1.1.1  方案概述

今年，工信部印發組織開展2022年工業互聯網安全深度行活動，旨在全國范圍內深入實施工業互聯網企業網絡安全分類分級管理工作，要求各地工信廳、通信管理局聯合第三方專業機構制定實施方案5月30日前報送工信部，并在11月底前開展本地深度行活動。

針對深度行活動提到的“分類分級管理”內容，湖南省工信廳搭建了省級湖南省工業互聯網安全綜合服務平臺，安恒全程主導并參與平臺建設。2022年5月20日，在湖南省工信廳和省通管局聯合舉辦“工業互聯網安全深度行活動”中平臺正式發布，預示整個湖南省的分類分級管理工作將在該平臺的支撐下進行深度推廣，為工業企業用戶提供服務。

1. 方案背景

（1）工業互聯網是數字經濟高質量發展的國家戰略

工業互聯網以數字化、網絡化、智能化為本質特征的第四次工業革命正在興起。作為新一代信息技術與制造業深度融合的產物，通過對人、機、物的全面互聯，構建起全要素、全產業鏈、全價值鏈全面連接的新型生產制造的新型生產制造和服務體系，是數字化轉型的實現路徑，是實現新舊動能轉換的關鍵力量。為搶抓新一輪科技革命和產業變革的重大歷史機遇，世界主要國家和地區加強制造業數字化轉型和工業互聯網戰略布局，全球領先企業積極行動，產業發展新格局正孕育形成。

2019年10月18日，習近平總書記向“2019工業互聯網全球峰會”發來賀信。習近平指出，“當前，全球新一輪科技革命和產業革命加速發展，工業互聯網技術不斷突破，為各國經濟創新發展注入了新動能，也為促進全球產業融合發展提供了新機遇。中國高度重視工業互聯網創新發展，愿同國際社會一道，持續提升工業互聯網創新能力，推動工業化與信息化在更廣范圍、更深程度、更高水平上實現融合發展”。 同時，習近平強調，“深入實施工業互聯網創新發展戰略，系統推進工業互聯網基礎設施和數據資源管理體系建設，發揮數據的基礎資源作用和創新引擎作用，加快形成以創新為主要引領和支撐的數字經濟”。習近平關于工業互聯網的系列指示體現了對工業互聯網發展的高度重視，彰顯了推進工業互聯網發展的緊迫性和重要性。

（2）工業互聯網安全是其發展的重要保障

工業互聯網包括網絡、平臺、安全三大體系。其中，網絡體系是基礎，工業互聯網將連接對象延伸到工業全系統、全產業鏈、全價值鏈，可實現人、物品、機器、車間、企業等全要素，以及設計、研發、生產、管理、服務等各環節的泛在深度互聯。平臺體系是核心，工業互聯網平臺作為工業智能化發展的核心載體，實現海量異構數據匯聚與建模分析、工業制造能力標準化與服務化、工業經驗知識軟件化與模塊化，以及各類創新應用開發與運行，支撐生產智能決策、業務模式創新、資源優化配置和產業生態培訓。安全體系是保障，建設滿足工業需求的安全技術體系和管理體系，增強設備、網絡、控制、應用和數據的安全保障能力，識別和抵御安全威脅，化解各種安全風險，構建工業智能化發展的安全可信環境。

（3）工業互聯網安全在轉型過程中面臨的挑戰

隨著工業互聯網的發展，IT與OT不斷融合，使原有的工廠內外網絡邊界變的模糊，由于產業模式的創新發展，工廠內外的信息傳遞更加頻繁，這將使黑客更容易入侵到工廠內網絡，攻陷生產設備和系統，對生產造成巨大損失。工業控制系統信息安全目前面臨著信息安全與工控系統自身安全融合的要求。目前工業互聯網安全產品還處于產品階段的 1.0 版本的時代，與目前 IT 信息安全和 IT 系統的適配程度相比還有比較大的差距。工業控制系統安全產品是與業務應用相關度比較高的產品。目前的工業互聯網安全產品體現在與業務的融合度不夠，在深度檢測與業務相關的攻擊行為的時候往往乏力，缺乏創新性的安全檢測思路，防護思路往往缺乏真正有效的方法。另一方面，隨著工業領域中的一些新的應用，如工業云、工業大數據等的普及，工業控制的業態也必將發生一些變化。而信息安全技術與新的業態融合時，必然需要與業務進行融合。而目前工控信息安全技術的融合還沒有完全展開，需要在技術方向和應用上有所突破。

2. 方案簡介

（1）需求分析

政策驅動需求：政策文件的下發，為各地方區域級工業信息安全監管部門具有明確的監管工作指導意義，分別從如何對企業分類分級，如何做好分類分級的安全防護，以及如何做好相關安全監測預警工作給出了較為明確的工作行動目標。

業務驅動需求：形成監測預警、信息通報、協同應急處置的閉環管理機制；形成工業企業分類分級安全監管閉環管理機制；形成面向工業企業提供安全服務的生態體系。

（2）解決方案

方案將工業互聯網安全“監測預警與協同應急管理”、“工業互聯網企業安全合規管理”和“工業互聯網安全支撐綜合服務”三大業務應用融為一體，以“工業互聯網安全公共服務”為核心能力，為工業互聯網安全監管部門和工業企業提供“雙向賦能”。打造省、市工業互聯網安全公共服務生態體系，逐步形成集約化工業互聯網安全運營服務中心。

圖8-1  集約化工業互聯網安全運營服務中心

3. 方案目標

（1）提升、完善全省工業互聯網威脅感知能力

工業互聯網數字化轉型過程中，業務應用場景也越來越多，因此相應的網絡安全監測手段也需要進行補充和技術提升。本次建設需要提升全省工業互聯網企業安全整體態勢感知、分析能力，實時掌握更多、更全面的各類工業互聯網場景下的安全動態，在發生工業互聯網安全事件時，也無法進行精準預警。為實時掌握全省工業互聯網安全情況及動態，在發生安全隱患時可以進行快速、精準預警，需依托大數據技術建立全省工業互聯網安全感知分析能力，實現精準匹配、重點分析，并提供多個維度可視化的大數據分析結果，為研判、決策工業互聯網安全保障工作提供有效支撐，提升對關鍵目標的管控、風險識別的水平。

（2）建立省級工業互聯網安全應急響應協同指揮體系

根據《湖南省工業控制系統信息安全事件應急預案》的相關要求，為積極落實責任要求，形成安全事件閉環管理機制，加快建立省工業互聯網安全協同協作機制，需要結合實際需要對全省工業企業建立監測、預警、防范協同管理機制，建立相應的技術平臺，實現省工信廳、地市工信局、工業企業、技術支撐單位級其他監管單位等在工業互聯網安全安全層面上的協作、互通，進一步完善監測預警、信息通報、應急處置等相關機制的建設。

（3）建立工業領域網絡安全分類分級合規管理機制

以《網絡安全分類分級》為依據，完善工業企業網絡安全合規管理機制，打造精細化、差異化的科學管理方式。形成面向工業互聯網聯網工業企業、工業互聯網平臺企業、標識解析企業等三類工業互聯網企業開展網絡安全分類分級管理工作，參照行業重要性、企業規模、安全風險程度等因素，將企業網絡安全等級由高到低劃分為三級、二級、一級，并針對不同類型、不同級別的企業提出差異化安全防護要求。

組建工業互聯安全評測機構和專家隊伍，提供專業化工業互聯網安全風險評估工具，開展對工業企業的現場安全檢查和信息調查。針對工業企業進行定期及不定期的巡視檢查，通過建立全省工業互聯網安全檢查機制，借助線上監測加線下檢查形成監管合力，摸底全省工業互聯網安全狀況。

（4）建立工業企業與省平臺監測數據安全共享能力

依據《工業互聯網企業網絡安全分類分級管理指南》要求，三級工業企業需要在企業建設安全監測分析平臺，并將在企業內監測的數據信息上報給省級平臺。因此，需要實現工業企業安全監測分析平臺與省湖南省工業互聯網安全綜合服務平臺的安全認證與數據傳輸共享服務，以保證兩平臺間數據傳輸共享的安全性。

（5）建立工業互聯網安全公共服務能力

一是加強對省工業信息安全公共服務能力，通過對工業企業資產梳理、安全隱患監測、安全事件分析研判、應急響應支持、安全態勢感知服務、安全運營服務等，提高全省工業企業提供網絡安全公共服務的能力。

二是針對信息安全意識、安全技能、熱點安全事件定期組織安全培訓，輻射全省，對各級工信單位、重點工業企業進行網絡安全業務培訓，形成常態化工控信息安全人才隊伍建設與培養機制，增強各級各部門網絡安全意識和防護水平。

