应用于国内一家大型化工集团央企，总部在上海，但是集团和各分厂、厂区遍布全国（个省、直辖市），核心需求是实现集团与各分厂的安全风险和威胁实时检测，掌握总体安全态势，支撑

  为深入贯彻落实《国务院关于深化“互联网＋先进制造业”发展工业联网的指导意见》（国发〔2017〕50号〉，2022年3月31日工网安函【2022】235号关于征求开展工业互联网安全深度行活动意见建议的函，2022年5月《工业与信息化部办公厅关于开展工业互联网安全深度行活动的通知》工信厅网安函【2022】97号推动在全国范围内深入实施工业互联网公司安全分类分级管理的要求。

  本方案实施在某大型化工集团企业，厂区和分公司遍布全国，实现企业（包括各分厂）安全风险和威胁检测，掌握总体安全态势，支撑安全决策和规划。通过方案方案实施为化工公司可以提供分类分级全生命周期安全服务，包括工业互联网公司分类分级综合管理、企业安全防护能力建设、企业态势感知呈现，对接省工业互联网安全监测与态势感知平台，实现IT与OT的融合分析，提供安全监测和预警通报、威胁溯源、公共安全服务技术方法，实现工业互联网相关企业安全态势可感、可知、可监管，为工业互联网发展保驾护航。

  在分厂与总部、厂区内各设备和系统的安全数据没有统一汇聚和分析，安全数据和分析结果没有打通和共享，各自为战。

  缺少安全数据关联分析和威胁溯源的技术方法，针对发现的攻击和威胁不可以进行行为回溯和威胁画像，以及快速定位和确定所有被攻击资产和影响区域，并对威胁处置进行相对有效支撑。

  集团总部和各厂区每天产生的安全时间数量平均达10万多条，安全管理和运营人员完全没有办法有效分析和处理海量的安全事件和报警。

  集团和各厂区的安全态势做不到可知可控，不清楚安全风险和威胁的当前状态、影响区域和发展的新趋势，威胁信息也无法共享。

  作为三级联网企业，未按照分类分级管理要求与省级安全监管平台对接，也不清楚怎么来实现对接。

  通过本方案建设工业互联网公司安全综合防护系统，为该化工行业公司可以提供工业网络安全综合防护平台能力和与省/市工业互联网安全态势感知平台对接等安全服务，形成了企业安全监测、预警通报、威胁溯源、安全服务能力，实现了工业互联网相关企业安全态势可感、可知、可监管，为工业互联网发展保驾护航。

  本次方案重点方向为搭建工业互联网公司网络安全综合防护平台，围绕工业控制管理系统安全、工业生产网络与管理网络安全、工业数据安全等，建设工业互联网公司安全综合防护系统，构建包括资产管理、漏洞检测、配置核查、边界防护、入侵检测、态势感知、病毒防范、安全审计、数据保护等的一体化动态综合防御体系，形成工业互联网公司安全综合防护能力，全天候全方位监控关键生产设备及重要业务系统安全状况，及时有效地发现、处置、阻断各类网络安全风险隐患风险，并支撑溯源取证，为中化总部和21个分厂提供安全保障和满足分类分级管理需求。

  根据经信委专家评审建议，结合工信部方案的管理要求，方案在2021年以公开对外招标的方式完成工业互联网公司网络安全综合防护平台方案的采购工作，目前方案已完成实施并取得很好的应用效果，实现了总部和分厂多源异构全安全数据接入，构建工控网络威胁检验测试能力和安全事件回溯能力。通过安全告警解决海量安全事件处理失焦问题，同时构建企业全领域态势感知能力，并按照工信部分类分级管理要求，实现了省企对接，满足分类分级合规要求。

  调用数据采集接入层形成的标准化数据来进行分析及存储。通过IT+OT域研判结果汇聚、研判模型构建、事件智能研判及人工核验，梳理形成工业安全态势感知平台基础资源信息、联网设备及系统资产信息，形成基础信息库，安全技术库、知识库和规则库，为网络侧的安全监测分析提供数据支撑。

  企业安全态势感知呈现，深度分析，日志检索，威胁溯源，资产管理，报表及策略管理，形成工业互联网企业安全综合防护能力，全天候全方位监控关键生产设备及重要业务系统安全状况，及时发现、处置、阻断各类网络安全隐患风险，并支撑溯源取证。

