1、方案背景與目標

1.1當前工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問(wèn)題日趨嚴重

工業(yè)互聯(lián)網(wǎng)涉及到很多與人民群眾生活息息相關(guān)的重要基礎設施，例如電力能源、軌道交通、石油化工、鋼鐵、有色、建材、新材料、民爆、礦業(yè)、工業(yè)母機和機器人等生產(chǎn)制造的關(guān)鍵環(huán)節和場(chǎng)景，關(guān)系到國計民生。隨著(zhù)以互聯(lián)網(wǎng)+、物聯(lián)網(wǎng)、云計算、大數據、人工智能等為代表的新一代信息技術(shù)與傳統工業(yè)生產(chǎn)系統的加速融合，工業(yè)互聯(lián)網(wǎng)在提升工業(yè)生產(chǎn)效率、加速向智能制造轉型的同時(shí)，也打破了傳統工業(yè)相對封閉可信的環(huán)境，導致病毒、木馬和網(wǎng)絡(luò )攻擊等安全風(fēng)險對工業(yè)生產(chǎn)和關(guān)鍵基礎設施的威脅日益加劇，一旦受到安全攻擊，不僅會(huì )造成巨大的經(jīng)濟損失，甚至會(huì )危及公眾生活和國家安全。

因此保障工業(yè)互聯(lián)網(wǎng)的安全可控是確保智能制造在生產(chǎn)領(lǐng)域實(shí)施的必要前提。工業(yè)互聯(lián)網(wǎng)的信息安全問(wèn)題已引起國家和社會(huì )各界的高度重視。

工業(yè)互聯(lián)網(wǎng)安全是全局的、多層次、多維度的系統性安全。從分層結構的角度，安全威脅可分為設備層安全威脅、控制層安全威脅、車(chē)間層安全威脅、企業(yè)層安全威脅和協(xié)同層安全威脅；從體系架構的角度，安全威脅可分為設備層安全威脅、網(wǎng)絡(luò )層安全威脅、應用層安全威脅、數據層安全威脅、控制層安全威脅、人員管理威脅和高級持續性威脅。當前工業(yè)互聯(lián)網(wǎng)安全形勢復雜，針對工業(yè)互聯(lián)網(wǎng)的攻擊仍處于高發(fā)態(tài)勢，涉及到國家級網(wǎng)絡(luò )公共基礎設施和國計民生的重要信息系統，涵蓋了病毒、木馬、漏洞、流量攻擊等多種類(lèi)型，攻擊門(mén)檻不斷降低，攻擊對象更加廣泛，攻擊手段復雜多樣，攻擊范圍跨洲跨國，攻擊目的利益驅動(dòng)。當前信息安全威脅已經(jīng)成為我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的一個(gè)顯著(zhù)制約因素。較低的信息安全防護水平以及安全生產(chǎn)的重大責任使得數量眾多的工業(yè)企業(yè)在互聯(lián)互通、業(yè)務(wù)創(chuàng )新上非常謹慎，甚至有些企業(yè)談“網(wǎng)”色變，可以說(shuō)信息安全已經(jīng)成為我國進(jìn)行工業(yè)產(chǎn)業(yè)升級的實(shí)際阻礙。據國家工業(yè)信息安全發(fā)展研究中心監測顯示，截至2022年底，我國各類(lèi)低防護聯(lián)網(wǎng)設備總數再創(chuàng )新高。其中，物聯(lián)網(wǎng)、工業(yè)控制系統大量暴露，且極易遭受攻擊利用，可能造成設備宕機、停產(chǎn)停工等嚴重后果，存在較大安全隱患。2022年公開(kāi)披露的工業(yè)領(lǐng)域勒索事件共89起，較2021年增長(cháng)78%。從受影響的行業(yè)來(lái)看，制造業(yè)首當其沖。具體而言，電子制造行業(yè)遭勒索攻擊最多，占全部勒索事件的23.3%。工業(yè)和信息化部工業(yè)控制產(chǎn)品安全漏洞專(zhuān)業(yè)庫統計發(fā)現，2022年工控漏洞數量再度攀升，共涉及緩沖區錯誤、代碼問(wèn)題、權限許可和訪(fǎng)問(wèn)控制問(wèn)題等多種類(lèi)型風(fēng)險。