（6）建立跨平臺數據采集和共享機制

目前省工信廳、通管局等相關單位均對各自負責監管領域建設監測、存儲系統，同時工信部已建設國家級工業互聯網安全監測與態勢感知平臺，但尚未建設各級信息互通、共享的數據交換平臺，數據無法連通，工作難以互動。為解決這一問題，需建立共享數據機制，互通有無，信息共享，同時保證數據的安全性。

1.1.2  方案實施概況

1.總體設計原則和策略

（1）設計原則

厲行節約原則：在平臺建設過程中，要盡量利用現有的信息系統、網絡基礎設施、安全監控數據等，綜合考慮對已有資源的共享和利用，避免重復建設和浪費。

標準規劃原則：在方案設計和設備選型方面遵循國家以及行業內的相關標準，嚴格按照有關程序組織方案建設，并且建設標準符合國家及行業提出的接口規范和技術架構。

重點保護原則：根據工業互聯網系統的重要程度、業務特點，實現不同強度的安全保護，集中資源優先保護重點工業控制系統。

技術先進原則：平臺設計立足先進技術，采用先進的系統結構、開放的體系架構，使系統在一個周期內保持技術領先水平，具備長足的發展能力，以適應未來網絡技術和安全技術的發展和系統使用的科學性。

（2）設計策略

平臺建設堅持三個策略：

“全”。即全源化采集，在現有數據采集來源的基礎上擴大數據采集范圍和采集數據類型，確保平臺數據來源的全面性。

“優”。即整合優勢產品，平臺選用的產品是從眾多安全廠商中優中選優，確保平臺的先進性，并整合各安全設備管理能力，如等流量監測引擎、威脅感知引擎、工具箱等設備可實現與平臺業務系統的無縫對接。

“實”。即實戰化應用，平臺設計涵蓋監測、態勢、通報、處置、情報、應急指揮、攻防演練等功能，最大程度實現工作業務需求，形成工控安全態勢監管業務閉環，最大限度服務于實戰。

2.平臺邏輯架構設計

湖南省工業互聯網安全綜合服務平臺是為省監管部門提供工業安全數據采集、大數據研判分析、實時監測、通報預警、響應處置、應急指揮等，以及提供工業企業分類分級管理和綜合安全服務一體化的服務平臺。

平臺總體架構設計遵照“分層解耦、異構兼容”的原則，分為安全引擎層、安全中臺層和安全應用層三個層次，各層級以及模塊之間的功能設計具有相對的獨立性，從而使得整個系統具有較高的擴展性。安全引擎層作為平臺的基礎能力層，安全中臺實現數據的采集處理、挖掘分析和提供統一的數據服務，構建數據驅動業務體系。安全應用層通過建設滿足用戶的各類業務應用，協助監管部門開展工業互聯網安全的保衛工作。

平臺總體架構如下圖所示：

圖8-2  湖南省工業互聯網安全綜合服務平臺架構設計

（1）可視化安全態勢感知層

平臺為監管人員、企業人員和安全支撐機構人員提供不同崗位視角的可視化安全態勢感知大屏，滿足不同角色需求，提供綜合態勢、預警態勢、隱患態勢、事件態勢、分類分級態勢、攻擊者溯源態勢、資產威脅溯源態勢和網絡星空態勢。

（2）業務應用層

平臺基于微服務架構，結合用戶實際需求，分別為各級用戶實現各類應用服務能力，平臺由可視化安全態勢感知、監測預警與協同應急、安全合規管理和綜合安全服務，打造完整生態，將各級監管部門、安全支撐機構、安全專家等人員聯合起來，一同來治理工業互聯網安全問題。

（3）安全中臺層

安全中臺層包括安全數據中臺、安全業務中臺和安全能力中臺組成，為上層業務應用提供安全數據服務、業務流程管理和安全能力服務。

（4）安全引擎層

基礎安全能力層為平臺運行和其他單位提供必要的基礎安全能力和數據來源，包括網絡資產測繪引擎、威脅檢測識別引擎、網絡攻擊誘捕引擎、網絡防御引擎、威脅情報管理引擎、云端安全監測引擎、網站安全監測引擎和安全檢查引擎等。

3.平臺技術路線

（1）分布式存儲技術

分布式存儲技術作為態勢感知系統最為重要與基礎的支撐技術。分布式存儲技術能夠實現結構化及半結構化數據的統一存儲，兼容傳統的關系型數據庫以及SQL訪問模型，同時支持對海量數據的在線實時流式處理框架和離線分布式計算框架。分布式數據庫面向時序數據和小文件數據存儲進行深度優化，支持第三方存儲引擎和傳統關系型數據庫的無縫接入；支持海量混合數據的統一存儲管理和在線離線一體化查詢；支持可插拔安全算法模塊和主流分布式計算框架；支持跨庫、跨源、異構數據庫之間的跨庫訪問和關聯查詢，解決了多系統交互時對海量混合數據統一管控的問題；支持多源異構混搭數據間基于規則導向的高可靠近實時數據同步。主要功能包括：

l 大數據采集存儲和分析處理。滿足采集海量數據儲存需要，如流量信息、設備狀態、鏈路狀態等，滿足大規模結構化流式數據的并發能力、吞吐量、低時延的高要求。

l 分層架構、模塊化設計、多場景支持。采用模塊化的設計思路，在數據訪問層、數據路由層和數據存儲層都提供多種高內聚、低耦合的模塊，通過這些模塊的靈活搭配，分布式數據庫表現出不同的技術特征，從而能夠適應不同的業務場景。

l 在線檢索和離線分析一體化。通過配置，分布式數據庫可同時支持高速數據寫入，在線交互訪問、實時查詢以及高并發大數據集查詢在內的各種訪問方式，適應在線檢索和離線分析等不同業務場景。

l 混合數據支持。分布式數據庫支持與傳統關系型數據庫Oracle、MySQL等聯合訪問。業務系統可以把部分表建在Oracle或MySQL上，把部分表建在分布式數據庫上，然后透明地訪問這些表，包括在這些表之間進行join、union等操作。

l 跨域、多數據中心支持。分布式數據庫在保證數據一致性的前提下支持多數據中心或多數據集群之間近實時的跨域數據同步復制，實現系統的跨域多中心部署模式?？傮w處理性能，數據讀寫、掃描等，隨集群規模擴展線性增長。

l 分布式存儲形式主要基于通用/定制化的X86服務器提供存儲，可提供對象、文件和塊存儲，具備低成本、靈活擴容、高并發訪問等優勢，通過軟件保障性能和可靠性?？勺鳛橘Y源池的分級存儲手段，滿足中低端存儲、數據歸檔備份、大數據存儲等需求。采用X86服務器和分布式塊存儲軟件技術的Server-SAN在I/O能力、部署速度和擴展性方面已驗證優于傳統塊存儲技術（例如FC-SAN/IP-SAN）。

分布式存儲技術用于系統架構的大數據組件當中，使系統能夠實現高效的數據采集和檢索能力。

（2）多源異構數據融合技術

大數據分析的根本是數據，針對高價值數據的分析往往事半功倍。然而測評領域大數據分析在數據方面所面對的現實問題總結下來主要分為以下三種形態：

來源多：包含服務數據、基礎數據資源、數據交換獲得的私有數據資源、以及互聯網采集的數據資源，這些數據隨著業務的變化而變化。

組成亂：數據資源包含結構化數據，如MySQL、Oracle等等；半結構化數據：XML、CSV等等；以及非結構化數據。數據結構亂、形式不一。

質量碎：數據往往以孤島或碎片化的形式存在、缺少關聯、語義不明確甚至缺失。

面對上述問題，就需要一種能夠處理、整合多源異構等復雜形態的數據歸一化模型，將不同形態、雜亂無章的數據整合成統一的樣式形態。同時，能夠基于該數據整合模型，以“人”、“事”、“物”等數據分析為主體、實現數據的大串聯、大融合，將原來孤立的“點”數據、“面”數據、“條”數據融合成為一定空間、時間范圍內的“塊”數據，做到價值的萃取，形成業務可用的大數據。

多源異構的數據融合技術運用在系統的數據治理融合層，通過體系化的數據治理方法論結合基于模型驅動的數據治理技術用以提升數據質量，便于數據分析建模的建立。

（3）全文檢索技術

全文檢索技術是態勢感知系統的核心基礎功能，其基礎要求是根據搜索條件快速、準確的匹配命中數據對象，為安全分析人員提供高效準確的分析工具，以便能更加快速的發現安全風險。因為大數據系統往往采用分布式存儲技術，所以全文檢索技術的選擇必須能夠支持主流的分布式存儲系統。同時，分布式并行計算系統的支持也是在技術路線選擇中必須考慮的因素，需能夠做到對并行計算框架的無縫對接。由于測評系統的大數據分析功能對數據搜索準度、實時性與多樣性的要求，這就要求檢索技術需支持基于關鍵詞，數值范圍，日期范圍等各種復雜的搜索功能。

