★北京雙湃智安科技有限公司

1 項目概況

1.1 項目背景

目前紫光UNIPower工業(yè)互聯(lián)網(wǎng)平臺已經(jīng)發(fā)布百余種工業(yè)應用服務(wù)和多個(gè)行業(yè)解決方案，齊聚超過(guò)200家生態(tài)合作伙伴，為T(mén)CL集團、新華三集團、人本集團、華亞智能科技等企業(yè)提供工業(yè)云服務(wù)和智能化改造的解決方案。

紫光UNIPower工業(yè)互聯(lián)網(wǎng)平臺服務(wù)特點(diǎn)包括以下幾個(gè)方面：一是全面的設備連接與數據整合能力；二是強大的數據分析和工業(yè)算法模型構建；三是提供PaaS層四庫四池，為企業(yè)和開(kāi)發(fā)者提供工業(yè)應用開(kāi)發(fā)所需的豐富資源服務(wù)；四是建設以“工業(yè)為基礎、數據為核心、云平臺為支撐”的安全能力，建立一個(gè)智能分析、協(xié)同防護、安全可控的工業(yè)互聯(lián)網(wǎng)安全平臺，做到事前預警、事中監控、事后分析響應，全面提升工業(yè)互聯(lián)網(wǎng)平臺安全管理與防護水平。

1.2 項目簡(jiǎn)介

項目歷時(shí)6個(gè)月，按照統籌規劃、務(wù)求實(shí)效、立足創(chuàng )新、方便擴展的建設原則，以IITM（工業(yè)互聯(lián)網(wǎng)威脅檢測平臺）和ISOC（工業(yè)安全運營(yíng)中心）為基礎建設成符合紫光云引擎業(yè)務(wù)需求，并且與工業(yè)互聯(lián)網(wǎng)平臺相融合的工業(yè)互聯(lián)網(wǎng)綜合防護平臺。

同時(shí)，通過(guò)部署探針類(lèi)設備ITD（工業(yè)威脅探測器）和現有的工業(yè)安全系統搭建起完整的三級聯(lián)動(dòng)安全防護體系構架，提升內部工業(yè)安全防護能力的同時(shí)也讓紫光工業(yè)互聯(lián)網(wǎng)平臺具備了對外提供工業(yè)網(wǎng)絡(luò )安全業(yè)務(wù)的能力。

1.3項目目標

1.3.1 行業(yè)所面臨的挑戰

（1）工業(yè)互聯(lián)網(wǎng)安全管理體系不健全

評估發(fā)現，大多數企業(yè)尚未結合生產(chǎn)應用場(chǎng)景建立適應工業(yè)互聯(lián)網(wǎng)發(fā)展需求的網(wǎng)絡(luò )安全管理制度，缺少針對工業(yè)互聯(lián)網(wǎng)安全考核機制，安全責權不清，人員和經(jīng)費投入有限，缺乏有效的督促和激勵制度；缺少工業(yè)互聯(lián)網(wǎng)安全評估制度，多數企業(yè)對工業(yè)互聯(lián)網(wǎng)改造后需要保護的網(wǎng)絡(luò )、設備、數據等保護對象及其應達到的安全要求掌握分析不足，對網(wǎng)絡(luò )中已存在的漏洞、病毒不掌握；網(wǎng)絡(luò )安全應急保障不完善，絕大多數企業(yè)沒(méi)有針對自身工業(yè)互聯(lián)網(wǎng)情況明確網(wǎng)絡(luò )安全應急預案并開(kāi)展演練。

（2）缺乏工業(yè)互聯(lián)網(wǎng)安全保障技術(shù)體系

目前，多數企業(yè)工業(yè)互聯(lián)網(wǎng)處于試點(diǎn)或改造階段，未完全實(shí)現從傳統單點(diǎn)、隔離工業(yè)控制系統到工業(yè)互聯(lián)網(wǎng)的轉變，更注重工業(yè)互聯(lián)網(wǎng)場(chǎng)景可用性，未做到網(wǎng)絡(luò )安全三同步要求；對網(wǎng)絡(luò )區域打通后的網(wǎng)絡(luò )隔離、安全監控、數據保護等安全問(wèn)題考慮欠缺，工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力不足，缺乏專(zhuān)業(yè)安全防護設備與技術(shù)支持，缺乏工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )安全保障技術(shù)體系。

