1.1.1  方案概述

今年，工信部印發(fā)組織開展2022年工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)，旨在全國(guó)范圍內(nèi)深入實(shí)施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理工作，要求各地工信廳、通信管理局聯(lián)合第三方專業(yè)機(jī)構(gòu)制定實(shí)施方案5月30日前報(bào)送工信部，并在11月底前開展本地深度行活動(dòng)。

針對(duì)深度行活動(dòng)提到的“分類分級(jí)管理”內(nèi)容，湖南省工信廳搭建了省級(jí)湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)，安恒全程主導(dǎo)并參與平臺(tái)建設(shè)。2022年5月20日，在湖南省工信廳和省通管局聯(lián)合舉辦“工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)”中平臺(tái)正式發(fā)布，預(yù)示整個(gè)湖南省的分類分級(jí)管理工作將在該平臺(tái)的支撐下進(jìn)行深度推廣，為工業(yè)企業(yè)用戶提供服務(wù)。

1. 方案背景

（1）工業(yè)互聯(lián)網(wǎng)是數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的國(guó)家戰(zhàn)略

工業(yè)互聯(lián)網(wǎng)以數(shù)字化、網(wǎng)絡(luò)化、智能化為本質(zhì)特征的第四次工業(yè)革命正在興起。作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，通過對(duì)人、機(jī)、物的全面互聯(lián)，構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈全面連接的新型生產(chǎn)制造的新型生產(chǎn)制造和服務(wù)體系，是數(shù)字化轉(zhuǎn)型的實(shí)現(xiàn)路徑，是實(shí)現(xiàn)新舊動(dòng)能轉(zhuǎn)換的關(guān)鍵力量。為搶抓新一輪科技革命和產(chǎn)業(yè)變革的重大歷史機(jī)遇，世界主要國(guó)家和地區(qū)加強(qiáng)制造業(yè)數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)戰(zhàn)略布局，全球領(lǐng)先企業(yè)積極行動(dòng)，產(chǎn)業(yè)發(fā)展新格局正孕育形成。

2019年10月18日，習(xí)近平總書記向“2019工業(yè)互聯(lián)網(wǎng)全球峰會(huì)”發(fā)來賀信。習(xí)近平指出，“當(dāng)前，全球新一輪科技革命和產(chǎn)業(yè)革命加速發(fā)展，工業(yè)互聯(lián)網(wǎng)技術(shù)不斷突破，為各國(guó)經(jīng)濟(jì)創(chuàng)新發(fā)展注入了新動(dòng)能，也為促進(jìn)全球產(chǎn)業(yè)融合發(fā)展提供了新機(jī)遇。中國(guó)高度重視工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展，愿同國(guó)際社會(huì)一道，持續(xù)提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新能力，推動(dòng)工業(yè)化與信息化在更廣范圍、更深程度、更高水平上實(shí)現(xiàn)融合發(fā)展”。 同時(shí)，習(xí)近平強(qiáng)調(diào)，“深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略，系統(tǒng)推進(jìn)工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和數(shù)據(jù)資源管理體系建設(shè)，發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用，加快形成以創(chuàng)新為主要引領(lǐng)和支撐的數(shù)字經(jīng)濟(jì)”。習(xí)近平關(guān)于工業(yè)互聯(lián)網(wǎng)的系列指示體現(xiàn)了對(duì)工業(yè)互聯(lián)網(wǎng)發(fā)展的高度重視，彰顯了推進(jìn)工業(yè)互聯(lián)網(wǎng)發(fā)展的緊迫性和重要性。

（2）工業(yè)互聯(lián)網(wǎng)安全是其發(fā)展的重要保障

工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡(luò)、平臺(tái)、安全三大體系。其中，網(wǎng)絡(luò)體系是基礎(chǔ)，工業(yè)互聯(lián)網(wǎng)將連接對(duì)象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價(jià)值鏈，可實(shí)現(xiàn)人、物品、機(jī)器、車間、企業(yè)等全要素，以及設(shè)計(jì)、研發(fā)、生產(chǎn)、管理、服務(wù)等各環(huán)節(jié)的泛在深度互聯(lián)。平臺(tái)體系是核心，工業(yè)互聯(lián)網(wǎng)平臺(tái)作為工業(yè)智能化發(fā)展的核心載體，實(shí)現(xiàn)海量異構(gòu)數(shù)據(jù)匯聚與建模分析、工業(yè)制造能力標(biāo)準(zhǔn)化與服務(wù)化、工業(yè)經(jīng)驗(yàn)知識(shí)軟件化與模塊化，以及各類創(chuàng)新應(yīng)用開發(fā)與運(yùn)行，支撐生產(chǎn)智能決策、業(yè)務(wù)模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培訓(xùn)。安全體系是保障，建設(shè)滿足工業(yè)需求的安全技術(shù)體系和管理體系，增強(qiáng)設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)的安全保障能力，識(shí)別和抵御安全威脅，化解各種安全風(fēng)險(xiǎn)，構(gòu)建工業(yè)智能化發(fā)展的安全可信環(huán)境。

（3）工業(yè)互聯(lián)網(wǎng)安全在轉(zhuǎn)型過程中面臨的挑戰(zhàn)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，IT與OT不斷融合，使原有的工廠內(nèi)外網(wǎng)絡(luò)邊界變的模糊，由于產(chǎn)業(yè)模式的創(chuàng)新發(fā)展，工廠內(nèi)外的信息傳遞更加頻繁，這將使黑客更容易入侵到工廠內(nèi)網(wǎng)絡(luò)，攻陷生產(chǎn)設(shè)備和系統(tǒng)，對(duì)生產(chǎn)造成巨大損失。工業(yè)控制系統(tǒng)信息安全目前面臨著信息安全與工控系統(tǒng)自身安全融合的要求。目前工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品還處于產(chǎn)品階段的 1.0 版本的時(shí)代，與目前 IT 信息安全和 IT 系統(tǒng)的適配程度相比還有比較大的差距。工業(yè)控制系統(tǒng)安全產(chǎn)品是與業(yè)務(wù)應(yīng)用相關(guān)度比較高的產(chǎn)品。目前的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品體現(xiàn)在與業(yè)務(wù)的融合度不夠，在深度檢測(cè)與業(yè)務(wù)相關(guān)的攻擊行為的時(shí)候往往乏力，缺乏創(chuàng)新性的安全檢測(cè)思路，防護(hù)思路往往缺乏真正有效的方法。另一方面，隨著工業(yè)領(lǐng)域中的一些新的應(yīng)用，如工業(yè)云、工業(yè)大數(shù)據(jù)等的普及，工業(yè)控制的業(yè)態(tài)也必將發(fā)生一些變化。而信息安全技術(shù)與新的業(yè)態(tài)融合時(shí)，必然需要與業(yè)務(wù)進(jìn)行融合。而目前工控信息安全技術(shù)的融合還沒有完全展開，需要在技術(shù)方向和應(yīng)用上有所突破。

2. 方案簡(jiǎn)介

（1）需求分析

政策驅(qū)動(dòng)需求：政策文件的下發(fā)，為各地方區(qū)域級(jí)工業(yè)信息安全監(jiān)管部門具有明確的監(jiān)管工作指導(dǎo)意義，分別從如何對(duì)企業(yè)分類分級(jí)，如何做好分類分級(jí)的安全防護(hù)，以及如何做好相關(guān)安全監(jiān)測(cè)預(yù)警工作給出了較為明確的工作行動(dòng)目標(biāo)。

業(yè)務(wù)驅(qū)動(dòng)需求：形成監(jiān)測(cè)預(yù)警、信息通報(bào)、協(xié)同應(yīng)急處置的閉環(huán)管理機(jī)制；形成工業(yè)企業(yè)分類分級(jí)安全監(jiān)管閉環(huán)管理機(jī)制；形成面向工業(yè)企業(yè)提供安全服務(wù)的生態(tài)體系。

（2）解決方案

方案將工業(yè)互聯(lián)網(wǎng)安全“監(jiān)測(cè)預(yù)警與協(xié)同應(yīng)急管理”、“工業(yè)互聯(lián)網(wǎng)企業(yè)安全合規(guī)管理”和“工業(yè)互聯(lián)網(wǎng)安全支撐綜合服務(wù)”三大業(yè)務(wù)應(yīng)用融為一體，以“工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)”為核心能力，為工業(yè)互聯(lián)網(wǎng)安全監(jiān)管部門和工業(yè)企業(yè)提供“雙向賦能”。打造省、市工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)生態(tài)體系，逐步形成集約化工業(yè)互聯(lián)網(wǎng)安全運(yùn)營(yíng)服務(wù)中心。

圖8-1  集約化工業(yè)互聯(lián)網(wǎng)安全運(yùn)營(yíng)服務(wù)中心

3. 方案目標(biāo)

（1）提升、完善全省工業(yè)互聯(lián)網(wǎng)威脅感知能力

工業(yè)互聯(lián)網(wǎng)數(shù)字化轉(zhuǎn)型過程中，業(yè)務(wù)應(yīng)用場(chǎng)景也越來越多，因此相應(yīng)的網(wǎng)絡(luò)安全監(jiān)測(cè)手段也需要進(jìn)行補(bǔ)充和技術(shù)提升。本次建設(shè)需要提升全省工業(yè)互聯(lián)網(wǎng)企業(yè)安全整體態(tài)勢(shì)感知、分析能力，實(shí)時(shí)掌握更多、更全面的各類工業(yè)互聯(lián)網(wǎng)場(chǎng)景下的安全動(dòng)態(tài)，在發(fā)生工業(yè)互聯(lián)網(wǎng)安全事件時(shí)，也無法進(jìn)行精準(zhǔn)預(yù)警。為實(shí)時(shí)掌握全省工業(yè)互聯(lián)網(wǎng)安全情況及動(dòng)態(tài)，在發(fā)生安全隱患時(shí)可以進(jìn)行快速、精準(zhǔn)預(yù)警，需依托大數(shù)據(jù)技術(shù)建立全省工業(yè)互聯(lián)網(wǎng)安全感知分析能力，實(shí)現(xiàn)精準(zhǔn)匹配、重點(diǎn)分析，并提供多個(gè)維度可視化的大數(shù)據(jù)分析結(jié)果，為研判、決策工業(yè)互聯(lián)網(wǎng)安全保障工作提供有效支撐，提升對(duì)關(guān)鍵目標(biāo)的管控、風(fēng)險(xiǎn)識(shí)別的水平。

（2）建立省級(jí)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)協(xié)同指揮體系

根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》的相關(guān)要求，為積極落實(shí)責(zé)任要求，形成安全事件閉環(huán)管理機(jī)制，加快建立省工業(yè)互聯(lián)網(wǎng)安全協(xié)同協(xié)作機(jī)制，需要結(jié)合實(shí)際需要對(duì)全省工業(yè)企業(yè)建立監(jiān)測(cè)、預(yù)警、防范協(xié)同管理機(jī)制，建立相應(yīng)的技術(shù)平臺(tái)，實(shí)現(xiàn)省工信廳、地市工信局、工業(yè)企業(yè)、技術(shù)支撐單位級(jí)其他監(jiān)管單位等在工業(yè)互聯(lián)網(wǎng)安全安全層面上的協(xié)作、互通，進(jìn)一步完善監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急處置等相關(guān)機(jī)制的建設(shè)。

（3）建立工業(yè)領(lǐng)域網(wǎng)絡(luò)安全分類分級(jí)合規(guī)管理機(jī)制

以《網(wǎng)絡(luò)安全分類分級(jí)》為依據(jù)，完善工業(yè)企業(yè)網(wǎng)絡(luò)安全合規(guī)管理機(jī)制，打造精細(xì)化、差異化的科學(xué)管理方式。形成面向工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、標(biāo)識(shí)解析企業(yè)等三類工業(yè)互聯(lián)網(wǎng)企業(yè)開展網(wǎng)絡(luò)安全分類分級(jí)管理工作，參照行業(yè)重要性、企業(yè)規(guī)模、安全風(fēng)險(xiǎn)程度等因素，將企業(yè)網(wǎng)絡(luò)安全等級(jí)由高到低劃分為三級(jí)、二級(jí)、一級(jí)，并針對(duì)不同類型、不同級(jí)別的企業(yè)提出差異化安全防護(hù)要求。

組建工業(yè)互聯(lián)安全評(píng)測(cè)機(jī)構(gòu)和專家隊(duì)伍，提供專業(yè)化工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估工具，開展對(duì)工業(yè)企業(yè)的現(xiàn)場(chǎng)安全檢查和信息調(diào)查。針對(duì)工業(yè)企業(yè)進(jìn)行定期及不定期的巡視檢查，通過建立全省工業(yè)互聯(lián)網(wǎng)安全檢查機(jī)制，借助線上監(jiān)測(cè)加線下檢查形成監(jiān)管合力，摸底全省工業(yè)互聯(lián)網(wǎng)安全狀況。

（4）建立工業(yè)企業(yè)與省平臺(tái)監(jiān)測(cè)數(shù)據(jù)安全共享能力

依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南》要求，三級(jí)工業(yè)企業(yè)需要在企業(yè)建設(shè)安全監(jiān)測(cè)分析平臺(tái)，并將在企業(yè)內(nèi)監(jiān)測(cè)的數(shù)據(jù)信息上報(bào)給省級(jí)平臺(tái)。因此，需要實(shí)現(xiàn)工業(yè)企業(yè)安全監(jiān)測(cè)分析平臺(tái)與省湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)的安全認(rèn)證與數(shù)據(jù)傳輸共享服務(wù)，以保證兩平臺(tái)間數(shù)據(jù)傳輸共享的安全性。

（5）建立工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力

一是加強(qiáng)對(duì)省工業(yè)信息安全公共服務(wù)能力，通過對(duì)工業(yè)企業(yè)資產(chǎn)梳理、安全隱患監(jiān)測(cè)、安全事件分析研判、應(yīng)急響應(yīng)支持、安全態(tài)勢(shì)感知服務(wù)、安全運(yùn)營(yíng)服務(wù)等，提高全省工業(yè)企業(yè)提供網(wǎng)絡(luò)安全公共服務(wù)的能力。

二是針對(duì)信息安全意識(shí)、安全技能、熱點(diǎn)安全事件定期組織安全培訓(xùn)，輻射全省，對(duì)各級(jí)工信單位、重點(diǎn)工業(yè)企業(yè)進(jìn)行網(wǎng)絡(luò)安全業(yè)務(wù)培訓(xùn)，形成常態(tài)化工控信息安全人才隊(duì)伍建設(shè)與培養(yǎng)機(jī)制，增強(qiáng)各級(jí)各部門網(wǎng)絡(luò)安全意識(shí)和防護(hù)水平。

（6）建立跨平臺(tái)數(shù)據(jù)采集和共享機(jī)制

目前省工信廳、通管局等相關(guān)單位均對(duì)各自負(fù)責(zé)監(jiān)管領(lǐng)域建設(shè)監(jiān)測(cè)、存儲(chǔ)系統(tǒng)，同時(shí)工信部已建設(shè)國(guó)家級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)，但尚未建設(shè)各級(jí)信息互通、共享的數(shù)據(jù)交換平臺(tái)，數(shù)據(jù)無法連通，工作難以互動(dòng)。為解決這一問題，需建立共享數(shù)據(jù)機(jī)制，互通有無，信息共享，同時(shí)保證數(shù)據(jù)的安全性。

