应用场景 | 筑牢工业互联网安全防护屏障

以数字赋能高质量发展，智慧的因子正渗透到城市的角角落落、方方面面。近年来，山东以应用场景为牵引，全域推进新型智慧城市建设，赋能城市数字化治理，构筑全民畅享的数字生活新图景。

今天数仔为大家带来的智慧应用场景是——筑牢工业互联网安全防护屏障

山东省通信网络保障中心

该项目于2021年6月29日上线运行

场景打造的背景

工业互联网是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态，为工业乃至产业数字化、网络化、智能化发展提供了实现途径，是第四次工业革命的重要基石，对推动新型工业化发展有重要作用。加快发展工业互联网，促进新一代信息技术与制造业深度融合，是加快制造强国、网络强国建设的关键抓手，是深化供给侧结构性改革、促进实体经济转型升级，持续推进可持续发展的客观要求。

工业互联网安全形势日趋严峻。由于工业设备系统联网化增加网络攻击路径，工业漏洞利用门槛低威胁企业生产安全，工业应用场景复杂增加网络安全防护难度，网络安全产业对新型工业化方向支撑力不足，网络安全管理制度缺陷潜藏风险隐患等，目前对于工业领域的网络攻击威胁已经深入工业现场和生产一线，工业领域已成为网络攻击“重灾区”。工业领域遭受网络攻击不仅会影响工业生产、社会经济运行，甚至对国家安全也会造成严重威胁。针对工业互联网的新型网络攻击技术不断衍生，攻击的精准度也在大幅提升，工业互联网安全防护形势可谓日趋严峻。

当前工业互联网安全监管中存在“底数不清”“风险不明”“技术手段落后”“企业安全意识参差不齐”等典型问题，建设专业化安全监测技术手段，摸清工业互联网联网资产、监测企业安全风险、支持企业风险整改，改善行业安全防护水平，是感知整体安全态势的必然需求。具体包括四个方面：

（1）面向本省工业互联网相关企业和用户，开展资产监测，通报企业上报、技术监测，发现联网工业互联网对象，摸清底数。

（2）针对联网对象，开展工业互联网安全在线巡检、风险预警。利用省级平台集中化技术优势，实现更精准、更实时的安全监测预警。

（3）在重大活动保障或重大安全事件发生时，针对影响工业互联网安全的恶意资源，可借助技术手段依法依规开展网络威胁处置工作。

（4）面向本省管理部门，提供工业互联网安全态势分析、监管数据支撑，掌握重大安全风险及存在风险的企业信息，感知宏观安全态势。

场景打造的目的

以工业互联网互联网相关企业为监管重点，围绕工业互联网设备、控制、网络、平台和数据等多层次要素，建设国家、省、企业三级工业互联网安全监测与态势感知平台，形成工业互联网资产识别、监测预警、态势感知、威胁处置等技术能力，打造上下贯通、政企协同、多方联动的安全监测技术体系，实现工业互联网安全态势感知、风险预警和信息共享，提升工业互联网安全保障能力，推动新型工业化实现高质量发展，护航制造强国和网络强国建设，进而赋能中国式现代化征程。

场景建设成效

构建覆盖设备安全、控制安全、网络安全、应用安全、数据安全的安全防护体系,具备信息共享、监测预警、态势感知、应急响应、攻击防护等功能,提高工业互联网识别和安全监测发现能力,实现对工业云平台、工业 APP、企业内外网等工业互联网领域的全覆盖,加强与国家技术平台对接,引导重点企业建设安全综合防护系统,形成国家、省、企业三级平台联动体系,有效提升工业互联网安全保障能力。

（1）识别工业互联网企业

通过流量监测及企业报送数据，累计监测到工业企业30420家，其中规模以上企业12830家。

（2）发现工业互联网资产

可识别工业互联网联网资产，建立资产信息库。能够识别的资产种类包括但不限于工业互联网平台、联网设备系统、标识解析系统、工业APP、工业数据等。监测到省内工业互联网资产15.83万个，识别到设备（工控设备、物联网设备、车联网设备）739.01万个、平台（含物联网平台、车联网平台）948个。

