工業(yè)互聯(lián)網(wǎng)典型安全解決方案案例匯編2021

I 2 3 3 3 4 4 工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型基礎設施建設和融合應用”，工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023年）》、《“十四五”智能制造發(fā)展規(guī)2020年7月，《工業(yè)互聯(lián)網(wǎng)+專項工作組2020年工作計劃》明展，增強安全保障水平等。2021年1月，《工業(yè)互聯(lián)網(wǎng)創(chuàng)新行動計劃（2021-2023年）》提出要深化“5G+工業(yè)互聯(lián)網(wǎng)”，支持工業(yè)企業(yè)建設5G全連接工廠，推動5G應用從外圍輔助環(huán)節(jié)向核心生產(chǎn)環(huán)節(jié)滲透，加快典型應用場景推廣。2021年4月，《“十四五”智能V轉型、智能化升級。到2025年建成120個以力的工業(yè)互聯(lián)網(wǎng)平臺，加快工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G、千兆光網(wǎng)等方面，算力網(wǎng)絡、5G、邊緣計算、區(qū)塊鏈、隱私計算等新技術與工案案例匯編(2021)》，報告匯編了業(yè)內(nèi)解決工業(yè)互聯(lián)網(wǎng)安全的新挑戰(zhàn)和突出問題提供有益參考，共同促進本報告的參編人:張峰、田慧蓉、陶耀東、柯浩仁、李江力、于11.工業(yè)互聯(lián)網(wǎng)安全概述2019年全國兩會報告指出“加強人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型基礎設施建設和融合應用”，工業(yè)互聯(lián)網(wǎng)作為“們生產(chǎn)生活帶來重大而深遠的影響。據(jù)中國信息通信研究院預計，2020年中國指導企業(yè)建立監(jiān)督檢查、信息共享和通報、應急處置等工業(yè)互聯(lián)網(wǎng)安全管理制提出到2023年底，工業(yè)互聯(lián)網(wǎng)與安全生產(chǎn)協(xié)同推進發(fā)展2明確重點推進5G在工業(yè)互聯(lián)網(wǎng)等領域的深度應用。8月，國務院總理李克強簽漏洞風險的工業(yè)APP為714個，幾乎97%的工業(yè)APP存在安全風險32.典型安全解決方案2.1案例一：某城市軌道交通工業(yè)互聯(lián)網(wǎng)安全一體化解決方4廣播系統(tǒng)（PA）、閉路電視系統(tǒng)（CCTV）、乘客信息系統(tǒng)（PIS）、自動售檢基于26個站點和綜合監(jiān)控的安全建設，范圍覆蓋安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)領域，但是，企業(yè)面臨的幾大問安全題需要系統(tǒng)性的解決；一是安全管理問題，5數(shù)據(jù)平臺，建立工業(yè)互聯(lián)網(wǎng)云平臺，并與國家/省級工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺進6工業(yè)互聯(lián)網(wǎng)、人工智能、5G等新興技術，將城市軌道交通的數(shù)字化、網(wǎng)絡化、7安全管理機構建設包括安全生產(chǎn)網(wǎng)、內(nèi)部管理網(wǎng)、外部服務網(wǎng)和管理網(wǎng)489主機安全及管理系統(tǒng)（EDR）對終端計算機進行集中管理方式，統(tǒng)一軟件下堡壘機對接入互聯(lián)網(wǎng)的終端計算機采取控制措施，包括實名接入認證、IP地址終端單元（RTU）進而控制部分或整個聯(lián)網(wǎng)控制系統(tǒng)，對參與無線通信的所有用并對日志進行綜合審計，確保日志信息記錄完整準確，日志留存時間不低于6通過APT威脅監(jiān)測與預警平臺發(fā)現(xiàn)威脅并預警，結合其它監(jiān)測探針（如AINTA管控。