全文檢索技術采用倒排索引的結構達到快速全文檢索的目的，倒排檢索是實現“單詞”-“文檔矩陣”的一種具體存儲形式，通過倒排索引可以更加快速的獲取包含這個單詞的文檔列表，倒排索引主要由兩個部分組成“單詞詞典”和“倒排文件”，具體結構如下圖：

圖8-3  全文檢索技術架構圖

全文檢索技術運用在安全監測中，主要用于對監測數據的檢索查詢，通過查詢安全分析人員能夠實現對安全事件的細致分析，并將有效數據運用于模型建立當中。

（4）關聯分析可視化技術

數據關聯分析即線索擴線，是一個從有限的數據線索向未知數據進行挖掘探索的過程。選用關聯分析可視化技術主要因為是：數據分析人員需要在各類數據庫中反復比對、查詢、線索串聯。運用可視化關聯分析技術能夠以圖形化界面、流暢交互操作等形式將枯燥的數據分析變得生動，能夠在很大程度上提高數據分析員的工作效率。在可視化技術選擇上，能夠突出數據關聯關系的特征，便于分析人員理解。同時，數據統計等可視化輔助功能能夠幫助分析員理解數據含義，提高工作效率。

通過數據清洗、要素提取融合，系統實現多要素多維度的關聯分析，從工控異常行為、工控惡意操作、僵尸網絡、木馬、蠕蟲、勒索軟件、漏洞攻擊、WEB攻擊、DDOS攻擊、惡意通聯關系、惡意樣本、惡意通信、惡意郵件、惡意域名、APT攻擊等安全事件入手，運用關聯分析技術完成態勢可視化展現，構建由微觀到宏觀的態勢分析，形成安全攻擊態勢變化的能力。

關聯分析可視化技術用于系統的數據分析層，主要作用是將多源異構數據通過關聯分析模型串聯起來，找到各類數據源之間的關系，并通過可視化技術進行最終呈現。

（5）溯源分析可視化技術

在處理和分析互聯網事件時往往需要從海量的數據里查找有用的線索，這不但是存儲、索引、計算技術的挑戰，具體分析工作也面臨著困難：呈現在列表式表格中的大量數據，難以發現數據的模式、趨勢和關聯關系等分析重要要點?？梢暬褪怯脕斫鉀Q這些問題的最佳方案。

目前已知的對人類認知最有效的方式就是通過視覺感知，相比其他的交流呈現方式，使用數據可視化來交流具有很多的優勢，包括：

數據可視化能快速的進行復雜信息的交流：可視化在最小化數據細節特征損耗的同時，可以在數秒鐘快速呈現上百萬個點信息，非常適合與統計信息呈現。具體到本方案，對本地威脅態勢全局信息的展示就非常適合采用可視化的方法，可以快速的掌握趨勢、熱點等重要信息，對從全局把握網絡安全態勢有著不可替代的作用。

數據可視化能識別潛在模式：一些模式特征通過統計學方法或者掃描數據的方式難以發現，卻可能通過可視化方法被揭示出來。而當在可視化展示數據的時候，存在于單個變量中的模式或者多個變量之間的關聯關系就可以呈現出來。數據可視化的這個特點特別有利于在網絡事件調查過程中使用，通過一點線索，利用可視化分析方法，可以發現、呈現出更多和它有關聯的其它信息點，達到拓線，進而溯源事件的目的。

溯源分析可視化技術用于數據分析層，是態勢感知系統的一類重要分析技術，主要用于對安全事件的追溯，通過溯源可視化分析方法幫助管理人員準確發現攻擊背后的真正意圖。

（6）威脅情報生成技術

威脅情報的生成是一個復雜的過程，需要具備多種能力才有可能完成，一般可以分為如下圖這樣的八步：

圖8-4  威脅情況流程圖

? 數據收集：這是關鍵的一步，決定了產生的情報是否能最全面的覆蓋威脅，因此往往需要聚集多種不同來源的情報數據（包括但不限于樣本數據、黑客團伙相關數據、DNS相關數據、WHOIS相關數據、僵尸網絡相關數據等），以保證情報質量。

? 數據清洗：將以上數據根據后續加工的需要進行整理、去除不可信數據、將關鍵數據結構化等過程。

? 數據關聯：數據關聯是數據驗證的前提條件，通過數據關聯梳理不同類型數據間的關系，如樣本、樣本不同方式的檢測分析結果、樣本的網絡行為、域名注冊者、域名指向的IP、IP上面的其它域名等。

? 驗證：通過建立了關聯關系的數據，再利用機器學習的方式（有可能結合部分的人工分析）對情報的準確性進行驗證，并賦予相應的可信度指標。這也是決定情報質量關鍵的一步。

? 上下文：包括如攻擊類型、樣本家族、攻擊團伙、攻擊目地、傳播渠道、具體危害等報警響應需要的內容。

? 優先級：根據攻擊目的、具體危害等信息，確定報警優先等級信息；

? 格式化：根據分發的要求，將情報以特定的格式輸出，如：STIX、openIOC、JSON、xml等，非MRTI類型的情報還可能以PDF、word等類型提供。

? 情報分發：根據不同類型情報的用途，可以推送給安全產品、打包供下載、或者郵件發送。

威脅情報生成技術使用在數據治理融合層和數據分析層，在數據治理融合層主要解決情報信息的收集、格式化、清洗及情報分發等問題，在數據分析層實現情報信息的驗證和關聯分析。

（7）總體數據庫設計

平臺數據庫設計基于海量數據采集、處理、存儲及分析挖掘需要，主要包括原始庫、主題庫、資源庫、知識庫和業務庫等。

n 原始庫

原始庫數據為前端部署的威脅檢測識別引擎采集的流量數據，數據結構分為結構化數據、半結構化數據和非結構化數據。數據類型主要包括應用會話識別數據、應用會話流量數據、網絡傳輸流量數據、應用層流量數據、用戶登陸行為數據、流量審計數據和風險告警數據等。

n 主題庫

主題庫是融合各類原始數據、資源數據長期積累形成的多維數據的公共集合，具有數據規模量大，且頻繁更新等特點。支持通過實時計算和離線分析計算對數據執行查詢、分析、映射、檢索等操作，支持實現海量數據規模下檢索的秒級響應。數據類型主要包括單位畫像數據、系統畫像數據、IP畫像數據、失陷主機數據、黑客組織數據、重大漏洞數據、僵尸網站數據和非常規端口開放數據等。

n 資源庫

資源庫是存儲各類數據資源建立的關鍵要素以及要素之間關聯關系的公共數據集合，包括單位數據、資產數據、流量日志數據、隱患數據、告警數據、安全事件數據和其他外部數據等。

n 知識庫

知識庫是指信息安全專業領域或與信息安全專業領域相關的特征知識數據和規則方法集合。一般通過管理手段、工作積累、第三方提供、機器學習等方式獲取。數據類型包括惡意IP數據、惡意域名數據、告警規則數據、重大漏洞等。

n 業務庫

業務庫記錄業務過程，為上層業務系統提供數據支撐。數據為結構化類型且數據規模不大，常用的應用場景是查詢和關聯。主要包括通報預警業務數據、應急指揮業務數據和管理評價業務數據等。

（8）協同監管體系

平臺縱向實現與工業企業、國家平臺的數據貫通和業務協同，橫向實現與各行業主管部門以及社會上從事網絡安全工作的企業單位的數據的數據共享交換和工作業務協同，并借助安全廠家的威脅情報數據能力，提升全省網絡安全監管能力。為此需要提供自動化的數據接口、制定相關數據和接口標準規范，以實現數據的傳輸交換。

數據傳輸類型

傳輸的數據類型主要包括：

ü 安全事件類數據；

ü 安全隱患類數據；

ü 網絡資產類數據；

ü 業務處理類數據。

數據傳輸接口

查詢及業務類的數據支持HTTP協議傳輸；

原始數據的交換共享支持kafka和syslog等方式進行大流量網絡傳輸；

若有特定的傳輸需求，支持通過協商的方式進行其他協議或組件進行數據傳輸。

數據共享交換

平臺縱向實現與工業企業和國家平臺的數據共享，橫向實現與行業主管單位的數據共享，并通過全面采集接入全省網絡安全監管數據和第三方安全廠商威脅情報數據，形成平臺數據存儲中心。

圖8-5  數據共享交換圖

4.平臺建設內容

湖南省工業信息安全公共服務平臺是為湖南省工信廳工業信息安全監管部門提供工業安全數據采集、大數據研判分析、安全監測、通報預警、響應處置、應急指揮等，以及提供工業企業安全合規管理和綜合安全支撐服務一體化的服務平臺。

（1）平臺數據采集方案

? 工業企業數據采集

多源異構日志數據采集

對主流安全設備、網絡設備、主機、數據庫、中間件、應用系統和虛擬化系統等設備異構日志進行全面采集，實現資產日志數據統一管理。同時為滿足日志數據共享需求，提供收集日志轉發，當原始日志設備無法設置多個日志服務器時，可通過本系統進行日志轉發將日志轉發到其他日志存儲設備。