  同时，平台与省级工业互联网平台对接，满足分类分级合规要求及数据共享，形成工业互联网网络安全的完整闭环。

  通过主动探测、被动探测和静态导入等多种方式，全面探测全域资产，并通过自学习功能，收集业务访问日志，建立资产业务访问关系模型，实现精准的资产画像。

  通过人性化的设计和界面，为安全人员提供便捷的可视化安全策略配置功能，实现多源异构数据的快速灵活接入。

  数据汇聚和专家分析，积累网络安全告警规则并内置到系统，帮助客户快速建立安全能力。提供图形化、人性化的规则配置框架，通过时间段、威胁类型、发生频次等多维度，以及归并、去重等逻辑匹配规则的灵活配

  置，帮助安全运营人员根据实际场景和阶段性关注重点，快速建立安全策略，提升安全运营效率。

  针对企业遭受的网络攻击进行实时监测，包括：密码暴力破解、拒绝服务攻击、勒索病毒、挖矿木马等。

  多个字段深度解析，包括精准提取指令码、功能码、错误码等，工业协议的深度解析为工控通信异常，工控行为异常等工业威胁检测提供了基础和有力支撑。

  策略配置包括区域配置、数据来源、范化策略和关联规则等功能模块，其功能是是实现多源异构数据的统一接入，以及安全分析规则配置和运营，为安全告警，深度分析和攻击行为回溯等功能提供支持。

  工业互联网企业中可能存在的大量不同类型，不同厂商的设备，例如网络设备，包括交换机、路由器等；安全设备，如堡垒机、防火墙、web应用安全网关、入侵防御系统等；以及工业控制设备和系统等。这些设备和系统，都可以作为数据来源，态感平台通过范化策略模块，将不同的设备的数据进行归一化处理，统一接入到态感平台中。

  关联规则模块是安全分析知识库和规则库，通过规则的配置和运营，针对接入的多源异构数据进行多维度关联分析，产生安全告警和深度分析结果。在多源异构数据统一接入的基础之上，态感平台提供灵活、人性化的配置框架，帮忙用户进行规则配置和运营。

  提供接入的原始数据查询和检索功能。同时，通过对原始数据的统计和分析，向用户展胁事件分布，归属区域，攻击趋势，威胁等级，失陷主机等维度的分析结果。

  基于ATT&CK安全分析模型，对威胁事件和攻击行为进行攻击链溯源和取证，如下图所示，通过对各类威胁事件基于攻防视角等多维度归类，依托安全分析模型和各攻击阶段的攻击路径和手法进行关联分析，为用户还原完整的攻击过程和攻击影响范围，并针对攻击者和被攻击者进行行为回溯和画像。

  平台基于接入的多源异构数据和告警规则产生安全告警，从攻击方向（由外向内，内部横向和由内向外等）以及主机状态等多个维度，向客户展示资产的安全风险和面临的威胁状态，并进行预警。

  同时也接入资产的漏洞数据，并针对漏洞，从漏洞类型、危害级别、区域分布等多个维度，将资产与漏洞进行关联分析，对高风险资产向客户进行预警。

  形成企业安全自动化报表生成，提供安全报告生成和导出功能，为企业安全预警及安全决策支撑提供帮助。

  通过实时安全事件监测，结合威胁情报和丰富的知识库做多元化的分析和研判，帮助企业全面掌握安全状态和发展趋势。态势感知模块从监测对象，攻击方向，威胁类型等维度提供企业安全综合态势、资产态势及威胁事件态势大屏呈现。

  平台系统存储策略管理，操作日志及登录日志管理，保障系统安全及分权分域管理。

  通过在车间，工厂部署相应安全防护设备，实现对多源异构数据的采集分析，建设化工集团企业工业安全态势感知平台，同时通过企业安全协同联动一体机，实现与省级平台的数据对接及共享，满足分类分级要求。

