★北京双湃智安科技有限公司

1 项目概况

1.1 项目背景

目前紫光UNIPower工业互联网平台已经发布百余种工业应用服务和多个行业解决方案，齐聚超过200家生态合作伙伴，为TCL集团、新华三集团、人本集团、华亚智能科技等企业提供工业云服务和智能化改造的解决方案。

紫光UNIPower工业互联网平台服务特点包括以下几个方面：一是全面的设备连接与数据整合能力；二是强大的数据分析和工业算法模型构建；三是提供PaaS层四库四池，为企业和开发者提供工业应用开发所需的丰富资源服务；四是建设以“工业为基础、数据为核心、云平台为支撑”的安全能力，建立一个智能分析、协同防护、安全可控的工业互联网安全平台，做到事前预警、事中监控、事后分析响应，全面提升工业互联网平台安全管理与防护水平。

1.2 项目简介

项目历时6个月，按照统筹规划、务求实效、立足创新、方便扩展的建设原则，以IITM（工业互联网威胁检测平台）和ISOC（工业安全运营中心）为基础建设成符合紫光云引擎业务需求，并且与工业互联网平台相融合的工业互联网综合防护平台。

同时，通过部署探针类设备ITD（工业威胁探测器）和现有的工业安全系统搭建起完整的三级联动安全防护体系构架，提升内部工业安全防护能力的同时也让紫光工业互联网平台具备了对外提供工业网络安全业务的能力。

1.3项目目标

1.3.1 行业所面临的挑战

（1）工业互联网安全管理体系不健全

评估发现，大多数企业尚未结合生产应用场景建立适应工业互联网发展需求的网络安全管理制度，缺少针对工业互联网安全考核机制，安全责权不清，人员和经费投入有限，缺乏有效的督促和激励制度；缺少工业互联网安全评估制度，多数企业对工业互联网改造后需要保护的网络、设备、数据等保护对象及其应达到的安全要求掌握分析不足，对网络中已存在的漏洞、病毒不掌握；网络安全应急保障不完善，绝大多数企业没有针对自身工业互联网情况明确网络安全应急预案并开展演练。

（2）缺乏工业互联网安全保障技术体系

目前，多数企业工业互联网处于试点或改造阶段，未完全实现从传统单点、隔离工业控制系统到工业互联网的转变，更注重工业互联网场景可用性，未做到网络安全三同步要求；对网络区域打通后的网络隔离、安全监控、数据保护等安全问题考虑欠缺，工业互联网安全态势感知能力不足，缺乏专业安全防护设备与技术支持，缺乏工业互联网网络安全保障技术体系。

（3）工业数据安全保护措施不足

工业互联网企业普遍对工业数据保护缺乏有效管控防护措施。多数平台企业对数据安全的保护措施较欠缺，未对重要工业数据进行识别、分类分级；未采取加密存储和传输、定期备份等防护措施；未对存储、处理关键工业数据的设备的漏洞及时跟踪处理，许多设备存在如弱口令、命令注入、远程代码执行等常见漏洞，工业数据遭窃取、破坏的风险较高；70%以上工业互联网平台企业对云服务外包缺乏安全管控，缺少云端业务数据防护举措。

（4）工业互联网软硬件安全检测不足

工业互联网应用推广过程中，涉及传统工业控制系统与产品、工业互联网网关、工业App等，但相关软硬件产品安全检测不足，引入了安全风险。如许多工业App产品存在反编译和硬编码等安全漏洞，能够通过一些App直接调用生产系统控制功能，攻击者可通过篡改控制指令引发重大生产事故和财产损失。对部分企业工业App检测发现，App信息交互过程中存在数据明文传输、访问控制不受限等风险，可以通过App获取生产控制指令和工业生产参数，可能造成工艺生产流程泄露。

当前，工业互联网企业面临着安全风险，工业互联网安全防护技术手段尚需健全。为有效提升工业互联网服务商及其服务企业的网络安全防范水平，适应新技术潮流下安全治理的新挑战，需开展工业互联网平台安全监测与防护系统建设，依托自有网络资源和系统，围绕工业互联网服务商及其服务企业的安全需求，利用大数据、人工智能等技术手段，为工业企业等提供网络安全服务，实现本网络内的威胁溯源定位、安全防护、入侵防御、安全监测、风险诊断与研判、应急处置等服务，最大程度降低企业系统遭受网络攻击的风险。