（3）识别安全风险

具备隐患识别和威胁识别能力。其中隐患识别主要发现联网资产安全漏洞，威胁识别主要指发现网络攻击安全事件。累计监测到工业互联网企业安全漏洞19463个；安全事件10.01亿余次。

（4）针对风险预警

联合工业企业、工业互联网平台企业、标识解析企业等相关企业，建立线上或线下对接，向相关企业提供安全风险预警信息。对安全风险较为严重的企业，共下发852个《网络安全风险告知书》，督促其进行有效排查与整改。

（5）协同威胁处置

对接省内基础电信运营企业，建立威胁处置机制，具备向基础电信企业下发处置任务，利用基础电信企业移动互联网恶意程序监测处置系统、僵木蠕监测处置系统已有的网络安全手段共处置恶意资源3324个，其中恶意IP2298个、恶意URL12个、恶意域名14个。

（6）分析安全态势

基于企业上报数据、安全监测数据等，进行交叉关联和大数据分析，从企业、行业、地域等多个维度分析工业互联网风险特点、重点企业和安全态势，宏观把握整体安全态势。

（7）共享信息资源

建立多级联动信息共享体系，实现国家、省、企业三级平台间的安全监测数据上报和威胁信息共享。并对于安全事件数量较多的地市，通报相关地市工信局，共同指导监督相关企业认真整改，切实做好安全防护工作。累计上报国家平台基础资源数据4363.78万条、活跃资源数据112.30亿条、威胁信息数据2.80亿条。每月编制《工业互联网安全态势情况通报》，报送部省领导，省委网信办、省工信厅、省大数据局等有关部门，为其提供工业互联网安全态势分析、监管数据支撑。

（8）助力企业安全生产

赴德州等市开展调研，了解企业网络安全工作中存在的痛点、难点，协助企业现场排查网络安全风险。并鼓励企业与安全平台对接，以便平台提供更有力的风险预警和威胁处置支撑。创新安全性

应用创新

（1）主动与被动相结合的工业互联网识别和安全监测发现能力

采用被动流量监测还原与主动扫描探测相结合的方式，实现工业互联网资产、漏洞、安全事件的监测发现能力，从而弥补了单一技术发现的技术局限性，全面提高工业互联网领域的监测发现能力。主动发现能力全面性弥补被动流量还原通信信息有限性（资产存活不等于有网络通信特征，主动发现可构建通信特征，全面揭示漏洞和风险）。被动流量还原弥补主动发现资产范围不确定性（可探测感知资产范围有限，安全监测预警能力有限）。

（2）监测预警工业能力覆盖范围

通过主动与被动的结合方式，实现覆盖工业云平台、工业APP、企业内网、企业外网的覆盖技术能力，形成云端、管道侧、终端的纵深空间的防御能力，形成工业互联网领域的全覆盖。