異構日志數據采集覆蓋Syslog、SNMP、OPSec、XML、FTP及本地文件等多種協議，對安全對象屬性、運行狀態、安全事件、評估與檢測等異構數據進行采集，針對不同類型數據能夠自動適配協議。同時為提升采集性能，降低數據冗余噪音，可自定義配置日志過濾功能，對采集的重復日志進行自動聚合歸并，減少日志量。

全流量數據采集

對網絡流量數據進行采集，并將捕獲的通信數據轉換為數據分組報文格式遞交給上層組件，作為上層特征檢測引擎分析處理的原始數據。通過雙向流量檢測對網絡流量行為進行判定（例如數據報文惡意特征匹配、資源使用情況、使用者的訪問行為等），識別病毒、木馬、敏感信息等異常行為。

? 威脅情報數據采集

提供云端采集、接口采集、本地累計以及本地導入共4種方式進行威脅情報采集和累計。

云端采集

提供針對外界的威脅情報采集、展示和利用功能。

接口同步

支持動態采集開源威脅情報，也可以采集第三方商用威脅情報，至少提供一家商業威脅情報廠家接口；

提供豐富的云端采集更新接口，支持安恒自身威脅情報庫、第三方商用威脅情報庫以及開源的威脅情報庫，網絡威脅情報包含惡意IP、URL、Domain、Email等。

本地威脅情報積累設計

支持將本地發現的安全事件和惡意IP、域名、文件、釣魚網站、E-MAIL等事件轉化為威脅情報。

本地導入

支持通過本地離線包導入情報，支持通過使用離線威脅情報數據包更新情報數據。

? 網絡空間掃描探測數據采集

采用云端網絡空間資產探測雷達對全省網絡資產進行偵測以及漏洞掃描和分析趨勢分析，快速識別全省以公網IP接入互聯網的物聯網設備、工控設備、應用系統、網絡設備的存活情況、開放端口、組件等信息。通過對互聯網資產、郵箱資產、監控設備資產、工控設備資產等各類資產進行探測，識別其指紋信息、漏洞信息以及可能受攻擊情況，摸清全省資產底數，為監測、預警、溯源等提供基礎數據支撐。

? 現場檢查數據采集

現場檢查數據是通過工業控制系統安全檢查工具箱對企業進行安全檢查過程中所采集的數據，主要包括企業安全合規自查數據、資產漏洞、流量分析、配置核查、惡意代碼等檢查數據。

采用離線采集方式，將工業控制系統安全檢查工具箱的檢查數據導出后，再通過工業企業分類分級模塊的進行數據導入，以完成采集動作。

? 第三方平臺數據采集

鑒于本地監測存在單點監測的局限性和高級威脅監測的不足，平臺將接入第三方威脅情報數據，按一定的時間規則推送到本地平臺大數據中心，并利用大數據平臺機器學習能力，結合互聯網上活躍的數百億樣本以及樣本的行為進行實時追蹤分析以及事前預測。

? 數據采集管理

采集部署

數據采集引擎實現個性化數據采集，支持配置不同采集策略，如動態配置采集周期，清洗過濾策略等。采集部署支持如下功能：

? 支持分布式多節點部署；

? 支持多采集節點存活、健康狀態監控，發現節點異常后，及時告警；

? 支持對采集節點進行性能監控，保證采集性能與數據量匹配，防止數據丟失；

? 支持對采集策略進行管理，包括采集頻率、采集協議、采集目標、過濾策略等；

? 支持流量數據鏡像采集，支持在多個機房交換機上復制鏡像，分布式部署分光器和DPI進行采集，并將多余接口關閉；

? 支持主機終端數據采集，支持數據庫審計分析數據采集；

? 支持數據匯聚，綜合考慮專網傳輸性能的基礎上，滿足將多個機房采集到的數據傳輸匯聚。

采集協議和頻率管理

適配各種采集數據源，需要支持多種采集協議，以實現對各類數據的采集，包括不限于安全對象屬性、運行狀態、安全事件、評估與檢測等數據。為實現對包括安全對象的屬性、運行狀態、安全事件、評估與檢測等數據的采集，針對不同類型的數據以及對應的適配協議

（2）平臺安全中臺建設方案

安全中臺層包括安全數據中臺、安全能力中臺和安全業務中臺。

? 安全數據中臺設計

安全數據中臺實現對所有監管數據、威脅情報庫數據的整合、歸檔、應用以及對上層提供數據服務能力；包括安全大數據中心和安全大數據分析引擎兩部分。其中，安全大數據中心主要提供數據集成、數據管理、數據目錄等功能，通過統一的數據接口為上層提供數據服務。安全大數據分析包括實時分析、離線分析，為上層提供統一的安全大數據分析能力。

架構設計

安全數據中臺的總體目標是建設一個完善的信息資源共享服務技術體系，建立信息共享的標準和規范，為平臺上層業務應用提供統一、開放、標準、完整的信息資源服務；全面開展內外部數據歸集、整合、重新組織、共享等工作，建立完整的信息共享資源目錄和信息資源服務能力；提供統一的大數據處理服務能力，提升信息資源服務能力，解決平臺對海量數據的深度挖掘、分析、應用的迫切需求。大數據服務平臺是基于平臺建設，以服務應用為根本目標，建立信息資源服務能力和大數據處理能力，實現數據集成、數據整理、數據共享、數據分析等數據處理及服務能力。

功能架構

安全數據中臺遵從數據安全和數據標準的規范，并按照數據采集、數據處理、數據治理、數據資產、數據服務和數據運維幾個方面進行有機結合。全方位打造集“采集”、“融合”、“服務”于一體的數據服務平臺。

圖8-6  安全數據中臺功能架構圖

技術架構

大數據中心是大數據存儲和計算的基礎，對外提供統一的各類型數據存儲、計算、分析等能力，可滿足多源異構海量數據存儲、查詢、計算。

數據采集包括實時采集、自定義接口采集和離線采集，支持各類數據源數據

接入，如日志數據、流量還原數據、syslog數據及用戶自定義數據等。

數據預處理實現數據消息緩存和ETL。

數據存儲實現外部數據保存至大數據服務平臺。數據存儲需支持結構化數據、

半結構化數據、非結構化數據等多種數據類型。數據存儲中包含兩大主要部分，非結構化存儲系統、半/結構化存儲系統。

安全大數據分析引擎實現安全數據中臺的計算功能。數據計算能夠對所有已保存的數據進行計算，并且提供相應的計算調用接口，能夠滿足外部分析系統的調用。數據計算中包含實時流分析和離線分析兩部分。

運維管理包括大數據管理系統和大數據交互系統，支持數據平臺的所有組件集中安裝、部署。支持對數據平臺各個組件的配置管理、動態調整配置實時生效。

圖8-7  安全數據中臺技術架構圖

? 安全業務中臺設計

構建工作流引擎，快速有效的支撐不斷出現、迭代、優化的安全管理業務流程：一是可以通過引擎完成業務流程的節點編排，支持用戶完成通報、預警、通知、檢查等業務流程的構建；二是通過引擎對參與到業務流程的用戶權限進行合理的配置，包括審核權、回退權、處置權、辦結權等，需能通過引擎合理的進行賦權，且支持用戶級的權限變更和刪除；三是通過引擎將流程與資源庫、業務庫中的相關表單進行關聯，并通過引擎支撐業務流程中掛載業務、處置表單的自定義，完成業務數據和流程的動態結合，真正將流程與業務緊密捆綁。

工作流引擎

隨著工信安全業務的快速發展，通報、預警、檢查等業務流程越來越精細化、人性化，其相關的流程、表單也不斷在進行迭代優化，因此在這種快速發展的環境下，需要有一套工作流引擎高效、人性化地支撐變化的業務。

需要構建工作流引擎，快速有效的支撐不斷出現、迭代、優化的安全管理業務流程，滿足以下三方面：一是可以通過引擎完成業務流程的節點編排，支持用戶完成通報、預警、通知、檢查等業務流程的構建；二是通過引擎對參與到業務流程的用戶權限進行合理的配置，包括審核權、回退權、處置權、辦結權等，需能通過引擎合理的進行賦權，且支持用戶級的權限變更和刪除；三是通過引擎將流程與資源庫、業務庫中的相關表單進行關聯，并通過引擎支撐業務流程中掛載業務、處置表單的自定義，完成業務數據和流程的動態結合，真正將流程與業務緊密捆綁實現用戶的管理需求。

自動化辦公引擎

工信安全管理業務中涉及到安全專家、安全管理員、安全審核員、安全聯絡員等眾多角色和人員，這些角色需要參與到不同流程的不同環節中，為了提升業務流程的處置時效性，需要實現業務的多端發起、多端觸達和匯聚呈現，需求通過相應引擎使得業務多端自動流轉貫通。