1.1.2  方案實(shí)施概況

1.總體設(shè)計(jì)原則和策略

（1）設(shè)計(jì)原則

厲行節(jié)約原則：在平臺(tái)建設(shè)過程中，要盡量利用現(xiàn)有的信息系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、安全監(jiān)控?cái)?shù)據(jù)等，綜合考慮對(duì)已有資源的共享和利用，避免重復(fù)建設(shè)和浪費(fèi)。

標(biāo)準(zhǔn)規(guī)劃原則：在方案設(shè)計(jì)和設(shè)備選型方面遵循國(guó)家以及行業(yè)內(nèi)的相關(guān)標(biāo)準(zhǔn)，嚴(yán)格按照有關(guān)程序組織方案建設(shè)，并且建設(shè)標(biāo)準(zhǔn)符合國(guó)家及行業(yè)提出的接口規(guī)范和技術(shù)架構(gòu)。

重點(diǎn)保護(hù)原則：根據(jù)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)重點(diǎn)工業(yè)控制系統(tǒng)。

技術(shù)先進(jìn)原則：平臺(tái)設(shè)計(jì)立足先進(jìn)技術(shù)，采用先進(jìn)的系統(tǒng)結(jié)構(gòu)、開放的體系架構(gòu)，使系統(tǒng)在一個(gè)周期內(nèi)保持技術(shù)領(lǐng)先水平，具備長(zhǎng)足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)和安全技術(shù)的發(fā)展和系統(tǒng)使用的科學(xué)性。

（2）設(shè)計(jì)策略

平臺(tái)建設(shè)堅(jiān)持三個(gè)策略：

“全”。即全源化采集，在現(xiàn)有數(shù)據(jù)采集來源的基礎(chǔ)上擴(kuò)大數(shù)據(jù)采集范圍和采集數(shù)據(jù)類型，確保平臺(tái)數(shù)據(jù)來源的全面性。

“優(yōu)”。即整合優(yōu)勢(shì)產(chǎn)品，平臺(tái)選用的產(chǎn)品是從眾多安全廠商中優(yōu)中選優(yōu)，確保平臺(tái)的先進(jìn)性，并整合各安全設(shè)備管理能力，如等流量監(jiān)測(cè)引擎、威脅感知引擎、工具箱等設(shè)備可實(shí)現(xiàn)與平臺(tái)業(yè)務(wù)系統(tǒng)的無縫對(duì)接。

“實(shí)”。即實(shí)戰(zhàn)化應(yīng)用，平臺(tái)設(shè)計(jì)涵蓋監(jiān)測(cè)、態(tài)勢(shì)、通報(bào)、處置、情報(bào)、應(yīng)急指揮、攻防演練等功能，最大程度實(shí)現(xiàn)工作業(yè)務(wù)需求，形成工控安全態(tài)勢(shì)監(jiān)管業(yè)務(wù)閉環(huán)，最大限度服務(wù)于實(shí)戰(zhàn)。

2.平臺(tái)邏輯架構(gòu)設(shè)計(jì)

湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)是為省監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、實(shí)時(shí)監(jiān)測(cè)、通報(bào)預(yù)警、響應(yīng)處置、應(yīng)急指揮等，以及提供工業(yè)企業(yè)分類分級(jí)管理和綜合安全服務(wù)一體化的服務(wù)平臺(tái)。

平臺(tái)總體架構(gòu)設(shè)計(jì)遵照“分層解耦、異構(gòu)兼容”的原則，分為安全引擎層、安全中臺(tái)層和安全應(yīng)用層三個(gè)層次，各層級(jí)以及模塊之間的功能設(shè)計(jì)具有相對(duì)的獨(dú)立性，從而使得整個(gè)系統(tǒng)具有較高的擴(kuò)展性。安全引擎層作為平臺(tái)的基礎(chǔ)能力層，安全中臺(tái)實(shí)現(xiàn)數(shù)據(jù)的采集處理、挖掘分析和提供統(tǒng)一的數(shù)據(jù)服務(wù)，構(gòu)建數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)體系。安全應(yīng)用層通過建設(shè)滿足用戶的各類業(yè)務(wù)應(yīng)用，協(xié)助監(jiān)管部門開展工業(yè)互聯(lián)網(wǎng)安全的保衛(wèi)工作。

平臺(tái)總體架構(gòu)如下圖所示：

圖8-2  湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)架構(gòu)設(shè)計(jì)

（1）可視化安全態(tài)勢(shì)感知層

平臺(tái)為監(jiān)管人員、企業(yè)人員和安全支撐機(jī)構(gòu)人員提供不同崗位視角的可視化安全態(tài)勢(shì)感知大屏，滿足不同角色需求，提供綜合態(tài)勢(shì)、預(yù)警態(tài)勢(shì)、隱患態(tài)勢(shì)、事件態(tài)勢(shì)、分類分級(jí)態(tài)勢(shì)、攻擊者溯源態(tài)勢(shì)、資產(chǎn)威脅溯源態(tài)勢(shì)和網(wǎng)絡(luò)星空態(tài)勢(shì)。

（2）業(yè)務(wù)應(yīng)用層

平臺(tái)基于微服務(wù)架構(gòu)，結(jié)合用戶實(shí)際需求，分別為各級(jí)用戶實(shí)現(xiàn)各類應(yīng)用服務(wù)能力，平臺(tái)由可視化安全態(tài)勢(shì)感知、監(jiān)測(cè)預(yù)警與協(xié)同應(yīng)急、安全合規(guī)管理和綜合安全服務(wù)，打造完整生態(tài)，將各級(jí)監(jiān)管部門、安全支撐機(jī)構(gòu)、安全專家等人員聯(lián)合起來，一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。

（3）安全中臺(tái)層

安全中臺(tái)層包括安全數(shù)據(jù)中臺(tái)、安全業(yè)務(wù)中臺(tái)和安全能力中臺(tái)組成，為上層業(yè)務(wù)應(yīng)用提供安全數(shù)據(jù)服務(wù)、業(yè)務(wù)流程管理和安全能力服務(wù)。

（4）安全引擎層

基礎(chǔ)安全能力層為平臺(tái)運(yùn)行和其他單位提供必要的基礎(chǔ)安全能力和數(shù)據(jù)來源，包括網(wǎng)絡(luò)資產(chǎn)測(cè)繪引擎、威脅檢測(cè)識(shí)別引擎、網(wǎng)絡(luò)攻擊誘捕引擎、網(wǎng)絡(luò)防御引擎、威脅情報(bào)管理引擎、云端安全監(jiān)測(cè)引擎、網(wǎng)站安全監(jiān)測(cè)引擎和安全檢查引擎等。

3.平臺(tái)技術(shù)路線

（1）分布式存儲(chǔ)技術(shù)

分布式存儲(chǔ)技術(shù)作為態(tài)勢(shì)感知系統(tǒng)最為重要與基礎(chǔ)的支撐技術(shù)。分布式存儲(chǔ)技術(shù)能夠?qū)崿F(xiàn)結(jié)構(gòu)化及半結(jié)構(gòu)化數(shù)據(jù)的統(tǒng)一存儲(chǔ)，兼容傳統(tǒng)的關(guān)系型數(shù)據(jù)庫以及SQL訪問模型，同時(shí)支持對(duì)海量數(shù)據(jù)的在線實(shí)時(shí)流式處理框架和離線分布式計(jì)算框架。分布式數(shù)據(jù)庫面向時(shí)序數(shù)據(jù)和小文件數(shù)據(jù)存儲(chǔ)進(jìn)行深度優(yōu)化，支持第三方存儲(chǔ)引擎和傳統(tǒng)關(guān)系型數(shù)據(jù)庫的無縫接入；支持海量混合數(shù)據(jù)的統(tǒng)一存儲(chǔ)管理和在線離線一體化查詢；支持可插拔安全算法模塊和主流分布式計(jì)算框架；支持跨庫、跨源、異構(gòu)數(shù)據(jù)庫之間的跨庫訪問和關(guān)聯(lián)查詢，解決了多系統(tǒng)交互時(shí)對(duì)海量混合數(shù)據(jù)統(tǒng)一管控的問題；支持多源異構(gòu)混搭數(shù)據(jù)間基于規(guī)則導(dǎo)向的高可靠近實(shí)時(shí)數(shù)據(jù)同步。主要功能包括：

l 大數(shù)據(jù)采集存儲(chǔ)和分析處理。滿足采集海量數(shù)據(jù)儲(chǔ)存需要，如流量信息、設(shè)備狀態(tài)、鏈路狀態(tài)等，滿足大規(guī)模結(jié)構(gòu)化流式數(shù)據(jù)的并發(fā)能力、吞吐量、低時(shí)延的高要求。

l 分層架構(gòu)、模塊化設(shè)計(jì)、多場(chǎng)景支持。采用模塊化的設(shè)計(jì)思路，在數(shù)據(jù)訪問層、數(shù)據(jù)路由層和數(shù)據(jù)存儲(chǔ)層都提供多種高內(nèi)聚、低耦合的模塊，通過這些模塊的靈活搭配，分布式數(shù)據(jù)庫表現(xiàn)出不同的技術(shù)特征，從而能夠適應(yīng)不同的業(yè)務(wù)場(chǎng)景。

l 在線檢索和離線分析一體化。通過配置，分布式數(shù)據(jù)庫可同時(shí)支持高速數(shù)據(jù)寫入，在線交互訪問、實(shí)時(shí)查詢以及高并發(fā)大數(shù)據(jù)集查詢?cè)趦?nèi)的各種訪問方式，適應(yīng)在線檢索和離線分析等不同業(yè)務(wù)場(chǎng)景。

l 混合數(shù)據(jù)支持。分布式數(shù)據(jù)庫支持與傳統(tǒng)關(guān)系型數(shù)據(jù)庫Oracle、MySQL等聯(lián)合訪問。業(yè)務(wù)系統(tǒng)可以把部分表建在Oracle或MySQL上，把部分表建在分布式數(shù)據(jù)庫上，然后透明地訪問這些表，包括在這些表之間進(jìn)行join、union等操作。

l 跨域、多數(shù)據(jù)中心支持。分布式數(shù)據(jù)庫在保證數(shù)據(jù)一致性的前提下支持多數(shù)據(jù)中心或多數(shù)據(jù)集群之間近實(shí)時(shí)的跨域數(shù)據(jù)同步復(fù)制，實(shí)現(xiàn)系統(tǒng)的跨域多中心部署模式?？傮w處理性能，數(shù)據(jù)讀寫、掃描等，隨集群規(guī)模擴(kuò)展線性增長(zhǎng)。

l 分布式存儲(chǔ)形式主要基于通用/定制化的X86服務(wù)器提供存儲(chǔ)，可提供對(duì)象、文件和塊存儲(chǔ)，具備低成本、靈活擴(kuò)容、高并發(fā)訪問等優(yōu)勢(shì)，通過軟件保障性能和可靠性?？勺鳛橘Y源池的分級(jí)存儲(chǔ)手段，滿足中低端存儲(chǔ)、數(shù)據(jù)歸檔備份、大數(shù)據(jù)存儲(chǔ)等需求。采用X86服務(wù)器和分布式塊存儲(chǔ)軟件技術(shù)的Server-SAN在I/O能力、部署速度和擴(kuò)展性方面已驗(yàn)證優(yōu)于傳統(tǒng)塊存儲(chǔ)技術(shù)（例如FC-SAN/IP-SAN）。

分布式存儲(chǔ)技術(shù)用于系統(tǒng)架構(gòu)的大數(shù)據(jù)組件當(dāng)中，使系統(tǒng)能夠?qū)崿F(xiàn)高效的數(shù)據(jù)采集和檢索能力。

（2）多源異構(gòu)數(shù)據(jù)融合技術(shù)

大數(shù)據(jù)分析的根本是數(shù)據(jù)，針對(duì)高價(jià)值數(shù)據(jù)的分析往往事半功倍。然而測(cè)評(píng)領(lǐng)域大數(shù)據(jù)分析在數(shù)據(jù)方面所面對(duì)的現(xiàn)實(shí)問題總結(jié)下來主要分為以下三種形態(tài)：

來源多：包含服務(wù)數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)資源、數(shù)據(jù)交換獲得的私有數(shù)據(jù)資源、以及互聯(lián)網(wǎng)采集的數(shù)據(jù)資源，這些數(shù)據(jù)隨著業(yè)務(wù)的變化而變化。

組成亂：數(shù)據(jù)資源包含結(jié)構(gòu)化數(shù)據(jù)，如MySQL、Oracle等等；半結(jié)構(gòu)化數(shù)據(jù)：XML、CSV等等；以及非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)結(jié)構(gòu)亂、形式不一。

質(zhì)量碎：數(shù)據(jù)往往以孤島或碎片化的形式存在、缺少關(guān)聯(lián)、語義不明確甚至缺失。

面對(duì)上述問題，就需要一種能夠處理、整合多源異構(gòu)等復(fù)雜形態(tài)的數(shù)據(jù)歸一化模型，將不同形態(tài)、雜亂無章的數(shù)據(jù)整合成統(tǒng)一的樣式形態(tài)。同時(shí)，能夠基于該數(shù)據(jù)整合模型，以“人”、“事”、“物”等數(shù)據(jù)分析為主體、實(shí)現(xiàn)數(shù)據(jù)的大串聯(lián)、大融合，將原來孤立的“點(diǎn)”數(shù)據(jù)、“面”數(shù)據(jù)、“條”數(shù)據(jù)融合成為一定空間、時(shí)間范圍內(nèi)的“塊”數(shù)據(jù)，做到價(jià)值的萃取，形成業(yè)務(wù)可用的大數(shù)據(jù)。

多源異構(gòu)的數(shù)據(jù)融合技術(shù)運(yùn)用在系統(tǒng)的數(shù)據(jù)治理融合層，通過體系化的數(shù)據(jù)治理方法論結(jié)合基于模型驅(qū)動(dòng)的數(shù)據(jù)治理技術(shù)用以提升數(shù)據(jù)質(zhì)量，便于數(shù)據(jù)分析建模的建立。

（3）全文檢索技術(shù)

全文檢索技術(shù)是態(tài)勢(shì)感知系統(tǒng)的核心基礎(chǔ)功能，其基礎(chǔ)要求是根據(jù)搜索條件快速、準(zhǔn)確的匹配命中數(shù)據(jù)對(duì)象，為安全分析人員提供高效準(zhǔn)確的分析工具，以便能更加快速的發(fā)現(xiàn)安全風(fēng)險(xiǎn)。因?yàn)榇髷?shù)據(jù)系統(tǒng)往往采用分布式存儲(chǔ)技術(shù)，所以全文檢索技術(shù)的選擇必須能夠支持主流的分布式存儲(chǔ)系統(tǒng)。同時(shí)，分布式并行計(jì)算系統(tǒng)的支持也是在技術(shù)路線選擇中必須考慮的因素，需能夠做到對(duì)并行計(jì)算框架的無縫對(duì)接。由于測(cè)評(píng)系統(tǒng)的大數(shù)據(jù)分析功能對(duì)數(shù)據(jù)搜索準(zhǔn)度、實(shí)時(shí)性與多樣性的要求，這就要求檢索技術(shù)需支持基于關(guān)鍵詞，數(shù)值范圍，日期范圍等各種復(fù)雜的搜索功能。

全文檢索技術(shù)采用倒排索引的結(jié)構(gòu)達(dá)到快速全文檢索的目的，倒排檢索是實(shí)現(xiàn)“單詞”-“文檔矩陣”的一種具體存儲(chǔ)形式，通過倒排索引可以更加快速的獲取包含這個(gè)單詞的文檔列表，倒排索引主要由兩個(gè)部分組成“單詞詞典”和“倒排文件”，具體結(jié)構(gòu)如下圖：