  在化工集团车间及工厂部署主动探测及网络安全探针，以及对企业各类系统及日志的数据采集。整体平台构建统一大数据，实现对标准化数据的分析及处理、存储、分析呈现。

  本次方案实用于工业企业的资产整体测绘、安全监测、威胁识别及溯源、态势感知呈现及省企对接服务。

  方案的建成，极具推广价值，这个方案的安全应用模式，主要体现在以下几个方面发挥效果：

  能够快速实施部署并达到既定效果，发挥试点区域先行示范的良好作用，为后续向全国

  解决工业互联网公司痛点需求，如对监管部门要求理解不透彻，对省企接口规范了解不深入，难以满足监管部门的合规要求。

  针对不同企业提供分类、分级差异化安全解决方案，开拓工业互联网服务客户市场，对分级分类工作提供全面保障，从企业安全全方位支撑工业互联网企业分级分类保障工作，建立实战化常态化安全技术手段，形成支持工业互联网安全发展合力。

  本方案将通过构建工业互联网企业全周期生命安全体系，从工业互联网企业互联网网络底层设计出发，采用多种先进的安全技术手段，为我国工业互联网的安全提供了有效的监测、预警、通报、协助处置能力。

  我国是制造业大国，加快建设和发展工业互联网，推动互联网、大数据、人工智能和实体经济深度融合，发展先进制造业，支持传统产业优化升级，具有重要意义。通过本方案的研发，建设工业互联网安全态势监测与感知技术手段，有效应对网络安全攻击，形成与工业互联网发展相匹配的安全保障能力，为我国深化“互联网+先进制造业”战略的顺利推进和推广保驾护航。

  工业互联网作是产业互联网新业态，建设企业级工业网络站点平台，有利于增强企业安全防护能力，为行业主管部门的安全技术保障提供支撑，为行业主管部门政策制定、安全监管、事中处置、事后溯源提供强有力协同共荣。

  方案产品支持丰富的探针类型，包括工控漏扫、工控防火墙、工控网闸、工控入侵检测、工控监测审计、工控主机卫士等，同时支持第三方设备接入，客户可根据实际网络、预算情况选择安全探针进行部署，灵活组合不同类型的探针。

  支持安全合规检测、异常攻击检测、非法外联检测、设备运行状态检测、内网异常访问检测、非法程序启动检测、APT攻击检测、恶意加密流量检测等。

  方案支持汇总各类安全数据，运用关联分析、用户画像、模型分析、威胁情报等安全技术，有效发现各类安全事件与风险隐患，识别漏报及误报行为，提升安全运维工作效率，形成实时监测、动态感知的整体安全分析能力。

  通过工业资产指纹识别技术，全面发现工业互联网资产，从工业设备、主机、应用、业务等多个维度建立资产库，对网内资产进行实时安全监控，呈现网络安全风险、脆弱性等安全信息，为客户提供强大的资产管理与安全监控手段

  快速实现省企对接，实现企业安全信息上报和省级平台威胁情报接收，并及时掌握对接效果，构建完善的省企联动、联防联控的安全防御体系。

  从资产的脆弱性、威胁和攻击等多个视角全面分析工业网络系统安全态势。通过人工智能和大屏可视化技术，直观呈现全网拓扑视图、告警趋势、实时告警等工业安全态势。

  专享组网模式将UPF和MEC从CT/IT信任域下沉到非信任域，业务通过切片进行逻辑隔离；

  核心网下沉在企业后，信任域发生变化。对UPF的N4接口以及BBU进行N1/N2接口的信令风暴监测，避免对云化核心网形成信令DDoS攻击

  新型物联网终端接入协议较为复杂，并且面临着代码漏洞，逻辑缺陷。攻击者可利用木马或者APT等方式入侵。

  网络仍会通过N6接口访问互联网，会收到来自互联网的网络安全攻击来自于利用物联终端漏洞的攻击。

  PLC通过5G将相关数据回传至管理平台，需要对PLC信令数据进行校验，防篡改。

  建设工业互联网完整基础资产库：工业互联网资产是其安全监测和预警的基础。本方案通过备案数据、主动探测、流量分析、特征识别等多种机制，形成覆盖全国各省的工业互联网资产库。

  构建工业互联色安全知识库：构建最全面最权威的工业特征和安全知识库，提升安全管理能力。基于工控专用协议的盲识别与逆向解析技术工控设备深度信息扫描技术：通过工控漏洞互联网深度扫描技术，结合CNVD工控漏洞库，对目标区域的工控接入互联网设备进行深度扫描，从而实现攻击威胁和风险隐患识别预警，有效提升工业互联网资产发现能力。