资产全面识别、探测与攻击规则命中，能有效预警敏感文件读取、SQL注入攻击、弱口令、扫描探测、代码执行等各类安全事件和威胁行为。

（3）监测预警事件广度覆盖

通过云、管、端范围的全覆盖结合主动与被动发现的技术手段，形成监测预警在各领域的全覆盖，任何一点的事件都将通报全局，形成全局的威胁情报分析与预警能力。

借助监测引擎及蜜罐的部署，一方面能够全面监测预警事件，一方面沉淀大量样本、规则、攻击源信息方便指导联动处置更准确预警。

（4）研判分析能力

根据工业互联网的特点构建工业互联网的沙箱、蜜罐，从而提取针对工业互联网的病毒、木马、攻击工具、攻击手法的研判分析能力，提供在工业领域的病毒研判、漏洞研判能力。

通过全球蜜罐的广泛部署，一方面收集有效攻击源数据，分析攻击行为指导提取规则，一方面分析攻击组织、溯源分析和反渗透发现更多控制端和威胁情报数据，夯实知识库。

（5）工业互联网资产漏洞库

形成全面的工业互联网资产库、漏洞库，实现基于工业互联网资产与漏洞的全面预警能力。

平台将持续跟进资产特征提取和更新，保证检测能力持续性、先进性，借助CNVD平台运营经验，加速特征覆盖的全面性和完整性。

（6）情报分析

通过对工业互联网的安全监测，结合资产特征、漏洞特征，以及沙箱、蜜罐的研判分析能力，形成针对工业互联网领域的情报分析能力，针对具体事件可实现攻击溯源、样本同源性分析、攻击团伙分析等具体分析模型，为工业互联网全局提供预警。

公司威胁情报和黑产溯源知识库沉淀，有效提高了情报关联分析能力。

（7）工业互联网态势展示可视化技术

数据展示功能适用于平台各功能的可视化部分，可视化功能在保障稳定可用的前提下，期望做到形象直观、交互性好、可自定义查询条件等，并借助可视化图表的观赏性和大数据展示概括能力，帮用户挖掘、理解网络安全数据。

对数据进行可视化是一个层层递进的过程，包括了数据转化、图像映射、视图变换三个部分：数据转化是把原始数据映射为数据表，将数据的相关性描述以关系表的形式存储起来；图像映射是把数据表转换为对应图像的结构，图像由空间基及属性进行标识；视图变换则是通过对坐标位置、缩放比例、图形着色等方面来创建能够可视化的视图。此外，用户与可视化系统的交互也是必不可少的，用户通过调控参数，完成对可视化过程的控制。

技术运用

基于云SAAS架构部署实现，获取运营商、工业云平台、标识解析企业的流量，采用DPI深度报文解析技术，针对工业互联网相关协议进行研究，并提取特征，形成针对工业互联网流量检测的DPI能力。通过沙箱样本研判技术，实现对工业互联网领域的恶意程序样本进行深入的研究分析，构建工业互联网领域的研判引擎。通过研究工业互联网资产特征形成针对工业互联网资产的主动探测扫描引擎，实现主动发现能力。通过蜜罐技术模拟工业互联网环境诱捕攻击，研究针对工业互联网的典型攻击手法、攻击工具等内容。采用大数据存储与分析技术实现对以上各种途径不多的原始数据的存储与分析，并提供高效的任务执行处理能力，最终通过数据可视化技术研究落地符合工业互联网安全监测业务的态势感知展示平台。

（1）工业互联网DPI流量还原分析技术

通过被动流量监测的方式，采集工业互联网相关流量，对工业互联网流量进行深入研究，实现工业互联网的各类协议流量还原特征提取，产生工业互联网的流量监测能力。本平台在管道侧采用深度安全DPI设备支持精细粒度协议分析，共支持400 种协议分析能力（工业协议超过100种），平台的设计不仅强调架构的合理，功能的丰富，同时也通过合理的软件设计，合理的技术手段实现性能优化。采用基于网络、协议、编码、流的组合特征，能够识别超过6100种互联网及工业互联网应用。另外，平台辅以人工手动丰富识别能力，保证最新工控协议、应用的识别，系统识别能力保持持续在线升级。

（2）研判沙箱引擎技术

基于样本的行为检测技术，结合检测对象及样本的基础特征数据，构建机器学习模型，从而实现高效的分析工业互联网中的病毒和入侵事件。针对恶意APP检测研判，建立多维度的特征扫描机制，构建SHA1、软件包名、类名字节码、特征字、资源名、软件签名、字符串等多态特征广谱扫描机制和方法，提高对家族病毒的识别，对恶意软件多态特征进行精准快速定位。

（3）基于工业互联网资产特征的主动探测能力

基于工业策略的主动探测能力基础之上，研究工业互联网资产设备的通信机制，提取工业互联网资产特征，形成针对工业互联网资产探测能力，对全网工业互联网平台及设备进行扫描探测，从而实现主动发现的监测能力。并综合CNVD漏洞平台运营（含工业漏洞）特征提取能力为有利补充，保证扫描策略库及时有效更新。

