360企業(yè)安全技術(shù)（北京）集團有限公司是360公司繼個人安全市場后專注于為政府、軍隊、企業(yè)，教育、金融等機構(gòu)和組織提供企業(yè)級網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全公司，法定代表人為齊向東，注冊資本1.33億人民幣，總部設(shè)立在北京市朝陽區(qū)酒仙橋路6號院2號樓（電子城.國際電子總部），同時公司在上海、成都、廣州、大連等地設(shè)有分支機構(gòu)。公司擁有4000余名網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)人員。截止目前已經(jīng)為90%部委、72%央企、100%大型銀行以及上百萬中小企業(yè)提供了網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

本項目采用物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、人工智能等工業(yè)互聯(lián)網(wǎng)先進技術(shù)，在實現(xiàn)供水設(shè)備智能互聯(lián)的基礎(chǔ)上，通過對采集數(shù)據(jù)的實時分析、深度學習和數(shù)據(jù)挖掘，整合供水設(shè)備從設(shè)計、生產(chǎn)、安裝、運營、維保、報廢到優(yōu)化的全生命周期八大環(huán)節(jié)的數(shù)據(jù)，開發(fā)基于目標用戶的設(shè)備個性化需求系統(tǒng)、設(shè)備標準化設(shè)計系統(tǒng)、設(shè)備最優(yōu)化智能生產(chǎn)系統(tǒng)、移動施工管理系統(tǒng)、設(shè)備遠程監(jiān)管系統(tǒng)、設(shè)備故障預(yù)警系統(tǒng)、故障專家自診斷系統(tǒng)、維?？焖夙憫?yīng)系統(tǒng)等服務(wù)應(yīng)用，并通過APP、Web等人機交互工具為不同用戶提供多層次、多元化的用戶界面，構(gòu)建供水設(shè)備全生命周期的一體化管理平臺。

一、關(guān)鍵詞

安全監(jiān)測、運營管理

二、發(fā)起公司和主要聯(lián)系人聯(lián)系方式

發(fā)起單位：360企業(yè)安全技術(shù)（北京）集團有限公司
主要聯(lián)系人：崔君榮 cuijunrong@360.net   陶耀東   taoyaodong@360.net

三、合作公司

上海威派格智慧水務(wù)股份有限公司

四、測試床項目目標和概述

?  主要目標
“智能制造安全監(jiān)測與運營管理平臺”主要實現(xiàn)對智能制造企業(yè)工控系統(tǒng)通信數(shù)據(jù)和安全日志進行快速、自動化的關(guān)聯(lián)分析，及時發(fā)現(xiàn)智能制造行業(yè)工控系統(tǒng)異常和針對工控系統(tǒng)的威脅，通過可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢展現(xiàn)給用戶，通過對告警和響應(yīng)的自動化發(fā)布、跟蹤、管理實現(xiàn)安全風險的閉環(huán)管理。
通過建設(shè)智能制造安全監(jiān)測與運營管理平臺，實現(xiàn)企業(yè)內(nèi)網(wǎng)IT和OT安全的統(tǒng)一管理，企業(yè)內(nèi)部通過全網(wǎng)流量監(jiān)測，提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅，降低智能制造企業(yè)在進行工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型過程中的安全門檻，促進智能制造相關(guān)產(chǎn)業(yè)高速發(fā)展。

?  總體概述
智能制造安全監(jiān)測與運營管理平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺4個硬件模塊。如下圖所示：

平臺組成架構(gòu)
 

1)   流量傳感器
流量傳感器的功能主要是采集工控網(wǎng)絡(luò)中的工業(yè)協(xié)議流量數(shù)據(jù)，將原始的工控網(wǎng)絡(luò)全流量轉(zhuǎn)化為按session方式記錄的格式化流量日志，全流量日志會加密傳輸給分析平臺存儲用于后期的審計和分析。

2)   日志采集探針
日志采集器的主要功能是對工控網(wǎng)絡(luò)內(nèi)工控設(shè)備（PLC/DCS/RTU/HMI等）、安全設(shè)備、工業(yè)以太網(wǎng)、上位機、服務(wù)器等設(shè)備通過主動采集或被動接收等方式對日志進行采集并進行歸一化預(yù)處理，方便數(shù)據(jù)流后面的關(guān)聯(lián)規(guī)則和數(shù)據(jù)分析能夠快速使用。同時日志采集器還負責對內(nèi)網(wǎng)資產(chǎn)進行掃描識別，收集資產(chǎn)數(shù)據(jù)。