1.2智能工廠(chǎng)工業(yè)網(wǎng)絡(luò )安全一體化防護能力嚴重不足

雖然我國在工業(yè)互聯(lián)網(wǎng)的頂層設計，包括政策實(shí)施、標準制定等方面跟進(jìn)較快，但由于我國工業(yè)互聯(lián)網(wǎng)安全技術(shù)的研究起步較晚，與國外先進(jìn)水平相比仍有較大差距。在工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)方面，我國除依托傳統網(wǎng)絡(luò )安全技術(shù)進(jìn)行安全技術(shù)產(chǎn)品功能的拓展外，著(zhù)重基于新興互聯(lián)網(wǎng)技術(shù)，開(kāi)展新一代網(wǎng)絡(luò )安全技術(shù)產(chǎn)品的研發(fā)創(chuàng )新。相關(guān)研究主要有：工業(yè)互聯(lián)網(wǎng)邊緣端點(diǎn)的防護技術(shù)、工業(yè)防火墻技術(shù)、工業(yè)互聯(lián)網(wǎng)漏洞挖掘技術(shù)、滲透測試技術(shù)、安全態(tài)勢感知技術(shù)等，多為針對某一種技術(shù)的分析及應用研究。

在工業(yè)互聯(lián)網(wǎng)安全企業(yè)應用推廣方面，企業(yè)基于安全認識和意識、安全成本預算等方面的考慮，主要采取分步建設的思路，缺哪補哪的外掛式建設思路，導致產(chǎn)品之間的融合和協(xié)同能力差，表現在如下幾個(gè)方面：

·   網(wǎng)絡(luò )安全流量、日志、漏洞、設備終端等安全數據采集不足，風(fēng)險資產(chǎn)底數不清晰；

·   采集的網(wǎng)絡(luò )安全數據割裂，存在“安全數據孤島”現場(chǎng)，無(wú)法實(shí)現工業(yè)網(wǎng)絡(luò )安全數據集中管理和關(guān)聯(lián)分析；

·   安全智能分析能力不足，對勒索攻擊、惡意程序等高級威脅攻擊形態(tài)缺乏感知分析能力；

·   安全協(xié)同響應能力不足，各設備之間缺乏聯(lián)動(dòng)效應，應對威脅響應處置不及時(shí)。

據工業(yè)和信息化部等八部門(mén)對外公布了《“十四五”智能制造發(fā)展規劃》，未來(lái)15年將通過(guò)“兩步走”，加快推動(dòng)生產(chǎn)方式變革：一是到2025年，規模以上制造業(yè)企業(yè)大部分實(shí)現數字化網(wǎng)絡(luò )化，重點(diǎn)行業(yè)骨干企業(yè)初步應用智能化；70%的規模以上制造業(yè)企業(yè)基本實(shí)現數字化網(wǎng)絡(luò )化，建成500個(gè)以上引領(lǐng)行業(yè)發(fā)展的智能制造示范工廠(chǎng)。二是到2035年，規模以上制造業(yè)企業(yè)全面普及數字化網(wǎng)絡(luò )化，重點(diǎn)行業(yè)骨干企業(yè)基本實(shí)現智能化。對國家《“十四五”智能制造發(fā)展規劃》規化要求，當前針對智能工廠(chǎng)安全防護解決方案及配套產(chǎn)品存在技術(shù)儲備不足、測試驗證不足、應用推廣不足等多方面的問(wèn)題，迫切需要針對當前智能工廠(chǎng)的上述痛點(diǎn)問(wèn)題，打造貫穿工業(yè)網(wǎng)絡(luò )安全防護的數據采集、監測、分析、預測到響應的全過(guò)程的安全能力，攻關(guān)工業(yè)網(wǎng)安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應控制等技術(shù)，構建集工業(yè)網(wǎng)絡(luò )安全態(tài)勢感知、風(fēng)險評估、威脅預警、攻擊阻斷、網(wǎng)端聯(lián)動(dòng)、縱深防御于一體化的綜合安全解決方案，為制造業(yè)的轉型升級保駕護航。