根據(jù)建立的應急預案，組織相關部門定期進行工業(yè)互聯(lián)網(wǎng)安全應急演練，（3）工業(yè)互聯(lián)網(wǎng)安全管理體系、安全技術體系、安全運營體系構建一體化解決2.2案例二：面向5G+工業(yè)互聯(lián)網(wǎng)的“智安5G”安全保障方中國移動通信集團有限公司信安中心聯(lián)合中國移動通信集團安徽有限公司共同打造“智安5G”體系化安全解決方案，面向工業(yè)互聯(lián)網(wǎng)、醫(yī)療、交通等垂直行業(yè)等開展5G安全服務，可從整體上提升5G安全保障能力，切實保障國家5G安全，在新時期、新形勢下促進工業(yè)、醫(yī)療、交通、智慧城市等領域智能發(fā)展，有助于提升5G+垂直行業(yè)安全自主可控能力，促進5G安全產(chǎn)業(yè)發(fā)展，加快5G融合應用是促進經(jīng)濟社會數(shù)字化、網(wǎng)絡化、智能化轉型的重要引擎?；蛟炝酥悄茈娋W(wǎng)、智慧工廠、智慧港口、智慧礦山、智慧醫(yī)療、智慧交通等5G中國移動沉淀多年的安全專家經(jīng)驗積累及安全能力積構建“智安5G”體系化安全解決方案，重點從數(shù)據(jù)安全、應用安全、網(wǎng)絡基于痛點需求，中國移動拉通沉淀多年的安全積累，從自適應風險評估據(jù)庫的訪問行為進行審計和防護。同時采用VPN加密手段，5G專網(wǎng)數(shù)據(jù)走VPN系統(tǒng)正常運轉。對于優(yōu)享/尊享型用戶，UPF/MEC部署在園區(qū)，需要重點考慮南邊界安全防護措施，如在UPF/MEC前端部署虛擬防火墻、IPS、WAF等設備，對力切入，構建面向5G應用場景的差異化安全防護能力，滿足不同5G+行業(yè)客戶引入超融合技術，在共享MEC、專享/尊享MEC側構建分布式安全云底座，智安5G”解決方案以云化的集中式安全能力平臺為基礎，提供集中運營、遠程集中維護的能力。在專享/尊享、共享邊緣部署云化的分布式安全底座，為護網(wǎng)重保、資產(chǎn)測繪、風險評估、全流量監(jiān)測與溯源、抗DDOS、網(wǎng)絡防勒索、護網(wǎng)重保、資產(chǎn)測繪、風險評估、全流量監(jiān)測與溯源、抗DDOS、網(wǎng)絡防勒索、基于中國移動5G存量市場，業(yè)務部門+安全售前專家共同為客戶提供基于基于如下圖所示的5G端到端五點備份可靠性保障方案，可以提高5G專網(wǎng)方案描述：在SMF上配置負荷分擔模式，平時園區(qū)UPF負荷分擔處理業(yè)方案描述：ToBSMF具備主備模式功能的前提下，在SMF上配置主備模勢和沉淀多年的安全產(chǎn)品積累，打造面向5G應用場景的安全消費視圖，形成運營商特色的5G安全超市。三是構安全能力中心和基礎中心提供執(zhí)行各類安全措施的安全防護能力組件，為設施安全保障。安全能力中心基于虛擬化安全組件構建，并通過軟件定義安全安徽移動借助“徽盾”團隊多年安全運營、維護經(jīng)驗優(yōu)勢，階段性為安徽資產(chǎn)100余個、整改MS17-010等高風險漏洞50余個、發(fā)現(xiàn)并調(diào)整弱口令（含web）20余個、配置不合規(guī)設備70余臺，使安徽合力對園區(qū)資產(chǎn)有了清晰的掌客戶安全運營中心、安全編排中心和安全數(shù)據(jù)中心構成平臺化安全支撐能全保障方案應用至安徽合力智慧園區(qū)，5G安全云服務生態(tài)平臺目前主要部署合力叉車園區(qū)UPF近源側。安徽合力是我國規(guī)模最大、綜合實力和經(jīng)濟效益車間的網(wǎng)絡化、數(shù)字化轉型，為企業(yè)的MES系統(tǒng)提供數(shù)據(jù)支撐。項目自2020落地項目受到地方及集團公司領導高度重視，水利部黨組書記、時任安徽騷擾詐騙電話、“呼死你”電話、偽基站、用安全、業(yè)務安全、內(nèi)容安全等多個領域，形成了全國“一盤棋”2.3案例三：智慧礦山工業(yè)互聯(lián)網(wǎng)安全防護方案平煤神馬集團工業(yè)互聯(lián)網(wǎng)依托集團辦公網(wǎng)，形成了40G帶寬為主干、各單位10G帶寬接入的網(wǎng)狀城域網(wǎng)絡，集團級涵蓋集團人、財、物、產(chǎn)、供、銷、目前平煤神馬集團積極推進工業(yè)互聯(lián)網(wǎng)平臺信息安全防護建設和工業(yè)互聯(lián)操作員站、工程師站等服務器沒有病毒防護軟件，USB接口沒有進行相應管控。