需要構建自動化辦公引擎，實現業務的多端通信、匯聚，滿足以下兩方面：一是通過引擎將PC端和移動端發起的業務自動的向另一端實時同步，滿足用戶隨時通過移動端發起、辦理相應業務的需求；二是需求通過引擎從平臺所有業務模塊中獲取當前用戶待辦事宜，提供給PC端或者移動端的門戶頁面，支持客戶在一個頁面中就能完整的了解當前待辦事務，提升處置效率。

值班排班調度引擎

工信在應急活動保障期間和重大事件應急處置中需要快速的傳達信息到相應的值班專家、安全管理員處，因此需要制定相應的值班排班表，并根據排班表進行高效的人員調度。

需要構建值班排班調度引擎，實現以下功能：一是通過引擎，支持用戶在相應重?；顒踊驊碧幹帽Ｕ掀陂g，對安全專家等角色的值班工作進行排班，且自動化的通知到相關人員；二是通過引擎，自動向相應業務流程發布排班信息，使得值班期間相應業務可自動派單值值班人員；三是支持通過引擎調度短信網關、移動端應用通知等通知通道，將值班安排、業務流程等第一時間送達相應的用戶處；四是支持引擎將平臺用戶登錄、操作情況與值班表自動進行匹配、關聯，定期生成值班分析報告，供用戶進行后續工作考評和優化。

績效管理引擎

工信安管工作由眾多角色、廠商參與支撐，旨在推進了轄區內被監管單位提升網絡安全工作質量。為了對平臺人員/廠商的支撐績效進行科學合理的評價，同時也對轄區內被監管單位的網絡安全工作效果進行評估，需要績效管理引擎進行自動化的初始績效輸出。

績效管理引擎需要實現以下功能：一是通過引擎，可以對平臺內已有的資源庫、業務庫中的相應指標項進行提取，支持用戶結合實際績效考核方案對指標進行自由的遴選、組合，進而生成符合工作實際場景的績效評價表和評價方案；二是確定評價表和評價方案后，通過引擎周期性或按指令對全平臺相應數據進行采集、統計、核算，并自動統分，輸出相應的績效報告；三是支持客戶對平臺外的數據進行錄入后作為績效考核項，進而更加全面、科學的給出績效報告。

? 安全能力中臺設計

安全能力中臺包括安全能力中心和安全能力管理，可將各種安全能力服務化，形成安全服務目錄，實現安全資源的靈活調度，從而對基礎安全能力進行統一管理。安全能力中心約定系統建設的安全能力目錄，包括安全檢測能力、智能安全分析能力以及態勢感知能力。安全能力管理約定系統建設的安全能力調度和實用能力，例如能力編排、能力調度、策略管理以及場景管理功能。

架構設計

安全能力中臺包括安全能力中心和安全能力管理。

安全能力中心約定本次建設的安全能力目錄，包括安全檢測能力、智能安全分析能力以及態勢感知能力。

安全能力管理約定了建設的安全能力調度和實用能力，包括能力編排、能力調度、策略管理以及場景管理功能。

圖8-8  安全能力中臺功能架構圖

安全檢測能力

安全檢測能力主要包括基礎安全能力中的威脅識別能力、關聯檢測能力接入和統一管理。主要依賴安全基礎安全能力中的資產發現識別、漏洞掃描和深度流量威脅檢測等產品來實現多維安全檢測能力。

通過對各種安全基礎安全能力的封裝和編排，終端、邊界等實體防護對象提供安全檢測服務，快速發現已知和未知的安全威脅。安全檢測能力能夠通過安全能力管理對安全檢測能力管理、數據分析、規則管理、安全基礎資源管理實現自動化編排和協同聯動。

安全檢測能力結合大數據相關技術和智能算法，從資產角度出發，重點關注資產管理，提供基線核查配置，并結合多種角度維度分析攻擊，全局化地安全態勢感知能力，智能感知攻擊中的安全事件，為用戶信息系統安全識別、威脅檢測和安全業務管理提數據支撐。

智能安全分析能力

智能安全分析能力主要包括流量關聯分析、情報碰撞分析、攻擊畫像和原始日志檢索。

態勢感知能力

態勢感知能力主要在全局監測數據、檢測數據、智能分析數據等多維數據的綜合態勢分析之上，形成綜合態勢、攻擊態勢、威脅態勢、預警態勢等多種態勢感知能力。

風險隱患調查能力

隱患調查功能是安全監測的核心功能，實現獨立的安全事件采集、分析和集中管理功能。主要提供如下功能：

安全設備告警事件管理。為用戶提供集中的安全設備告警事件管理功能，支持事件分析和處置及誤報標記；

風險隱患統計。提供以資產維度和攻擊鏈維度的安全事件統計功能，支持根據資產和攻擊鏈進行事件檢索和攻擊影響范圍分析；

風險隱患溯源。提供安全事件一鍵溯源和關聯攻擊鏈功能，可關聯威脅情報、安全告警、安全原始數據上下文等信息，極大的方便安全事件調查和分析；

資產管理調查。提供以資產為維度的安全威脅調查，以攻擊鏈的方式展示資產受攻擊的過程和正處于的被攻擊狀態；提供的調查維度包括資產間訪問關系、行為畫像、服務/請求的端口以及弱點等信息；

攻擊知識圖譜調查。提供通過全流量數據生產的企業網絡安全攻擊知識圖譜，為用戶提供單個資產為視角出發的攻擊知識圖譜和全網絡的攻擊圖譜，支持圖譜的向下鉆取和關系擴展， 圖譜信息包括攻擊鏈階段、協議、端口等信息。

安全能力管理

基于構建的能力體系，通過劇本編排，對分析、響應處置過程中各種復雜的分析流程和處理平臺進行整合，形成自動化的能力集成，實現從靜態事件響應到動態工作流跟蹤的轉變，提升整體的協調及決策能力。

劇本以原始數據或安全事件作為輸入，結合統計分析以及統計模型、情報模型、關聯模型進行分析，并實現追蹤溯源、聯動阻斷等響應動作，最終上報監控單位并通知管理員。具體流程如下圖所示：

圖7  能力編排流程圖

（3）平臺業務應用建設方案

平臺基于微服務架構，結合用戶實際需求，分別為各級用戶實現各類應用服務能力，平臺由于三個業務應用模塊構成，分別是工業互聯網安全監測預警與協同應急業務應用、安全支撐綜合服務業務應用和企業合規管理業務應用，打造完整生態，將企業、安全廠商、監管機構聯合起來，一同來治理工業互聯網安全問題。

? 監測預警與協同應急

監測預警與協同應急為工業互聯網企業監管部門提供一套具備工業互聯網企業安全數據采集、數據處理、存儲、分析，以及對安全事件實時監測、通報、預警、處置的一體化解決方案。主要業務應用包括實時監測、態勢感知、分析研判、通報預警、威脅情報、應急指揮等，全面提高工業互聯網網絡安全監測、預警與應急響應水平。

實時監測

實時監測針對工控系統、工控設備、服務系統、網絡設備、終端、物聯網設備等在線網絡資產的資產分布、漏洞和指紋信息進行掃描探測和統一管理，摸清區域資產底數。及時發現各類網絡攻擊、風險隱患、安全事件以及網絡資產。實時臨測主要包括驗證中心、成果中心、搜索中心和監測任務中心。

圖8-9  實時監測界面

分析研判

分析研判利用大數據關聯分析技術，結合機器學習算法，自動對流量、情報、攻擊等數據進行分析；分析研判提供對平臺匯總的各類監測服務威脅信息的專家核驗功能。并為威脅分析人員提供包括情報關聯分析和模型算法分析功能。為平臺業務人員提供各類統計分析能力和模型，可實現基于平臺威脅告警信息和統計分析模型生成的預警信息，為湖南省網絡安全預警業務提供基礎能力，主要包括模型中心、追蹤溯源、可視化中心、報告中心和知識庫。

圖8-10  分析研判界面

威脅情報

威脅情報是一種基于證據的知識，包含了上下文、機制、指示標記、啟示和可行的建議。威脅情報描述了現存的或者是即將出現針對網絡資產的威脅，并可以用于通知主體針對相關威脅或危險采取某種響應。高級威脅尤其APT攻擊手法隱蔽，危害巨大，主要針對掌握有重要數據和信息的特定人群，攻擊一經發生就會導致國家重要價值資產的泄密流失，而且后續定位、追查、定性都會遇到技術難度。高級威脅情報可以對APT攻擊事件的定位、發現、定性、溯源提供良好的支撐，可以強化安全保障部門對各個重點保護企業的監控力度和防護強度。

圖8-11  威脅情報界面

通報預警

通報預警提供對安全事件、風險進行及時預警、通報和處置的功能。當監測到工業控制系統存在重大風險隱患，或產生重大安全事件時，通過平臺進行通報，被通報的工業企業按期反饋處置結果。平臺需具備多種通報方式，包括釘釘、短信和郵件等。在發生嚴重情況時，可立即通過短信、釘釘等方式進行通報；當系統監測到輕微安全隱患時，可進行預警提醒或限期整改，被通報單位須及時反饋處置結果。