1.3.2 项目建设目标

（1）形成边界安全、业务和应用安全、数据安全的工业互联网平台安全纵深防御解决方案，具备防攻击、防病毒、防入侵、防盗窃、防控制等安全防护能力。应用10类以上工业互联网平台安全防护核心技术及产品，实现抗DDoS、虚拟机逃逸、镜像篡改、数据窃取与篡改等安全能力。

（2）建设工业互联网平台安全综合防护系统，实现对平台接入终端、云基础设施、工业微服务、工业APP和防护设备的安全数据汇聚并进行综合分析，实现对接入设备、防护设备、应用服务和日志数据的统一管理。同时具备应用发布安全感知、攻击源画像威胁展示及设备应用连通监测的功能。

（3）建设紫光工业互联网设备安全接入系统，对设备接入平台进行统一认证。

（4）对平台安全综合防护系统进行实际应用评价，对各项指标进行数据采集，对标准的合理性和科学性进行反向验证，产生平台安全综合防护系统的测试用例，并利用市场渠道进行对外服务和宣传推广，推动平台功能不断完善，加快平台在广大制造业企业的落地应用与实践。

2 项目实施

2.1 系统架构和主要内容

建设工业互联网平台安全综合防护平台，系统架构如图1所示。该平台是针对工业互联网企业的一个开放互联的平台，可汇总多站点工业安全设备上报的威胁数据以及资产数据，以数据可视化为核心，为资产及其脆弱性、告警事件、处置情况和网络访问情况提供集中视图，为安全运营提供跨地域的即时可见性。在此基础上，增加工业设备与工业安全设备日志收集与分析、策略管控、数据上报等数据及产品管控功能，依托大数据分析，最终实现场景化运营。该平台有效提升工控网络在线安全监测能力，全面提高工业企业的风险预警能力，整体提升工业企业的安全运营能力和安全防护水平。

图1 系统架构

建设紫光工业互联网平台监测服务系统，如图2所示，以资产探测和威胁发现为基础，以威胁分析和安全保障为核心，以事前预防、事中控制和事后响应为目标，支撑监管部门和安全服务运营商对工业互联网网络空间与工业互联网企业提供资产探查、漏洞发现、风险评估、威胁推送、工业现场检查、工业应急响应等安全服务，填补网络安全监管部门执法监督管理以及区域服务中心在线安全服务的空白，丰富安全监管部门管理手段以及安全服务运营商的运营手段，帮助安全监管部门和安全服务运营商构建全天候、全方位的安全监测和威胁感知能力，强化通过自动化工具开展实时安全监测、风险评估、威胁推送、预警通报等安全服务，提升安全监管部门权威性、安全服务运营商安全建设与运营的规范化程度，提高工业互联网企业的安全管理能力，降低工业互联网企业因安全事件导致的资产和人员损失，保障工业互联网企业安全生产。

图2 紫光工业互联网平台监测服务系统

2.2 技术方案

工业互联网平台安全综合防护平台由工业互联网平台安全综合管理系统（DZ-SOCP）、工业安全运营中心系统（SP-ISOC）和工业互联网数据模拟器系统（SP-DSS）组成。如图3所示。

图3 工业互联网安全综合防护典型部署

该平台的威胁检测分析系统和运营管理系统，依托“九天”情报系统和“哈莫韦”工业网络安全实验室，针对工业互联网行业特点，建立从基础信息采集到数据分析的一体化威胁情报分析。通过搭建威胁监测和分析管理平台，将“九天”系统的威胁分析能力和“哈莫韦”工业网络安全实验室的研究成果，有效串联至工业安全态势感知平台各业务环节，为工业安全态势感知平台的安全稳定运行提供坚强支撑。

图4 工业互联网平台防护能力模型

2.3 应用场景分析

工业互联网平台安全综合防护平台是针对工业互联网企业的一个开放互联的平台。该平台可汇总多站点工业安全设备上报的威胁数据以及资产数据，以数据可视化为核心，为资产及其脆弱性、告警事件、处置情况及网络访问情况提供集中视图，为安全运营提供跨地域的即时可见性。

