方案概述

本方案方案應(yīng)用于國內(nèi)一家大型化工集團(tuán)央企，總部位于上海，但是集團(tuán)和各分廠、廠區(qū)遍布全國（18個省、直轄市），核心需求是實現(xiàn)集團(tuán)與各分廠的安全風(fēng)險和威脅實時檢測，掌握總體安全態(tài)勢，支撐安全決策和規(guī)劃，同時滿足工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級工作的管理需要。

1.方案背景

為深入貫徹落實《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)＋先進(jìn)制造業(yè)”發(fā)展工業(yè)聯(lián)網(wǎng)的指導(dǎo)意見》（國發(fā)〔2017〕50號〉，2022年3月31日工網(wǎng)安函【2022】235號關(guān)于征求開展工業(yè)互聯(lián)網(wǎng)安全深度行活動意見建議的函，2022年5月《工業(yè)和信息化部辦公廳關(guān)于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動的通知》工信廳網(wǎng)安函【2022】97號推動在全國范圍內(nèi)深入實施工業(yè)互聯(lián)網(wǎng)企業(yè)安全分類分級管理的要求。

本方案實施在某大型化工集團(tuán)企業(yè)，廠區(qū)和分公司遍布全國，實現(xiàn)企業(yè)（包括各分廠）安全風(fēng)險和威脅檢測，掌握總體安全態(tài)勢，支撐安全決策和規(guī)劃。通過方案方案實施為化工企業(yè)提供分類分級全生命周期安全服務(wù)，包括工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級綜合管理、企業(yè)安全防護(hù)能力建設(shè)、企業(yè)態(tài)勢感知呈現(xiàn)，對接省工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺，實現(xiàn)IT與OT的融合分析，提供安全監(jiān)測和預(yù)警通報、威脅溯源、公共安全服務(wù)技術(shù)手段，實現(xiàn)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全態(tài)勢可感、可知、可監(jiān)管，為工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護(hù)航。

2.方案簡介

方案目前已經(jīng)驗收并在企業(yè)實際工作中產(chǎn)生了效益，解決企業(yè)：

（1）各地域設(shè)備和系統(tǒng)的數(shù)據(jù)孤島問題嚴(yán)重

在分廠與總部、廠區(qū)內(nèi)各設(shè)備和系統(tǒng)的安全數(shù)據(jù)沒有統(tǒng)一匯聚和分析，安全數(shù)據(jù)和分析結(jié)果沒有打通和共享，各自為戰(zhàn)。

（2）工控威脅和異常行為檢測能力缺失

生產(chǎn)網(wǎng)（OT域）缺少安全檢測手段和能力，生產(chǎn)網(wǎng)絡(luò)的安全狀態(tài)不可知。

（3）威脅溯源分析無從下手

缺少安全數(shù)據(jù)關(guān)聯(lián)分析和威脅溯源的技術(shù)手段，針對發(fā)現(xiàn)的攻擊和威脅不能進(jìn)行行為回溯和威脅畫像，以及快速定位和確定所有被攻擊資產(chǎn)和影響范圍，并對威脅處置進(jìn)行有效支撐。

（4）威脅處置無法聚焦，效率低

集團(tuán)總部和各廠區(qū)每天產(chǎn)生的安全時間數(shù)量平均達(dá)10萬多條，安全管理和運營人員完全無法有效分析和處理海量的安全事件和報警。

（5）安全態(tài)勢不可視

集團(tuán)和各廠區(qū)的安全態(tài)勢做不到可知可控，不清楚安全風(fēng)險和威脅的當(dāng)前狀態(tài)、影響范圍和發(fā)展趨勢，威脅信息也無法共享。

（6）不能滿足工信部分類分級省企對接合規(guī)要求

作為三級聯(lián)網(wǎng)企業(yè)，未按照分類分級管理要求與省級安全監(jiān)管平臺對接，也不清楚如何實現(xiàn)對接。

通過本方案建設(shè)工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)系統(tǒng)，為該化工行業(yè)企業(yè)提供工業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺能力和與省/市工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺對接等安全服務(wù)，形成了企業(yè)安全監(jiān)測、預(yù)警通報、威脅溯源、安全服務(wù)能力，實現(xiàn)了工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全態(tài)勢可感、可知、可監(jiān)管，為工業(yè)互聯(lián)網(wǎng)發(fā)展保駕護(hù)航。

3.方案目標(biāo)