圖8-12  通報預警界面

應急指揮

應急指揮基于掛圖作戰理念，基于GIS系統的可視化特性，同業務系統進行數據對接，通過直觀圖形化點擊拖拽等方式支撐各級單位、人員的活動監控和應急指揮兩個應用場景。其中活動監控是通過可視化技術直觀展示活動的實時情況，包含：當前活動的進度，活動的資源、活動的威脅情況、活動的值守情況、活動的各項業務開展情況等信息。應急指揮將活動要素在地圖上展示，在發生突發事件時，支持指揮中心“掛圖作戰”，依據地圖展示的資源來對事件的處置。

圖8-13  應急指揮界面

態勢感知

態勢感知中心提供網絡安全威脅可視化的入口，基于平臺獲取的各類監測數據及日常業務流轉產生的業務數據，以網絡安全事件與威脅風險監測為驅動，對網絡空間安全相關信息進行匯聚融合，從不同視角感知網絡安全態勢。

態勢感知系統以單位數據、資產數據、網絡安全事件與威脅風險監測為驅動，基于多維態勢可視化技術，對網絡空間安全相關信息進行匯聚融合，從不同視角出發感知網絡安全態勢。

圖8-14  態勢感知界面

? 工業企業安全合規管理

工業企業安全合規管理，首先可以服務于參與分類分級工作的主管部門、工業互聯網企業和工業互聯網安全評估機構等用戶，功能覆蓋工業互聯網企業分類分級工作的全部環節，提供企業定級管理、合規自查、風險評估、安全整改和檔案管理等相關功能。其次可滿足工業互聯網企業網絡安全分類分級工作信息化管理要求，將各參與方的工作納入規范流程中，并做到工作留痕，推進相關工作的規范化、常態化、便捷化。

定級管理

根據《管理指南》要求，工業互聯網企業需要開展自主定級工作，主管部門需要定期對工業互聯網企業開展抽查，指導企業準確定級，為主管部門更好指導企業準確定級，分類分級業務應用提供定級核查功能，主管部門可對工業互聯網企業提交的自主定級信息進核查，并將核查情況反饋給工業互聯網企業。同時，針對已定級的企業提供定級清單管理及統計分析功能，主管部門可掌握管轄范圍內工業互聯網企業定級情況。

圖8-15  定級管理概況界面

安全合規自查

監管部門定期對企業開展合規自查工作，便于落實與自身安全級別相適應的防護措施。提供符合性管理和企業安全自評估功能。

圖8-16  企業合規自查界面

符合性評估任務管理

符合性評估任務管理為監管部門提供對工業企業的在線評估工作，評估內容主要依據《工業互聯網企業數據安全防護規范》、《工業互聯網平臺企業安全防護規范》和《工業互聯網標識解析企業安全防護規范》開展對企業的符合性評估工作。

監管部門通過從基礎庫調用符合性評估模板建立評估任務，可從企業定級清單中先擇要評估的對象，根據不同的企業類型和級別對企業進行在線下發評估任務，可選擇評估任務的跟蹤人，包括監管部門、安全支撐單位；能夠對評估任務的保存、下發和刪除，以及任務的狀態跟蹤；能夠對符估的任務設置限時完成評估的時間；能夠對企業名稱、任務跟蹤人等進行查詢。

企業用戶接收到任評任務后，按時間要求進行評估，評估后可自動生成評估報告并提供下載功能，該報告也同時會展示給監管部門提供查看與下載。

安全自評估

安全自評估是提供給企業進行自我評估的方法，自我評估的結果不會上傳給監管部門用戶，目的是讓企業能夠通過自評估發現自身存在的問題，做好提前整改的工作。

安全自評估為企業提供自評估模板，企業可根據自身企業類型和等級選擇評估模板進行自查，同時提供自評估的進度狀態、結果和報告查看與下載功能。

圖8-17  安全自評估界面

風險評估

工業企業應基于工業互聯網安全相關標準，定期開展評估評測工作，便于落實與自身安全級別相適應的防護措施。分類分級業務應用提供對企業的安全估計管理，安全評估用于監管部門開展對企業的風險評估與情況上報上給主管部門。

監管部門通過下發安全評估任務，實現對各企業的安全評估工作，安全評估是通過評估對使用的安全評估工具開展對企業的評估工作，當完成評估工作后，可將評估數據上傳至平臺，監管部門查看報告，如果報告查看不滿足安全要求，則要求企業限期整改，同時支持對企業整改工作的跟蹤工作。

圖8-18  風險評估界面

安全整改

工業企業根據監管部門安全檢查和評估工作過程中發現的重大安全隱患，開展網絡安全整改工作，并將安全整改情況報送給主管部門，安全整改報送內容包括整改名稱、整改企業、整改依據、整改內容、整改建議和限期整改信息。

主管部門查看各企業報送的網絡安全整改信息，了解存在網絡安全隱患的企業安全整改工作落實情況并及時跟蹤整改進度。

圖8-19  安全整改界面

檔案管理

企業檔案針對終端、監控、工控、在線業務系統等在線網絡資產的資產分布、漏洞和指紋信息進行統一管理，摸清企業資產底數，形成統一的資產立體化監管，形成更加細化的信息系統資產數據：按所屬行業、機關橫向分類；按所屬地域、行政歸屬橫向分類；按工業互聯網企業類型、等級縱向分級；按信息系統重要、敏感程度縱向分級；按信息系統脆弱程度、可用程度縱向分級。

以資產管理為核心，以資產數據為基礎，與隱患、事件、攻擊、情報、單位信息等數據進行深度分析，支撐考核評價、信息共享、安全專項、數據安全監管、APP監測等核心業務，共同構建指揮駕駛艙。

圖8-20  檔案管理界面

圖8-21  企業安全畫像界面

? 安全支撐綜合服務

安全支撐綜合服務是湖南省工業信息安全公共服務平臺的門戶，是為工業企業、監管機構、安全廠商提供統一安全服務，主要包括培訓服務、檢測服務、監控服務、工業云安全服務、工業APP安全服務、安全運營服務、安全咨詢服務和安全保險服務，同時將監測與態勢感知各業應模塊、工業企業分類分級各應用模塊作為統一的服務入口，提升日常運營效率。

圖8-22  安全支撐綜合服務界面

5.配套管理機制

多級協同安全預警與應急響應管理機制是根據《湖南省工業控制系統信息安全事件應急預案》的相關要求、流程進行設計。提供對安全事件、風險進行及時預警、通報和應急處置的功能。當監測到工業企業存在重大風險隱患，或產生重大安全事件時，通過平臺進行通報，被通報的工業企業按期反饋處置結果。平臺需具備多種通報方式，包括釘釘、短信和郵件等。在發生嚴重情況時，可立即通過短信、釘釘等方式進行通報；當系統監測到輕微安全隱患時，可進行預警提醒或限期整改，被通報單位須及時反饋處置結果。

總體應急處置流程為《湖南省工業控制系統信息安全事件應急預案》中的“監測預警和應急處置流程圖”，具體流程詳見下圖所示：

圖8-23  監測預警和應急處置流程圖

同時，還根據總體流程，制定了監測預警流程與應急處置響應流程。

如下圖所示：

圖8-24  監測預警流程圖

圖8-25  應急響應處置流程圖

6.技術升級與動態更新方案

本方案充分考慮未來技術發展，整體平臺才有用分層解耦的方式設計，使用模塊化、集群化編程思想，整體平臺天然具備功能模塊擴展能力和系統架構擴展能力，提供了完善的技術升級和動態更新解決方案。

（1）功能模塊化擴展

采用Storm集群進行實時流數據分析計算，提供方便的可擴展處理能力；采用Spark進行高性能的離線處理，利用Spark的底層框架作為其執行基礎。基于模塊動態擴展技術，平臺將每個計算、分析功能作為一個功能模塊，可以實現模塊級別的擴展，比如需要增加一些新的安全分析檢測功能，只需將新開發功能按照一定規則和接口動態的納入到分析計算引擎中，就可以動態的實現分析功能的擴展。

? 實時分析插件模塊化技術

目前主流的傳統大數據平臺提供Hadoop架構對大規模數據的計算進行分解，然后交由眾多的計算節點分別完成，再統一匯總計算結果。Hadoop架構通常的使用方式為批量收集輸入數據,批量計算，然后批量吐出計算結果。然而在安全大數據分析的應用場景下，通常對告警的實時性要求較高，需要對海量的原始數據進行實時流式處理和持續處理，Hadoop架構難以處理實時性要求較高的業務。針對這一難題，安恒采用運行拓撲(topology)的strom架構，極大的降低了安全事件的告警延遲。