  大数据、云计算、人工智能关联分析技术：关联分析是对暗含攻击行为的安全事件序列建立关联规则。工业互联网网络安全公共服务平台可对网络攻击事件等建立关联。

  通过建立工信部、省、企业等多方联动监测和预警机制，实现安全威胁数据共享、知识库共享、应急能力共享的全方位联动响应。

  通过建设面向工业互联网公司的企业安全综合防护系统及态势感知，打造完整生态，将工业互联网企业、工业设备制造商、安全厂商、工创中心、监管机构联合起来，一同治理工业互联网安全问题。在技术层面重点突破工业互联网安全诊断评估、安全预警、安全加固等相关核心技术。

  安全规范的落地：根据工业互联网信息安全分级规范、信息安全要求、安全实施规范和安全测评的规范，结合北京亚鸿世纪科技发展有限公司多年的安全行业经验，形成工业行业安全管理规范知识库进行落地，为工业互联网企业提供技术标准、安全规划、安全咨询服务和安全培训服务。

  关键技术能力的提升：通过攻防演练与仿真技术、工业互联网资产信息探测技术、工业互联网未知威胁监测技术等技术提升工业互联网企业行业风险预警、安全诊断平台、安全加固的能力。

  工业互联网进行全过程安全事件监测、事件溯源和处置，是保障工业互联网安全稳定运行的关键。本方案以流量覆盖检测为基础，数据安全能力相结合，从安全事件杀伤链的多个维度，实现安全串并分析能力建设，实现对工业互联网的安全监测、事件的追溯定位，安全问题及风险的封堵处置全流程实现安全事件的闭环管理服务。

  通过方案的实施，解决了工业互联网企业防护手段集中于IT域，OT域检测防护手段缺失的问题；利用未知威胁深度检测分析技术解决了传统安全基于规则，难以防御未知威胁的问题；利用自动化数据清洗及归类模块，解决了企业IT设备众多，各自为政的数据孤岛无法产生价值的问题；构建统一数据中心，解决工业互联网企业海量数据研判分析效率低，响应时间长的问题，同时为态势感知呈现提供数据支撑，解决企业安全现状不可见，无法掌握全局安全态势；与省平台对接，满足分类分级等合规要求。具体实施效果数据如下：

  （1）通过多源异构数据汇聚技术和安全数据关联分析体系，实现18个省，21个工厂，56类设备，累计汇聚2千万条安全数据，实现安全数据的统一汇聚和关联分析，以及各厂区安全威胁实时检测。

  （2）基于100+工业协议深度解析能力，通过在指定厂区部署工业安全监测与审计系统，接入和分析生产网的工业协议（S7，MODBUS等）流量，实现工业协议的深度解析和工控威胁检测能力。在实际运行中，发现：工控异常报文、高危指令执行、非法设备访问等工控威胁合计1600余次，帮助企业及时响应和处置生产网威胁，保障生产安全、业务连续性。

  （3）基于大数据分析引擎和安全知识库，对接入的千万级安全数据来进行关联分析，还原攻击者的攻击路径和攻击行为，关联出受影响或被控制的主机，帮助客户快速定位攻击源。在实际运行中，发现某主机7天内，对内网47台主机发起密码暴力破解攻击，达到14333次，通过进一步关联分析和攻击溯源，发现该主机遭受到外部攻击者漏洞利用攻击，可能已被控制，企业根据风险预警，对该主机进行了及时处置。

  （4）帮企业管理和运营人员，解决海量安全事件问题，基于已积累的300+条安全告警规则，达到业内领先水平。在系统实际运行中，安全管理和运营人员从每天面对10万条安全事件，降维到只需要聚焦处理1000条左右的安全告警，极大提升了安全管理和处理效率，让真正的安全威胁得到优先、及时和有效处理。

  （5）从安全告警、资产漏洞、外部攻击、风险外联、横向渗透等多个视角，全方面分析和展示企业整体安全状态，同时在实际运行中，通过分权分域管理和灵活的账号配置，各分厂可掌握自己的安全态势，而集团可掌握21个厂区安全态势。

  （6）通过工业互联网协同联动一体机，在10个工作日内完成省企对接，满足分类分级合规要求。