3)   關(guān)聯(lián)規(guī)則引擎
關(guān)聯(lián)規(guī)則引擎主要負責對來自日志采集器的大量日志信息進行實時流解析，并匹配關(guān)聯(lián)規(guī)則，對異常行為產(chǎn)生關(guān)聯(lián)告警。

4)   分析平臺
分析平臺用于存儲流量傳感器和日志采集器提交的流量日志、設(shè)備日志和系統(tǒng)日志，并同時提供應(yīng)用交互界面。分析平臺底層的數(shù)據(jù)檢索模塊采用了分布式計算和搜索引擎技術(shù)對所有數(shù)據(jù)進行處理，可通過多臺設(shè)備建立集群以保證存儲空間和計算能力的供應(yīng)。

五、測試床解決方案架構(gòu)

(一)     測試床應(yīng)用場景
本平臺主要面向智能制造領(lǐng)域，對中小企業(yè)建設(shè)具有監(jiān)測、預(yù)警的管理平臺，利用平臺的實時監(jiān)測能力，有效加強企業(yè)的工業(yè)互聯(lián)網(wǎng)安全水平。
水務(wù)是一個涉及到國計民生的行業(yè)，近年來中國水務(wù)向數(shù)字化、自動化、智慧化的方向發(fā)展。為保證供水生產(chǎn)設(shè)備的安全運行、預(yù)防系統(tǒng)突發(fā)性重大事故的發(fā)生，并在事故發(fā)生后迅速有效地控制和處理，最大限度地減少事故損失和相關(guān)系統(tǒng)的影響，在企業(yè)內(nèi)部建立安全運營管理平臺，以數(shù)據(jù)為驅(qū)動，以安全分析為工作重點，立足于安全策略防護，充分利用大數(shù)據(jù)平臺的數(shù)據(jù)收集、查詢能力進行持續(xù)的監(jiān)控與分析；在持續(xù)監(jiān)控的基礎(chǔ)上，實現(xiàn)安全管理體系、預(yù)警監(jiān)測體系、安全服務(wù)體系、縱深安全防護之間的有效協(xié)同和共同作用，最終形成可以有效落實的體系化安全解決方案。

(二)     測試床重點技術(shù)
該平臺數(shù)據(jù)采集部分，除了對智能制造行業(yè)傳統(tǒng)的Syslog、Flow、各種系統(tǒng)日志和安全設(shè)備日志以外還突破性的針對原始流量日志（依賴于流量傳感器或360下一代防火墻）和終端日志（依賴于天擎EDR模塊）進行采集。依賴于更加原始的日志信息，平臺可以發(fā)現(xiàn)隱藏更深的各種威脅，同時能夠提供完整的事件回溯分析能力。
    平臺在數(shù)據(jù)的存儲和分析中大量使用大數(shù)據(jù)相關(guān)技術(shù)，在標準化組件中可以依賴于分布式全文檢索技術(shù)提供接近PB級日志量的存儲和快速計算，同時能夠提供良好的可靠性保證，以解決意外斷電、磁盤故障可能對系統(tǒng)帶來的可靠性問題。

平臺使用多種分析引擎針對不同的管理目標提供相應(yīng)支撐，關(guān)聯(lián)分析、統(tǒng)計分析、快速搜索等功能相較于傳統(tǒng)產(chǎn)品具有明顯的性能優(yōu)勢。
平臺最外層提供友好、高效的交互管理頁面，既滿足了使用需求，又能夠提升工作效率。再結(jié)合威脅情報、安全服務(wù)等來自于360特有的安全知識輸入，該平臺可以極大的提升本地安全運營的效率。

(三)     技術(shù)創(chuàng)新性及先進性
通過全網(wǎng)流量監(jiān)測，發(fā)現(xiàn)工業(yè)網(wǎng)絡(luò)中的各類威脅和高級威脅，并進行情報挖掘與云端關(guān)聯(lián)分析，提前洞悉企業(yè)內(nèi)部各種工業(yè)安全威脅，并將威脅情報以可機讀格式推送到本地系統(tǒng)，供本地威脅檢測和分析時使用。

(四)     測試床解決方案架構(gòu)
該平臺將建設(shè)成一個以多種安全問題管理為目標、以智能制造工業(yè)數(shù)據(jù)為核心、威脅情報為特色、打通安全運營中的檢測、響應(yīng)、預(yù)警、防御多個領(lǐng)域環(huán)節(jié)的完整安全體系，能夠覆蓋安全管理與運營的各個環(huán)節(jié)，功能架構(gòu)圖如下：

平臺功能架構(gòu)