本次方案重點方向為搭建工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺，圍繞工業(yè)控制系統(tǒng)安全、工業(yè)生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)安全、工業(yè)數(shù)據(jù)安全等，建設(shè)工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)系統(tǒng)，構(gòu)建包括資產(chǎn)管理、漏洞檢測、配置核查、邊界防護(hù)、入侵檢測、態(tài)勢感知、病毒防范、安全審計、數(shù)據(jù)保護(hù)等的一體化動態(tài)綜合防御體系，形成工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)能力，全天候全方位監(jiān)控關(guān)鍵生產(chǎn)設(shè)備及重要業(yè)務(wù)系統(tǒng)安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡(luò)安全隱患風(fēng)險，并支撐溯源取證，為中化總部和21個分廠提供安全保障和滿足分類分級管理需求。

方案實施概況

根據(jù)經(jīng)信委專家評審建議，結(jié)合工信部方案的管理要求，方案在2021年以公開招標(biāo)的方式完成工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)平臺方案的采購工作，目前方案已完成實施并取得很好的應(yīng)用效果，實現(xiàn)了總部和分廠多源異構(gòu)全安全數(shù)據(jù)接入，構(gòu)建工控網(wǎng)絡(luò)威脅檢測能力和安全事件回溯能力。通過安全告警解決海量安全事件處理失焦問題，同時構(gòu)建企業(yè)全領(lǐng)域態(tài)勢感知能力，并按照工信部分類分級管理要求，實現(xiàn)了省企對接，滿足分類分級合規(guī)要求。

1. 方案總體架構(gòu)和主要內(nèi)容

（1）方案總體架構(gòu)

圖3-1  方案總體架構(gòu)

平臺的建設(shè)是整個方案的主要部分，主要包括如下內(nèi)容：

數(shù)據(jù)采集接入：

實現(xiàn)對企業(yè)內(nèi)外部多源異構(gòu)數(shù)據(jù)的接入及匯聚，形成統(tǒng)一標(biāo)準(zhǔn)格式化數(shù)據(jù)。

數(shù)據(jù)處理及分析：

調(diào)用數(shù)據(jù)采集接入層形成的標(biāo)準(zhǔn)化數(shù)據(jù)進(jìn)行分析及存儲。通過IT+OT域研判結(jié)果匯聚、研判模型構(gòu)建、事件智能研判及人工核驗，梳理形成工業(yè)安全態(tài)勢感知平臺基礎(chǔ)資源信息、聯(lián)網(wǎng)設(shè)備及系統(tǒng)資產(chǎn)信息，形成基礎(chǔ)信息庫，安全技術(shù)庫、知識庫和規(guī)則庫，為網(wǎng)絡(luò)側(cè)的安全監(jiān)測分析提供數(shù)據(jù)支撐。

應(yīng)用服務(wù)展示：

企業(yè)安全態(tài)勢感知呈現(xiàn)，深度分析，日志檢索，威脅溯源，資產(chǎn)管理，報表及策略管理，形成工業(yè)互聯(lián)網(wǎng)企業(yè)安全綜合防護(hù)能力，全天候全方位監(jiān)控關(guān)鍵生產(chǎn)設(shè)備及重要業(yè)務(wù)系統(tǒng)安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡(luò)安全隱患風(fēng)險，并支撐溯源取證。

同時，平臺與省級工業(yè)互聯(lián)網(wǎng)平臺對接，滿足分類分級合規(guī)要求及數(shù)據(jù)共享，形成工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的完整閉環(huán)。

（2）方案技術(shù)方案

資產(chǎn)畫像：

通過主動探測、被動探測和靜態(tài)導(dǎo)入等多種方式，全面探測全域資產(chǎn)，并通過自學(xué)習(xí)功能，收集業(yè)務(wù)訪問日志，建立資產(chǎn)業(yè)務(wù)訪問關(guān)系模型，實現(xiàn)精準(zhǔn)的資產(chǎn)畫像。

圖3-2  資產(chǎn)畫像

多源異構(gòu)數(shù)據(jù)靈活自動化配置接入：

通過人性化的設(shè)計和界面，為安全人員提供便捷的可視化安全策略配置功能，實現(xiàn)多源異構(gòu)數(shù)據(jù)的快速靈活接入。

圖3-3 多源異構(gòu)數(shù)據(jù)自動化配置接入

告警規(guī)則配置與運營：

依托

海量現(xiàn)網(wǎng)安全

數(shù)據(jù)匯聚和專家分析，積累網(wǎng)絡(luò)安全告警規(guī)則并內(nèi)置到系統(tǒng)，幫助客戶快速建立安全能力。提供圖形化、人性化的規(guī)則配置框架，通過時間段、威脅類型、發(fā)生頻次等多維度，以及歸并、去重等邏輯匹配規(guī)則的靈活配