（3）工業(yè)數據安全保護措施不足

工業(yè)互聯(lián)網(wǎng)企業(yè)普遍對工業(yè)數據保護缺乏有效管控防護措施。多數平臺企業(yè)對數據安全的保護措施較欠缺，未對重要工業(yè)數據進(jìn)行識別、分類(lèi)分級；未采取加密存儲和傳輸、定期備份等防護措施；未對存儲、處理關(guān)鍵工業(yè)數據的設備的漏洞及時(shí)跟蹤處理，許多設備存在如弱口令、命令注入、遠程代碼執行等常見(jiàn)漏洞，工業(yè)數據遭竊取、破壞的風(fēng)險較高；70%以上工業(yè)互聯(lián)網(wǎng)平臺企業(yè)對云服務(wù)外包缺乏安全管控，缺少云端業(yè)務(wù)數據防護舉措。

（4）工業(yè)互聯(lián)網(wǎng)軟硬件安全檢測不足

工業(yè)互聯(lián)網(wǎng)應用推廣過(guò)程中，涉及傳統工業(yè)控制系統與產(chǎn)品、工業(yè)互聯(lián)網(wǎng)網(wǎng)關(guān)、工業(yè)App等，但相關(guān)軟硬件產(chǎn)品安全檢測不足，引入了安全風(fēng)險。如許多工業(yè)App產(chǎn)品存在反編譯和硬編碼等安全漏洞，能夠通過(guò)一些App直接調用生產(chǎn)系統控制功能，攻擊者可通過(guò)篡改控制指令引發(fā)重大生產(chǎn)事故和財產(chǎn)損失。對部分企業(yè)工業(yè)App檢測發(fā)現，App信息交互過(guò)程中存在數據明文傳輸、訪(fǎng)問(wèn)控制不受限等風(fēng)險，可以通過(guò)App獲取生產(chǎn)控制指令和工業(yè)生產(chǎn)參數，可能造成工藝生產(chǎn)流程泄露。

當前，工業(yè)互聯(lián)網(wǎng)企業(yè)面臨著(zhù)安全風(fēng)險，工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)手段尚需健全。為有效提升工業(yè)互聯(lián)網(wǎng)服務(wù)商及其服務(wù)企業(yè)的網(wǎng)絡(luò )安全防范水平，適應新技術(shù)潮流下安全治理的新挑戰，需開(kāi)展工業(yè)互聯(lián)網(wǎng)平臺安全監測與防護系統建設，依托自有網(wǎng)絡(luò )資源和系統，圍繞工業(yè)互聯(lián)網(wǎng)服務(wù)商及其服務(wù)企業(yè)的安全需求，利用大數據、人工智能等技術(shù)手段，為工業(yè)企業(yè)等提供網(wǎng)絡(luò )安全服務(wù)，實(shí)現本網(wǎng)絡(luò )內的威脅溯源定位、安全防護、入侵防御、安全監測、風(fēng)險診斷與研判、應急處置等服務(wù)，最大程度降低企業(yè)系統遭受網(wǎng)絡(luò )攻擊的風(fēng)險。

1.3.2 項目建設目標

（1）形成邊界安全、業(yè)務(wù)和應用安全、數據安全的工業(yè)互聯(lián)網(wǎng)平臺安全縱深防御解決方案，具備防攻擊、防病毒、防入侵、防盜竊、防控制等安全防護能力。應用10類(lèi)以上工業(yè)互聯(lián)網(wǎng)平臺安全防護核心技術(shù)及產(chǎn)品，實(shí)現抗DDoS、虛擬機逃逸、鏡像篡改、數據竊取與篡改等安全能力。

（2）建設工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護系統，實(shí)現對平臺接入終端、云基礎設施、工業(yè)微服務(wù)、工業(yè)APP和防護設備的安全數據匯聚并進(jìn)行綜合分析，實(shí)現對接入設備、防護設備、應用服務(wù)和日志數據的統一管理。同時(shí)具備應用發(fā)布安全感知、攻擊源畫(huà)像威脅展示及設備應用連通監測的功能。