Storm集群提供控制節點(master node)和工作節點(worker node)?？刂乒濣c上面運行一個叫Nimbus后臺程序，負責在集群里面分發代碼，分配計算任務和監控狀態。每一個工作節點上面運行一個Supervisor的進程，監聽分配給它那臺機器的工作，根據需要啟動/關閉工作進程worker，多個工作進程worker組成拓撲(topology)。數據流交互如圖所示。

圖8-26  數據交互示意圖

工作進程worker中每一個spout/bolt（數據處理單元）的線程稱為一個task（任務），使用Spout/Bolt編程模型來對消息進行流式處理。Spout組件是消息生產者，支持從多種異構數據源讀取數據，并發射消息流，Bolt組件負責接收Spout組件發射的信息流，并完成具體的處理邏輯。在復雜的業務邏輯中可以串聯多個Bolt組件，在每個Bolt組件中編寫各自不同的功能，從而實現整體的處理邏輯，只需將不同的實時分析數據處理任務按照一定的規則和接口納入和封裝到Bolt組件中，就可以動態的實現實時分析功能的模塊擴展。

? 離線批處理分析模塊化技術

目前在離線數據批處理應用中，主流使用的是基于Hadoop架構的MapReduce分布式計算框架，在安全事件溯源分析應用場景中，需要關聯多維、多源的數據，如日志、流量、漏洞數據以及威脅情報，甚至其他檢測模型的分析結果等數據，計算和處理邏輯比較復雜，MapReduce的copy階段要求每個計算節點從其它所有計算節點上抽取其所需的計算結果，copy操作需要占用大量的網絡帶寬，十分耗時，從而造成Reduce任務整體計算速度較慢。

在實踐過程中使用自主研發的任務調度系統取代MapReduce框架，使用ElasticSearch集群存儲需要進行離線分析的數據，解決MapReduce的copy階段的占用大量的網絡資源的問題。如圖所示，每個Job中含有1個或多個Stage，Stage一般在獲取外部數據和shuffle之前產生），然后以Stage（或者稱為TaskSet）提交給Task Scheduler，Task Scheduler負責將Task分配到相應的Worker，最后提交執行，從而從而實現整體的處理邏輯。當有新的離線分析和數據批處理的需求是時，只需將不同的離線批處理分析數據的任務按照一定的規則和接口納入和封裝到TaskSet中，然后就可以動態的實現批處理功能的模塊擴展。

圖8-27  任務調度系統架構示意圖

（2）系統架構擴展

系統間通訊的透明化。系統通過采用分布式系統，利于系統的簡便易行的分布式部署，同時實現對開發人員的通訊透明，簡化了定制開發的難度，確保了系統的可擴展性。

? 系統間模塊的耦合性低

通過使用面向消息的中間件作為應用架構的主干有效降低系統間各模塊的耦合性，模塊直接的接口通用化，能方便的實現各模塊接口的重用，便于分塊開發、調試和除錯。

實現系統的熱部署能力。系統可以在運行狀態中加入新的組件或者卸除已有組件（非核心組件），整個過程都不影響系統的運行。系統的各重要模塊可以運行在不同的進程中，有效的隔離錯誤。

? 靈活的分布式部署

系統的各模塊不僅可以分布在不同的進程中，同時可以透明分布在不同的主機中，以通過分布式計算提供系統的處理能力。無需額外開發，部署成本低。能適應復雜環境下的部署。

當服務器的某中狀態崩潰時，狀態能夠被透明的復制到其它服務器，并支持集成部署到其他的大數據平臺。

本系統支持模塊集群。橫向擴展的系統確保了系統運行的高效性。服務提供和調用的無關性，系統中關聯規則、過濾器等都可以資源方式被調用，極大提高的系統的分析能力和數據查詢展現效率。

1.1.3  下一步實施計劃

為落實工信部印發的《工業互聯網企業網絡安全分類分級管理指南（試行）》要求，平臺以工業互聯網企業網絡安全分類分級管理為核心，平臺在完成建設后，需要湖南省內各地市/州工信局，協同市/州網絡安全支撐單位，對工業企業開展工業企業分類分級活動，形成企業清單，以便開展精細化、差異化的安全管理，做到有目標、有計劃、有行動的目的，為更好地運用平臺，依據平臺提供的各類服務能力，安排了如下步驟。

1.平臺發布

完成平臺實施搭建，滿足三級等保要求；

完成平臺對外的域名申請和備案，可以通過互聯網側訪問平臺；

組織工業企業、各地市/州工信局和安全支撐單位進行平臺使用的培訓；

平臺試運行，組織試點企業、地市工信局和安全支撐單位進行小范圍試點；

對外發布通知，平臺正式發布。

2.企業分類分級

湖南省廳領域組織湖南省各地市/州工信局依托平臺公共服務能力，開始對外公外征集遴選工業企業參與分類分級活動，對參與活動的工業企業開展自主定級和定級審核活動，通過審核的企業最終形成定級清單。

3.企業自評估

根據企業定級清單，平臺為聯網企業、平臺企業和標識解析企業提供在線安全自評估，自評估內容根據平臺的不同類和安全級別進行有針對性的評估，同時，平臺可委托安全支撐單位協助企業完成安全自評估，企業評估完成后，最終自動生成評估報告，讓湖南省廳領域及各地市/州工信局管理人員及時掌握當前企業清單中的合規狀況。

4.應急演練

根據《工業互聯網企業網絡安全分類分級安全管理指南（試行）》要求，三級企業每年必須完成一次應急演練，及時上報預急預案。

省廳領導組織各地市州管理人員依托平臺SaaS化攻防演練平臺和協同應急模塊，開展三級企業的應急演練，及時匯總企業演練情況，總結演練結果，給出合理化的安全防護建議。

5.安全整改

工業企業在完成安全評估與應急演練后，通過經驗總結，發現自身安全防護問題，企業結合自身安全現狀，輸出安全整改方案，并提交所屬轄區工信局進行審核，工信局可委托安全支撐機構進行技術審核，以確定該整改方案的技術合理性，待審核通過后，企業可根據方案內容開展整改建設工作。支持對整改建設企業的審核狀態進行統計分析。

6.驗收檢查

工業企業完成整改建設后，向所屬轄區工信局提交整改落實情況報告，工信局審核通過后提交省級監管單位進行復審，省級監管單位可依據實際情況委托安全專家對整改內容進行技術復審，同時支持對驗收檢查審核狀態進行統計分析。

安全專家可通過工控安全檢查工具箱開展對企業的現場檢查，并輸出報告，同時可將安全檢查數據內容作為輸入對企業進行專業化的風險評估工作，以便掌握企業安全整改后的真實防護情況。在企業通過安全專家的復審后，省級監管單位可發布驗收成果，對于整改效果好的企業進行鼓勵。

7.重點企業監測

在完成以上六大步聚后，省廳及各地市州主管部門可清晰地掌握轄區范圍內工業企業的類別、安全等級、合規現狀、整改情況，能夠有效針別哪些企業需要重點監測。

對于要重點監測的企業，部署監測設備，以便能夠實時掌握安全現狀，及時協同地方工信局和安全支撐單位共同幫助企業完成安全監測預警工作，形成閉環管理能力。

8.完善服務能力

依據湖南省內當前現狀，組建各地工信局管理人員和安全支撐機構，完善當前平臺安全支撐服務資源，以便進一步提升省內工業企業的安全監測預警、安全防護與響應處置能力。

本方案計劃今年要完成前六大步驟，形成全省范圍內的定級清單，并針對這些企業開展安全評估、應急演練、安全整改和驗收檢查等工作，掌握清單中工業企業的安全合規現狀，為開展后續對重點企業開展監測預警與協同應急奠定基礎。

1.1.4  方案創新點和實施效果

1.方案先進性及創新點

（1）集約化、數字化和服務化的公共服務技術創新

我國工業企業當前產業規模，技術實力參差不齊，尤其是在面對中小工業企業，這些企業的安全防護能力有限，有的在安全防護方面甚至處于“裸奔”狀態，這些企業沒有能力，也沒有意識去解決其內部的安全隱患與風險問題。

建設省/市等區域級工業互聯網安全綜合服務平臺，利用平臺的“雙向賦能”的服務特點，建立集約化安全支撐服務資源隊伍，同時面向監管部門和企業用戶提供“一站式”SaaS化安全服務，幫助監管部門提高日常安全監測預警、研判分析能力，以及響應處置效率；幫助工業企業提高安全防護意識，顯著提高安全防護水平。間接降低轄區內安全監管部門的管理成本。同時，利用平臺制定對安全服務供應商和工業企業的考核規則，通過定期考核，使兩者不斷優化安全服務能力與安全防護能力，形成良好的生態體系。