置，幫助安全運營人員根據(jù)實際場景和階段性關(guān)注重點，快速建立安全策略，提升安全運營效率。

全流程安全分析：

針對企業(yè)遭受的網(wǎng)絡(luò)攻擊進(jìn)行實時監(jiān)測，包括：密碼暴力破解、拒絕服務(wù)攻擊、勒索病毒、挖礦木馬等。

圖3-4  全流程安全分析

安全深度分析：

根據(jù)企業(yè)客戶業(yè)務(wù)需求，以及生產(chǎn)制造等領(lǐng)域的實際使用場景，挑選了

10

種工業(yè)協(xié)議，實現(xiàn)了這些工業(yè)協(xié)議的

100

多個字段深度解析，包括精準(zhǔn)提取指令碼、功能碼、錯誤碼等，工業(yè)協(xié)議的深度解析為工控通信異常，工控行為異常等工業(yè)威脅檢測提供了基礎(chǔ)和有力支撐。

圖3-5  安全深度分析-攻擊路徑還原

圖3-6  安全深度分析-風(fēng)險主機(jī)畫像

（2）方案主要功能

策略配置

策略配置包括區(qū)域配置、數(shù)據(jù)來源、范化策略和關(guān)聯(lián)規(guī)則等功能模塊，其功能是是實現(xiàn)多源異構(gòu)數(shù)據(jù)的統(tǒng)一接入，以及安全分析規(guī)則配置和運營，為安全告警，深度分析和攻擊行為回溯等功能提供支持。

數(shù)據(jù)接入策略

工業(yè)互聯(lián)網(wǎng)企業(yè)中可能存在的大量不同類型，不同廠商的設(shè)備，例如網(wǎng)絡(luò)設(shè)備，包括交換機(jī)、路由器等；安全設(shè)備，如堡壘機(jī)、防火墻、web應(yīng)用安全網(wǎng)關(guān)、入侵防御系統(tǒng)等；以及工業(yè)控制設(shè)備和系統(tǒng)等。這些設(shè)備和系統(tǒng)，都可以作為數(shù)據(jù)來源，態(tài)感平臺通過范化策略模塊，將不同的設(shè)備的數(shù)據(jù)進(jìn)行歸一化處理，統(tǒng)一接入到態(tài)感平臺中。

安全告警規(guī)則

關(guān)聯(lián)規(guī)則模塊是安全分析知識庫和規(guī)則庫，通過規(guī)則的配置和運營，針對接入的多源異構(gòu)數(shù)據(jù)進(jìn)行多維度關(guān)聯(lián)分析，產(chǎn)生安全告警和深度分析結(jié)果。在多源異構(gòu)數(shù)據(jù)統(tǒng)一接入的基礎(chǔ)之上，態(tài)感平臺提供靈活、人性化的配置框架，幫忙用戶進(jìn)行規(guī)則配置和運營。

日志檢索

提供接入的原始數(shù)據(jù)查詢和檢索功能。同時，通過對原始數(shù)據(jù)的統(tǒng)計和分析，向用戶展示威脅事件分布，歸屬區(qū)域，攻擊趨勢，威脅等級，失陷主機(jī)等維度的分析結(jié)果。

深度分析

基于ATT&CK安全分析模型，對威脅事件和攻擊行為進(jìn)行攻擊鏈溯源和取證，如下圖所示，通過對各類威脅事件基于攻防視角等多維度歸類，依托安全分析模型和各攻擊階段的攻擊路徑和手法進(jìn)行關(guān)聯(lián)分析，為用戶還原完整的攻擊過程和攻擊影響范圍，并針對攻擊者和被攻擊者進(jìn)行行為回溯和畫像。

告警管理

平臺基于接入的多源異構(gòu)數(shù)據(jù)和告警規(guī)則產(chǎn)生安全告警，從攻擊方向（由外向內(nèi)，內(nèi)部橫向和由內(nèi)向外等）以及主機(jī)狀態(tài)等多個維度，向客戶展示資產(chǎn)的安全風(fēng)險和面臨的威脅狀態(tài)，并進(jìn)行預(yù)警。

資產(chǎn)管理

平臺的支持下列3種資產(chǎn)數(shù)據(jù)接入方式：

一是與客戶已有的資產(chǎn)管理平臺對接，接入資產(chǎn)數(shù)據(jù)。

二是與第三方資產(chǎn)掃描系統(tǒng)對接，接入資產(chǎn)探測結(jié)果。

三是手動錄入，提供資產(chǎn)錄入模板，實現(xiàn)資產(chǎn)數(shù)據(jù)的一鍵導(dǎo)入。

同時也接入資產(chǎn)的漏洞數(shù)據(jù)，并針對漏洞，從漏洞類型、危害級別、區(qū)域分布等多個維度，將資產(chǎn)與漏洞進(jìn)行關(guān)聯(lián)分析，對高風(fēng)險資產(chǎn)向客戶進(jìn)行預(yù)警。