2、方案詳細介紹

2.1 總體技術(shù)架構

本項目主要針對當前工業(yè)網(wǎng)絡(luò )安全數據采集不充分，分析不智能，響應不協(xié)同等痛點(diǎn)問(wèn)題，研制面向智能工廠(chǎng)的網(wǎng)端聯(lián)動(dòng)一體化安全防護解決方案及配套產(chǎn)品，通過(guò)打造貫穿工業(yè)網(wǎng)絡(luò )安全防護的數據采集、監測、分析、預測到響應的全過(guò)程的安全能力，攻關(guān)工業(yè)網(wǎng)安全感知與智能分析、多攻擊面協(xié)同防御策略、入侵響應控制等技術(shù)，構建集工業(yè)網(wǎng)絡(luò )安全態(tài)勢感知、風(fēng)險評估、威脅預警、攻擊阻斷、網(wǎng)端聯(lián)動(dòng)、縱深防御于一體化的綜合安全解決方案，并以此為基礎針對能源電力、軌道交通、石油化工、高端制造、汽車(chē)電子、生物制藥、新能源等國計民生的廣泛行業(yè)領(lǐng)域的網(wǎng)絡(luò )特點(diǎn)，構建重點(diǎn)行業(yè)應用解決方案，進(jìn)行應用推廣。

智能制造工控安全整體解決方案以工業(yè)安全威脅發(fā)現與運營(yíng)管理平臺為核心，配合工控防火墻、工控監測于審計、工控主機安全衛士等安全防護設備，實(shí)現工業(yè)安全一體化落地。

方案體系架構如下圖所示。

圖1 智能制造工控安全整體解決方案總體架構

圖2 智能制造工控安全態(tài)勢感知平臺效果圖

2.2關(guān)鍵技術(shù)

（1）多維度智能高級威脅分析技術(shù)

基于人工智能對安全大數據多維度關(guān)聯(lián)分析，不僅能夠有效定位攻擊行為的路徑，還能發(fā)現威脅并預判趨勢，對攻擊者留下的任意線(xiàn)索進(jìn)行多維拓展，使用大數據可視化手段，從不同視角、維度（如3D圖、雷達圖、拓撲圖、熱度圖等）繪制出完整的知識鏈條，呈現攻擊的完整過(guò)程，覆蓋攻擊的源頭、手段、目標、范圍等關(guān)鍵信息。

（2）指令級工業(yè)協(xié)議深度解析技術(shù)

本項目深度解析分析引擎能夠對各類(lèi)數據包進(jìn)行快速有針對性的捕獲與深度解析。對不同行業(yè)的工業(yè)系統，可以采取相應針對性的數據包探測機制和解析策略。在遵循工業(yè)系統可用性與完整性的基礎上，能夠檢測出數據包的有效內容特征、負載和可用匹配信息，對傳輸的工控協(xié)議指令請求進(jìn)行實(shí)時(shí)安全檢測，對于不符合安全要求的操作指令及時(shí)進(jìn)行攔截和報警，同時(shí)針對企業(yè)內部的私有協(xié)議提供定制化的功能支持，全面滿(mǎn)足各行業(yè)內部工業(yè)系統的兼容性要求。

（3）工業(yè)通信行為智能分析技術(shù)

本項目基于工業(yè)通信協(xié)議深度解析，自學(xué)習工業(yè)網(wǎng)絡(luò )通信關(guān)系、操作功能碼和參數等，對正常通信行為建模，根據模型特定目標和標準，對通信關(guān)系，操作功能碼以及定義的行為特征進(jìn)行關(guān)聯(lián)分析，自學(xué)習形成白名單規則庫，通過(guò)對工控協(xié)議的深度解析識別，只允許匹配工業(yè)協(xié)議規則白名單的業(yè)務(wù)流量通過(guò)，阻斷未知流量，可有效控制工控系統通信安全。

（4）網(wǎng)端協(xié)同一體化聯(lián)動(dòng)技術(shù)

研究通過(guò)建立知識庫進(jìn)行策略管理，快速生成應急響應預案，實(shí)現安全事件的預警、響應和處置，研究網(wǎng)端檢測，形成網(wǎng)端協(xié)同的主動(dòng)防御體系，實(shí)現控制閉環(huán)反饋。研究網(wǎng)端協(xié)同聯(lián)動(dòng)，根據實(shí)時(shí)場(chǎng)景自適應決策響應，全網(wǎng)關(guān)鍵設備被推送安全策略。

（5）基于大模型的智能安全運營(yíng)技術(shù)