（3）建設紫光工業(yè)互聯(lián)網(wǎng)設備安全接入系統，對設備接入平臺進(jìn)行統一認證。

（4）對平臺安全綜合防護系統進(jìn)行實(shí)際應用評價(jià)，對各項指標進(jìn)行數據采集，對標準的合理性和科學(xué)性進(jìn)行反向驗證，產(chǎn)生平臺安全綜合防護系統的測試用例，并利用市場(chǎng)渠道進(jìn)行對外服務(wù)和宣傳推廣，推動(dòng)平臺功能不斷完善，加快平臺在廣大制造業(yè)企業(yè)的落地應用與實(shí)踐。

2 項目實(shí)施

2.1 系統架構和主要內容

建設工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護平臺，系統架構如圖1所示。該平臺是針對工業(yè)互聯(lián)網(wǎng)企業(yè)的一個(gè)開(kāi)放互聯(lián)的平臺，可匯總多站點(diǎn)工業(yè)安全設備上報的威脅數據以及資產(chǎn)數據，以數據可視化為核心，為資產(chǎn)及其脆弱性、告警事件、處置情況和網(wǎng)絡(luò )訪(fǎng)問(wèn)情況提供集中視圖，為安全運營(yíng)提供跨地域的即時(shí)可見(jiàn)性。在此基礎上，增加工業(yè)設備與工業(yè)安全設備日志收集與分析、策略管控、數據上報等數據及產(chǎn)品管控功能，依托大數據分析，最終實(shí)現場(chǎng)景化運營(yíng)。該平臺有效提升工控網(wǎng)絡(luò )在線(xiàn)安全監測能力，全面提高工業(yè)企業(yè)的風(fēng)險預警能力，整體提升工業(yè)企業(yè)的安全運營(yíng)能力和安全防護水平。

圖1 系統架構

建設紫光工業(yè)互聯(lián)網(wǎng)平臺監測服務(wù)系統，如圖2所示，以資產(chǎn)探測和威脅發(fā)現為基礎，以威脅分析和安全保障為核心，以事前預防、事中控制和事后響應為目標，支撐監管部門(mén)和安全服務(wù)運營(yíng)商對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )空間與工業(yè)互聯(lián)網(wǎng)企業(yè)提供資產(chǎn)探查、漏洞發(fā)現、風(fēng)險評估、威脅推送、工業(yè)現場(chǎng)檢查、工業(yè)應急響應等安全服務(wù)，填補網(wǎng)絡(luò )安全監管部門(mén)執法監督管理以及區域服務(wù)中心在線(xiàn)安全服務(wù)的空白，豐富安全監管部門(mén)管理手段以及安全服務(wù)運營(yíng)商的運營(yíng)手段，幫助安全監管部門(mén)和安全服務(wù)運營(yíng)商構建全天候、全方位的安全監測和威脅感知能力，強化通過(guò)自動(dòng)化工具開(kāi)展實(shí)時(shí)安全監測、風(fēng)險評估、威脅推送、預警通報等安全服務(wù)，提升安全監管部門(mén)權威性、安全服務(wù)運營(yíng)商安全建設與運營(yíng)的規范化程度，提高工業(yè)互聯(lián)網(wǎng)企業(yè)的安全管理能力，降低工業(yè)互聯(lián)網(wǎng)企業(yè)因安全事件導致的資產(chǎn)和人員損失，保障工業(yè)互聯(lián)網(wǎng)企業(yè)安全生產(chǎn)。

圖2 紫光工業(yè)互聯(lián)網(wǎng)平臺監測服務(wù)系統

2.2 技術(shù)方案

工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護平臺由工業(yè)互聯(lián)網(wǎng)平臺安全綜合管理系統（DZ-SOCP）、工業(yè)安全運營(yíng)中心系統（SP-ISOC）和工業(yè)互聯(lián)網(wǎng)數據模擬器系統（SP-DSS）組成。如圖3所示。