調(diào)度人員或運維人員使用帶有病毒的U盤插入主機中，造成整個網(wǎng)絡感工業(yè)信息安全解決方案設計遵循GB/T25070滿足工業(yè)控制系統(tǒng)等級保護安全技術設計構建在安全管理中心支持下的計算環(huán)），工業(yè)控制系統(tǒng)的每一個層級針對不同的信息安全要求分別配置相對應的防a)區(qū)域劃分隔離：根據(jù)等級保護要求的區(qū)域劃分原則將控制系統(tǒng)按照不同b)網(wǎng)絡節(jié)點保護：對各安全區(qū)域的邊界節(jié)點進行隔離防護，并對各安全域c)主機可信終端防護：控制系統(tǒng)上位機主機加裝基于可信計算的終端防護d)通信數(shù)據(jù)加密：控制系統(tǒng)的關鍵數(shù)據(jù)如身份驗證數(shù)據(jù)等進行通信加密和e)集中審計管控：在安全管理區(qū)配置集中審計和管理平臺，對系統(tǒng)安全策OPC采集服務器與數(shù)據(jù)采集器之間部署工業(yè)防護效果。并在集團對外業(yè)務如集團OA、集團視頻會議系統(tǒng)、集團網(wǎng)站等互聯(lián)網(wǎng)發(fā)布應用前端部署WEB應用防火墻，降低SQL注入、跨站腳本等能，支持與組態(tài)上位機的加密通信，同時協(xié)議棧經(jīng)過優(yōu)化后具備對DDos攻優(yōu)化遠程訪問，更新升級了集團SSLVPN系統(tǒng)平臺，新系統(tǒng)的投入使紀委廉政檔案、招標備案審計等新的VPN用途。提高了非集團辦公網(wǎng)接入設置安全專網(wǎng)，在安全專網(wǎng)中部署工業(yè)安全管密芯片作為硬件基礎，采用輕量級雙體系可信計算技術，是國內(nèi)首款主動防護國內(nèi)首套具備自主知識產(chǎn)權的工業(yè)嵌入式安全可信技術平臺HOLLiTrust，并基寧波和利時信息安全院有限公司作為TC124/TC260等標委會和行業(yè)重要聯(lián)統(tǒng)集成、應用軟件開發(fā)、IT運維服務、信息安全建設為一體的全方位、全過程IT服務體系。同時開展企業(yè)內(nèi)部“三網(wǎng)”運營和集團外部互聯(lián)網(wǎng)接入、互聯(lián)網(wǎng)2.4案例四：基于數(shù)字孿生的工業(yè)網(wǎng)絡安全評估方案快速識別出資產(chǎn)的屬性信息（設備類型、廠商、品牌、型號、服務、協(xié)較脆弱的工控設備可能會造成宕機等嚴重后果。常見的主動探測工具有nmap,通過LLDP包廣播出其設備信息，則無法獲取設備型號，固件版本號等關鍵屬性PLC是關鍵基礎設施中的基礎性設備,其安全涉及到整個系統(tǒng)的安全穩(wěn)定運行。但是,隨著兩化融合的不斷加深以及工業(yè)4.0的推進,工業(yè)控制系統(tǒng)在也日益翻新,各種木馬和病毒變體數(shù)量不斷攀升,威脅工業(yè)控制系統(tǒng)的穩(wěn)定運行和人員生命財產(chǎn)安全。隨著技術的不斷進步,PLC在向著智能化的方向發(fā)展,嵌入式系統(tǒng),同時將原來位于串行鏈路上的通信協(xié)議轉移到TCP/IP之上,為LinuxRT、QNX、Lynx、VxWorks等。這些操作系統(tǒng)廣泛的應用于通信、軍事、嵌入式系統(tǒng)歷來都會使用大量專有組件,并沒有與其他系統(tǒng)共享太多共同電路,系統(tǒng)更新一般只能由生產(chǎn)廠商完成,因此其打補丁的過程就更加緩慢。常見的協(xié)議設計和描述中的安全問題較協(xié)議實現(xiàn)中的安全問題可能要容易的多,也可時代的發(fā)展,廠級監(jiān)控的實時性、可靠性需求增高,工業(yè)通信總線通訊速率的不斷提升,從RS232/485到工業(yè)以太網(wǎng)再到工業(yè)實時以太網(wǎng),工控網(wǎng)絡中大量在當今看來保障用戶安全的必要認證條件,所以我們常見的工控網(wǎng)絡協(xié)議的安全性一直都不高。