使用安全數據并運用遷移學(xué)習或微調技術(shù)，將大模型學(xué)到的知識應用到安全領(lǐng)域，提高模型在安全領(lǐng)域的性能。訓練復雜深度學(xué)習模型，訓練安全分析引擎實(shí)現安全事件輔助判斷、安全處置建議自動(dòng)生成、安全報告自動(dòng)生成等功能，提升安全運營(yíng)效率。

2.3 產(chǎn)品研發(fā)

2.3.1 工業(yè)互聯(lián)網(wǎng)態(tài)勢感知產(chǎn)品

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知產(chǎn)品通過(guò)采集全網(wǎng)原始流量數據，結合云端的威脅情報，對海量安全數據進(jìn)行挖掘和關(guān)聯(lián)分析，對攻擊、威脅、脆弱性、流量和行為等五大態(tài)勢進(jìn)行感知，生成全方位的安全全景視圖。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知產(chǎn)品的具體能力包括：

·   支持勒索病毒等高級威脅分析；

·   支持網(wǎng)端一體化聯(lián)動(dòng)響應；

·   支持基于安全大模型的安全事件輔助判斷、安全處置建議自動(dòng)生成等智能化運營(yíng)功能；

2.3.2 工控防火墻產(chǎn)品

工控防火墻是涵蓋傳統防火墻、工控網(wǎng)絡(luò )流量智能學(xué)習、工控協(xié)議數據包深度解析、工控協(xié)議指令控制等功能在內的工控網(wǎng)絡(luò )安全防護產(chǎn)品。工控防火墻具體能力包括：

·   支持涵蓋MODBUS/TCP，OPC Classic，OPC UA，OPC DA DNP3，S7，S7 plus，IEC104，EIP，Profinet等在內的各類(lèi)主流工控網(wǎng)絡(luò )協(xié)議深度解析分析。

2.3.3 工控監測審計產(chǎn)品

工控監測與審計系統是一款專(zhuān)門(mén)針對工業(yè)控制網(wǎng)絡(luò )設計的安全監測、審計、告警和數據分析的軟硬件一體化產(chǎn)品。通過(guò)特定安全策略快速識別出生產(chǎn)控制系統中存在的非法操作、異常事件、外部攻擊行為并實(shí)時(shí)告警，并通過(guò)針對采集信息的統一存儲、統一管理與大數據分析，為滿(mǎn)足實(shí)時(shí)網(wǎng)絡(luò )監測提供可靠數據支撐，幫助用戶(hù)感知準確的網(wǎng)絡(luò )安全態(tài)勢。

工控監測與審計系統具體能力包括：

·   支持預置入侵檢測規則庫，規則庫應至少支持windows系統漏洞、Linux系統漏洞、Unix系統漏洞、Web漏洞、工控系統漏洞、工控協(xié)議漏洞等規則分類(lèi)；

·   支持通過(guò)對網(wǎng)絡(luò )流量的深度解析、特征匹配，實(shí)現對工控網(wǎng)絡(luò )等關(guān)鍵事件進(jìn)行識別和告警；

2.3.4 工控主機安全衛士產(chǎn)品

工控主機安全衛士系統是一款針對工業(yè)控制系統工程師站、操作員站、服務(wù)器等主機系統進(jìn)行外設管理、應用程序管理、注冊表防護、文件保護等功能的工控安全產(chǎn)品。通過(guò)掃描主機運行進(jìn)程，建立應用程序白名單基線(xiàn)，禁止非授權應用的加載及執行，保護關(guān)鍵目錄及注冊表，管理主機外設及移動(dòng)存儲權限，可對工控上位機及服務(wù)器實(shí)現全方位安全防護，保障用戶(hù)業(yè)務(wù)連續穩定運行。

工控主機安全衛士具體能力包括：

·   支持USB移動(dòng)存儲設備安全防護；

·   支持阻斷白名單以外的非法進(jìn)程運行，并產(chǎn)生安全事件通知，記錄非法進(jìn)程行為。

3、代表性及推廣價(jià)值

預期應用成效

面向智能工廠(chǎng)工業(yè)解決方案大幅提升智能工廠(chǎng)的安全防護能力，取得以下應用成效：

·   安全策略部署時(shí)間提升50%；

·   安全事件分析效率提升50%；

·   安全事件工單響應時(shí)間小于10分鐘；

·   安全運營(yíng)成本下降30%。