1、方案背景与目标

1.1当前工业互联网领域的安全问题日趋严重

工业互联网涉及到很多与人民群众生活息息相关的重要基础设施，例如电力能源、轨道交通、石油化工、钢铁、有色、建材、新材料、民爆、矿业、工业母机和机器人等生产制造的关键环节和场景，关系到国计民生。随着以互联网+、物联网、云计算、大数据、人工智能等为代表的新一代信息技术与传统工业生产系统的加速融合，工业互联网在提升工业生产效率、加速向智能制造转型的同时，也打破了传统工业相对封闭可信的环境，导致病毒、木马和网络攻击等安全风险对工业生产和关键基础设施的威胁日益加剧，一旦受到安全攻击，不仅会造成巨大的经济损失，甚至会危及公众生活和国家安全。

因此保障工业互联网的安全可控是确保智能制造在生产领域实施的必要前提。工业互联网的信息安全问题已引起国家和社会各界的高度重视。

工业互联网安全是全局的、多层次、多维度的系统性安全。从分层结构的角度，安全威胁可分为设备层安全威胁、控制层安全威胁、车间层安全威胁、企业层安全威胁和协同层安全威胁；从体系架构的角度，安全威胁可分为设备层安全威胁、网络层安全威胁、应用层安全威胁、数据层安全威胁、控制层安全威胁、人员管理威胁和高级持续性威胁。当前工业互联网安全形势复杂，针对工业互联网的攻击仍处于高发态势，涉及到国家级网络公共基础设施和国计民生的重要信息系统，涵盖了病毒、木马、漏洞、流量攻击等多种类型，攻击门槛不断降低，攻击对象更加广泛，攻击手段复杂多样，攻击范围跨洲跨国，攻击目的利益驱动。当前信息安全威胁已经成为我国工业互联网产业发展的一个显著制约因素。较低的信息安全防护水平以及安全生产的重大责任使得数量众多的工业企业在互联互通、业务创新上非常谨慎，甚至有些企业谈“网”色变，可以说信息安全已经成为我国进行工业产业升级的实际阻碍。据国家工业信息安全发展研究中心监测显示，截至2022年底，我国各类低防护联网设备总数再创新高。其中，物联网、工业控制系统大量暴露，且极易遭受攻击利用，可能造成设备宕机、停产停工等严重后果，存在较大安全隐患。2022年公开披露的工业领域勒索事件共89起，较2021年增长78%。从受影响的行业来看，制造业首当其冲。具体而言，电子制造行业遭勒索攻击最多，占全部勒索事件的23.3%。工业和信息化部工业控制产品安全漏洞专业库统计发现，2022年工控漏洞数量再度攀升，共涉及缓冲区错误、代码问题、权限许可和访问控制问题等多种类型风险。

1.2智能工厂工业网络安全一体化防护能力严重不足

虽然我国在工业互联网的顶层设计，包括政策实施、标准制定等方面跟进较快，但由于我国工业互联网安全技术的研究起步较晚，与国外先进水平相比仍有较大差距。在工业互联网安全防护技术方面，我国除依托传统网络安全技术进行安全技术产品功能的拓展外，着重基于新兴互联网技术，开展新一代网络安全技术产品的研发创新。相关研究主要有：工业互联网边缘端点的防护技术、工业防火墙技术、工业互联网漏洞挖掘技术、渗透测试技术、安全态势感知技术等，多为针对某一种技术的分析及应用研究。

在工业互联网安全企业应用推广方面，企业基于安全认识和意识、安全成本预算等方面的考虑，主要采取分步建设的思路，缺哪补哪的外挂式建设思路，导致产品之间的融合和协同能力差，表现在如下几个方面：

·   网络安全流量、日志、漏洞、设备终端等安全数据采集不足，风险资产底数不清晰；

·   采集的网络安全数据割裂，存在“安全数据孤岛”现场，无法实现工业网络安全数据集中管理和关联分析；

·   安全智能分析能力不足，对勒索攻击、恶意程序等高级威胁攻击形态缺乏感知分析能力；

·   安全协同响应能力不足，各设备之间缺乏联动效应，应对威胁响应处置不及时。

据工业和信息化部等八部门对外公布了《“十四五”智能制造发展规划》，未来15年将通过“两步走”，加快推动生产方式变革：一是到2025年，规模以上制造业企业大部分实现数字化网络化，重点行业骨干企业初步应用智能化；70%的规模以上制造业企业基本实现数字化网络化，建成500个以上引领行业发展的智能制造示范工厂。二是到2035年，规模以上制造业企业全面普及数字化网络化，重点行业骨干企业基本实现智能化。对国家《“十四五”智能制造发展规划》规化要求，当前针对智能工厂安全防护解决方案及配套产品存在技术储备不足、测试验证不足、应用推广不足等多方面的问题，迫切需要针对当前智能工厂的上述痛点问题，打造贯穿工业网络安全防护的数据采集、监测、分析、预测到响应的全过程的安全能力，攻关工业网安全感知与智能分析、多攻击面协同防御策略、入侵响应控制等技术，构建集工业网络安全态势感知、风险评估、威胁预警、攻击阻断、网端联动、纵深防御于一体化的综合安全解决方案，为制造业的转型升级保驾护航。