圖8-3  全文檢索技術(shù)架構(gòu)圖

全文檢索技術(shù)運(yùn)用在安全監(jiān)測(cè)中，主要用于對(duì)監(jiān)測(cè)數(shù)據(jù)的檢索查詢，通過查詢安全分析人員能夠?qū)崿F(xiàn)對(duì)安全事件的細(xì)致分析，并將有效數(shù)據(jù)運(yùn)用于模型建立當(dāng)中。

（4）關(guān)聯(lián)分析可視化技術(shù)

數(shù)據(jù)關(guān)聯(lián)分析即線索擴(kuò)線，是一個(gè)從有限的數(shù)據(jù)線索向未知數(shù)據(jù)進(jìn)行挖掘探索的過程。選用關(guān)聯(lián)分析可視化技術(shù)主要因?yàn)槭牵簲?shù)據(jù)分析人員需要在各類數(shù)據(jù)庫中反復(fù)比對(duì)、查詢、線索串聯(lián)。運(yùn)用可視化關(guān)聯(lián)分析技術(shù)能夠以圖形化界面、流暢交互操作等形式將枯燥的數(shù)據(jù)分析變得生動(dòng)，能夠在很大程度上提高數(shù)據(jù)分析員的工作效率。在可視化技術(shù)選擇上，能夠突出數(shù)據(jù)關(guān)聯(lián)關(guān)系的特征，便于分析人員理解。同時(shí)，數(shù)據(jù)統(tǒng)計(jì)等可視化輔助功能能夠幫助分析員理解數(shù)據(jù)含義，提高工作效率。

通過數(shù)據(jù)清洗、要素提取融合，系統(tǒng)實(shí)現(xiàn)多要素多維度的關(guān)聯(lián)分析，從工控異常行為、工控惡意操作、僵尸網(wǎng)絡(luò)、木馬、蠕蟲、勒索軟件、漏洞攻擊、WEB攻擊、DDOS攻擊、惡意通聯(lián)關(guān)系、惡意樣本、惡意通信、惡意郵件、惡意域名、APT攻擊等安全事件入手，運(yùn)用關(guān)聯(lián)分析技術(shù)完成態(tài)勢(shì)可視化展現(xiàn)，構(gòu)建由微觀到宏觀的態(tài)勢(shì)分析，形成安全攻擊態(tài)勢(shì)變化的能力。

關(guān)聯(lián)分析可視化技術(shù)用于系統(tǒng)的數(shù)據(jù)分析層，主要作用是將多源異構(gòu)數(shù)據(jù)通過關(guān)聯(lián)分析模型串聯(lián)起來，找到各類數(shù)據(jù)源之間的關(guān)系，并通過可視化技術(shù)進(jìn)行最終呈現(xiàn)。

（5）溯源分析可視化技術(shù)

在處理和分析互聯(lián)網(wǎng)事件時(shí)往往需要從海量的數(shù)據(jù)里查找有用的線索，這不但是存儲(chǔ)、索引、計(jì)算技術(shù)的挑戰(zhàn)，具體分析工作也面臨著困難：呈現(xiàn)在列表式表格中的大量數(shù)據(jù)，難以發(fā)現(xiàn)數(shù)據(jù)的模式、趨勢(shì)和關(guān)聯(lián)關(guān)系等分析重要要點(diǎn)?？梢暬褪怯脕斫鉀Q這些問題的最佳方案。

目前已知的對(duì)人類認(rèn)知最有效的方式就是通過視覺感知，相比其他的交流呈現(xiàn)方式，使用數(shù)據(jù)可視化來交流具有很多的優(yōu)勢(shì)，包括：

數(shù)據(jù)可視化能快速的進(jìn)行復(fù)雜信息的交流：可視化在最小化數(shù)據(jù)細(xì)節(jié)特征損耗的同時(shí)，可以在數(shù)秒鐘快速呈現(xiàn)上百萬個(gè)點(diǎn)信息，非常適合與統(tǒng)計(jì)信息呈現(xiàn)。具體到本方案，對(duì)本地威脅態(tài)勢(shì)全局信息的展示就非常適合采用可視化的方法，可以快速的掌握趨勢(shì)、熱點(diǎn)等重要信息，對(duì)從全局把握網(wǎng)絡(luò)安全態(tài)勢(shì)有著不可替代的作用。

數(shù)據(jù)可視化能識(shí)別潛在模式：一些模式特征通過統(tǒng)計(jì)學(xué)方法或者掃描數(shù)據(jù)的方式難以發(fā)現(xiàn)，卻可能通過可視化方法被揭示出來。而當(dāng)在可視化展示數(shù)據(jù)的時(shí)候，存在于單個(gè)變量中的模式或者多個(gè)變量之間的關(guān)聯(lián)關(guān)系就可以呈現(xiàn)出來。數(shù)據(jù)可視化的這個(gè)特點(diǎn)特別有利于在網(wǎng)絡(luò)事件調(diào)查過程中使用，通過一點(diǎn)線索，利用可視化分析方法，可以發(fā)現(xiàn)、呈現(xiàn)出更多和它有關(guān)聯(lián)的其它信息點(diǎn)，達(dá)到拓線，進(jìn)而溯源事件的目的。

溯源分析可視化技術(shù)用于數(shù)據(jù)分析層，是態(tài)勢(shì)感知系統(tǒng)的一類重要分析技術(shù)，主要用于對(duì)安全事件的追溯，通過溯源可視化分析方法幫助管理人員準(zhǔn)確發(fā)現(xiàn)攻擊背后的真正意圖。

（6）威脅情報(bào)生成技術(shù)

威脅情報(bào)的生成是一個(gè)復(fù)雜的過程，需要具備多種能力才有可能完成，一般可以分為如下圖這樣的八步：

圖8-4  威脅情況流程圖

? 數(shù)據(jù)收集：這是關(guān)鍵的一步，決定了產(chǎn)生的情報(bào)是否能最全面的覆蓋威脅，因此往往需要聚集多種不同來源的情報(bào)數(shù)據(jù)（包括但不限于樣本數(shù)據(jù)、黑客團(tuán)伙相關(guān)數(shù)據(jù)、DNS相關(guān)數(shù)據(jù)、WHOIS相關(guān)數(shù)據(jù)、僵尸網(wǎng)絡(luò)相關(guān)數(shù)據(jù)等），以保證情報(bào)質(zhì)量。

? 數(shù)據(jù)清洗：將以上數(shù)據(jù)根據(jù)后續(xù)加工的需要進(jìn)行整理、去除不可信數(shù)據(jù)、將關(guān)鍵數(shù)據(jù)結(jié)構(gòu)化等過程。

? 數(shù)據(jù)關(guān)聯(lián)：數(shù)據(jù)關(guān)聯(lián)是數(shù)據(jù)驗(yàn)證的前提條件，通過數(shù)據(jù)關(guān)聯(lián)梳理不同類型數(shù)據(jù)間的關(guān)系，如樣本、樣本不同方式的檢測(cè)分析結(jié)果、樣本的網(wǎng)絡(luò)行為、域名注冊(cè)者、域名指向的IP、IP上面的其它域名等。

? 驗(yàn)證：通過建立了關(guān)聯(lián)關(guān)系的數(shù)據(jù)，再利用機(jī)器學(xué)習(xí)的方式（有可能結(jié)合部分的人工分析）對(duì)情報(bào)的準(zhǔn)確性進(jìn)行驗(yàn)證，并賦予相應(yīng)的可信度指標(biāo)。這也是決定情報(bào)質(zhì)量關(guān)鍵的一步。

? 上下文：包括如攻擊類型、樣本家族、攻擊團(tuán)伙、攻擊目地、傳播渠道、具體危害等報(bào)警響應(yīng)需要的內(nèi)容。

? 優(yōu)先級(jí)：根據(jù)攻擊目的、具體危害等信息，確定報(bào)警優(yōu)先等級(jí)信息；

? 格式化：根據(jù)分發(fā)的要求，將情報(bào)以特定的格式輸出，如：STIX、openIOC、JSON、xml等，非MRTI類型的情報(bào)還可能以PDF、word等類型提供。

? 情報(bào)分發(fā)：根據(jù)不同類型情報(bào)的用途，可以推送給安全產(chǎn)品、打包供下載、或者郵件發(fā)送。

威脅情報(bào)生成技術(shù)使用在數(shù)據(jù)治理融合層和數(shù)據(jù)分析層，在數(shù)據(jù)治理融合層主要解決情報(bào)信息的收集、格式化、清洗及情報(bào)分發(fā)等問題，在數(shù)據(jù)分析層實(shí)現(xiàn)情報(bào)信息的驗(yàn)證和關(guān)聯(lián)分析。

（7）總體數(shù)據(jù)庫設(shè)計(jì)

平臺(tái)數(shù)據(jù)庫設(shè)計(jì)基于海量數(shù)據(jù)采集、處理、存儲(chǔ)及分析挖掘需要，主要包括原始庫、主題庫、資源庫、知識(shí)庫和業(yè)務(wù)庫等。

n 原始庫

原始庫數(shù)據(jù)為前端部署的威脅檢測(cè)識(shí)別引擎采集的流量數(shù)據(jù)，數(shù)據(jù)結(jié)構(gòu)分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)類型主要包括應(yīng)用會(huì)話識(shí)別數(shù)據(jù)、應(yīng)用會(huì)話流量數(shù)據(jù)、網(wǎng)絡(luò)傳輸流量數(shù)據(jù)、應(yīng)用層流量數(shù)據(jù)、用戶登陸行為數(shù)據(jù)、流量審計(jì)數(shù)據(jù)和風(fēng)險(xiǎn)告警數(shù)據(jù)等。

n 主題庫

主題庫是融合各類原始數(shù)據(jù)、資源數(shù)據(jù)長(zhǎng)期積累形成的多維數(shù)據(jù)的公共集合，具有數(shù)據(jù)規(guī)模量大，且頻繁更新等特點(diǎn)。支持通過實(shí)時(shí)計(jì)算和離線分析計(jì)算對(duì)數(shù)據(jù)執(zhí)行查詢、分析、映射、檢索等操作，支持實(shí)現(xiàn)海量數(shù)據(jù)規(guī)模下檢索的秒級(jí)響應(yīng)。數(shù)據(jù)類型主要包括單位畫像數(shù)據(jù)、系統(tǒng)畫像數(shù)據(jù)、IP畫像數(shù)據(jù)、失陷主機(jī)數(shù)據(jù)、黑客組織數(shù)據(jù)、重大漏洞數(shù)據(jù)、僵尸網(wǎng)站數(shù)據(jù)和非常規(guī)端口開放數(shù)據(jù)等。

n 資源庫

資源庫是存儲(chǔ)各類數(shù)據(jù)資源建立的關(guān)鍵要素以及要素之間關(guān)聯(lián)關(guān)系的公共數(shù)據(jù)集合，包括單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、流量日志數(shù)據(jù)、隱患數(shù)據(jù)、告警數(shù)據(jù)、安全事件數(shù)據(jù)和其他外部數(shù)據(jù)等。

n 知識(shí)庫

知識(shí)庫是指信息安全專業(yè)領(lǐng)域或與信息安全專業(yè)領(lǐng)域相關(guān)的特征知識(shí)數(shù)據(jù)和規(guī)則方法集合。一般通過管理手段、工作積累、第三方提供、機(jī)器學(xué)習(xí)等方式獲取。數(shù)據(jù)類型包括惡意IP數(shù)據(jù)、惡意域名數(shù)據(jù)、告警規(guī)則數(shù)據(jù)、重大漏洞等。

n 業(yè)務(wù)庫

業(yè)務(wù)庫記錄業(yè)務(wù)過程，為上層業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)支撐。數(shù)據(jù)為結(jié)構(gòu)化類型且數(shù)據(jù)規(guī)模不大，常用的應(yīng)用場(chǎng)景是查詢和關(guān)聯(lián)。主要包括通報(bào)預(yù)警業(yè)務(wù)數(shù)據(jù)、應(yīng)急指揮業(yè)務(wù)數(shù)據(jù)和管理評(píng)價(jià)業(yè)務(wù)數(shù)據(jù)等。

（8）協(xié)同監(jiān)管體系

平臺(tái)縱向?qū)崿F(xiàn)與工業(yè)企業(yè)、國(guó)家平臺(tái)的數(shù)據(jù)貫通和業(yè)務(wù)協(xié)同，橫向?qū)崿F(xiàn)與各行業(yè)主管部門以及社會(huì)上從事網(wǎng)絡(luò)安全工作的企業(yè)單位的數(shù)據(jù)的數(shù)據(jù)共享交換和工作業(yè)務(wù)協(xié)同，并借助安全廠家的威脅情報(bào)數(shù)據(jù)能力，提升全省網(wǎng)絡(luò)安全監(jiān)管能力。為此需要提供自動(dòng)化的數(shù)據(jù)接口、制定相關(guān)數(shù)據(jù)和接口標(biāo)準(zhǔn)規(guī)范，以實(shí)現(xiàn)數(shù)據(jù)的傳輸交換。

數(shù)據(jù)傳輸類型

傳輸?shù)臄?shù)據(jù)類型主要包括：

ü 安全事件類數(shù)據(jù)；

ü 安全隱患類數(shù)據(jù)；

ü 網(wǎng)絡(luò)資產(chǎn)類數(shù)據(jù)；

ü 業(yè)務(wù)處理類數(shù)據(jù)。

數(shù)據(jù)傳輸接口

查詢及業(yè)務(wù)類的數(shù)據(jù)支持HTTP協(xié)議傳輸；

原始數(shù)據(jù)的交換共享支持kafka和syslog等方式進(jìn)行大流量網(wǎng)絡(luò)傳輸；

若有特定的傳輸需求，支持通過協(xié)商的方式進(jìn)行其他協(xié)議或組件進(jìn)行數(shù)據(jù)傳輸。

數(shù)據(jù)共享交換

平臺(tái)縱向?qū)崿F(xiàn)與工業(yè)企業(yè)和國(guó)家平臺(tái)的數(shù)據(jù)共享，橫向?qū)崿F(xiàn)與行業(yè)主管單位的數(shù)據(jù)共享，并通過全面采集接入全省網(wǎng)絡(luò)安全監(jiān)管數(shù)據(jù)和第三方安全廠商威脅情報(bào)數(shù)據(jù)，形成平臺(tái)數(shù)據(jù)存儲(chǔ)中心。

圖8-5  數(shù)據(jù)共享交換圖

4.平臺(tái)建設(shè)內(nèi)容

湖南省工業(yè)信息安全公共服務(wù)平臺(tái)是為湖南省工信廳工業(yè)信息安全監(jiān)管部門提供工業(yè)安全數(shù)據(jù)采集、大數(shù)據(jù)研判分析、安全監(jiān)測(cè)、通報(bào)預(yù)警、響應(yīng)處置、應(yīng)急指揮等，以及提供工業(yè)企業(yè)安全合規(guī)管理和綜合安全支撐服務(wù)一體化的服務(wù)平臺(tái)。

（1）平臺(tái)數(shù)據(jù)采集方案

? 工業(yè)企業(yè)數(shù)據(jù)采集

多源異構(gòu)日志數(shù)據(jù)采集

對(duì)主流安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)和虛擬化系統(tǒng)等設(shè)備異構(gòu)日志進(jìn)行全面采集，實(shí)現(xiàn)資產(chǎn)日志數(shù)據(jù)統(tǒng)一管理。同時(shí)為滿足日志數(shù)據(jù)共享需求，提供收集日志轉(zhuǎn)發(fā)，當(dāng)原始日志設(shè)備無法設(shè)置多個(gè)日志服務(wù)器時(shí)，可通過本系統(tǒng)進(jìn)行日志轉(zhuǎn)發(fā)將日志轉(zhuǎn)發(fā)到其他日志存儲(chǔ)設(shè)備。