（4）基于工业互联网的蜜罐捕获技术

通过蜜罐技术，构建具有工业互联网设备特征、漏洞、通信协议的互联网开放的蜜罐，吸引针对工控设备的恶意攻击和威胁，并通过自学习不断深入模拟工控设备，当所部署蜜罐设备遭受到恶意攻击后，记录攻击模型和特点发出警告进行记录。不仅能够及时快速地发现工控网络中存在的威胁等，还能对攻击类型、攻击方式进行记录，获取攻击地址、地理位置等做出相应预警，为工控系统的安全提供了一层有力保护。

（5）大数据存储分析技术

采用大数据存储与分析技术，对获取的数据进行数据交换，并标准化入库、处理存储，提供高速数据存取性能，基于大数据分析引擎构建工业互联网安全态势感知的分析模型，通过在线计算、离线计算等方式实现对获取数据的关联分析，形成总体态势并输出分析结果。

（6）数据可视化技术

采用数据可视化技术对各类数据构建展示能力，通过借助图形化手段，设计清晰有效的传达与沟通信息方式。采用美学形式与功能需要相结合的设计思想，采用直观地传达关键的方面与特征，从而实现对相当稀疏而又复杂的数据集的深入洞察，最终达到既能准确传递所需要的数据，又不失美感的进行全面展示。

（7）云计算技术

基于以IaaS PaaS为主的云计算平台架构，实现底层计算、存储资源的统一分配、调度，提升资源利用率，实现上层应用功能、微服务的灵活扩展。

应用安全

（1）全方位网络安全保障

采用必要的安全技术与防护策略，加强应用在系统安全、运行安全、网络安全、数据安全等方面的安全防护能力，具备边界访问控制、病毒木马监测、系统漏洞扫描，日志安全审计以及统一权限管理等业务功能，确保应用在数据获取、系统访问过程中的机密性、完整性、可控性，有效防范和处置各种潜在威胁。

应用具有严格的安全检测、安全防护、安全审计能力，能够针对网络攻击进行有效的安全检测、防护、应急响应能力，包括但不限于以下安全要求：

①具备完善的安全防护技术手段，并定期进行安全评估与防护加固；

②数据传输、存储进行加密处理，并对数据进行严格的授权访问管理；

③应用的操作可进行审计记录，审计日志不可篡改；

④具备数据和系统的灾备和快速恢复能力。

（2）基础资源的统一化运维支撑管理

提供网络管理及日常运营支撑功能。能实现基础资源的统一化管理，具备对系统运行状态的全面监测，对探针设备的网络管理、升级维护功能，系统运行异常的及时告警，在系统故障时能准确定位。

（3）形成省内的工业互联网行业安全体系标准，规范安全生产

平台为山东省通信管理局、山东省工业和信息化厅、山东联通、工业互联网企业提供不同服务能力。一是为山东省通信管理局、工业和信息化厅等提供监管手段和决策依据，及时督促企业进行数据安全整改，提高企业数据安全责任意识；二是为山东联通基础电信运营企业监测发现网络内存在的数据安全风险，保障其网络安全，能够为其客户提供绿色的通信网络；三是服务于企业数据安全，帮助其实时感知网络安全风险，减少或避免企业由于数据安全造成的经济损失或影响其安全生产等。

（4）支持按照行业内不同的业务应用场量提供相应的安全服务保障，带动工业业务健康发展

平台设计充分考虑了工业互联网数据安全的全方位需求。平台满足监管单位、运营商、工业联网企业等不同数据安全场景应用需求。例如，对于监管单位，提供了数据安全监管功能，帮助其全面掌握工业互联网的数据安全状况，为政策制定和监管提供支持；对于运营商提供数据安全技术手段用于监测、发现其网络内存在数据安全风险，为其客户提供数据安全服务能力，稳定其现有客户以及拓展新客户市场；对于工业互联网企业，提供了数据安全监测和预警功能，帮助企业及时发现和处理数据安全隐患。