加上工控協(xié)議的特性是面向命令、面向功能、輪詢應答式,攻擊者只需要掌握協(xié)議構造方式,并接入到了工控網(wǎng)絡中,便可以通過協(xié)議對目寫入數(shù)據(jù)等,然而其中一部分高級或協(xié)議約定的自定義功能往往會給用戶安全帶來更多的威脅,如Modbus協(xié)議的從機診斷命令將會造成從機設備切換到偵能將會導致PLC程序運行停止,在大多數(shù)的情況下用戶在上位機進行組態(tài)時僅會使用協(xié)議的某些讀取數(shù)據(jù)功能和固定范圍、固定地址的寫數(shù)據(jù)功能,而協(xié)議棧漏洞庫結合了ATTCK攻擊鏈,為漏洞檢測系統(tǒng)和工控安全評估模塊提大可能的包含對應的PoC庫，漏洞編號，漏洞描述，cvss評分，危害評分，攻基于規(guī)則和字典的算法；2、基于傳統(tǒng)機器學習的HMM/MEMM/CRF；3、基于深度學習的RNN-CRF/CNN-CRF;4、目前大家用的比較多的注意力模型/遷移學習/半1、數(shù)據(jù)統(tǒng)計，我們可以先對樣本中出現(xiàn)頻率最多的數(shù)據(jù)進行單后提取出來，這部分詞應該是在工控領域出現(xiàn)比較多的熱詞，直接分析是否為3、建模，我們可以利用Bi-LSTM模型來訓練我們的樣本，Bi-LSTM是一種分析人員可以人工參與進行確認，top1正確匹配的則認為智能漏洞發(fā)現(xiàn)系統(tǒng)沒何防御活動時，利用ATT&CK分類法，參考攻擊者及其行為就可以總結出針對其特有的防御方法。本分系統(tǒng)充分利用ATT&CK攻擊技術知識庫優(yōu)勢，結合真實的流量信息、樣本信息、網(wǎng)絡拓撲、硬件節(jié)點等各種信息綜合分析，基于ATT&CK通過算法進行篩選和計算，并按照ATT&C結果進行漏洞匹配，再根據(jù)每個設備和節(jié)點的漏洞信息與ATT&CK攻擊技術和戰(zhàn)網(wǎng)絡側溯源：C2CommandandControl；Whois、DNS解析記錄、域名注冊保護，風險管理，物理保護，系統(tǒng)和通信保護，系統(tǒng)和信息完檢查和管理審核日志，開展安全意識活動，建立配置基線，授予對已驗證身份絡和系統(tǒng)監(jiān)控，實施高級電子郵件保護等40多項安其中si代表了每個能力域得到的分數(shù)，wi代表了能力域的權重比，n表示能力域的數(shù)目。ssurvey即為問卷所得分數(shù)。正得分，得到最終的問卷得分ssurvey。攻擊鏈路根據(jù)信息安全問卷或者網(wǎng)絡拓撲得到可能的N個攻擊入口及每個根據(jù)業(yè)務咨詢或者觀察得到的對業(yè)務安全直接相關的K個最終影響設備及 計算從某個入口到某個最終影響設備的總通信路徑和攻擊可達路徑Nattck， Ntotal 因子λ,最后算出總的打分SLink Ntotal和Nattack計算采用DFS(深度優(yōu)先)算法實現(xiàn)：每一組又由一些度量指標組成?；A度量指標反映了一個漏洞的固有特征件設備或一個網(wǎng)絡資源。衡量一個脆弱組件之外的弱點的潛在影例如，一個易于使用的漏洞利用工具包的出現(xiàn)會增加CVSS分數(shù)，而一個官同時在理想情況下，設備數(shù)為n，Sbase=，Snode=Sbase 同一個設備在具有K個不同的漏洞的情況下M為k階矩陣，Snode=Sbase? |M?Sbase| 最后綜上所述，總體的打分為：S=SCVSS?WCV Wsurvey鍵控制設備的安全漏洞，研究針對控制系統(tǒng)的攻擊方法、攻擊效果和防護措施，AB、GE等主流廠商，對象多樣化，全面覆蓋多種工業(yè)控制系統(tǒng)，滿足工業(yè)企業(yè)現(xiàn)在孿生網(wǎng)絡中分析檢測威脅流量的能力基于數(shù)字孿生構建的高仿真工業(yè)網(wǎng)絡保護網(wǎng)段環(huán)境1:1在另一網(wǎng)段進行復制還原，從而使得真實環(huán)境、孿生環(huán)境并“孿生系統(tǒng)”，孿生系統(tǒng)一般相比于其孿生的系統(tǒng)，也在其靠前代碼等。