直观地体现总体安全态势和潜在风险，主要包括态势分析、地图呈现、下钻、设置模式和统计信息。其中态势分析内容包括风险等级资产分布、区域资产分布、行业资产分布、漏洞类型占比、行业风险排名、资产趋势、风险趋势、被篡改应用站点行业统计、应用站点漏洞行业分布、应用站点流行漏洞排名、问题站点区域分布、问题站点、RTSP弱口令摄像头、资产趋势、区域资产分布等以及利用地图直观展现辖区应用站点安全隐患的分布情况，并支持利用导航地图技术结合站点地址经纬度数据定位。可视化包括视图安全管控视图和安全领导视图：为安全运营和实验室人员提供安全可视化视图，支持安全事件调查、取证、溯源和处置等功能联动；为管理层领导提供安全可视化视图，支持安全建设成果可视化、安全威胁统计可视化等数据，支持安全决策。

2.4 安全应用模式

在众多的用户需求中，安全保障的基本需求是用户最根本的利益所在。双湃智安通过安全运营平台，围绕资产、脆弱性、威胁和事件四个要素为客户提供一系列安全服务，帮助用户构筑远程（24×7小时）对客户侧安全事件和相关数据源安全监控和威胁检测、漏洞（弱点）评估与管理、IT安全设备和工具管理、安全事件响应等能力。

图5 紫光工业互联网平台综合防护整体架构

2.5 实际应用效果

（1）系统监测和防护

实现1000个工业互联网业务与基础信息系统的监测和防护。

（2）设备采集

实现100万台以上工业联网设备采集入库。

（3）漏洞监测

累计完成100万次以上工业联网设备和系统漏洞检测。

（4）为企业用户提供安全防护

服务对500家企业用户网站、系统、设备进行安全监测。

（5）开发环境安全系统

防止源代码泄密，防范勒索病毒，满足开发环境和生产环境30台服务器防护要求。

3 案例亮点及创新性

（1）构建在线监测网络，直观掌控安全态势

基于多源数据支持安全威胁监测以及安全威胁突出情况的分析展示。利用大数据技术进行分析挖掘，实时掌握网络攻击对手情况、攻击手段、攻击目标、攻击结果以及网络自身存在的隐患、问题、风险等情况，对比历史数据，形成趋势性、合理性判断，为通报预警提供重要支撑。该模块支持对网络空间安全态势进行全方位、多层次、多角度和细粒度感知，包括但不限于对工业互联网平台、重点行业、重点单位、重点网站，重要信息系统、网络基础设施等保护对象的态势进行感知。该模块主要包括态势分析和态势呈现。

（2）实现多维风险监测，增强威胁发现能力

汇聚网络侧和企业侧安全监测和态势感知平台的共享信息，结合国家态势感知平台的共享信息，构建基础资源库、知识库和威胁信息库等信息资源；结合专业机构的认定结果和处置建议，有针对性地开展日常信息运营，包括威胁分析和资产审核，提升安全威胁信息共享能力，实现工业互联网综合态势可视化，完成与国家平台信息共享和联动。

（3）建立协同联动体系，提高事件处置效率

以安全数据共享、安全监测业务协同、安全处置协同联动为核心，基于工业互联网安全监管机构、工业互联网企业、运营商与工业企业，构建以工信部、省级监管机构、工业企业、运营商为主的协同监测和多级联动管理架构，实现工业互联网安全监测、预警通报、应急处置、处置溯源和信息共享，形成上下联动、政企协同的工业互联网安全管理系统

（4）基于业务的工业安全运营

实现被动到主动的转变：根据本地数据结合云端大数据及威胁情报，结合服务过程中发现的工业安全事件，针对可能发生的攻击行为提前做好响应对策，并通过专业化的保障服务，使监管具备处理突发事件的技术实力，提高安全事件响应与处理能力。

安全运营团队围绕态势感知平台系统，通过资产梳理、安全事件监测、流量深度分析、事件通报、应急处置、重要时期安全保障等一系列安全措施，协助省监管部门更全面、更准确、更高效地行使工业安全监管职能。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》