自動化報表中心

形成企業(yè)安全自動化報表生成，提供安全報告生成和導(dǎo)出功能，為企業(yè)安全預(yù)警及安全決策支撐提供幫助。

企業(yè)安全態(tài)勢感知

通過實時安全事件監(jiān)測，結(jié)合威脅情報和豐富的知識庫進(jìn)行分析和研判，幫助企業(yè)全面掌握安全狀態(tài)和發(fā)展趨勢。態(tài)勢感知模塊從監(jiān)測對象，攻擊方向，威脅類型等維度提供企業(yè)安全綜合態(tài)勢、資產(chǎn)態(tài)勢及威脅事件態(tài)勢大屏呈現(xiàn)。

系統(tǒng)管理

平臺系統(tǒng)存儲策略管理，操作日志及登錄日志管理，保障系統(tǒng)安全及分權(quán)分域管理。

2. 網(wǎng)絡(luò)、平臺或安全互聯(lián)架構(gòu)

（1）系統(tǒng)部署全圖示意

圖3-7  系統(tǒng)部署全圖示意

通過在車間，工廠部署相應(yīng)安全防護(hù)設(shè)備，實現(xiàn)對多源異構(gòu)數(shù)據(jù)的采集分析，建設(shè)化工集團(tuán)企業(yè)工業(yè)安全態(tài)勢感知平臺，同時通過企業(yè)安全協(xié)同聯(lián)動一體機(jī)，實現(xiàn)與省級平臺的數(shù)據(jù)對接及共享，滿足分類分級要求。

（2）網(wǎng)絡(luò)架構(gòu)示意

圖3-8  系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖

在化工集團(tuán)車間及工廠部署主動探測及網(wǎng)絡(luò)安全探針，以及對企業(yè)各類系統(tǒng)及日志的數(shù)據(jù)采集。整體平臺構(gòu)建統(tǒng)一大數(shù)據(jù)，實現(xiàn)對標(biāo)準(zhǔn)化數(shù)據(jù)的分析及處理、存儲、分析呈現(xiàn)。

3. 具體應(yīng)用場景和安全應(yīng)用模式

（1）安全應(yīng)用場景

方案方案后續(xù)對工業(yè)互聯(lián)網(wǎng)企業(yè)各行各業(yè)均適用。

本次方案實用于工業(yè)企業(yè)的資產(chǎn)整體測繪、安全監(jiān)測、威脅識別及溯源、態(tài)勢感知呈現(xiàn)及省企對接服務(wù)。

（2）安全應(yīng)用模式

方案的建成，極具推廣價值，這個方案的安全應(yīng)用模式，主要體現(xiàn)在以下幾個方面發(fā)揮效果：

能夠快速實施部署并達(dá)到既定效果，發(fā)揮試點區(qū)域先行示范的良好作用，為后續(xù)向全國

工業(yè)互聯(lián)網(wǎng)企業(yè)建設(shè)積累足夠的建設(shè)經(jīng)驗，發(fā)揮試點區(qū)域現(xiàn)行示范的良好作用。

解決工業(yè)互聯(lián)網(wǎng)企業(yè)痛點需求，如對監(jiān)管部門要求理解不透徹，對省企接口規(guī)范了解不深入，難以滿足監(jiān)管部門的合規(guī)要求。

針對不同企業(yè)提供分類、分級差異化安全解決方案，開拓工業(yè)互聯(lián)網(wǎng)服務(wù)客戶市場，對分級分類工作提供全面保障，從企業(yè)安全全方位支撐工業(yè)互聯(lián)網(wǎng)企業(yè)分級分類保障工作，建立實戰(zhàn)化常態(tài)化安全技術(shù)手段，形成支持工業(yè)互聯(lián)網(wǎng)安全發(fā)展合力。

4. 安全及可靠性

本方案將通過構(gòu)建工業(yè)互聯(lián)網(wǎng)企業(yè)全周期生命安全體系，從工業(yè)互聯(lián)網(wǎng)企業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)底層設(shè)計出發(fā)，采用多種先進(jìn)的安全技術(shù)手段，為我國工業(yè)互聯(lián)網(wǎng)的安全提供了有效的監(jiān)測、預(yù)警、通報、協(xié)助處置能力。

該方案的實施，將會為工業(yè)互聯(lián)網(wǎng)領(lǐng)域的發(fā)展提供有效的安全保障。具體包括：

（1）為工業(yè)互聯(lián)網(wǎng)行業(yè)健康發(fā)展提供有效保護(hù)