異構(gòu)日志數(shù)據(jù)采集覆蓋Syslog、SNMP、OPSec、XML、FTP及本地文件等多種協(xié)議，對(duì)安全對(duì)象屬性、運(yùn)行狀態(tài)、安全事件、評(píng)估與檢測(cè)等異構(gòu)數(shù)據(jù)進(jìn)行采集，針對(duì)不同類型數(shù)據(jù)能夠自動(dòng)適配協(xié)議。同時(shí)為提升采集性能，降低數(shù)據(jù)冗余噪音，可自定義配置日志過濾功能，對(duì)采集的重復(fù)日志進(jìn)行自動(dòng)聚合歸并，減少日志量。

全流量數(shù)據(jù)采集

對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行采集，并將捕獲的通信數(shù)據(jù)轉(zhuǎn)換為數(shù)據(jù)分組報(bào)文格式遞交給上層組件，作為上層特征檢測(cè)引擎分析處理的原始數(shù)據(jù)。通過雙向流量檢測(cè)對(duì)網(wǎng)絡(luò)流量行為進(jìn)行判定（例如數(shù)據(jù)報(bào)文惡意特征匹配、資源使用情況、使用者的訪問行為等），識(shí)別病毒、木馬、敏感信息等異常行為。

? 威脅情報(bào)數(shù)據(jù)采集

提供云端采集、接口采集、本地累計(jì)以及本地導(dǎo)入共4種方式進(jìn)行威脅情報(bào)采集和累計(jì)。

云端采集

提供針對(duì)外界的威脅情報(bào)采集、展示和利用功能。

接口同步

支持動(dòng)態(tài)采集開源威脅情報(bào)，也可以采集第三方商用威脅情報(bào)，至少提供一家商業(yè)威脅情報(bào)廠家接口；

提供豐富的云端采集更新接口，支持安恒自身威脅情報(bào)庫、第三方商用威脅情報(bào)庫以及開源的威脅情報(bào)庫，網(wǎng)絡(luò)威脅情報(bào)包含惡意IP、URL、Domain、Email等。

本地威脅情報(bào)積累設(shè)計(jì)

支持將本地發(fā)現(xiàn)的安全事件和惡意IP、域名、文件、釣魚網(wǎng)站、E-MAIL等事件轉(zhuǎn)化為威脅情報(bào)。

本地導(dǎo)入

支持通過本地離線包導(dǎo)入情報(bào)，支持通過使用離線威脅情報(bào)數(shù)據(jù)包更新情報(bào)數(shù)據(jù)。

? 網(wǎng)絡(luò)空間掃描探測(cè)數(shù)據(jù)采集

采用云端網(wǎng)絡(luò)空間資產(chǎn)探測(cè)雷達(dá)對(duì)全省網(wǎng)絡(luò)資產(chǎn)進(jìn)行偵測(cè)以及漏洞掃描和分析趨勢(shì)分析，快速識(shí)別全省以公網(wǎng)IP接入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備、工控設(shè)備、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的存活情況、開放端口、組件等信息。通過對(duì)互聯(lián)網(wǎng)資產(chǎn)、郵箱資產(chǎn)、監(jiān)控設(shè)備資產(chǎn)、工控設(shè)備資產(chǎn)等各類資產(chǎn)進(jìn)行探測(cè)，識(shí)別其指紋信息、漏洞信息以及可能受攻擊情況，摸清全省資產(chǎn)底數(shù)，為監(jiān)測(cè)、預(yù)警、溯源等提供基礎(chǔ)數(shù)據(jù)支撐。

? 現(xiàn)場(chǎng)檢查數(shù)據(jù)采集

現(xiàn)場(chǎng)檢查數(shù)據(jù)是通過工業(yè)控制系統(tǒng)安全檢查工具箱對(duì)企業(yè)進(jìn)行安全檢查過程中所采集的數(shù)據(jù)，主要包括企業(yè)安全合規(guī)自查數(shù)據(jù)、資產(chǎn)漏洞、流量分析、配置核查、惡意代碼等檢查數(shù)據(jù)。

采用離線采集方式，將工業(yè)控制系統(tǒng)安全檢查工具箱的檢查數(shù)據(jù)導(dǎo)出后，再通過工業(yè)企業(yè)分類分級(jí)模塊的進(jìn)行數(shù)據(jù)導(dǎo)入，以完成采集動(dòng)作。

? 第三方平臺(tái)數(shù)據(jù)采集

鑒于本地監(jiān)測(cè)存在單點(diǎn)監(jiān)測(cè)的局限性和高級(jí)威脅監(jiān)測(cè)的不足，平臺(tái)將接入第三方威脅情報(bào)數(shù)據(jù)，按一定的時(shí)間規(guī)則推送到本地平臺(tái)大數(shù)據(jù)中心，并利用大數(shù)據(jù)平臺(tái)機(jī)器學(xué)習(xí)能力，結(jié)合互聯(lián)網(wǎng)上活躍的數(shù)百億樣本以及樣本的行為進(jìn)行實(shí)時(shí)追蹤分析以及事前預(yù)測(cè)。

? 數(shù)據(jù)采集管理

采集部署

數(shù)據(jù)采集引擎實(shí)現(xiàn)個(gè)性化數(shù)據(jù)采集，支持配置不同采集策略，如動(dòng)態(tài)配置采集周期，清洗過濾策略等。采集部署支持如下功能：

? 支持分布式多節(jié)點(diǎn)部署；

? 支持多采集節(jié)點(diǎn)存活、健康狀態(tài)監(jiān)控，發(fā)現(xiàn)節(jié)點(diǎn)異常后，及時(shí)告警；

? 支持對(duì)采集節(jié)點(diǎn)進(jìn)行性能監(jiān)控，保證采集性能與數(shù)據(jù)量匹配，防止數(shù)據(jù)丟失；

? 支持對(duì)采集策略進(jìn)行管理，包括采集頻率、采集協(xié)議、采集目標(biāo)、過濾策略等；

? 支持流量數(shù)據(jù)鏡像采集，支持在多個(gè)機(jī)房交換機(jī)上復(fù)制鏡像，分布式部署分光器和DPI進(jìn)行采集，并將多余接口關(guān)閉；

? 支持主機(jī)終端數(shù)據(jù)采集，支持?jǐn)?shù)據(jù)庫審計(jì)分析數(shù)據(jù)采集；

? 支持?jǐn)?shù)據(jù)匯聚，綜合考慮專網(wǎng)傳輸性能的基礎(chǔ)上，滿足將多個(gè)機(jī)房采集到的數(shù)據(jù)傳輸匯聚。

采集協(xié)議和頻率管理

適配各種采集數(shù)據(jù)源，需要支持多種采集協(xié)議，以實(shí)現(xiàn)對(duì)各類數(shù)據(jù)的采集，包括不限于安全對(duì)象屬性、運(yùn)行狀態(tài)、安全事件、評(píng)估與檢測(cè)等數(shù)據(jù)。為實(shí)現(xiàn)對(duì)包括安全對(duì)象的屬性、運(yùn)行狀態(tài)、安全事件、評(píng)估與檢測(cè)等數(shù)據(jù)的采集，針對(duì)不同類型的數(shù)據(jù)以及對(duì)應(yīng)的適配協(xié)議

（2）平臺(tái)安全中臺(tái)建設(shè)方案

安全中臺(tái)層包括安全數(shù)據(jù)中臺(tái)、安全能力中臺(tái)和安全業(yè)務(wù)中臺(tái)。

? 安全數(shù)據(jù)中臺(tái)設(shè)計(jì)

安全數(shù)據(jù)中臺(tái)實(shí)現(xiàn)對(duì)所有監(jiān)管數(shù)據(jù)、威脅情報(bào)庫數(shù)據(jù)的整合、歸檔、應(yīng)用以及對(duì)上層提供數(shù)據(jù)服務(wù)能力；包括安全大數(shù)據(jù)中心和安全大數(shù)據(jù)分析引擎兩部分。其中，安全大數(shù)據(jù)中心主要提供數(shù)據(jù)集成、數(shù)據(jù)管理、數(shù)據(jù)目錄等功能，通過統(tǒng)一的數(shù)據(jù)接口為上層提供數(shù)據(jù)服務(wù)。安全大數(shù)據(jù)分析包括實(shí)時(shí)分析、離線分析，為上層提供統(tǒng)一的安全大數(shù)據(jù)分析能力。

架構(gòu)設(shè)計(jì)

安全數(shù)據(jù)中臺(tái)的總體目標(biāo)是建設(shè)一個(gè)完善的信息資源共享服務(wù)技術(shù)體系，建立信息共享的標(biāo)準(zhǔn)和規(guī)范，為平臺(tái)上層業(yè)務(wù)應(yīng)用提供統(tǒng)一、開放、標(biāo)準(zhǔn)、完整的信息資源服務(wù)；全面開展內(nèi)外部數(shù)據(jù)歸集、整合、重新組織、共享等工作，建立完整的信息共享資源目錄和信息資源服務(wù)能力；提供統(tǒng)一的大數(shù)據(jù)處理服務(wù)能力，提升信息資源服務(wù)能力，解決平臺(tái)對(duì)海量數(shù)據(jù)的深度挖掘、分析、應(yīng)用的迫切需求。大數(shù)據(jù)服務(wù)平臺(tái)是基于平臺(tái)建設(shè)，以服務(wù)應(yīng)用為根本目標(biāo)，建立信息資源服務(wù)能力和大數(shù)據(jù)處理能力，實(shí)現(xiàn)數(shù)據(jù)集成、數(shù)據(jù)整理、數(shù)據(jù)共享、數(shù)據(jù)分析等數(shù)據(jù)處理及服務(wù)能力。

功能架構(gòu)

安全數(shù)據(jù)中臺(tái)遵從數(shù)據(jù)安全和數(shù)據(jù)標(biāo)準(zhǔn)的規(guī)范，并按照數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)治理、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)服務(wù)和數(shù)據(jù)運(yùn)維幾個(gè)方面進(jìn)行有機(jī)結(jié)合。全方位打造集“采集”、“融合”、“服務(wù)”于一體的數(shù)據(jù)服務(wù)平臺(tái)。

圖8-6  安全數(shù)據(jù)中臺(tái)功能架構(gòu)圖

技術(shù)架構(gòu)

大數(shù)據(jù)中心是大數(shù)據(jù)存儲(chǔ)和計(jì)算的基礎(chǔ)，對(duì)外提供統(tǒng)一的各類型數(shù)據(jù)存儲(chǔ)、計(jì)算、分析等能力，可滿足多源異構(gòu)海量數(shù)據(jù)存儲(chǔ)、查詢、計(jì)算。

數(shù)據(jù)采集包括實(shí)時(shí)采集、自定義接口采集和離線采集，支持各類數(shù)據(jù)源數(shù)據(jù)

接入，如日志數(shù)據(jù)、流量還原數(shù)據(jù)、syslog數(shù)據(jù)及用戶自定義數(shù)據(jù)等。

數(shù)據(jù)預(yù)處理實(shí)現(xiàn)數(shù)據(jù)消息緩存和ETL。

數(shù)據(jù)存儲(chǔ)實(shí)現(xiàn)外部數(shù)據(jù)保存至大數(shù)據(jù)服務(wù)平臺(tái)。數(shù)據(jù)存儲(chǔ)需支持結(jié)構(gòu)化數(shù)據(jù)、

半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)等多種數(shù)據(jù)類型。數(shù)據(jù)存儲(chǔ)中包含兩大主要部分，非結(jié)構(gòu)化存儲(chǔ)系統(tǒng)、半/結(jié)構(gòu)化存儲(chǔ)系統(tǒng)。

安全大數(shù)據(jù)分析引擎實(shí)現(xiàn)安全數(shù)據(jù)中臺(tái)的計(jì)算功能。數(shù)據(jù)計(jì)算能夠?qū)λ幸驯４娴臄?shù)據(jù)進(jìn)行計(jì)算，并且提供相應(yīng)的計(jì)算調(diào)用接口，能夠滿足外部分析系統(tǒng)的調(diào)用。數(shù)據(jù)計(jì)算中包含實(shí)時(shí)流分析和離線分析兩部分。

運(yùn)維管理包括大數(shù)據(jù)管理系統(tǒng)和大數(shù)據(jù)交互系統(tǒng)，支持?jǐn)?shù)據(jù)平臺(tái)的所有組件集中安裝、部署。支持對(duì)數(shù)據(jù)平臺(tái)各個(gè)組件的配置管理、動(dòng)態(tài)調(diào)整配置實(shí)時(shí)生效。

圖8-7  安全數(shù)據(jù)中臺(tái)技術(shù)架構(gòu)圖

? 安全業(yè)務(wù)中臺(tái)設(shè)計(jì)

構(gòu)建工作流引擎，快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務(wù)流程：一是可以通過引擎完成業(yè)務(wù)流程的節(jié)點(diǎn)編排，支持用戶完成通報(bào)、預(yù)警、通知、檢查等業(yè)務(wù)流程的構(gòu)建；二是通過引擎對(duì)參與到業(yè)務(wù)流程的用戶權(quán)限進(jìn)行合理的配置，包括審核權(quán)、回退權(quán)、處置權(quán)、辦結(jié)權(quán)等，需能通過引擎合理的進(jìn)行賦權(quán)，且支持用戶級(jí)的權(quán)限變更和刪除；三是通過引擎將流程與資源庫、業(yè)務(wù)庫中的相關(guān)表單進(jìn)行關(guān)聯(lián)，并通過引擎支撐業(yè)務(wù)流程中掛載業(yè)務(wù)、處置表單的自定義，完成業(yè)務(wù)數(shù)據(jù)和流程的動(dòng)態(tài)結(jié)合，真正將流程與業(yè)務(wù)緊密捆綁。

工作流引擎

隨著工信安全業(yè)務(wù)的快速發(fā)展，通報(bào)、預(yù)警、檢查等業(yè)務(wù)流程越來越精細(xì)化、人性化，其相關(guān)的流程、表單也不斷在進(jìn)行迭代優(yōu)化，因此在這種快速發(fā)展的環(huán)境下，需要有一套工作流引擎高效、人性化地支撐變化的業(yè)務(wù)。

需要構(gòu)建工作流引擎，快速有效的支撐不斷出現(xiàn)、迭代、優(yōu)化的安全管理業(yè)務(wù)流程，滿足以下三方面：一是可以通過引擎完成業(yè)務(wù)流程的節(jié)點(diǎn)編排，支持用戶完成通報(bào)、預(yù)警、通知、檢查等業(yè)務(wù)流程的構(gòu)建；二是通過引擎對(duì)參與到業(yè)務(wù)流程的用戶權(quán)限進(jìn)行合理的配置，包括審核權(quán)、回退權(quán)、處置權(quán)、辦結(jié)權(quán)等，需能通過引擎合理的進(jìn)行賦權(quán)，且支持用戶級(jí)的權(quán)限變更和刪除；三是通過引擎將流程與資源庫、業(yè)務(wù)庫中的相關(guān)表單進(jìn)行關(guān)聯(lián)，并通過引擎支撐業(yè)務(wù)流程中掛載業(yè)務(wù)、處置表單的自定義，完成業(yè)務(wù)數(shù)據(jù)和流程的動(dòng)態(tài)結(jié)合，真正將流程與業(yè)務(wù)緊密捆綁實(shí)現(xiàn)用戶的管理需求。