供多種配置策略，用戶可以選擇需要檢測的關鍵行為，如:工藝關鍵事件檢測、IP無流量事件檢測等。非字符型協(xié)議的操作能夠實時阻斷，字符型協(xié)），核心交換機處部署centre服務器，用于采集核心交Centre服務端接收探針發(fā)送的設備屬性數(shù)據(jù)，更新拓撲圖中節(jié)點的屬性信（2）攻擊向量識別：漏洞庫映射得到可能本方案采用基于攻擊視角的工業(yè)企業(yè)網(wǎng)絡安全評估方案對寧波愛柯迪股份入庫發(fā)貨等全套生產(chǎn)流程的數(shù)字化，2018年獲得了ROI中國工業(yè)4.0杰出貢（4）通過將識別到的設備資產(chǎn)與平頭漏洞庫進行智能化（5）結合平臺的工業(yè)企業(yè)網(wǎng)絡攻擊模型，對企業(yè)網(wǎng)絡進行攻擊鏈評估，繪控制權限，進而訪問核心交換機下的工控設備，工廠中有部分西門子的PLC設備,SiemensSIMATICS7-300模塊存在未授權，通過權限繞過執(zhí)行CPU攻擊漏洞。攻擊者可構造特殊的應用層數(shù)據(jù)報文，導致對PLC進行任意的啟?？刂?（6）根據(jù)企業(yè)設備資產(chǎn)漏洞情況、攻擊鏈滲透情況、受攻擊的影響美國國防部支持的研究組織MITRE提出了ATT&CK攻擊知識庫，匯聚了來自持攻擊視角的安全體系驗證和評估。因此，本方案擬在研究美國MITER組織的ICSATT&CK模型的基礎上，建立我國自有的工業(yè)網(wǎng)絡攻擊知識庫，以支持基于以得到工控CVE里提到比較多的工控領域的命名實體，比如廠商命名實體CP1L-EM30DT-DCP1L-EM30DT安全標準的構建對于工業(yè)企業(yè)構建安全防護體系和能力具有重要的指導作360持續(xù)輸出全球領先的高級威脅情報，累計發(fā)現(xiàn)40余個針對中國的境外APTAI中臺、數(shù)據(jù)中臺能力，借助數(shù)據(jù)智能引擎以及強大工控網(wǎng)絡安全防護實力，廢物治理行業(yè)數(shù)字化解決方案，探索互聯(lián)網(wǎng)技術與工業(yè)場景的深度2.5案例五：某鋼鐵企業(yè)鋼鐵冶金工業(yè)互聯(lián)網(wǎng)協(xié)同設計云平有限公司，同時組建南京鋼鐵集團。2000年9月，南鋼股份在上海證券交易所（2）全面構筑鋼鐵冶金行業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全云平臺，確保工業(yè)設計環(huán)境中本方案在工業(yè)互聯(lián)網(wǎng)體系架構的基礎上應用了基于工業(yè)控制系統(tǒng)的防護手2）終端虛擬化桌面子系統(tǒng)包括傳輸加密、介質(zhì)加密、密鑰產(chǎn)生和使用、容錯備3）終端桌面安全子系統(tǒng)：通過遠程監(jiān)控、補丁推送、軟硬5）文件透明加密子系統(tǒng)：采用驅動層透明動態(tài)加解密技術，在操作系統(tǒng)和磁盤P2P技術構建的先進的虛擬安全域/網(wǎng)技術，根據(jù)權限和安全策略動態(tài)的將被訪1）移動設備授權使用：外出攜帶文件資料及筆記本電腦、U盤等移動辦公2）移動設備離線管控：通過外出流程審批后，管理人員進行授權，對客戶3）文檔云平臺：項目實施后，既能確保項目有條不紊地開展，又能保證商4）文件防勒索病毒：通過智能識別應用進程，來杜絕非法的程序對電子文5）屏幕水?。涸谏婕肮旧虡I(yè)秘密的重大項目會議上，經(jīng)常需要向客戶展2）數(shù)據(jù)庫加密子系統(tǒng)：對數(shù)據(jù)庫中的數(shù)據(jù)進行加密處理，即使某一用戶非①事務管理日志管理事務管理日志管理②tB+樹B+樹④$⑤n ①密鑰生成算法KenGen(s)：輸入一個安全參數(shù)s，生成一個密鑰對，包含公鑰pk和私鑰sk。②密文生成算法PEKS(pk,w)：輸入接收者的公鑰pk和一個關鍵字w，生成可以檢索關鍵字w的密文c=PEKS(pk,w)。③陷門生成算法Trapdoor(sk,w)：輸入接收者的私鑰sk和一個關鍵字w，生成關鍵字w的陷門Tw。