我國是制造業(yè)大國，加快建設(shè)和發(fā)展工業(yè)互聯(lián)網(wǎng)，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實體經(jīng)濟(jì)深度融合，發(fā)展先進(jìn)制造業(yè)，支持傳統(tǒng)產(chǎn)業(yè)優(yōu)化升級，具有重要意義。通過本方案的研發(fā)，建設(shè)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢監(jiān)測與感知技術(shù)手段，有效應(yīng)對網(wǎng)絡(luò)安全攻擊，形成與工業(yè)互聯(lián)網(wǎng)發(fā)展相匹配的安全保障能力，為我國深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”戰(zhàn)略的順利推進(jìn)和推廣保駕護(hù)航。

（2）構(gòu)建工業(yè)互聯(lián)網(wǎng)安全監(jiān)管技術(shù)體系

工業(yè)互聯(lián)網(wǎng)作是產(chǎn)業(yè)互聯(lián)網(wǎng)新業(yè)態(tài)，建設(shè)企業(yè)級工業(yè)互聯(lián)網(wǎng)平臺，有利于增強企業(yè)安全防護(hù)能力，為行業(yè)主管部門的安全技術(shù)保障提供支撐，為行業(yè)主管部門政策制定、安全監(jiān)管、事中處置、事后溯源提供強有力協(xié)同共榮。

5. 其他亮點

（1）靈活的接入安全設(shè)備

方案產(chǎn)品支持豐富的探針類型，包括工控漏掃、工控防火墻、工控網(wǎng)閘、工控入侵檢測、工控監(jiān)測審計、工控主機(jī)衛(wèi)士等，同時支持第三方設(shè)備接入，客戶可根據(jù)實際網(wǎng)絡(luò)、預(yù)算情況選擇安全探針進(jìn)行部署，靈活組合不同類型的探針。

（2）領(lǐng)先的安全檢測能力

支持安全合規(guī)檢測、異常攻擊檢測、非法外聯(lián)檢測、設(shè)備運行狀態(tài)檢測、內(nèi)網(wǎng)異常訪問檢測、非法程序啟動檢測、APT攻擊檢測、惡意加密流量檢測等。

（3）全面的安全分析技術(shù)

方案支持匯總各類安全數(shù)據(jù)，運用關(guān)聯(lián)分析、用戶畫像、模型分析、威脅情報等安全技術(shù)，有效發(fā)現(xiàn)各類安全事件與風(fēng)險隱患，識別漏報及誤報行為，提升安全運維工作效率，形成實時監(jiān)測、動態(tài)感知的整體安全分析能力。

（4）智能的識別工業(yè)資產(chǎn)

通過工業(yè)資產(chǎn)指紋識別技術(shù)，全面發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn)，從工業(yè)設(shè)備、主機(jī)、應(yīng)用、業(yè)務(wù)等多個維度建立資產(chǎn)庫，對網(wǎng)內(nèi)資產(chǎn)進(jìn)行實時安全監(jiān)控，呈現(xiàn)網(wǎng)絡(luò)安全風(fēng)險、脆弱性等安全信息，為客戶提供強大的資產(chǎn)管理與安全監(jiān)控手段

（5）完善的政企聯(lián)動體系

快速實現(xiàn)省企對接，實現(xiàn)企業(yè)安全信息上報和省級平臺威脅情報接收，并及時掌握對接效果，構(gòu)建完善的省企聯(lián)動、聯(lián)防聯(lián)控的安全防御體系。

（6）多維度安全態(tài)勢感知

從資產(chǎn)的脆弱性、威脅和攻擊等多個視角全面分析工業(yè)網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢。通過人工智能和大屏可視化技術(shù)，直觀呈現(xiàn)全網(wǎng)拓?fù)湟晥D、告警趨勢、實時告警等工業(yè)安全態(tài)勢。

下一步實施計劃

隨著5G+工業(yè)互聯(lián)網(wǎng)的發(fā)展，勢必帶來如下安全問題：

網(wǎng)絡(luò)安全邊界模糊

IT與OT技術(shù)的融合，從專有硬件設(shè)備變成了通用服務(wù)器和云；

專享組網(wǎng)模式將UPF和MEC從CT/IT信任域下沉到非信任域，業(yè)務(wù)通過切片進(jìn)行邏輯隔離；

部分用戶數(shù)據(jù)仍會出公網(wǎng)，端到端安全邊界防護(hù)受限。

信令風(fēng)暴風(fēng)險

核心網(wǎng)下沉在企業(yè)后，信任域發(fā)生變化。 對UPF的N4接口以及BBU進(jìn)行N1/N2接口的信令風(fēng)暴監(jiān)測，避免對云化核心網(wǎng)形成信令DDoS攻擊