自動(dòng)化辦公引擎

工信安全管理業(yè)務(wù)中涉及到安全專家、安全管理員、安全審核員、安全聯(lián)絡(luò)員等眾多角色和人員，這些角色需要參與到不同流程的不同環(huán)節(jié)中，為了提升業(yè)務(wù)流程的處置時(shí)效性，需要實(shí)現(xiàn)業(yè)務(wù)的多端發(fā)起、多端觸達(dá)和匯聚呈現(xiàn)，需求通過相應(yīng)引擎使得業(yè)務(wù)多端自動(dòng)流轉(zhuǎn)貫通。

需要構(gòu)建自動(dòng)化辦公引擎，實(shí)現(xiàn)業(yè)務(wù)的多端通信、匯聚，滿足以下兩方面：一是通過引擎將PC端和移動(dòng)端發(fā)起的業(yè)務(wù)自動(dòng)的向另一端實(shí)時(shí)同步，滿足用戶隨時(shí)通過移動(dòng)端發(fā)起、辦理相應(yīng)業(yè)務(wù)的需求；二是需求通過引擎從平臺(tái)所有業(yè)務(wù)模塊中獲取當(dāng)前用戶待辦事宜，提供給PC端或者移動(dòng)端的門戶頁面，支持客戶在一個(gè)頁面中就能完整的了解當(dāng)前待辦事務(wù)，提升處置效率。

值班排班調(diào)度引擎

工信在應(yīng)急活動(dòng)保障期間和重大事件應(yīng)急處置中需要快速的傳達(dá)信息到相應(yīng)的值班專家、安全管理員處，因此需要制定相應(yīng)的值班排班表，并根據(jù)排班表進(jìn)行高效的人員調(diào)度。

需要構(gòu)建值班排班調(diào)度引擎，實(shí)現(xiàn)以下功能：一是通過引擎，支持用戶在相應(yīng)重?；顒?dòng)或應(yīng)急處置保障期間，對(duì)安全專家等角色的值班工作進(jìn)行排班，且自動(dòng)化的通知到相關(guān)人員；二是通過引擎，自動(dòng)向相應(yīng)業(yè)務(wù)流程發(fā)布排班信息，使得值班期間相應(yīng)業(yè)務(wù)可自動(dòng)派單值值班人員；三是支持通過引擎調(diào)度短信網(wǎng)關(guān)、移動(dòng)端應(yīng)用通知等通知通道，將值班安排、業(yè)務(wù)流程等第一時(shí)間送達(dá)相應(yīng)的用戶處；四是支持引擎將平臺(tái)用戶登錄、操作情況與值班表自動(dòng)進(jìn)行匹配、關(guān)聯(lián)，定期生成值班分析報(bào)告，供用戶進(jìn)行后續(xù)工作考評(píng)和優(yōu)化。

績(jī)效管理引擎

工信安管工作由眾多角色、廠商參與支撐，旨在推進(jìn)了轄區(qū)內(nèi)被監(jiān)管單位提升網(wǎng)絡(luò)安全工作質(zhì)量。為了對(duì)平臺(tái)人員/廠商的支撐績(jī)效進(jìn)行科學(xué)合理的評(píng)價(jià)，同時(shí)也對(duì)轄區(qū)內(nèi)被監(jiān)管單位的網(wǎng)絡(luò)安全工作效果進(jìn)行評(píng)估，需要績(jī)效管理引擎進(jìn)行自動(dòng)化的初始績(jī)效輸出。

績(jī)效管理引擎需要實(shí)現(xiàn)以下功能：一是通過引擎，可以對(duì)平臺(tái)內(nèi)已有的資源庫、業(yè)務(wù)庫中的相應(yīng)指標(biāo)項(xiàng)進(jìn)行提取，支持用戶結(jié)合實(shí)際績(jī)效考核方案對(duì)指標(biāo)進(jìn)行自由的遴選、組合，進(jìn)而生成符合工作實(shí)際場(chǎng)景的績(jī)效評(píng)價(jià)表和評(píng)價(jià)方案；二是確定評(píng)價(jià)表和評(píng)價(jià)方案后，通過引擎周期性或按指令對(duì)全平臺(tái)相應(yīng)數(shù)據(jù)進(jìn)行采集、統(tǒng)計(jì)、核算，并自動(dòng)統(tǒng)分，輸出相應(yīng)的績(jī)效報(bào)告；三是支持客戶對(duì)平臺(tái)外的數(shù)據(jù)進(jìn)行錄入后作為績(jī)效考核項(xiàng)，進(jìn)而更加全面、科學(xué)的給出績(jī)效報(bào)告。

? 安全能力中臺(tái)設(shè)計(jì)

安全能力中臺(tái)包括安全能力中心和安全能力管理，可將各種安全能力服務(wù)化，形成安全服務(wù)目錄，實(shí)現(xiàn)安全資源的靈活調(diào)度，從而對(duì)基礎(chǔ)安全能力進(jìn)行統(tǒng)一管理。安全能力中心約定系統(tǒng)建設(shè)的安全能力目錄，包括安全檢測(cè)能力、智能安全分析能力以及態(tài)勢(shì)感知能力。安全能力管理約定系統(tǒng)建設(shè)的安全能力調(diào)度和實(shí)用能力，例如能力編排、能力調(diào)度、策略管理以及場(chǎng)景管理功能。

架構(gòu)設(shè)計(jì)

安全能力中臺(tái)包括安全能力中心和安全能力管理。

安全能力中心約定本次建設(shè)的安全能力目錄，包括安全檢測(cè)能力、智能安全分析能力以及態(tài)勢(shì)感知能力。

安全能力管理約定了建設(shè)的安全能力調(diào)度和實(shí)用能力，包括能力編排、能力調(diào)度、策略管理以及場(chǎng)景管理功能。

圖8-8  安全能力中臺(tái)功能架構(gòu)圖

安全檢測(cè)能力

安全檢測(cè)能力主要包括基礎(chǔ)安全能力中的威脅識(shí)別能力、關(guān)聯(lián)檢測(cè)能力接入和統(tǒng)一管理。主要依賴安全基礎(chǔ)安全能力中的資產(chǎn)發(fā)現(xiàn)識(shí)別、漏洞掃描和深度流量威脅檢測(cè)等產(chǎn)品來實(shí)現(xiàn)多維安全檢測(cè)能力。

通過對(duì)各種安全基礎(chǔ)安全能力的封裝和編排，終端、邊界等實(shí)體防護(hù)對(duì)象提供安全檢測(cè)服務(wù)，快速發(fā)現(xiàn)已知和未知的安全威脅。安全檢測(cè)能力能夠通過安全能力管理對(duì)安全檢測(cè)能力管理、數(shù)據(jù)分析、規(guī)則管理、安全基礎(chǔ)資源管理實(shí)現(xiàn)自動(dòng)化編排和協(xié)同聯(lián)動(dòng)。

安全檢測(cè)能力結(jié)合大數(shù)據(jù)相關(guān)技術(shù)和智能算法，從資產(chǎn)角度出發(fā)，重點(diǎn)關(guān)注資產(chǎn)管理，提供基線核查配置，并結(jié)合多種角度維度分析攻擊，全局化地安全態(tài)勢(shì)感知能力，智能感知攻擊中的安全事件，為用戶信息系統(tǒng)安全識(shí)別、威脅檢測(cè)和安全業(yè)務(wù)管理提數(shù)據(jù)支撐。

智能安全分析能力

智能安全分析能力主要包括流量關(guān)聯(lián)分析、情報(bào)碰撞分析、攻擊畫像和原始日志檢索。

態(tài)勢(shì)感知能力

態(tài)勢(shì)感知能力主要在全局監(jiān)測(cè)數(shù)據(jù)、檢測(cè)數(shù)據(jù)、智能分析數(shù)據(jù)等多維數(shù)據(jù)的綜合態(tài)勢(shì)分析之上，形成綜合態(tài)勢(shì)、攻擊態(tài)勢(shì)、威脅態(tài)勢(shì)、預(yù)警態(tài)勢(shì)等多種態(tài)勢(shì)感知能力。

風(fēng)險(xiǎn)隱患調(diào)查能力

隱患調(diào)查功能是安全監(jiān)測(cè)的核心功能，實(shí)現(xiàn)獨(dú)立的安全事件采集、分析和集中管理功能。主要提供如下功能：

安全設(shè)備告警事件管理。為用戶提供集中的安全設(shè)備告警事件管理功能，支持事件分析和處置及誤報(bào)標(biāo)記；

風(fēng)險(xiǎn)隱患統(tǒng)計(jì)。提供以資產(chǎn)維度和攻擊鏈維度的安全事件統(tǒng)計(jì)功能，支持根據(jù)資產(chǎn)和攻擊鏈進(jìn)行事件檢索和攻擊影響范圍分析；

風(fēng)險(xiǎn)隱患溯源。提供安全事件一鍵溯源和關(guān)聯(lián)攻擊鏈功能，可關(guān)聯(lián)威脅情報(bào)、安全告警、安全原始數(shù)據(jù)上下文等信息，極大的方便安全事件調(diào)查和分析；

資產(chǎn)管理調(diào)查。提供以資產(chǎn)為維度的安全威脅調(diào)查，以攻擊鏈的方式展示資產(chǎn)受攻擊的過程和正處于的被攻擊狀態(tài)；提供的調(diào)查維度包括資產(chǎn)間訪問關(guān)系、行為畫像、服務(wù)/請(qǐng)求的端口以及弱點(diǎn)等信息；

攻擊知識(shí)圖譜調(diào)查。提供通過全流量數(shù)據(jù)生產(chǎn)的企業(yè)網(wǎng)絡(luò)安全攻擊知識(shí)圖譜，為用戶提供單個(gè)資產(chǎn)為視角出發(fā)的攻擊知識(shí)圖譜和全網(wǎng)絡(luò)的攻擊圖譜，支持圖譜的向下鉆取和關(guān)系擴(kuò)展， 圖譜信息包括攻擊鏈階段、協(xié)議、端口等信息。

安全能力管理

基于構(gòu)建的能力體系，通過劇本編排，對(duì)分析、響應(yīng)處置過程中各種復(fù)雜的分析流程和處理平臺(tái)進(jìn)行整合，形成自動(dòng)化的能力集成，實(shí)現(xiàn)從靜態(tài)事件響應(yīng)到動(dòng)態(tài)工作流跟蹤的轉(zhuǎn)變，提升整體的協(xié)調(diào)及決策能力。

劇本以原始數(shù)據(jù)或安全事件作為輸入，結(jié)合統(tǒng)計(jì)分析以及統(tǒng)計(jì)模型、情報(bào)模型、關(guān)聯(lián)模型進(jìn)行分析，并實(shí)現(xiàn)追蹤溯源、聯(lián)動(dòng)阻斷等響應(yīng)動(dòng)作，最終上報(bào)監(jiān)控單位并通知管理員。具體流程如下圖所示：

圖7  能力編排流程圖

（3）平臺(tái)業(yè)務(wù)應(yīng)用建設(shè)方案

平臺(tái)基于微服務(wù)架構(gòu)，結(jié)合用戶實(shí)際需求，分別為各級(jí)用戶實(shí)現(xiàn)各類應(yīng)用服務(wù)能力，平臺(tái)由于三個(gè)業(yè)務(wù)應(yīng)用模塊構(gòu)成，分別是工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警與協(xié)同應(yīng)急業(yè)務(wù)應(yīng)用、安全支撐綜合服務(wù)業(yè)務(wù)應(yīng)用和企業(yè)合規(guī)管理業(yè)務(wù)應(yīng)用，打造完整生態(tài)，將企業(yè)、安全廠商、監(jiān)管機(jī)構(gòu)聯(lián)合起來，一同來治理工業(yè)互聯(lián)網(wǎng)安全問題。

? 監(jiān)測(cè)預(yù)警與協(xié)同應(yīng)急

監(jiān)測(cè)預(yù)警與協(xié)同應(yīng)急為工業(yè)互聯(lián)網(wǎng)企業(yè)監(jiān)管部門提供一套具備工業(yè)互聯(lián)網(wǎng)企業(yè)安全數(shù)據(jù)采集、數(shù)據(jù)處理、存儲(chǔ)、分析，以及對(duì)安全事件實(shí)時(shí)監(jiān)測(cè)、通報(bào)、預(yù)警、處置的一體化解決方案。主要業(yè)務(wù)應(yīng)用包括實(shí)時(shí)監(jiān)測(cè)、態(tài)勢(shì)感知、分析研判、通報(bào)預(yù)警、威脅情報(bào)、應(yīng)急指揮等，全面提高工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)、預(yù)警與應(yīng)急響應(yīng)水平。

實(shí)時(shí)監(jiān)測(cè)

實(shí)時(shí)監(jiān)測(cè)針對(duì)工控系統(tǒng)、工控設(shè)備、服務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、終端、物聯(lián)網(wǎng)設(shè)備等在線網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進(jìn)行掃描探測(cè)和統(tǒng)一管理，摸清區(qū)域資產(chǎn)底數(shù)。及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊、風(fēng)險(xiǎn)隱患、安全事件以及網(wǎng)絡(luò)資產(chǎn)。實(shí)時(shí)臨測(cè)主要包括驗(yàn)證中心、成果中心、搜索中心和監(jiān)測(cè)任務(wù)中心。

圖8-9  實(shí)時(shí)監(jiān)測(cè)界面

分析研判

分析研判利用大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，結(jié)合機(jī)器學(xué)習(xí)算法，自動(dòng)對(duì)流量、情報(bào)、攻擊等數(shù)據(jù)進(jìn)行分析；分析研判提供對(duì)平臺(tái)匯總的各類監(jiān)測(cè)服務(wù)威脅信息的專家核驗(yàn)功能。并為威脅分析人員提供包括情報(bào)關(guān)聯(lián)分析和模型算法分析功能。為平臺(tái)業(yè)務(wù)人員提供各類統(tǒng)計(jì)分析能力和模型，可實(shí)現(xiàn)基于平臺(tái)威脅告警信息和統(tǒng)計(jì)分析模型生成的預(yù)警信息，為湖南省網(wǎng)絡(luò)安全預(yù)警業(yè)務(wù)提供基礎(chǔ)能力，主要包括模型中心、追蹤溯源、可視化中心、報(bào)告中心和知識(shí)庫。

圖8-10  分析研判界面

威脅情報(bào)

威脅情報(bào)是一種基于證據(jù)的知識(shí)，包含了上下文、機(jī)制、指示標(biāo)記、啟示和可行的建議。威脅情報(bào)描述了現(xiàn)存的或者是即將出現(xiàn)針對(duì)網(wǎng)絡(luò)資產(chǎn)的威脅，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。高級(jí)威脅尤其APT攻擊手法隱蔽，危害巨大，主要針對(duì)掌握有重要數(shù)據(jù)和信息的特定人群，攻擊一經(jīng)發(fā)生就會(huì)導(dǎo)致國(guó)家重要價(jià)值資產(chǎn)的泄密流失，而且后續(xù)定位、追查、定性都會(huì)遇到技術(shù)難度。高級(jí)威脅情報(bào)可以對(duì)APT攻擊事件的定位、發(fā)現(xiàn)、定性、溯源提供良好的支撐，可以強(qiáng)化安全保障部門對(duì)各個(gè)重點(diǎn)保護(hù)企業(yè)的監(jiān)控力度和防護(hù)強(qiáng)度。