圖3 工業(yè)互聯(lián)網(wǎng)安全綜合防護典型部署

該平臺的威脅檢測分析系統和運營(yíng)管理系統，依托“九天”情報系統和“哈莫韋”工業(yè)網(wǎng)絡(luò )安全實(shí)驗室，針對工業(yè)互聯(lián)網(wǎng)行業(yè)特點(diǎn)，建立從基礎信息采集到數據分析的一體化威脅情報分析。通過(guò)搭建威脅監測和分析管理平臺，將“九天”系統的威脅分析能力和“哈莫韋”工業(yè)網(wǎng)絡(luò )安全實(shí)驗室的研究成果，有效串聯(lián)至工業(yè)安全態(tài)勢感知平臺各業(yè)務(wù)環(huán)節，為工業(yè)安全態(tài)勢感知平臺的安全穩定運行提供堅強支撐。

圖4 工業(yè)互聯(lián)網(wǎng)平臺防護能力模型

2.3 應用場(chǎng)景分析

工業(yè)互聯(lián)網(wǎng)平臺安全綜合防護平臺是針對工業(yè)互聯(lián)網(wǎng)企業(yè)的一個(gè)開(kāi)放互聯(lián)的平臺。該平臺可匯總多站點(diǎn)工業(yè)安全設備上報的威脅數據以及資產(chǎn)數據，以數據可視化為核心，為資產(chǎn)及其脆弱性、告警事件、處置情況及網(wǎng)絡(luò )訪(fǎng)問(wèn)情況提供集中視圖，為安全運營(yíng)提供跨地域的即時(shí)可見(jiàn)性。

直觀(guān)地體現總體安全態(tài)勢和潛在風(fēng)險，主要包括態(tài)勢分析、地圖呈現、下鉆、設置模式和統計信息。其中態(tài)勢分析內容包括風(fēng)險等級資產(chǎn)分布、區域資產(chǎn)分布、行業(yè)資產(chǎn)分布、漏洞類(lèi)型占比、行業(yè)風(fēng)險排名、資產(chǎn)趨勢、風(fēng)險趨勢、被篡改應用站點(diǎn)行業(yè)統計、應用站點(diǎn)漏洞行業(yè)分布、應用站點(diǎn)流行漏洞排名、問(wèn)題站點(diǎn)區域分布、問(wèn)題站點(diǎn)、RTSP弱口令攝像頭、資產(chǎn)趨勢、區域資產(chǎn)分布等以及利用地圖直觀(guān)展現轄區應用站點(diǎn)安全隱患的分布情況，并支持利用導航地圖技術(shù)結合站點(diǎn)地址經(jīng)緯度數據定位?？梢暬ㄒ晥D安全管控視圖和安全領(lǐng)導視圖：為安全運營(yíng)和實(shí)驗室人員提供安全可視化視圖，支持安全事件調查、取證、溯源和處置等功能聯(lián)動(dòng)；為管理層領(lǐng)導提供安全可視化視圖，支持安全建設成果可視化、安全威脅統計可視化等數據，支持安全決策。

2.4 安全應用模式

在眾多的用戶(hù)需求中，安全保障的基本需求是用戶(hù)最根本的利益所在。雙湃智安通過(guò)安全運營(yíng)平臺，圍繞資產(chǎn)、脆弱性、威脅和事件四個(gè)要素為客戶(hù)提供一系列安全服務(wù)，幫助用戶(hù)構筑遠程（24×7小時(shí)）對客戶(hù)側安全事件和相關(guān)數據源安全監控和威脅檢測、漏洞（弱點(diǎn)）評估與管理、IT安全設備和工具管理、安全事件響應等能力。

圖5 紫光工業(yè)互聯(lián)網(wǎng)平臺綜合防護整體架構

2.5 實(shí)際應用效果

（1）系統監測和防護

實(shí)現1000個(gè)工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)與基礎信息系統的監測和防護。