六、預(yù)期成果

(一)    測試床的預(yù)期測試結(jié)果，針對測試項（重點）

1. 工控系統(tǒng)關(guān)鍵資產(chǎn)管理

該平臺能夠提供對企業(yè)內(nèi)網(wǎng)資產(chǎn)的掃描發(fā)現(xiàn)、手工管理、資產(chǎn)變更比對、資產(chǎn)信息整合展示等基本功能。同時，提供長期的服務(wù)、流量、威脅相關(guān)的監(jiān)控，所有資產(chǎn)相關(guān)的監(jiān)控數(shù)據(jù)均可在資產(chǎn)詳情頁查看。

1. 工控系統(tǒng)操作行為監(jiān)測

該平臺能夠?qū)崟r監(jiān)測工控系統(tǒng)控制器下裝、上傳、啟動、停止等關(guān)鍵操作行為，包括智能制造行業(yè)常用西門子S7-300、施耐德昆騰、羅克韋爾Control Logix等系列工控系統(tǒng)。

3、 威脅發(fā)現(xiàn)及時性提升
利用多種新型威脅監(jiān)測手段，再結(jié)合威脅情報的使用，該平臺能夠更快的發(fā)現(xiàn)隱藏在各類日志中的安全問題。更早的發(fā)現(xiàn)威脅，一方面可以幫助企業(yè)或單位在安全管理上更為從容，無需面臨可能被通報追查的窘境，另一方面可以留下更多挽回損失的機會，為快速的彌補安全問題提供寶貴的時間窗口。

4、 安全運營
該平臺可以在多種安全功能基礎(chǔ)之上提供安全運營，幫助用戶快速的、宏觀的了解整個企業(yè)的安全情況。對各種威脅采取措施控制指令下發(fā)至控制系統(tǒng)，形成監(jiān)控、分析、控制的閉環(huán)。

(二)    商業(yè)價值
傳統(tǒng)工業(yè)領(lǐng)域安全防護常用的分層分域的隔離與邊界防護思路以及傳統(tǒng)的IT安全手段已不能有效識別和抵御所有可能的攻擊。安全監(jiān)測與運營管理平臺為智能制造中小企業(yè)的工業(yè)控制系統(tǒng)信息安全保障提供了一種有效解決方案。

(三)    經(jīng)濟效益
通過該平臺的部署，可以實時監(jiān)控企業(yè)內(nèi)網(wǎng)的流量，及時發(fā)現(xiàn)智能制造網(wǎng)絡(luò)空間的可疑行為和風險，大大提高了整個工業(yè)控制過程自動化領(lǐng)域的信息安全保障水平，同時提高用戶對自己使用的工業(yè)控制系統(tǒng)信息安全的自主把控能力。本平臺作為智能制造行業(yè)工業(yè)互聯(lián)網(wǎng)建設(shè)和正常運行的重要支撐和保護，其建設(shè)具有良好的經(jīng)濟效益。

(四)    社會價值
智能制造行業(yè)工業(yè)控制系統(tǒng)在我國經(jīng)濟生產(chǎn)生活中起著舉足輕重的作用，如果工業(yè)控制的信息被竊取或者被修改，可能造成人身傷亡、財產(chǎn)損失等嚴重后果，更嚴重的甚至會影響到國家安全。本平臺建成后，將快速面向智能制造中小企業(yè)，形成良好的工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全產(chǎn)業(yè)生態(tài)，加快工業(yè)物聯(lián)網(wǎng)在工業(yè)信息化產(chǎn)業(yè)中的布局，降低企業(yè)工業(yè)控制信息化的復(fù)雜度，從而讓工業(yè)充分享受信息化產(chǎn)業(yè)帶來的便利，社會效益十分顯著。

七、測試床技術(shù)可行性

(一)      物理平臺
平臺主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺4個硬件模塊。主要部署在網(wǎng)絡(luò)出口交換機旁，或者其他需要監(jiān)聽流量的網(wǎng)絡(luò)節(jié)點旁，接收鏡像流量，極大的避免了硬件接入至企業(yè)廠區(qū)內(nèi)部對生產(chǎn)本身的影響。