圖8-11  威脅情報(bào)界面

通報(bào)預(yù)警

通報(bào)預(yù)警提供對(duì)安全事件、風(fēng)險(xiǎn)進(jìn)行及時(shí)預(yù)警、通報(bào)和處置的功能。當(dāng)監(jiān)測(cè)到工業(yè)控制系統(tǒng)存在重大風(fēng)險(xiǎn)隱患，或產(chǎn)生重大安全事件時(shí)，通過平臺(tái)進(jìn)行通報(bào)，被通報(bào)的工業(yè)企業(yè)按期反饋處置結(jié)果。平臺(tái)需具備多種通報(bào)方式，包括釘釘、短信和郵件等。在發(fā)生嚴(yán)重情況時(shí)，可立即通過短信、釘釘?shù)确绞竭M(jìn)行通報(bào)；當(dāng)系統(tǒng)監(jiān)測(cè)到輕微安全隱患時(shí)，可進(jìn)行預(yù)警提醒或限期整改，被通報(bào)單位須及時(shí)反饋處置結(jié)果。

圖8-12  通報(bào)預(yù)警界面

應(yīng)急指揮

應(yīng)急指揮基于掛圖作戰(zhàn)理念，基于GIS系統(tǒng)的可視化特性，同業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)對(duì)接，通過直觀圖形化點(diǎn)擊拖拽等方式支撐各級(jí)單位、人員的活動(dòng)監(jiān)控和應(yīng)急指揮兩個(gè)應(yīng)用場(chǎng)景。其中活動(dòng)監(jiān)控是通過可視化技術(shù)直觀展示活動(dòng)的實(shí)時(shí)情況，包含：當(dāng)前活動(dòng)的進(jìn)度，活動(dòng)的資源、活動(dòng)的威脅情況、活動(dòng)的值守情況、活動(dòng)的各項(xiàng)業(yè)務(wù)開展情況等信息。應(yīng)急指揮將活動(dòng)要素在地圖上展示，在發(fā)生突發(fā)事件時(shí)，支持指揮中心“掛圖作戰(zhàn)”，依據(jù)地圖展示的資源來對(duì)事件的處置。

圖8-13  應(yīng)急指揮界面

態(tài)勢(shì)感知

態(tài)勢(shì)感知中心提供網(wǎng)絡(luò)安全威脅可視化的入口，基于平臺(tái)獲取的各類監(jiān)測(cè)數(shù)據(jù)及日常業(yè)務(wù)流轉(zhuǎn)產(chǎn)生的業(yè)務(wù)數(shù)據(jù)，以網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測(cè)為驅(qū)動(dòng)，對(duì)網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合，從不同視角感知網(wǎng)絡(luò)安全態(tài)勢(shì)。

態(tài)勢(shì)感知系統(tǒng)以單位數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測(cè)為驅(qū)動(dòng)，基于多維態(tài)勢(shì)可視化技術(shù)，對(duì)網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合，從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢(shì)。

圖8-14  態(tài)勢(shì)感知界面

? 工業(yè)企業(yè)安全合規(guī)管理

工業(yè)企業(yè)安全合規(guī)管理，首先可以服務(wù)于參與分類分級(jí)工作的主管部門、工業(yè)互聯(lián)網(wǎng)企業(yè)和工業(yè)互聯(lián)網(wǎng)安全評(píng)估機(jī)構(gòu)等用戶，功能覆蓋工業(yè)互聯(lián)網(wǎng)企業(yè)分類分級(jí)工作的全部環(huán)節(jié)，提供企業(yè)定級(jí)管理、合規(guī)自查、風(fēng)險(xiǎn)評(píng)估、安全整改和檔案管理等相關(guān)功能。其次可滿足工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)工作信息化管理要求，將各參與方的工作納入規(guī)范流程中，并做到工作留痕，推進(jìn)相關(guān)工作的規(guī)范化、常態(tài)化、便捷化。

定級(jí)管理

根據(jù)《管理指南》要求，工業(yè)互聯(lián)網(wǎng)企業(yè)需要開展自主定級(jí)工作，主管部門需要定期對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)開展抽查，指導(dǎo)企業(yè)準(zhǔn)確定級(jí)，為主管部門更好指導(dǎo)企業(yè)準(zhǔn)確定級(jí)，分類分級(jí)業(yè)務(wù)應(yīng)用提供定級(jí)核查功能，主管部門可對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)提交的自主定級(jí)信息進(jìn)核查，并將核查情況反饋給工業(yè)互聯(lián)網(wǎng)企業(yè)。同時(shí)，針對(duì)已定級(jí)的企業(yè)提供定級(jí)清單管理及統(tǒng)計(jì)分析功能，主管部門可掌握管轄范圍內(nèi)工業(yè)互聯(lián)網(wǎng)企業(yè)定級(jí)情況。

圖8-15  定級(jí)管理概況界面

安全合規(guī)自查

監(jiān)管部門定期對(duì)企業(yè)開展合規(guī)自查工作，便于落實(shí)與自身安全級(jí)別相適應(yīng)的防護(hù)措施。提供符合性管理和企業(yè)安全自評(píng)估功能。

圖8-16  企業(yè)合規(guī)自查界面

符合性評(píng)估任務(wù)管理

符合性評(píng)估任務(wù)管理為監(jiān)管部門提供對(duì)工業(yè)企業(yè)的在線評(píng)估工作，評(píng)估內(nèi)容主要依據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護(hù)規(guī)范》、《工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)安全防護(hù)規(guī)范》和《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析企業(yè)安全防護(hù)規(guī)范》開展對(duì)企業(yè)的符合性評(píng)估工作。

監(jiān)管部門通過從基礎(chǔ)庫調(diào)用符合性評(píng)估模板建立評(píng)估任務(wù)，可從企業(yè)定級(jí)清單中先擇要評(píng)估的對(duì)象，根據(jù)不同的企業(yè)類型和級(jí)別對(duì)企業(yè)進(jìn)行在線下發(fā)評(píng)估任務(wù)，可選擇評(píng)估任務(wù)的跟蹤人，包括監(jiān)管部門、安全支撐單位；能夠?qū)υu(píng)估任務(wù)的保存、下發(fā)和刪除，以及任務(wù)的狀態(tài)跟蹤；能夠?qū)Ψ赖娜蝿?wù)設(shè)置限時(shí)完成評(píng)估的時(shí)間；能夠?qū)ζ髽I(yè)名稱、任務(wù)跟蹤人等進(jìn)行查詢。

企業(yè)用戶接收到任評(píng)任務(wù)后，按時(shí)間要求進(jìn)行評(píng)估，評(píng)估后可自動(dòng)生成評(píng)估報(bào)告并提供下載功能，該報(bào)告也同時(shí)會(huì)展示給監(jiān)管部門提供查看與下載。

安全自評(píng)估

安全自評(píng)估是提供給企業(yè)進(jìn)行自我評(píng)估的方法，自我評(píng)估的結(jié)果不會(huì)上傳給監(jiān)管部門用戶，目的是讓企業(yè)能夠通過自評(píng)估發(fā)現(xiàn)自身存在的問題，做好提前整改的工作。

安全自評(píng)估為企業(yè)提供自評(píng)估模板，企業(yè)可根據(jù)自身企業(yè)類型和等級(jí)選擇評(píng)估模板進(jìn)行自查，同時(shí)提供自評(píng)估的進(jìn)度狀態(tài)、結(jié)果和報(bào)告查看與下載功能。

圖8-17  安全自評(píng)估界面

風(fēng)險(xiǎn)評(píng)估

工業(yè)企業(yè)應(yīng)基于工業(yè)互聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)，定期開展評(píng)估評(píng)測(cè)工作，便于落實(shí)與自身安全級(jí)別相適應(yīng)的防護(hù)措施。分類分級(jí)業(yè)務(wù)應(yīng)用提供對(duì)企業(yè)的安全估計(jì)管理，安全評(píng)估用于監(jiān)管部門開展對(duì)企業(yè)的風(fēng)險(xiǎn)評(píng)估與情況上報(bào)上給主管部門。

監(jiān)管部門通過下發(fā)安全評(píng)估任務(wù)，實(shí)現(xiàn)對(duì)各企業(yè)的安全評(píng)估工作，安全評(píng)估是通過評(píng)估對(duì)使用的安全評(píng)估工具開展對(duì)企業(yè)的評(píng)估工作，當(dāng)完成評(píng)估工作后，可將評(píng)估數(shù)據(jù)上傳至平臺(tái)，監(jiān)管部門查看報(bào)告，如果報(bào)告查看不滿足安全要求，則要求企業(yè)限期整改，同時(shí)支持對(duì)企業(yè)整改工作的跟蹤工作。

圖8-18  風(fēng)險(xiǎn)評(píng)估界面

安全整改

工業(yè)企業(yè)根據(jù)監(jiān)管部門安全檢查和評(píng)估工作過程中發(fā)現(xiàn)的重大安全隱患，開展網(wǎng)絡(luò)安全整改工作，并將安全整改情況報(bào)送給主管部門，安全整改報(bào)送內(nèi)容包括整改名稱、整改企業(yè)、整改依據(jù)、整改內(nèi)容、整改建議和限期整改信息。

主管部門查看各企業(yè)報(bào)送的網(wǎng)絡(luò)安全整改信息，了解存在網(wǎng)絡(luò)安全隱患的企業(yè)安全整改工作落實(shí)情況并及時(shí)跟蹤整改進(jìn)度。

圖8-19  安全整改界面

檔案管理

企業(yè)檔案針對(duì)終端、監(jiān)控、工控、在線業(yè)務(wù)系統(tǒng)等在線網(wǎng)絡(luò)資產(chǎn)的資產(chǎn)分布、漏洞和指紋信息進(jìn)行統(tǒng)一管理，摸清企業(yè)資產(chǎn)底數(shù)，形成統(tǒng)一的資產(chǎn)立體化監(jiān)管，形成更加細(xì)化的信息系統(tǒng)資產(chǎn)數(shù)據(jù)：按所屬行業(yè)、機(jī)關(guān)橫向分類；按所屬地域、行政歸屬橫向分類；按工業(yè)互聯(lián)網(wǎng)企業(yè)類型、等級(jí)縱向分級(jí)；按信息系統(tǒng)重要、敏感程度縱向分級(jí)；按信息系統(tǒng)脆弱程度、可用程度縱向分級(jí)。

以資產(chǎn)管理為核心，以資產(chǎn)數(shù)據(jù)為基礎(chǔ)，與隱患、事件、攻擊、情報(bào)、單位信息等數(shù)據(jù)進(jìn)行深度分析，支撐考核評(píng)價(jià)、信息共享、安全專項(xiàng)、數(shù)據(jù)安全監(jiān)管、APP監(jiān)測(cè)等核心業(yè)務(wù)，共同構(gòu)建指揮駕駛艙。

圖8-20  檔案管理界面

圖8-21  企業(yè)安全畫像界面

? 安全支撐綜合服務(wù)

安全支撐綜合服務(wù)是湖南省工業(yè)信息安全公共服務(wù)平臺(tái)的門戶，是為工業(yè)企業(yè)、監(jiān)管機(jī)構(gòu)、安全廠商提供統(tǒng)一安全服務(wù)，主要包括培訓(xùn)服務(wù)、檢測(cè)服務(wù)、監(jiān)控服務(wù)、工業(yè)云安全服務(wù)、工業(yè)APP安全服務(wù)、安全運(yùn)營(yíng)服務(wù)、安全咨詢服務(wù)和安全保險(xiǎn)服務(wù)，同時(shí)將監(jiān)測(cè)與態(tài)勢(shì)感知各業(yè)應(yīng)模塊、工業(yè)企業(yè)分類分級(jí)各應(yīng)用模塊作為統(tǒng)一的服務(wù)入口，提升日常運(yùn)營(yíng)效率。

圖8-22  安全支撐綜合服務(wù)界面

5.配套管理機(jī)制

多級(jí)協(xié)同安全預(yù)警與應(yīng)急響應(yīng)管理機(jī)制是根據(jù)《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》的相關(guān)要求、流程進(jìn)行設(shè)計(jì)。提供對(duì)安全事件、風(fēng)險(xiǎn)進(jìn)行及時(shí)預(yù)警、通報(bào)和應(yīng)急處置的功能。當(dāng)監(jiān)測(cè)到工業(yè)企業(yè)存在重大風(fēng)險(xiǎn)隱患，或產(chǎn)生重大安全事件時(shí)，通過平臺(tái)進(jìn)行通報(bào)，被通報(bào)的工業(yè)企業(yè)按期反饋處置結(jié)果。平臺(tái)需具備多種通報(bào)方式，包括釘釘、短信和郵件等。在發(fā)生嚴(yán)重情況時(shí)，可立即通過短信、釘釘?shù)确绞竭M(jìn)行通報(bào)；當(dāng)系統(tǒng)監(jiān)測(cè)到輕微安全隱患時(shí)，可進(jìn)行預(yù)警提醒或限期整改，被通報(bào)單位須及時(shí)反饋處置結(jié)果。

總體應(yīng)急處置流程為《湖南省工業(yè)控制系統(tǒng)信息安全事件應(yīng)急預(yù)案》中的“監(jiān)測(cè)預(yù)警和應(yīng)急處置流程圖”，具體流程詳見下圖所示：

圖8-23  監(jiān)測(cè)預(yù)警和應(yīng)急處置流程圖

同時(shí)，還根據(jù)總體流程，制定了監(jiān)測(cè)預(yù)警流程與應(yīng)急處置響應(yīng)流程。

如下圖所示：

圖8-24  監(jiān)測(cè)預(yù)警流程圖

圖8-25  應(yīng)急響應(yīng)處置流程圖

6.技術(shù)升級(jí)與動(dòng)態(tài)更新方案

本方案充分考慮未來技術(shù)發(fā)展，整體平臺(tái)才有用分層解耦的方式設(shè)計(jì)，使用模塊化、集群化編程思想，整體平臺(tái)天然具備功能模塊擴(kuò)展能力和系統(tǒng)架構(gòu)擴(kuò)展能力，提供了完善的技術(shù)升級(jí)和動(dòng)態(tài)更新解決方案。

（1）功能模塊化擴(kuò)展

采用Storm集群進(jìn)行實(shí)時(shí)流數(shù)據(jù)分析計(jì)算，提供方便的可擴(kuò)展處理能力；采用Spark進(jìn)行高性能的離線處理，利用Spark的底層框架作為其執(zhí)行基礎(chǔ)?；谀K動(dòng)態(tài)擴(kuò)展技術(shù)，平臺(tái)將每個(gè)計(jì)算、分析功能作為一個(gè)功能模塊，可以實(shí)現(xiàn)模塊級(jí)別的擴(kuò)展，比如需要增加一些新的安全分析檢測(cè)功能，只需將新開發(fā)功能按照一定規(guī)則和接口動(dòng)態(tài)的納入到分析計(jì)算引擎中，就可以動(dòng)態(tài)的實(shí)現(xiàn)分析功能的擴(kuò)展。

? 實(shí)時(shí)分析插件模塊化技術(shù)

目前主流的傳統(tǒng)大數(shù)據(jù)平臺(tái)提供Hadoop架構(gòu)對(duì)大規(guī)模數(shù)據(jù)的計(jì)算進(jìn)行分解，然后交由眾多的計(jì)算節(jié)點(diǎn)分別完成，再統(tǒng)一匯總計(jì)算結(jié)果。Hadoop架構(gòu)通常的使用方式為批量收集輸入數(shù)據(jù),批量計(jì)算，然后批量吐出計(jì)算結(jié)果。然而在安全大數(shù)據(jù)分析的應(yīng)用場(chǎng)景下，通常對(duì)告警的實(shí)時(shí)性要求較高，需要對(duì)海量的原始數(shù)據(jù)進(jìn)行實(shí)時(shí)流式處理和持續(xù)處理，Hadoop架構(gòu)難以處理實(shí)時(shí)性要求較高的業(yè)務(wù)。針對(duì)這一難題，安恒采用運(yùn)行拓?fù)?topology)的strom架構(gòu)，極大的降低了安全事件的告警延遲。

