提升50%；

·   安全事件分析效率提升50%；

·   安全事件工單響應時間小于10分鐘；

·   安全運營成本下降30%。