4）用戶異常行為檢測子系統(tǒng)：總體功能分為三大部分：審計數(shù)據(jù)采集、分同時按照安全策略和行為規(guī)則對數(shù)據(jù)進行分析；管理平臺是安全審計的Web管5）數(shù)據(jù)安全隔離子系統(tǒng)：采用用戶行為采集技術，用戶行為分析技術和數(shù)（3）此外，在軟件的開發(fā)方面我們將實施嚴格的軟件工程管理，組織多家（4）最后，我們還將真正實行切實的產(chǎn)業(yè)化運行機制及可持續(xù)發(fā)展的技術的發(fā)展戰(zhàn)略。從2002年率先推出填補國內(nèi)空白的自主知識產(chǎn)權數(shù)據(jù)加密產(chǎn)品，到全國首發(fā)第一套央企商業(yè)秘密保護解決方案和數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS這一整以數(shù)據(jù)安全為核心，自主可控的加密防護技術為基礎，研發(fā)“敏捷DGS”2.6案例六：某鋼鐵企業(yè)工控安全建設方案近年來，工業(yè)控制系統(tǒng)爆發(fā)出的漏洞也呈高速增長趨勢，截至2019年11名、占地10平方公里，業(yè)務涵蓋現(xiàn)代物流、國際貿(mào)易（2）關注點被放在如何降低建設成本以及生產(chǎn)網(wǎng)絡自身的可靠性上）；（3）大部分網(wǎng)絡系統(tǒng)的劃分是根據(jù)生產(chǎn)業(yè)務Modbus協(xié)議是一種串行通信協(xié)議，是Modicon公司（現(xiàn)在的施耐德電氣SchneiderElectric）于1979年為使用可編程邏輯控制器（PLC）通信而發(fā)表。（2）工作人員、第三方供應商或外維人員在生產(chǎn)廠（2）手機自身存在的安全隱患通過無線網(wǎng)絡進入工業(yè)生產(chǎn)網(wǎng)，對生產(chǎn)網(wǎng)造（3）默認賬號口令容易被暴力破解，一旦被27條產(chǎn)線，根據(jù)各廠區(qū)實際情況部署工控安全審計平臺與集團工控安全生態(tài)運對各個分廠的各個產(chǎn)線的工業(yè)控制數(shù)據(jù)進行收集，通過安全審計“1對1”備作為整個平臺方案的底層數(shù)據(jù)節(jié)點，將收集工控設備的通訊數(shù)據(jù)、協(xié)議數(shù)據(jù)、支持服務器、工作站、網(wǎng)絡設備、安全防護設備等監(jiān)測對象進行數(shù)支持采集服務器、工作站的用戶登錄、操作信息、運行狀態(tài)等事件支持采集安全防護設備的用戶登錄、配置變更、運行狀態(tài)、安全事具有根據(jù)參數(shù)配置，對采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口等信息，通過統(tǒng)計分析獲取企業(yè)的安全風險和態(tài)勢，指導資產(chǎn)管理和安全告警l平臺完全符合等保對安全管理中心和關鍵基礎設施保護對安全管理保護環(huán)節(jié)的要求，提供全流程的安全管理基礎功能，使安全防護和管理工作規(guī)范化流程化，生成多種安全報告，減少用戶在安全管理流程響應，合l平臺采用組件化開發(fā)技術，是專注于安全管理和安全分析的應用套件開發(fā)平臺，可以根據(jù)用戶需求靈活調(diào)整，針對實際生產(chǎn)環(huán)境，定制最優(yōu)的l平臺對采集的各類安全數(shù)據(jù)、態(tài)勢要素進?綜合分析評判，從多維度和指標化的形式來呈現(xiàn)企業(yè)全網(wǎng)整體安全運行態(tài)勢和資產(chǎn)、漏洞、攻擊以及管理等專題態(tài)勢，并進行可視化展示，幫助管理層輔助決策和執(zhí)行層展示與應用層是安全態(tài)勢呈現(xiàn)層和系統(tǒng)人機交互層，為各類安全管理人員支持服務器、工作站、網(wǎng)絡設備、安全防護設備等監(jiān)測對象進行數(shù)支持采集服務器、工作站的用戶登錄、操作信息、運行狀態(tài)等事件支持采集安全防護設備的用戶登錄、配置變更、運行狀態(tài)、安全事具有根據(jù)參數(shù)配置，對采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口號，指示燈情況，運行狀態(tài)、IP地址、物理地址等有效信息。