圖8-28  省/市等區域級工業互聯網安全綜合服務平臺“一站式”服務業務運行流程

（2）工業互聯網場景的安全數據采集與融合分析技術創新

工業互聯網場景具有網絡結構復雜、業務系統和設備類型多的特點，因此需要具備可更多應用場景的安全數據采集能力，以及大數據智能分析能力。

數據采集能力：實現工業互聯網全場景的數據采集能力，通過在設備、控制、網絡、數據、平臺、應用的安全數據采集，覆蓋聯網工業企業、工業互聯網平臺企業和標識解析企業在5G、標識、平臺、物聯網、工控網、信息網、工業云、邊緣計算等全場景應用。

大數據智能分析能力：將工業互聯網場景下的IT、OT、CT和DT數據進行集中采集，對這些場景下的用戶、系統、設備、網絡和操作行為融合在一起進行分析，將各場景可能發生的安全現象進行總結分析，形成工業互聯網專有的威脅分析模型，同時可根據用戶實際業務場景自定義模型，更貼合用戶業務，為安全生產提供穩定、可靠的威脅發現與分析能力。滿足工業互聯網安全在各場景的安全分析與追蹤溯源能力。

（3）基于閉環安全管理機制的多級協同響應處置技術創新

近兩年，工業和信息化部相繼發布了《工業互聯網創新發展行動計劃2021-2023》以及《工業互聯網企業網絡安全分類分級管理指南（試行）》，均強調了要建立健全工業互聯網監測預警的閉環管理機制。

首先，當前工業信息安全監測預警技術體系并不完善，絕大部分只包含了安全監測和安全預警的能力，并沒有包含通過研判分析進行調查取證，無法有效核實監測的安全事件或風險隱患的真實性，直接或間接造成在進行安全預警和信息通報的誤報率。其次，當轄區內發生不同安全級別的事件后，監管部門也不能通過技術手段，開展省、市和企業級的應急響應與協同處置能力，導致相關信息不能同步，或延遲同步，提高了應急過程中最初的關鍵時間。最后，大部分監測預警技術體系并沒有實現完善的閉環管理機制，并沒有形成數字化安全閉環管理模式，發現相關事件或問題由誰負責，誰來跟蹤，誰來決定該事件是否需要關閉，以及全部過程是否有操作行業記錄進行跟蹤。

基于以上的難點與問題，湖南省工業互聯網安全綜合服務平臺的監測預警與協同響應業務應用以數字化安全服務底座為基礎，具備了安全事件和風險隱患的實時發現能力，并提供了多種元數據的安全研判分析工具，為安全分析人員提供詳細的調查取證工具，從而進行高效、精準備的安全預警與信息通報。當發現不同安全級別的事件或風險隱患時，可啟動不同的響應流程，將省、市、工業企業和安全支撐機構開展聯合協同響應，有效提高了應急響應與處置效率。

圖8-29  多級協同響應處置技術業務邏輯圖

同時，應用中的協同指揮工具實現“掛圖作戰”的多級協同應急能力，可在重大安全事件或安全活動保障過程中組織省、市、工業企業和安全支撐機構的工作協同，也可以通過該應用組織各級單位進行安全應急演練，提升各級的協同作戰能力，一旦發現相關事件，可立即采集相關行動，達到快速響應處置的目的。

圖8-30  協同指揮作戰圖

（4）數字化工業企業安全合規管理技術創新

2020年12月，工業和信息化部印發了《關于工業互聯網企業網絡安全分類分級管理試點工作的通知》（以下簡稱《通知》），省/市等區域級是15個省級部門開展分類分級的管理試點工作的其中之一，《通知》中要求省/市等區域級的16個工業企業單位參與本次管理試點工作。

省/市等區域級廳面臨的主要問題是，沒有形成體系化、流程化、數字化的工業互聯網企業網絡安全分類分級的技術實現工具，雖然本次試點單位不多，但面對未來大量的工業企業將接入其中，將給監管部門用戶帶來更多的安全合規管理工作事項。

基于以上的難點與問題，湖南省工業互聯網安全綜合服務平臺的工業企業安全合規管理業務應用，結合安全監管主管部門、工業企業主管部門和安全支撐機構三大用戶角色，以及“定級管理、合規自查、風險評估、安全整改和檔案管理”五大流程化管理應用，幫助監管部門實現了工業企業數字化、流程化的安全合規閉環管理機制，形成了對工業企業的精細化和差異化的安全合規管理模式。

2.實施效果

根據“下一步實施計劃”章節，當前平臺已完成前兩個步聚，實施效果如下：

平臺完成實施，確保達到等保三級防護水平，并發通知組織平臺的試運行，見下圖所示：

圖8-31  平臺試運行通知

湖南省電子信息產業研究院作為省級安全技術單位，組織開展平臺使用的培訓工作，見下圖：

圖8-32  組織召開平臺培訓通知

經過對試點企業的測試，以及完成平臺的培訓工作后，由湖南省工信廳和省通管局聯合舉辦的湖南工業互聯網安全深度行活動中，正式發布了平臺，見下圖：

圖8-33  湖南省工業互聯網安全深度行-平臺發布現場圖

在本次深度行活動中，為省內優秀工業領域網絡和數據安全支撐機構頒發證書，如下圖所示：

圖8-34  辦法工業領域網絡和數據安全支撐機構證書

湖南省工信廳在官網發布開展工業互聯網企業網絡安全分類分級管理工作的通知，征集省內各地方工業企業開展相關工作，見下圖：

圖8-35  湖南省工信廳開展分類分解管理工作的通知

平臺于2022年10月22日完成省內工業企業的定級工作，并對外公布，目前正處于安全自評估階段，見下圖：

形成工業企業定級清單，是對不同類型和安全級別的工業企業開展“精細化、差異化”安全管理措施。

平臺可為各工業企業提供在線安全自評估服務，評估內容以《工業互聯網企業網絡安全分類分級防護系列規范》和《湖南省工業互聯網企業網絡安全分類分級管理評估指標體系》為依據，為了保障企業能夠順利完成評估，平臺提供委托安全支撐機構提供遠程或現場評估服務，下圖為在線安全評估圖：

圖8-36 在線安全評估圖

當完成在線安全評估，為了進一步掌握工業企業安全現狀，現委托安全支撐機構技術人員對工業企業進行現場檢查，通過工控安全檢查工具箱，識別企業風險隱患，并生成安全檢查分析報告上傳至平臺，地方主管部門根據情況對部分存在安全風險的企業開展安全整改工作，并督導其在限期時間內完成整改。安全整改提供流程化管理方式，如下圖：

圖8-37  安全整改圖

平臺可對重點工業企業開展安全監測，實時掌握企業安全現狀，提供一系列閉環管理工具，當發現相關問題時，需要實時發現問題-安全驗證-通報預警，才可對相關事件進行發布，所有動作均提供流程化處理方式，全程留痕，實時如下圖所示：

圖8-38  實時監測界面

圖8-39  分析研判界面

圖8-40  通報預警界面

當發生重大安全事件時，根據湖南省應急要求，需要由省級應急辦協同地方人員一起進行響應急，需要組織事件發生地應急相關人員、安全支撐機構人員和行業領域安全專家共同解決問題，如下圖所示：

圖8-41  協同應急指揮界面

平臺為各級部門主管人員提供工業企業全息數字檔案，將企業基本信息、資產信息、定級信息、安全評估信息、安全整改信息、風險隱患信息和安全事件等數據進行有效整理，以安全監管者為視角，提供卡片式，報告式的界面，讓安全監管人員通過一張卡片，一頁報告掌握工業企業的全面現狀，為安全趨勢預判提供有效數據支撐。下圖為企業數字檔案界面：

圖8-42  企業數字檔案界面

1.1.5  單位基本信息

1.牽頭單位基本信息

本次方案申報的牽頭單位是中國聯合網絡通信有限公司研究院（簡稱中國聯通研究院）。

中國聯通研究院作為聯通集團科技創新的主體，立足國家戰略、公司戰略和產業服務，成為公司戰略決策的參謀者、公司技術發展的引領者、產業發展的助推者。內設一個綜合支撐板塊和智庫研究、網絡研究、應用技術研究三個技術研究板塊，具備智庫的專業咨詢能力、網絡技術的自主核心能力、前瞻技術的研究能力、技術與業務融合的應用能力?，F有員工近700多人，平均年齡36歲，享受國務院政府特殊津貼專家10名、教授級高工26名、博士后9名、博士62名、碩士占比75%以上。

2.參與單位基本信息

本次方案申報的參與單位是杭州安恒信息技術股份有限公司（簡稱安恒信息）。

安恒信息主營業務為網絡信息安全產品的研發、生產及銷售，并為客戶提供專業的網絡信息安全服務，制定了云安全、大數據安全、物聯網安全、智慧城市安全、工業控制系統安全及工業互聯網安全五大市場戰略。安恒信息憑借強大的研發實力和持續的產品創新，入選Gartner 《2020年中國ICT技術成熟度曲線》，成為中國云安全“標桿供應商”；AiLPHA大數據智能安全平臺榮獲2019“世界人工智能產業安全十大創新實踐”；榮獲首個全球工業互聯網大獎——“湛盧獎”等。