物聯(lián)終端接入?yún)f(xié)議復(fù)雜

新型物聯(lián)網(wǎng)終端接入?yún)f(xié)議較為復(fù)雜，并且面臨著代碼漏洞，邏輯缺陷。攻擊者可利用木馬或者APT等方式入侵。

網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)仍會通過N6接口訪問互聯(lián)網(wǎng)，會收到來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全攻擊來自于利用物聯(lián)終端漏洞的攻擊。

PLC工控數(shù)據(jù)傳輸安全

PLC通過5G將相關(guān)數(shù)據(jù)回傳至管理平臺，需要對PLC信令數(shù)據(jù)進(jìn)行校驗，防篡改。

因此，后續(xù)我們將于接下來解決5G+工業(yè)互聯(lián)網(wǎng)安全問題，如下圖所示：

圖3-9 5G+工業(yè)互聯(lián)網(wǎng)安全

方案創(chuàng)新點和實施效果

1. 方案先進(jìn)性及創(chuàng)新點

（1）方案創(chuàng)新性

企業(yè)安全能力建設(shè)

建設(shè)工業(yè)互聯(lián)網(wǎng)完整基礎(chǔ)資產(chǎn)庫：工業(yè)互聯(lián)網(wǎng)資產(chǎn)是其安全監(jiān)測和預(yù)警的基礎(chǔ)。本方案通過備案數(shù)據(jù)、主動探測、流量分析、特征識別等多種機(jī)制，形成覆蓋全國各省的工業(yè)互聯(lián)網(wǎng)資產(chǎn)庫。

構(gòu)建工業(yè)互聯(lián)網(wǎng)特色安全知識庫：構(gòu)建最全面最權(quán)威的工業(yè)特征和安全知識庫，提升安全管理能力?；诠た貙Ｓ脜f(xié)議的盲識別與逆向解析技術(shù)工控設(shè)備深度信息掃描技術(shù)：通過工控漏洞互聯(lián)網(wǎng)深度掃描技術(shù)，結(jié)合CNVD工控漏洞庫，對目標(biāo)區(qū)域的工控接入互聯(lián)網(wǎng)設(shè)備進(jìn)行深度掃描，從而實現(xiàn)攻擊威脅和風(fēng)險隱患識別預(yù)警，有效提升工業(yè)互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)能力。

大數(shù)據(jù)、云計算、人工智能關(guān)聯(lián)分析技術(shù)：關(guān)聯(lián)分析是對暗含攻擊行為的安全事件序列建立關(guān)聯(lián)規(guī)則。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全公共服務(wù)平臺可對網(wǎng)絡(luò)攻擊事件等建立關(guān)聯(lián)。

建立多方聯(lián)動安全管理和預(yù)警機(jī)制

通過建立工信部、省、企業(yè)等多方聯(lián)動監(jiān)測和預(yù)警機(jī)制，實現(xiàn)安全威脅數(shù)據(jù)共享、知識庫共享、應(yīng)急能力共享的全方位聯(lián)動響應(yīng)。

（2）方案先進(jìn)性

貼近實戰(zhàn)為目標(biāo)，服務(wù)企業(yè)工業(yè)互聯(lián)網(wǎng)安全

通過建設(shè)面向工業(yè)互聯(lián)網(wǎng)企業(yè)的企業(yè)安全綜合防護(hù)系統(tǒng)及態(tài)勢感知，打造完整生態(tài)，將工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)設(shè)備制造商、安全廠商、工創(chuàng)中心、監(jiān)管機(jī)構(gòu)聯(lián)合起來，一同治理工業(yè)互聯(lián)網(wǎng)安全問題。在技術(shù)層面重點突破工業(yè)互聯(lián)網(wǎng)安全診斷評估、安全預(yù)警、安全加固等相關(guān)核心技術(shù)。

政策優(yōu)勢與整合能力相結(jié)合推動工業(yè)互聯(lián)網(wǎng)安全研究

圖3-10 分析研究過程

開展關(guān)鍵技術(shù)方案研究

安全規(guī)范的落地：根據(jù)工業(yè)互聯(lián)網(wǎng)信息安全分級規(guī)范、信息安全要求、安全實施規(guī)范和安全測評的規(guī)范，結(jié)合北京亞鴻世紀(jì)科技發(fā)展有限公司多年的安全行業(yè)經(jīng)驗，形成工業(yè)行業(yè)安全管理規(guī)范知識庫進(jìn)行落地，為工業(yè)互聯(lián)網(wǎng)企業(yè)提供技術(shù)標(biāo)準(zhǔn)、安全規(guī)劃、安全咨詢服務(wù)和安全培訓(xùn)服務(wù)。