（2）設備采集

實(shí)現100萬(wàn)臺以上工業(yè)聯(lián)網(wǎng)設備采集入庫。

（3）漏洞監測

累計完成100萬(wàn)次以上工業(yè)聯(lián)網(wǎng)設備和系統漏洞檢測。

（4）為企業(yè)用戶(hù)提供安全防護

服務(wù)對500家企業(yè)用戶(hù)網(wǎng)站、系統、設備進(jìn)行安全監測。

（5）開(kāi)發(fā)環(huán)境安全系統

防止源代碼泄密，防范勒索病毒，滿(mǎn)足開(kāi)發(fā)環(huán)境和生產(chǎn)環(huán)境30臺服務(wù)器防護要求。

3 案例亮點(diǎn)及創(chuàng )新性

（1）構建在線(xiàn)監測網(wǎng)絡(luò )，直觀(guān)掌控安全態(tài)勢

基于多源數據支持安全威脅監測以及安全威脅突出情況的分析展示。利用大數據技術(shù)進(jìn)行分析挖掘，實(shí)時(shí)掌握網(wǎng)絡(luò )攻擊對手情況、攻擊手段、攻擊目標、攻擊結果以及網(wǎng)絡(luò )自身存在的隱患、問(wèn)題、風(fēng)險等情況，對比歷史數據，形成趨勢性、合理性判斷，為通報預警提供重要支撐。該模塊支持對網(wǎng)絡(luò )空間安全態(tài)勢進(jìn)行全方位、多層次、多角度和細粒度感知，包括但不限于對工業(yè)互聯(lián)網(wǎng)平臺、重點(diǎn)行業(yè)、重點(diǎn)單位、重點(diǎn)網(wǎng)站，重要信息系統、網(wǎng)絡(luò )基礎設施等保護對象的態(tài)勢進(jìn)行感知。該模塊主要包括態(tài)勢分析和態(tài)勢呈現。

（2）實(shí)現多維風(fēng)險監測，增強威脅發(fā)現能力

匯聚網(wǎng)絡(luò )側和企業(yè)側安全監測和態(tài)勢感知平臺的共享信息，結合國家態(tài)勢感知平臺的共享信息，構建基礎資源庫、知識庫和威脅信息庫等信息資源；結合專(zhuān)業(yè)機構的認定結果和處置建議，有針對性地開(kāi)展日常信息運營(yíng)，包括威脅分析和資產(chǎn)審核，提升安全威脅信息共享能力，實(shí)現工業(yè)互聯(lián)網(wǎng)綜合態(tài)勢可視化，完成與國家平臺信息共享和聯(lián)動(dòng)。

（3）建立協(xié)同聯(lián)動(dòng)體系，提高事件處置效率

以安全數據共享、安全監測業(yè)務(wù)協(xié)同、安全處置協(xié)同聯(lián)動(dòng)為核心，基于工業(yè)互聯(lián)網(wǎng)安全監管機構、工業(yè)互聯(lián)網(wǎng)企業(yè)、運營(yíng)商與工業(yè)企業(yè)，構建以工信部、省級監管機構、工業(yè)企業(yè)、運營(yíng)商為主的協(xié)同監測和多級聯(lián)動(dòng)管理架構，實(shí)現工業(yè)互聯(lián)網(wǎng)安全監測、預警通報、應急處置、處置溯源和信息共享，形成上下聯(lián)動(dòng)、政企協(xié)同的工業(yè)互聯(lián)網(wǎng)安全管理系統

（4）基于業(yè)務(wù)的工業(yè)安全運營(yíng)

實(shí)現被動(dòng)到主動(dòng)的轉變：根據本地數據結合云端大數據及威脅情報，結合服務(wù)過(guò)程中發(fā)現的工業(yè)安全事件，針對可能發(fā)生的攻擊行為提前做好響應對策，并通過(guò)專(zhuān)業(yè)化的保障服務(wù)，使監管具備處理突發(fā)事件的技術(shù)實(shí)力，提高安全事件響應與處理能力。

安全運營(yíng)團隊圍繞態(tài)勢感知平臺系統，通過(guò)資產(chǎn)梳理、安全事件監測、流量深度分析、事件通報、應急處置、重要時(shí)期安全保障等一系列安全措施，協(xié)助省監管部門(mén)更全面、更準確、更高效地行使工業(yè)安全監管職能。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》