利用公网主动探测、被动诱捕、流量分析等技术手段实现工业互联网网络、工业互联网设备、工业互联网平台、工业APP等数据进行安全监测，通过大数据技术实现全省范围内基础运营企业关键网络节点（互联网专线数据、DNS数据、移动分组域恶意代码监测与处置系统数据、IDC/ISP数据、城域网数据等系统数据）、工业互联网平台企业、工业标识解析企业、联网工业企业的流量、安全数据、工业互联网基础数据（工业互联网平台、工业互联网APP、工业互联网设备等），工业和信息化部ICP/IP/域名信息备案数据、山东省市场监督管理局工业企业数据汇聚及整合，利用云计算、大数据、机器学习、深度学习等前沿技术实现各类数据的处理、关联分析，实现省内工业互联网安全态势感知。

经济效益

（1）节省工业互联网安全态势感知平台建设投资

充分利旧省内基础电信企业关键网络节点的安全监测系统(移动互联网恶意程序监测处置系统、僵木蠕监测处置系统、IDC/ISP信息安全管理系统)的硬件资源，节约了建设成本，同时为省级工业互联网安全态势感知平台提供工业互联网安全资产识别、安全事件监测、安全事件处置、安全态势感知等能力，为省内工业互联网提供安全监管、安全防护，保障为国家级平台的提供安全监管支撑。

（2）节约信息重复采集的行政成本

由于现有工业互联网安全监管缺乏信息共享和交换机制，各安全监管政府部门为满足自身业务管理的需要，每年都要安排大量的人力财力和物力来采集相关的信息。一方面，监管信息被重复采集，如互联网原始流量、安全日志数据等，产生了大量不必要的重复劳动，而且每次采集都需要消耗大量资源，如各类采集设备、存储设备等，造成巨大的资源浪费;另一方面，由于各安全监管政府各部门都根据自身的管理工作的特点来采集信息，而且相互之间信息缺乏交换，造成各部门掌握的信息既不一致也不准确，需要大量的人力和时间来进行核对，通过本工程建设可以实现信息资源“一次采集，共享应用”节约行政成本。省级平台的建设，可以通过一个平台 多类数据 多类工业互联网安全监测分析组件，实现各安全监管政府部门提供数据共享、能力共用等业务需求。

（3）帮助工业互联网企业的节省安全防护成本

本着工业互联网企业无需专门投资工业互联网安全态势感知分析平台的情况下，通过山东省工业互联网安全态势平台的安全云服务能力为工业企业、标识解析企业、工业互联网平台企业为企业提供安全态势感知应用平台与监测，实现企业内工业互联网安全防护。

社会效益

（1）社会安定的基础保障

工业互联网安全防护是维持工业互联网企业安全的基础保障，一旦出现严重的工业互联网威胁攻击事件，小的方面来说会对一个工业互联网企业造成人员生命安全、经济损失，大的方面来说会对整个工业互联网行业造成严重的破坏、不可挽回的局面，从而影响了社会安定。

（2）维护国家工业互联网安全，促进城市发展

是全面落实《国务院关于深化“互联网 先进制造业”发展工业互联网的指导意见》部署要求的成果，平台加快山东省构建工业互联网安全保障体系，监测到工业企业30420家，其中规模以上企业12830家；监测资产安全漏洞19436个，网络攻击安全事件10.01亿余次。对643家风险较为严重的企业编制852份《网络安全风险告知书》，并提供技术支撑服务，协助企业及时整改。共处置恶意IP、URL等恶意资源3324个，涉及网络攻击告警2.6亿次。提升工业互联网安全保障能力，促进工业互联网高质量发展，加快推动现代化经济体系建设，为制造强国和网络强国战略的实施保驾护航。

（3）带动相关产业经济发展的社会效益

能够带动工业互联网安全相关产业的增长。如：提高工业互联网防火墙、网络安全日志采集设备、工业互联网异常流量分析设备等安全系列的工业互联网安全设备的生产规模，推动产业经济发展。