關(guān)鍵技術(shù)能力的提升：通過攻防演練與仿真技術(shù)、工業(yè)互聯(lián)網(wǎng)資產(chǎn)信息探測技術(shù)、工業(yè)互聯(lián)網(wǎng)未知威脅監(jiān)測技術(shù)等技術(shù)提升工業(yè)互聯(lián)網(wǎng)企業(yè)行業(yè)風(fēng)險預(yù)警、安全診斷平臺、安全加固的能力。

全閉環(huán)安全能力覆蓋為企業(yè)提供“云管邊端業(yè)”多維安全防護(hù)服務(wù)

工業(yè)互聯(lián)網(wǎng)進(jìn)行全過程安全事件監(jiān)測、事件溯源和處置，是保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行的關(guān)鍵。本方案以流量覆蓋檢測為基礎(chǔ)，數(shù)據(jù)安全能力相結(jié)合，從安全事件殺傷鏈的多個維度，實現(xiàn)安全串并分析能力建設(shè)，實現(xiàn)對工業(yè)互聯(lián)網(wǎng)的安全監(jiān)測、事件的追溯定位，安全問題及風(fēng)險的封堵處置全流程實現(xiàn)安全事件的閉環(huán)管理服務(wù)。

2. 實施效果

通過方案的實施，解決了工業(yè)互聯(lián)網(wǎng)企業(yè)防護(hù)手段集中于IT域，OT域檢測防護(hù)手段缺失的問題；利用未知威脅深度檢測分析技術(shù)解決了傳統(tǒng)安全基于規(guī)則，難以防御未知威脅的問題；利用自動化數(shù)據(jù)清洗及歸類模塊，解決了企業(yè)IT設(shè)備眾多，各自為政的數(shù)據(jù)孤島無法產(chǎn)生價值的問題；構(gòu)建統(tǒng)一數(shù)據(jù)中心，解決工業(yè)互聯(lián)網(wǎng)企業(yè)海量數(shù)據(jù)研判分析效率低，響應(yīng)時間長的問題，同時為態(tài)勢感知呈現(xiàn)提供數(shù)據(jù)支撐，解決企業(yè)安全現(xiàn)狀不可見，無法掌握全局安全態(tài)勢；與省平臺對接，滿足分類分級等合規(guī)要求。具體實施效果數(shù)據(jù)如下：

（1）通過多源異構(gòu)數(shù)據(jù)匯聚技術(shù)和安全數(shù)據(jù)關(guān)聯(lián)分析體系，實現(xiàn)18個省，21個工廠，56類設(shè)備，累計匯聚2千萬條安全數(shù)據(jù)，實現(xiàn)安全數(shù)據(jù)的統(tǒng)一匯聚和關(guān)聯(lián)分析，以及各廠區(qū)安全威脅實時檢測。

（2）基于100+工業(yè)協(xié)議深度解析能力，通過在指定廠區(qū)部署工業(yè)安全監(jiān)測與審計系統(tǒng)，接入和分析生產(chǎn)網(wǎng)的工業(yè)協(xié)議（S7，MODBUS等）流量，實現(xiàn)工業(yè)協(xié)議的深度解析和工控威脅檢測能力。在實際運行中，發(fā)現(xiàn)：工控異常報文、高危指令執(zhí)行、非法設(shè)備訪問等工控威脅合計1600余次，幫助企業(yè)及時響應(yīng)和處置生產(chǎn)網(wǎng)威脅，保障生產(chǎn)安全、業(yè)務(wù)連續(xù)性。

（3）基于大數(shù)據(jù)分析引擎和安全知識庫，對接入的千萬級安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，還原攻擊者的攻擊路徑和攻擊行為，關(guān)聯(lián)出受影響或被控制的主機(jī)，幫助客戶快速定位攻擊源。在實際運行中，發(fā)現(xiàn)某主機(jī)7天內(nèi)，對內(nèi)網(wǎng)47臺主機(jī)發(fā)起密碼暴力破解攻擊，達(dá)到14333次，通過進(jìn)一步關(guān)聯(lián)分析和攻擊溯源，發(fā)現(xiàn)該主機(jī)遭受到外部攻擊者漏洞利用攻擊，可能已被控制，企業(yè)根據(jù)風(fēng)險預(yù)警，對該主機(jī)進(jìn)行了及時處置。

（4）幫助企業(yè)管理和運營人員，解決海量安全事件問題，基于已積累的300+條安全告警規(guī)則，達(dá)到業(yè)內(nèi)領(lǐng)先水平。在系統(tǒng)實際運行中，安全管理和運營人員從每天面對10萬條安全事件，降維到只需要聚焦處理1000條左右的安全告警，極大提升了安全管理和處理效率，讓真正的安全威脅得到優(yōu)先、及時和有效處理。