幫助用戶第一時行，建議建立的制度包括《IP地址申請和使用管理制度》、《聯(lián)網(wǎng)資產(chǎn)注冊管.IP/MAC綁定：IP與MAC地址綁定狀態(tài)分為不綁定和綁定，綁本方案通過動態(tài)采集流量行為日志，結合大數(shù)據(jù)算法和應用的場景規(guī)則庫對全網(wǎng)進行追蹤溯源、告警、事件、脆弱性、威脅、資產(chǎn)多維度的安全分析，全網(wǎng)進行追蹤溯源、告警、事件、脆弱性、威脅、資產(chǎn)多維度的安全分析，并2.7案例七：化纖制造工業(yè)互聯(lián)網(wǎng)平臺下數(shù)字化轉型建設方團自動化、數(shù)字化、智能化、一體化的進一步升級，打通過北京威努特技術有限公司與該集團數(shù)字工廠相關負責人員溝通和現(xiàn)場另外，集團主廠區(qū)擁有上位機等工控主機200臺左右，操作系統(tǒng)主要為Windows7、Windows10系統(tǒng)，有個別WindowsXP系統(tǒng)。另外還擁有數(shù)采網(wǎng)關服本方案根據(jù)化纖類制造企業(yè)在數(shù)字化轉型過程中生產(chǎn)網(wǎng)絡中衍生的安全現(xiàn)環(huán)境”。l工業(yè)控制系統(tǒng)在硬件產(chǎn)品在設計之初就很少考慮安全問題，導致安全漏前控制系統(tǒng)上位機采用的Windows7和Windows10操作系統(tǒng)也存在大量的安全l應用軟件存在漏洞由于生產(chǎn)系統(tǒng)的控制軟件多為定制化產(chǎn)品，在軟件開全保護產(chǎn)品很難保障其安全性，特別是國外的主流控制系統(tǒng)廠商的軟件已經(jīng)暴l通過分析多個網(wǎng)絡安全事件中惡意攻擊主要源于對多種網(wǎng)絡入口接入點擊發(fā)生時，除了已知的威脅，更深層次的攻擊大部分是高級持續(xù)性威脅攻擊運行（行為激活/內(nèi)容“引爆”）各種文件，分析文件行為，識別出未知威脅，為結束對老舊Windows系統(tǒng)技術支持，老版本系統(tǒng)安全性不再獲得保障，這意味主廠區(qū)的工控上位機USB等外設端口沒有進行有效管控，根據(jù)該集團主廠區(qū)工業(yè)生產(chǎn)網(wǎng)絡的安全現(xiàn)狀并結合工控系統(tǒng)運行環(huán)境相對絡數(shù)據(jù)及軟件運行狀態(tài)，建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，在生產(chǎn)網(wǎng)的核心交換機與一期聚酯匯聚交換機、3期聚酯匯聚交換機、CP1由于工控網(wǎng)絡的封閉性和工控網(wǎng)絡中運行的軟件和程序一般情況下都是很用性和高效性，在工業(yè)防火墻上開啟異常報文檢測與異常流量檢測功能，防止l豐富的工控協(xié)議支持，智能自學習操作指令碼、參數(shù)范圍等，更好針對不能出現(xiàn)斷網(wǎng)事故，所以工業(yè)防護墻自身具備Bypass功能，保證物理硬件在出通過本地威脅情報檢測和云端威脅情報追溯；通過實時下發(fā)惡意IP、惡意的黑名單數(shù)量不少于20萬條；通過聯(lián)動提交IP、域名、URL、文件或文件的非標準協(xié)議檢測；支持SMTP行為異常檢測、可疑SMTP源IP檢測、垃圾郵件支持對網(wǎng)絡內(nèi)部的掃描探測、入侵攻擊、橫向滲透等行為進行檢測；支持SQL注入攻擊檢測、Bash漏洞攻擊檢測、心臟出血漏洞攻擊檢測、協(xié)議動態(tài)識別、無效SSL證書檢測、無效OCSP回應檢測、網(wǎng)絡應用攻擊檢測、Shellcode支持協(xié)議分析及文件還原，包括PE格式文件還原、TXT格式文件還原、網(wǎng)絡威脅感知系統(tǒng)采用了人工智能的機器學習/深度學習技術，基于大數(shù)據(jù)建立卷積神經(jīng)元網(wǎng)絡CNN深度學習模型通過內(nèi)置的下一代入侵檢測引擎，Multi-AV防病毒引擎和威脅情報檢測技網(wǎng)絡威脅感知系統(tǒng)單臺最大帶寬處理能力可達10Gbps,文件處理性能最高絡中。