2、方案详细介绍

2.1 总体技术架构

本项目主要针对当前工业网络安全数据采集不充分，分析不智能，响应不协同等痛点问题，研制面向智能工厂的网端联动一体化安全防护解决方案及配套产品，通过打造贯穿工业网络安全防护的数据采集、监测、分析、预测到响应的全过程的安全能力，攻关工业网安全感知与智能分析、多攻击面协同防御策略、入侵响应控制等技术，构建集工业网络安全态势感知、风险评估、威胁预警、攻击阻断、网端联动、纵深防御于一体化的综合安全解决方案，并以此为基础针对能源电力、轨道交通、石油化工、高端制造、汽车电子、生物制药、新能源等国计民生的广泛行业领域的网络特点，构建重点行业应用解决方案，进行应用推广。

智能制造工控安全整体解决方案以工业安全威胁发现与运营管理平台为核心，配合工控防火墙、工控监测于审计、工控主机安全卫士等安全防护设备，实现工业安全一体化落地。

方案体系架构如下图所示。

图1 智能制造工控安全整体解决方案总体架构

图2 智能制造工控安全态势感知平台效果图

2.2关键技术

（1）多维度智能高级威胁分析技术

基于人工智能对安全大数据多维度关联分析，不仅能够有效定位攻击行为的路径，还能发现威胁并预判趋势，对攻击者留下的任意线索进行多维拓展，使用大数据可视化手段，从不同视角、维度（如3D图、雷达图、拓扑图、热度图等）绘制出完整的知识链条，呈现攻击的完整过程，覆盖攻击的源头、手段、目标、范围等关键信息。

（2）指令级工业协议深度解析技术

本项目深度解析分析引擎能够对各类数据包进行快速有针对性的捕获与深度解析。对不同行业的工业系统，可以采取相应针对性的数据包探测机制和解析策略。在遵循工业系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，对传输的工控协议指令请求进行实时安全检测，对于不符合安全要求的操作指令及时进行拦截和报警，同时针对企业内部的私有协议提供定制化的功能支持，全面满足各行业内部工业系统的兼容性要求。

（3）工业通信行为智能分析技术

本项目基于工业通信协议深度解析，自学习工业网络通信关系、操作功能码和参数等，对正常通信行为建模，根据模型特定目标和标准，对通信关系，操作功能码以及定义的行为特征进行关联分析，自学习形成白名单规则库，通过对工控协议的深度解析识别，只允许匹配工业协议规则白名单的业务流量通过，阻断未知流量，可有效控制工控系统通信安全。

（4）网端协同一体化联动技术

研究通过建立知识库进行策略管理，快速生成应急响应预案，实现安全事件的预警、响应和处置，研究网端检测，形成网端协同的主动防御体系，实现控制闭环反馈。研究网端协同联动，根据实时场景自适应决策响应，全网关键设备被推送安全策略。

（5）基于大模型的智能安全运营技术

使用安全数据并运用迁移学习或微调技术，将大模型学到的知识应用到安全领域，提高模型在安全领域的性能。训练复杂深度学习模型，训练安全分析引擎实现安全事件辅助判断、安全处置建议自动生成、安全报告自动生成等功能，提升安全运营效率。

2.3 产品研发

2.3.1 工业互联网态势感知产品

工业互联网态势感知产品通过采集全网原始流量数据，结合云端的威胁情报，对海量安全数据进行挖掘和关联分析，对攻击、威胁、脆弱性、流量和行为等五大态势进行感知，生成全方位的安全全景视图。

工业互联网态势感知产品的具体能力包括：

·   支持勒索病毒等高级威胁分析；

·   支持网端一体化联动响应；

·   支持基于安全大模型的安全事件辅助判断、安全处置建议自动生成等智能化运营功能；

2.3.2 工控防火墙产品

工控防火墙是涵盖传统防火墙、工控网络流量智能学习、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。工控防火墙具体能力包括：

·   支持涵盖MODBUS/TCP，OPC Classic，OPC UA，OPC DA DNP3，S7，S7 plus，IEC104，EIP，Profinet等在内的各类主流工控网络协议深度解析分析。

2.3.3 工控监测审计产品

工控监测与审计系统是一款专门针对工业控制网络设计的安全监测、审计、告警和数据分析的软硬件一体化产品。通过特定安全策略快速识别出生产控制系统中存在的非法操作、异常事件、外部攻击行为并实时告警，并通过针对采集信息的统一存储、统一管理与大数据分析，为满足实时网络监测提供可靠数据支撑，帮助用户感知准确的网络安全态势。

工控监测与审计系统具体能力包括：

·   支持预置入侵检测规则库，规则库应至少支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、Web漏洞、工控系统漏洞、工控协议漏洞等规则分类；

·   支持通过对网络流量的深度解析、特征匹配，实现对工控网络等关键事件进行识别和告警；

2.3.4 工控主机安全卫士产品

工控主机安全卫士系统是一款针对工业控制系统工程师站、操作员站、服务器等主机系统进行外设管理、应用程序管理、注册表防护、文件保护等功能的工控安全产品。通过扫描主机运行进程，建立应用程序白名单基线，禁止非授权应用的加载及执行，保护关键目录及注册表，管理主机外设及移动存储权限，可对工控上位机及服务器实现全方位安全防护，保障用户业务连续稳定运行。

工控主机安全卫士具体能力包括：

·   支持USB移动存储设备安全防护；

·   支持阻断白名单以外的非法进程运行，并产生安全事件通知，记录非法进程行为。

3、代表性及推广价值

预期应用成效

面向智能工厂工业解决方案大幅提升智能工厂的安全防护能力，取得以下应用成效：

·   安全策略部署时间提升50%；

·   安全事件分析效率提升50%；

·   安全事件工单响应时间小于10分钟；

·   安全运营成本下降30%。