Storm集群提供控制節(jié)點(diǎn)(master node)和工作節(jié)點(diǎn)(worker node)。控制節(jié)點(diǎn)上面運(yùn)行一個(gè)叫Nimbus后臺(tái)程序，負(fù)責(zé)在集群里面分發(fā)代碼，分配計(jì)算任務(wù)和監(jiān)控狀態(tài)。每一個(gè)工作節(jié)點(diǎn)上面運(yùn)行一個(gè)Supervisor的進(jìn)程，監(jiān)聽分配給它那臺(tái)機(jī)器的工作，根據(jù)需要啟動(dòng)/關(guān)閉工作進(jìn)程worker，多個(gè)工作進(jìn)程worker組成拓?fù)?topology)。數(shù)據(jù)流交互如圖所示。

圖8-26  數(shù)據(jù)交互示意圖

工作進(jìn)程worker中每一個(gè)spout/bolt（數(shù)據(jù)處理單元）的線程稱為一個(gè)task（任務(wù)），使用Spout/Bolt編程模型來對(duì)消息進(jìn)行流式處理。Spout組件是消息生產(chǎn)者，支持從多種異構(gòu)數(shù)據(jù)源讀取數(shù)據(jù)，并發(fā)射消息流，Bolt組件負(fù)責(zé)接收Spout組件發(fā)射的信息流，并完成具體的處理邏輯。在復(fù)雜的業(yè)務(wù)邏輯中可以串聯(lián)多個(gè)Bolt組件，在每個(gè)Bolt組件中編寫各自不同的功能，從而實(shí)現(xiàn)整體的處理邏輯，只需將不同的實(shí)時(shí)分析數(shù)據(jù)處理任務(wù)按照一定的規(guī)則和接口納入和封裝到Bolt組件中，就可以動(dòng)態(tài)的實(shí)現(xiàn)實(shí)時(shí)分析功能的模塊擴(kuò)展。

? 離線批處理分析模塊化技術(shù)

目前在離線數(shù)據(jù)批處理應(yīng)用中，主流使用的是基于Hadoop架構(gòu)的MapReduce分布式計(jì)算框架，在安全事件溯源分析應(yīng)用場(chǎng)景中，需要關(guān)聯(lián)多維、多源的數(shù)據(jù)，如日志、流量、漏洞數(shù)據(jù)以及威脅情報(bào)，甚至其他檢測(cè)模型的分析結(jié)果等數(shù)據(jù)，計(jì)算和處理邏輯比較復(fù)雜，MapReduce的copy階段要求每個(gè)計(jì)算節(jié)點(diǎn)從其它所有計(jì)算節(jié)點(diǎn)上抽取其所需的計(jì)算結(jié)果，copy操作需要占用大量的網(wǎng)絡(luò)帶寬，十分耗時(shí)，從而造成Reduce任務(wù)整體計(jì)算速度較慢。

在實(shí)踐過程中使用自主研發(fā)的任務(wù)調(diào)度系統(tǒng)取代MapReduce框架，使用ElasticSearch集群存儲(chǔ)需要進(jìn)行離線分析的數(shù)據(jù)，解決MapReduce的copy階段的占用大量的網(wǎng)絡(luò)資源的問題。如圖所示，每個(gè)Job中含有1個(gè)或多個(gè)Stage，Stage一般在獲取外部數(shù)據(jù)和shuffle之前產(chǎn)生），然后以Stage（或者稱為TaskSet）提交給Task Scheduler，Task Scheduler負(fù)責(zé)將Task分配到相應(yīng)的Worker，最后提交執(zhí)行，從而從而實(shí)現(xiàn)整體的處理邏輯。當(dāng)有新的離線分析和數(shù)據(jù)批處理的需求是時(shí)，只需將不同的離線批處理分析數(shù)據(jù)的任務(wù)按照一定的規(guī)則和接口納入和封裝到TaskSet中，然后就可以動(dòng)態(tài)的實(shí)現(xiàn)批處理功能的模塊擴(kuò)展。

圖8-27  任務(wù)調(diào)度系統(tǒng)架構(gòu)示意圖

（2）系統(tǒng)架構(gòu)擴(kuò)展

系統(tǒng)間通訊的透明化。系統(tǒng)通過采用分布式系統(tǒng)，利于系統(tǒng)的簡(jiǎn)便易行的分布式部署，同時(shí)實(shí)現(xiàn)對(duì)開發(fā)人員的通訊透明，簡(jiǎn)化了定制開發(fā)的難度，確保了系統(tǒng)的可擴(kuò)展性。

? 系統(tǒng)間模塊的耦合性低

通過使用面向消息的中間件作為應(yīng)用架構(gòu)的主干有效降低系統(tǒng)間各模塊的耦合性，模塊直接的接口通用化，能方便的實(shí)現(xiàn)各模塊接口的重用，便于分塊開發(fā)、調(diào)試和除錯(cuò)。

實(shí)現(xiàn)系統(tǒng)的熱部署能力。系統(tǒng)可以在運(yùn)行狀態(tài)中加入新的組件或者卸除已有組件（非核心組件），整個(gè)過程都不影響系統(tǒng)的運(yùn)行。系統(tǒng)的各重要模塊可以運(yùn)行在不同的進(jìn)程中，有效的隔離錯(cuò)誤。

? 靈活的分布式部署

系統(tǒng)的各模塊不僅可以分布在不同的進(jìn)程中，同時(shí)可以透明分布在不同的主機(jī)中，以通過分布式計(jì)算提供系統(tǒng)的處理能力。無需額外開發(fā)，部署成本低。能適應(yīng)復(fù)雜環(huán)境下的部署。

當(dāng)服務(wù)器的某中狀態(tài)崩潰時(shí)，狀態(tài)能夠被透明的復(fù)制到其它服務(wù)器，并支持集成部署到其他的大數(shù)據(jù)平臺(tái)。

本系統(tǒng)支持模塊集群。橫向擴(kuò)展的系統(tǒng)確保了系統(tǒng)運(yùn)行的高效性。服務(wù)提供和調(diào)用的無關(guān)性，系統(tǒng)中關(guān)聯(lián)規(guī)則、過濾器等都可以資源方式被調(diào)用，極大提高的系統(tǒng)的分析能力和數(shù)據(jù)查詢展現(xiàn)效率。

1.1.3  下一步實(shí)施計(jì)劃

為落實(shí)工信部印發(fā)的《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南（試行）》要求，平臺(tái)以工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理為核心，平臺(tái)在完成建設(shè)后，需要湖南省內(nèi)各地市/州工信局，協(xié)同市/州網(wǎng)絡(luò)安全支撐單位，對(duì)工業(yè)企業(yè)開展工業(yè)企業(yè)分類分級(jí)活動(dòng)，形成企業(yè)清單，以便開展精細(xì)化、差異化的安全管理，做到有目標(biāo)、有計(jì)劃、有行動(dòng)的目的，為更好地運(yùn)用平臺(tái)，依據(jù)平臺(tái)提供的各類服務(wù)能力，安排了如下步驟。

1.平臺(tái)發(fā)布

完成平臺(tái)實(shí)施搭建，滿足三級(jí)等保要求；

完成平臺(tái)對(duì)外的域名申請(qǐng)和備案，可以通過互聯(lián)網(wǎng)側(cè)訪問平臺(tái)；

組織工業(yè)企業(yè)、各地市/州工信局和安全支撐單位進(jìn)行平臺(tái)使用的培訓(xùn)；

平臺(tái)試運(yùn)行，組織試點(diǎn)企業(yè)、地市工信局和安全支撐單位進(jìn)行小范圍試點(diǎn)；

對(duì)外發(fā)布通知，平臺(tái)正式發(fā)布。

2.企業(yè)分類分級(jí)

湖南省廳領(lǐng)域組織湖南省各地市/州工信局依托平臺(tái)公共服務(wù)能力，開始對(duì)外公外征集遴選工業(yè)企業(yè)參與分類分級(jí)活動(dòng)，對(duì)參與活動(dòng)的工業(yè)企業(yè)開展自主定級(jí)和定級(jí)審核活動(dòng)，通過審核的企業(yè)最終形成定級(jí)清單。

3.企業(yè)自評(píng)估

根據(jù)企業(yè)定級(jí)清單，平臺(tái)為聯(lián)網(wǎng)企業(yè)、平臺(tái)企業(yè)和標(biāo)識(shí)解析企業(yè)提供在線安全自評(píng)估，自評(píng)估內(nèi)容根據(jù)平臺(tái)的不同類和安全級(jí)別進(jìn)行有針對(duì)性的評(píng)估，同時(shí)，平臺(tái)可委托安全支撐單位協(xié)助企業(yè)完成安全自評(píng)估，企業(yè)評(píng)估完成后，最終自動(dòng)生成評(píng)估報(bào)告，讓湖南省廳領(lǐng)域及各地市/州工信局管理人員及時(shí)掌握當(dāng)前企業(yè)清單中的合規(guī)狀況。

4.應(yīng)急演練

根據(jù)《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)安全管理指南（試行）》要求，三級(jí)企業(yè)每年必須完成一次應(yīng)急演練，及時(shí)上報(bào)預(yù)急預(yù)案。

省廳領(lǐng)導(dǎo)組織各地市州管理人員依托平臺(tái)SaaS化攻防演練平臺(tái)和協(xié)同應(yīng)急模塊，開展三級(jí)企業(yè)的應(yīng)急演練，及時(shí)匯總企業(yè)演練情況，總結(jié)演練結(jié)果，給出合理化的安全防護(hù)建議。

5.安全整改

工業(yè)企業(yè)在完成安全評(píng)估與應(yīng)急演練后，通過經(jīng)驗(yàn)總結(jié)，發(fā)現(xiàn)自身安全防護(hù)問題，企業(yè)結(jié)合自身安全現(xiàn)狀，輸出安全整改方案，并提交所屬轄區(qū)工信局進(jìn)行審核，工信局可委托安全支撐機(jī)構(gòu)進(jìn)行技術(shù)審核，以確定該整改方案的技術(shù)合理性，待審核通過后，企業(yè)可根據(jù)方案內(nèi)容開展整改建設(shè)工作。支持對(duì)整改建設(shè)企業(yè)的審核狀態(tài)進(jìn)行統(tǒng)計(jì)分析。

6.驗(yàn)收檢查

工業(yè)企業(yè)完成整改建設(shè)后，向所屬轄區(qū)工信局提交整改落實(shí)情況報(bào)告，工信局審核通過后提交省級(jí)監(jiān)管單位進(jìn)行復(fù)審，省級(jí)監(jiān)管單位可依據(jù)實(shí)際情況委托安全專家對(duì)整改內(nèi)容進(jìn)行技術(shù)復(fù)審，同時(shí)支持對(duì)驗(yàn)收檢查審核狀態(tài)進(jìn)行統(tǒng)計(jì)分析。

安全專家可通過工控安全檢查工具箱開展對(duì)企業(yè)的現(xiàn)場(chǎng)檢查，并輸出報(bào)告，同時(shí)可將安全檢查數(shù)據(jù)內(nèi)容作為輸入對(duì)企業(yè)進(jìn)行專業(yè)化的風(fēng)險(xiǎn)評(píng)估工作，以便掌握企業(yè)安全整改后的真實(shí)防護(hù)情況。在企業(yè)通過安全專家的復(fù)審后，省級(jí)監(jiān)管單位可發(fā)布驗(yàn)收成果，對(duì)于整改效果好的企業(yè)進(jìn)行鼓勵(lì)。

7.重點(diǎn)企業(yè)監(jiān)測(cè)

在完成以上六大步聚后，省廳及各地市州主管部門可清晰地掌握轄區(qū)范圍內(nèi)工業(yè)企業(yè)的類別、安全等級(jí)、合規(guī)現(xiàn)狀、整改情況，能夠有效針別哪些企業(yè)需要重點(diǎn)監(jiān)測(cè)。

對(duì)于要重點(diǎn)監(jiān)測(cè)的企業(yè)，部署監(jiān)測(cè)設(shè)備，以便能夠?qū)崟r(shí)掌握安全現(xiàn)狀，及時(shí)協(xié)同地方工信局和安全支撐單位共同幫助企業(yè)完成安全監(jiān)測(cè)預(yù)警工作，形成閉環(huán)管理能力。

8.完善服務(wù)能力

依據(jù)湖南省內(nèi)當(dāng)前現(xiàn)狀，組建各地工信局管理人員和安全支撐機(jī)構(gòu)，完善當(dāng)前平臺(tái)安全支撐服務(wù)資源，以便進(jìn)一步提升省內(nèi)工業(yè)企業(yè)的安全監(jiān)測(cè)預(yù)警、安全防護(hù)與響應(yīng)處置能力。

本方案計(jì)劃今年要完成前六大步驟，形成全省范圍內(nèi)的定級(jí)清單，并針對(duì)這些企業(yè)開展安全評(píng)估、應(yīng)急演練、安全整改和驗(yàn)收檢查等工作，掌握清單中工業(yè)企業(yè)的安全合規(guī)現(xiàn)狀，為開展后續(xù)對(duì)重點(diǎn)企業(yè)開展監(jiān)測(cè)預(yù)警與協(xié)同應(yīng)急奠定基礎(chǔ)。

1.1.4  方案創(chuàng)新點(diǎn)和實(shí)施效果

1.方案先進(jìn)性及創(chuàng)新點(diǎn)

（1）集約化、數(shù)字化和服務(wù)化的公共服務(wù)技術(shù)創(chuàng)新

我國(guó)工業(yè)企業(yè)當(dāng)前產(chǎn)業(yè)規(guī)模，技術(shù)實(shí)力參差不齊，尤其是在面對(duì)中小工業(yè)企業(yè)，這些企業(yè)的安全防護(hù)能力有限，有的在安全防護(hù)方面甚至處于“裸奔”狀態(tài)，這些企業(yè)沒有能力，也沒有意識(shí)去解決其內(nèi)部的安全隱患與風(fēng)險(xiǎn)問題。

建設(shè)省/市等區(qū)域級(jí)工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)，利用平臺(tái)的“雙向賦能”的服務(wù)特點(diǎn)，建立集約化安全支撐服務(wù)資源隊(duì)伍，同時(shí)面向監(jiān)管部門和企業(yè)用戶提供“一站式”SaaS化安全服務(wù)，幫助監(jiān)管部門提高日常安全監(jiān)測(cè)預(yù)警、研判分析能力，以及響應(yīng)處置效率；幫助工業(yè)企業(yè)提高安全防護(hù)意識(shí)，顯著提高安全防護(hù)水平。間接降低轄區(qū)內(nèi)安全監(jiān)管部門的管理成本。同時(shí)，利用平臺(tái)制定對(duì)安全服務(wù)供應(yīng)商和工業(yè)企業(yè)的考核規(guī)則，通過定期考核，使兩者不斷優(yōu)化安全服務(wù)能力與安全防護(hù)能力，形成良好的生態(tài)體系。

圖8-28  省/市等區(qū)域級(jí)工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)“一站式”服務(wù)業(yè)務(wù)運(yùn)行流程