(二)      軟件平臺
所用設(shè)備操作系統(tǒng)為linux。

八、和AII技術(shù)的關(guān)系

(一)      與AII總體架構(gòu)的關(guān)系

安全監(jiān)測和運營管理平臺在工業(yè)互聯(lián)網(wǎng)體系架構(gòu)中提供安全服務(wù)，網(wǎng)絡(luò)邊緣側(cè)接入的終端類型廣泛，數(shù)量巨大，承載的業(yè)務(wù)繁雜，被動的安全防御往往不能起到良好的效果。因此，需要采用更加積極主動的安全防御手段，包括基于大數(shù)據(jù)的態(tài)勢感知和高級威脅檢測，以及統(tǒng)一的全網(wǎng)安全策略執(zhí)行和主動防護，從而更加快速響應(yīng)和防護。再結(jié)合完善的運維監(jiān)控和應(yīng)急響應(yīng)機制，則能夠最大限度保障系統(tǒng)的安全、可用、可信。

(二)     AII安全（可選）
智能制造安全監(jiān)測與運營管理平臺是安全產(chǎn)品，能夠連接工控防火墻、工業(yè)安全審計、工業(yè)主機防病毒軟件、工控交換機等設(shè)備，統(tǒng)一管理安全事件。
同時，該平臺在出廠時已經(jīng)通過公司內(nèi)部安全審查和評估。

(三)     詳細清單（可選）
配置和控制接口

數(shù)據(jù)通訊接口
工控通信協(xié)議MODBUS/TCP、OPC DA、S7等。

(四)      安全聯(lián)系人
孫樹海 sunshuhai@360.net

(五)      與已存在AII測試床的關(guān)系
參考工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟成果發(fā)布——測試床，現(xiàn)有34個測試床，主要集中在智能服務(wù)平臺、通信設(shè)備制造、家電協(xié)同制造等方面?，F(xiàn)有成果沒有從安全角度考慮建設(shè)測試床，因此，智能制造安全監(jiān)測與運營管理平臺的部署是非常有必要的，同時需要亟待落實。

九、交付件

智能制造安全監(jiān)測與運營管理平臺是一個總系統(tǒng)，主要包括流量傳感器、日志采集探針、關(guān)聯(lián)規(guī)則引擎和分析平臺，部署在智能制造同一個網(wǎng)段中。

十、測試床使用者

智能制造安全監(jiān)測與運營管理平臺建設(shè)成功后，可應(yīng)用于工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室進行展示，同時可用于威派格智慧水務(wù)生產(chǎn)設(shè)備系統(tǒng)的安全監(jiān)測、分析預(yù)警、安全態(tài)勢展現(xiàn)、威脅情報發(fā)布與使用。

十一、 知識產(chǎn)權(quán)說明

1.項目實施過程中所產(chǎn)生的知識產(chǎn)權(quán)，
①各方獨立完成的成果所有權(quán)歸各自所有；共同完成的成果所有權(quán)，按照參與方的貢獻大小進行分配。
②共同完成的項目成果轉(zhuǎn)讓，須經(jīng)參與各方同意的前提下進行，任何一方不得私自開展。
2. 獨立完成的知識產(chǎn)權(quán)成果各方可獨立組織成果鑒定。
3. 共同完成的項目成果申報各級獎項，應(yīng)根據(jù)各方貢獻大小排名。具體事宜另行商定。

十二、 部署，操作和訪問使用

流量傳感器通常部署在網(wǎng)絡(luò)出口交換機旁，或者其他需要監(jiān)聽流量的網(wǎng)絡(luò)節(jié)點旁，接收鏡像流量。關(guān)聯(lián)規(guī)則引擎、日志采集器和分析平臺部署在流量傳感器同一個網(wǎng)段即可。

十三、 資金

自籌

十四、 時間軸

項目建設(shè)周期為兩年。2018年完成流量傳感器、日志采集探針等技術(shù)的開發(fā)，2019年實現(xiàn)新探針、新應(yīng)用開發(fā)技術(shù)模式，2020年基本完成。

十五、 附加信息

該平臺通過以大數(shù)據(jù)和威脅情報為核心的智能制造安全監(jiān)測和運營管理平臺建設(shè)，實現(xiàn)威脅檢測、可視化展現(xiàn)、閉環(huán)響應(yīng)的工業(yè)安全運營，推動水務(wù)設(shè)備制造及智能制造行業(yè)的發(fā)展。

聲明

本報告所載的材料和信息，包括但不限于文本、圖片、數(shù)據(jù)、觀點、建議，不構(gòu)成法律建議，也不應(yīng)替代律師意見。本報告所有材料或內(nèi)容的知識產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有（注明是引自其他方的內(nèi)容除外），并受法律保護。如需轉(zhuǎn)載，需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可，任何人不得將報告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用，不得將報告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播，不得在任何公開場合使用報告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者，本聯(lián)盟將追究其相關(guān)法律責任。

工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟

聯(lián)系電話：010-62305887

郵箱：aii@caict.ac.cn