工控主機衛(wèi)士配套使用的安全U盤可以有效保障數(shù)據(jù)的安全，能夠根據(jù)略、審核策略、安全選項、IP安全、進程審計、系統(tǒng)日志等。通過開啟密碼復開啟SYN攻擊防護、進行進程審計等措施最大限度保護工作站、工業(yè)現(xiàn)場業(yè)務服務器操作系統(tǒng)大部分采用靜態(tài)口令認證方式對用戶身份進USB-KEY為用戶身份的唯一標識，當用戶登錄系統(tǒng)時需要插入USB-K拔除USB-KEY，安全內(nèi)核會自動鎖定服務器桌面。除持有授權USB-KEY的用對不同安全級別的主客體制定讀寫的基本訪問控制策略。這種訪問控制是基于量，實現(xiàn)終端/服務器對于已知/未知病毒、木馬、攻擊程序等惡意代的重要數(shù)據(jù)文件、配置文件等進行Hash運算得出摘要值，賦予標記并制定安全l支持對老舊主機安全防護，對控制系統(tǒng)使用的微軟、Linux等操作系統(tǒng)除等操作，支持資產(chǎn)的自動發(fā)現(xiàn)，可實時發(fā)現(xiàn)接入工業(yè)網(wǎng)絡的工控設備、IT設日志內(nèi)容包括：操作者、操作IP、操作時間、操作指令、處理方式等。細審計管理員audit：授權日志，文檔操業(yè)協(xié)議不支持。統(tǒng)一安全管理平臺為用戶提供SDK接口，便于用戶對私有ModbusTcp、S7等一系列常見控制協(xié)議，對于私有協(xié)議、尤其是特目前集團已開展包括主廠區(qū)在內(nèi)的8個廠區(qū)進行了數(shù)字化平臺建設的生產(chǎn)獲國際自動化協(xié)會ISASecure認證企業(yè)之一和首批國家級專精特新“小巨人”軟件著作權、103項原創(chuàng)漏洞證明等核心知識產(chǎn)權。積極參與制定28項網(wǎng)絡安全國家、行業(yè)標準，受邀出色完成新中國70周年慶典、中共十2.8案例八：某鋼鐵企業(yè)工控安全建設解決方案網(wǎng)絡采用同網(wǎng)段組網(wǎng)，使連接到網(wǎng)絡內(nèi)的PC或操作站都能訪問網(wǎng)絡內(nèi)的PLC、2、各分廠（如動力廠、焦化廠、燒結廠、煉鐵廠、轉爐廠、熱軋廠、冷軋廠、5、鋼鐵冶金企業(yè)生產(chǎn)網(wǎng)操作站、工程師站等缺乏必要的主機安全防護措施。鋼在管理信息網(wǎng)與生產(chǎn)控制網(wǎng)之間部署工業(yè)安全網(wǎng)閘實現(xiàn)邏輯隔離與數(shù)據(jù)的從工控安全策略主文檔中規(guī)定的安全各個方面所應遵守的原則方法和指導性策深度理解工控系統(tǒng)廣泛使用的Modbus、DNP3、IEC104、Profinet、OPC（2）強化網(wǎng)絡的邊界防護和訪問控制策略，確保網(wǎng)絡不通區(qū)域之間互聯(lián)互（3）提高對信息網(wǎng)的入侵和異常行為監(jiān)測和發(fā)現(xiàn)能力，實現(xiàn)安（7）按照GB/T22239-2019要求，完成整體信息化安全建設務商，2019年支撐江蘇省科技廳可省公安廳攻防演練獲得，并獲評江蘇網(wǎng)絡安全攻防演練優(yōu)秀獎。2020年獲評工業(yè)信息安全應急服務支撐單位、江蘇省工業(yè)信息安全服務支撐機構和江蘇省通信管理局網(wǎng)絡安全技術支撐單位。2021年入選中國電子工業(yè)標準化技術協(xié)會工業(yè)控制系統(tǒng)信息安全防護能力推進分會首批得長三角數(shù)字經(jīng)濟創(chuàng)新案例企業(yè)獎、江蘇企業(yè)研發(fā)機構創(chuàng)新大賽決賽一等獎、貴州省工控安全精品項目競演賽一等獎，連續(xù)三年入選安全牛-中國網(wǎng)絡安全創(chuàng)2.9案例九：某縣智慧交通北斗大數(shù)據(jù)安全解決方案江、洞庭湖黃金水道北通巫峽，南極瀟湘，東至東海。2019年經(jīng)華容縣政府批l信息安全管理體系：人力資源安全、資產(chǎn)管理、訪問控制、物理和環(huán)境密、數(shù)字簽名與驗證、數(shù)字信封封包與解封、HASH運算和隨機數(shù)生成簽名服務器等為密鑰管理層提供密鑰生成服務；為密碼服務層提供密碼密鑰備份、密鑰恢復和密鑰發(fā)行等密鑰全生