（2）工業(yè)互聯(lián)網(wǎng)場(chǎng)景的安全數(shù)據(jù)采集與融合分析技術(shù)創(chuàng)新

工業(yè)互聯(lián)網(wǎng)場(chǎng)景具有網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、業(yè)務(wù)系統(tǒng)和設(shè)備類型多的特點(diǎn)，因此需要具備可更多應(yīng)用場(chǎng)景的安全數(shù)據(jù)采集能力，以及大數(shù)據(jù)智能分析能力。

數(shù)據(jù)采集能力：實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)全場(chǎng)景的數(shù)據(jù)采集能力，通過在設(shè)備、控制、網(wǎng)絡(luò)、數(shù)據(jù)、平臺(tái)、應(yīng)用的安全數(shù)據(jù)采集，覆蓋聯(lián)網(wǎng)工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)和標(biāo)識(shí)解析企業(yè)在5G、標(biāo)識(shí)、平臺(tái)、物聯(lián)網(wǎng)、工控網(wǎng)、信息網(wǎng)、工業(yè)云、邊緣計(jì)算等全場(chǎng)景應(yīng)用。

大數(shù)據(jù)智能分析能力：將工業(yè)互聯(lián)網(wǎng)場(chǎng)景下的IT、OT、CT和DT數(shù)據(jù)進(jìn)行集中采集，對(duì)這些場(chǎng)景下的用戶、系統(tǒng)、設(shè)備、網(wǎng)絡(luò)和操作行為融合在一起進(jìn)行分析，將各場(chǎng)景可能發(fā)生的安全現(xiàn)象進(jìn)行總結(jié)分析，形成工業(yè)互聯(lián)網(wǎng)專有的威脅分析模型，同時(shí)可根據(jù)用戶實(shí)際業(yè)務(wù)場(chǎng)景自定義模型，更貼合用戶業(yè)務(wù)，為安全生產(chǎn)提供穩(wěn)定、可靠的威脅發(fā)現(xiàn)與分析能力。滿足工業(yè)互聯(lián)網(wǎng)安全在各場(chǎng)景的安全分析與追蹤溯源能力。

（3）基于閉環(huán)安全管理機(jī)制的多級(jí)協(xié)同響應(yīng)處置技術(shù)創(chuàng)新

近兩年，工業(yè)和信息化部相繼發(fā)布了《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃2021-2023》以及《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南（試行）》，均強(qiáng)調(diào)了要建立健全工業(yè)互聯(lián)網(wǎng)監(jiān)測(cè)預(yù)警的閉環(huán)管理機(jī)制。

首先，當(dāng)前工業(yè)信息安全監(jiān)測(cè)預(yù)警技術(shù)體系并不完善，絕大部分只包含了安全監(jiān)測(cè)和安全預(yù)警的能力，并沒有包含通過研判分析進(jìn)行調(diào)查取證，無法有效核實(shí)監(jiān)測(cè)的安全事件或風(fēng)險(xiǎn)隱患的真實(shí)性，直接或間接造成在進(jìn)行安全預(yù)警和信息通報(bào)的誤報(bào)率。其次，當(dāng)轄區(qū)內(nèi)發(fā)生不同安全級(jí)別的事件后，監(jiān)管部門也不能通過技術(shù)手段，開展省、市和企業(yè)級(jí)的應(yīng)急響應(yīng)與協(xié)同處置能力，導(dǎo)致相關(guān)信息不能同步，或延遲同步，提高了應(yīng)急過程中最初的關(guān)鍵時(shí)間。最后，大部分監(jiān)測(cè)預(yù)警技術(shù)體系并沒有實(shí)現(xiàn)完善的閉環(huán)管理機(jī)制，并沒有形成數(shù)字化安全閉環(huán)管理模式，發(fā)現(xiàn)相關(guān)事件或問題由誰負(fù)責(zé)，誰來跟蹤，誰來決定該事件是否需要關(guān)閉，以及全部過程是否有操作行業(yè)記錄進(jìn)行跟蹤。

基于以上的難點(diǎn)與問題，湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)的監(jiān)測(cè)預(yù)警與協(xié)同響應(yīng)業(yè)務(wù)應(yīng)用以數(shù)字化安全服務(wù)底座為基礎(chǔ)，具備了安全事件和風(fēng)險(xiǎn)隱患的實(shí)時(shí)發(fā)現(xiàn)能力，并提供了多種元數(shù)據(jù)的安全研判分析工具，為安全分析人員提供詳細(xì)的調(diào)查取證工具，從而進(jìn)行高效、精準(zhǔn)備的安全預(yù)警與信息通報(bào)。當(dāng)發(fā)現(xiàn)不同安全級(jí)別的事件或風(fēng)險(xiǎn)隱患時(shí)，可啟動(dòng)不同的響應(yīng)流程，將省、市、工業(yè)企業(yè)和安全支撐機(jī)構(gòu)開展聯(lián)合協(xié)同響應(yīng)，有效提高了應(yīng)急響應(yīng)與處置效率。

圖8-29  多級(jí)協(xié)同響應(yīng)處置技術(shù)業(yè)務(wù)邏輯圖

同時(shí)，應(yīng)用中的協(xié)同指揮工具實(shí)現(xiàn)“掛圖作戰(zhàn)”的多級(jí)協(xié)同應(yīng)急能力，可在重大安全事件或安全活動(dòng)保障過程中組織省、市、工業(yè)企業(yè)和安全支撐機(jī)構(gòu)的工作協(xié)同，也可以通過該應(yīng)用組織各級(jí)單位進(jìn)行安全應(yīng)急演練，提升各級(jí)的協(xié)同作戰(zhàn)能力，一旦發(fā)現(xiàn)相關(guān)事件，可立即采集相關(guān)行動(dòng)，達(dá)到快速響應(yīng)處置的目的。

圖8-30  協(xié)同指揮作戰(zhàn)圖

（4）數(shù)字化工業(yè)企業(yè)安全合規(guī)管理技術(shù)創(chuàng)新

2020年12月，工業(yè)和信息化部印發(fā)了《關(guān)于工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理試點(diǎn)工作的通知》（以下簡(jiǎn)稱《通知》），省/市等區(qū)域級(jí)是15個(gè)省級(jí)部門開展分類分級(jí)的管理試點(diǎn)工作的其中之一，《通知》中要求省/市等區(qū)域級(jí)的16個(gè)工業(yè)企業(yè)單位參與本次管理試點(diǎn)工作。

省/市等區(qū)域級(jí)廳面臨的主要問題是，沒有形成體系化、流程化、數(shù)字化的工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)的技術(shù)實(shí)現(xiàn)工具，雖然本次試點(diǎn)單位不多，但面對(duì)未來大量的工業(yè)企業(yè)將接入其中，將給監(jiān)管部門用戶帶來更多的安全合規(guī)管理工作事項(xiàng)。

基于以上的難點(diǎn)與問題，湖南省工業(yè)互聯(lián)網(wǎng)安全綜合服務(wù)平臺(tái)的工業(yè)企業(yè)安全合規(guī)管理業(yè)務(wù)應(yīng)用，結(jié)合安全監(jiān)管主管部門、工業(yè)企業(yè)主管部門和安全支撐機(jī)構(gòu)三大用戶角色，以及“定級(jí)管理、合規(guī)自查、風(fēng)險(xiǎn)評(píng)估、安全整改和檔案管理”五大流程化管理應(yīng)用，幫助監(jiān)管部門實(shí)現(xiàn)了工業(yè)企業(yè)數(shù)字化、流程化的安全合規(guī)閉環(huán)管理機(jī)制，形成了對(duì)工業(yè)企業(yè)的精細(xì)化和差異化的安全合規(guī)管理模式。

2.實(shí)施效果

根據(jù)“下一步實(shí)施計(jì)劃”章節(jié)，當(dāng)前平臺(tái)已完成前兩個(gè)步聚，實(shí)施效果如下：

平臺(tái)完成實(shí)施，確保達(dá)到等保三級(jí)防護(hù)水平，并發(fā)通知組織平臺(tái)的試運(yùn)行，見下圖所示：

圖8-31  平臺(tái)試運(yùn)行通知

湖南省電子信息產(chǎn)業(yè)研究院作為省級(jí)安全技術(shù)單位，組織開展平臺(tái)使用的培訓(xùn)工作，見下圖：

圖8-32  組織召開平臺(tái)培訓(xùn)通知

經(jīng)過對(duì)試點(diǎn)企業(yè)的測(cè)試，以及完成平臺(tái)的培訓(xùn)工作后，由湖南省工信廳和省通管局聯(lián)合舉辦的湖南工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)中，正式發(fā)布了平臺(tái)，見下圖：

圖8-33  湖南省工業(yè)互聯(lián)網(wǎng)安全深度行-平臺(tái)發(fā)布現(xiàn)場(chǎng)圖

在本次深度行活動(dòng)中，為省內(nèi)優(yōu)秀工業(yè)領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全支撐機(jī)構(gòu)頒發(fā)證書，如下圖所示：

圖8-34  辦法工業(yè)領(lǐng)域網(wǎng)絡(luò)和數(shù)據(jù)安全支撐機(jī)構(gòu)證書

湖南省工信廳在官網(wǎng)發(fā)布開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理工作的通知，征集省內(nèi)各地方工業(yè)企業(yè)開展相關(guān)工作，見下圖：

圖8-35  湖南省工信廳開展分類分解管理工作的通知

平臺(tái)于2022年10月22日完成省內(nèi)工業(yè)企業(yè)的定級(jí)工作，并對(duì)外公布，目前正處于安全自評(píng)估階段，見下圖：

形成工業(yè)企業(yè)定級(jí)清單，是對(duì)不同類型和安全級(jí)別的工業(yè)企業(yè)開展“精細(xì)化、差異化”安全管理措施。

平臺(tái)可為各工業(yè)企業(yè)提供在線安全自評(píng)估服務(wù)，評(píng)估內(nèi)容以《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)防護(hù)系列規(guī)范》和《湖南省工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理評(píng)估指標(biāo)體系》為依據(jù)，為了保障企業(yè)能夠順利完成評(píng)估，平臺(tái)提供委托安全支撐機(jī)構(gòu)提供遠(yuǎn)程或現(xiàn)場(chǎng)評(píng)估服務(wù)，下圖為在線安全評(píng)估圖：

圖8-36 在線安全評(píng)估圖

當(dāng)完成在線安全評(píng)估，為了進(jìn)一步掌握工業(yè)企業(yè)安全現(xiàn)狀，現(xiàn)委托安全支撐機(jī)構(gòu)技術(shù)人員對(duì)工業(yè)企業(yè)進(jìn)行現(xiàn)場(chǎng)檢查，通過工控安全檢查工具箱，識(shí)別企業(yè)風(fēng)險(xiǎn)隱患，并生成安全檢查分析報(bào)告上傳至平臺(tái)，地方主管部門根據(jù)情況對(duì)部分存在安全風(fēng)險(xiǎn)的企業(yè)開展安全整改工作，并督導(dǎo)其在限期時(shí)間內(nèi)完成整改。安全整改提供流程化管理方式，如下圖：

圖8-37  安全整改圖

平臺(tái)可對(duì)重點(diǎn)工業(yè)企業(yè)開展安全監(jiān)測(cè)，實(shí)時(shí)掌握企業(yè)安全現(xiàn)狀，提供一系列閉環(huán)管理工具，當(dāng)發(fā)現(xiàn)相關(guān)問題時(shí)，需要實(shí)時(shí)發(fā)現(xiàn)問題-安全驗(yàn)證-通報(bào)預(yù)警，才可對(duì)相關(guān)事件進(jìn)行發(fā)布，所有動(dòng)作均提供流程化處理方式，全程留痕，實(shí)時(shí)如下圖所示：

圖8-38  實(shí)時(shí)監(jiān)測(cè)界面

圖8-39  分析研判界面

圖8-40  通報(bào)預(yù)警界面

當(dāng)發(fā)生重大安全事件時(shí)，根據(jù)湖南省應(yīng)急要求，需要由省級(jí)應(yīng)急辦協(xié)同地方人員一起進(jìn)行響應(yīng)急，需要組織事件發(fā)生地應(yīng)急相關(guān)人員、安全支撐機(jī)構(gòu)人員和行業(yè)領(lǐng)域安全專家共同解決問題，如下圖所示：

圖8-41  協(xié)同應(yīng)急指揮界面

平臺(tái)為各級(jí)部門主管人員提供工業(yè)企業(yè)全息數(shù)字檔案，將企業(yè)基本信息、資產(chǎn)信息、定級(jí)信息、安全評(píng)估信息、安全整改信息、風(fēng)險(xiǎn)隱患信息和安全事件等數(shù)據(jù)進(jìn)行有效整理，以安全監(jiān)管者為視角，提供卡片式，報(bào)告式的界面，讓安全監(jiān)管人員通過一張卡片，一頁報(bào)告掌握工業(yè)企業(yè)的全面現(xiàn)狀，為安全趨勢(shì)預(yù)判提供有效數(shù)據(jù)支撐。下圖為企業(yè)數(shù)字檔案界面：

圖8-42  企業(yè)數(shù)字檔案界面

1.1.5  單位基本信息

1.牽頭單位基本信息

本次方案申報(bào)的牽頭單位是中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司研究院（簡(jiǎn)稱中國(guó)聯(lián)通研究院）。

中國(guó)聯(lián)通研究院作為聯(lián)通集團(tuán)科技創(chuàng)新的主體，立足國(guó)家戰(zhàn)略、公司戰(zhàn)略和產(chǎn)業(yè)服務(wù)，成為公司戰(zhàn)略決策的參謀者、公司技術(shù)發(fā)展的引領(lǐng)者、產(chǎn)業(yè)發(fā)展的助推者。內(nèi)設(shè)一個(gè)綜合支撐板塊和智庫研究、網(wǎng)絡(luò)研究、應(yīng)用技術(shù)研究三個(gè)技術(shù)研究板塊，具備智庫的專業(yè)咨詢能力、網(wǎng)絡(luò)技術(shù)的自主核心能力、前瞻技術(shù)的研究能力、技術(shù)與業(yè)務(wù)融合的應(yīng)用能力?，F(xiàn)有員工近700多人，平均年齡36歲，享受國(guó)務(wù)院政府特殊津貼專家10名、教授級(jí)高工26名、博士后9名、博士62名、碩士占比75%以上。

2.參與單位基本信息

本次方案申報(bào)的參與單位是杭州安恒信息技術(shù)股份有限公司（簡(jiǎn)稱安恒信息）。

安恒信息主營(yíng)業(yè)務(wù)為網(wǎng)絡(luò)信息安全產(chǎn)品的研發(fā)、生產(chǎn)及銷售，并為客戶提供專業(yè)的網(wǎng)絡(luò)信息安全服務(wù)，制定了云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、智慧城市安全、工業(yè)控制系統(tǒng)安全及工業(yè)互聯(lián)網(wǎng)安全五大市場(chǎng)戰(zhàn)略。安恒信息憑借強(qiáng)大的研發(fā)實(shí)力和持續(xù)的產(chǎn)品創(chuàng)新，入選Gartner 《2020年中國(guó)ICT技術(shù)成熟度曲線》，成為中國(guó)云安全“標(biāo)桿供應(yīng)商”；AiLPHA大數(shù)據(jù)智能安全平臺(tái)榮獲2019“世界人工智能產(chǎn)業(yè)安全十大創(chuàng)新實(shí)踐”；榮獲首個(gè)全球工業(yè)互聯(lián)網(wǎng)大獎(jiǎng)——“湛盧獎(jiǎng)”等。