（5）從安全告警、資產(chǎn)漏洞、外部攻擊、風(fēng)險外聯(lián)、橫向滲透等多個視角，全面分析和展示企業(yè)整體安全狀態(tài)，同時在實際運行中，通過分權(quán)分域管理和靈活的賬號配置，各分廠可掌握自己的安全態(tài)勢，而集團(tuán)可掌握21個廠區(qū)安全態(tài)勢。

（6）通過工業(yè)互聯(lián)網(wǎng)協(xié)同聯(lián)動一體機(jī)，在10個工作日內(nèi)完成省企對接，滿足分類分級合規(guī)要求。

單位基本信息

北京亞鴻世紀(jì)科技發(fā)展有限公司（簡稱“亞鴻世紀(jì)”）成立于2012年，2017年正式成為任子行網(wǎng)絡(luò)技術(shù)股份有限公司的全資子公司，是一家專注于互聯(lián)網(wǎng)空間數(shù)據(jù)治理、網(wǎng)絡(luò)與信息安全及數(shù)據(jù)增值解決方案及服務(wù)的高科技公司。公司在北京和武漢設(shè)有分公司及研發(fā)基地中心，能夠快速響應(yīng)客戶安全需求。目前研發(fā)中心技術(shù)人員達(dá)到400多人，其中985、211高校畢業(yè)人數(shù)達(dá)到80%以上。

公司成立以來，協(xié)助工信部起草《IDC/ISP信息安全管理系統(tǒng)技術(shù)要求》、《IDC/ISP信息安全管理系統(tǒng)接口規(guī)范》、《域名信息安全管理系統(tǒng)技術(shù)要求及接口規(guī)范》、《數(shù)據(jù)核驗技術(shù)要求及接口規(guī)范》等多項技術(shù)規(guī)范。公司目前已經(jīng)承建了工信部全國統(tǒng)一資源協(xié)作管理系統(tǒng)、工信部全國域名信息安全管理系統(tǒng)、工信部互聯(lián)網(wǎng)大數(shù)據(jù)管理子系統(tǒng)、設(shè)備運維子系統(tǒng)、全國25省通信管理局互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全綜合管理平臺、19省移動IDC/ISP信息安全管理系統(tǒng)、17省聯(lián)通IDC/ISP信息安全管理系統(tǒng)、14省鐵通IDC/ISP信息安全管理系統(tǒng)、5省電信IDC/ISP信息安全管理系統(tǒng)。在IDC/ISP信息安全領(lǐng)域市場綜合占有率達(dá)80%以上，在互聯(lián)網(wǎng)反欺詐安全市場占50%以上。具備豐富的互聯(lián)網(wǎng)信息安全和網(wǎng)絡(luò)安全的實戰(zhàn)經(jīng)驗以及相關(guān)安全能力。

圍繞5G+工業(yè)互聯(lián)網(wǎng)安全建設(shè)方面：

國家級

國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與風(fēng)險預(yù)警平臺：建立國家、省級、企業(yè)級聯(lián)動的工業(yè)互聯(lián)網(wǎng)安全監(jiān)管體系，實現(xiàn)重點行業(yè)、重點對象、重點風(fēng)險的實時監(jiān)測、動態(tài)感知、及時預(yù)警，支撐政府監(jiān)管、服務(wù)企業(yè)防護(hù)。

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全分類分級管理平臺：自主定級、定級審核、現(xiàn)場評測、安全資源池建設(shè)，支撐分類分級政策落地。

工信部物聯(lián)網(wǎng)基礎(chǔ)安全接入監(jiān)測平臺：物聯(lián)網(wǎng)資產(chǎn)摸底、宏觀監(jiān)測、整體態(tài)勢分析。

省級

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全省平臺：廣東、湖南、河南、安徽、湖北、遼寧、貴州、新疆、黑龍江、海南、河北、四川、云南、內(nèi)蒙、甘肅、上海、西藏、山西等18個省級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全省平臺：貴州、四川工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管平臺試點。

工業(yè)互聯(lián)網(wǎng)企業(yè)

級

面向多個行業(yè)多個企業(yè)的MEC安全監(jiān)測平臺、邊緣計算敏感數(shù)據(jù)保護(hù)技術(shù)系統(tǒng)、多業(yè)務(wù)場景數(shù)據(jù)脫敏技術(shù)工具、面向工業(yè)和通信業(yè)的網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險監(jiān)測發(fā)現(xiàn)與預(yù)警平臺、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全公共服務(wù)平臺、工控安全防護(hù)系列產(chǎn)品、企業(yè)安全服務(wù)等。