通過企業風險評估和上報的安全事件全面感知工業互聯網安全態勢，掌握重點企業安全現狀，落實安全管理職責，協助企業進行安全檢查和事件整改，加強與外部資源聯系，例如工控系統集成商或者原廠的合作，通過實時的威脅情報分享和風險通報，形成協同安全解決方案。

2 項目實施

2.1 項目總體架構和主要內容

（1）技術架構（如圖1所示）

平臺主要包括應用服務層、數據采集層、數據存儲、數據分析層等內容。

圖1 技術架構

（2）功能架構

發現和識別暴露在工業互聯網的資產，監測和分析工業互聯網的風險和威脅，實現工業互聯網的網絡安全態勢覺察、跟蹤和分析，全面掌握工業互聯網的安全態勢、安全威脅、安全風險和安全隱患，及時向企業預警通報安全風險和安全事件，根據預警級別進行快速準確的應急處置，形成平臺與國家工業互聯網網絡安全監測與態勢感知平臺的情報推送和情報共享服務，平臺與工業企業的協調聯動、情報共享的預警通報和響應處置機制。主要功能如圖2所示。

圖2 功能架構

（3）網絡架構

· 工業安全態勢感知平臺由流量管理平臺、白名單管理平臺和威脅探測器組成。

· 在各工廠的核心交換機、匯聚交換機旁路部署網絡威脅探測器，持續對工廠內的網絡資產、漏洞、威脅等情況進行監測和分析，并采用4G或有線通訊將威脅事件數據上報到工業互聯網威脅監測平臺，實現對各廠區的工控網絡安全狀態的監測。

· 將海爾原有的流量管理平臺、白名單管理平臺以及流量探針、網閘、防護墻、主機防護等安全設備接入工業安全態勢感知平臺。實現海爾所有網絡安全設備的統一管控和數據匯總分析。

· 部署展示大屏，態勢感知平臺分級展示實時數據，包括實時告警、攻擊來源、網絡威脅、系統安全、用戶行為、資產分布、網絡拓撲、攻擊者/資產威脅溯源等內容。

· 提供靈活的系統配置方式。最新的工業威脅探測器可以通過流量管理平臺上報數據，也可以直接接入態勢感知平臺，根據實際情況選擇合適的配置。

平臺部署網絡架構如圖3所示。

圖3 平臺部署網絡架構

平臺的威脅檢測分析系統和運營管理系統，依托“九天”情報系統和“哈莫韋”工業網絡安全實驗室，針對工業互聯網行業特點，建立從基礎信息采集到數據分析的一體化威脅情報分析。通過搭建威脅監測、分析管理平臺，將“九天”系統的威脅分析能力和“哈莫韋”工業網絡安全實驗室的研究成果，有效串聯至卡奧斯-雙湃工業安全態勢感知平臺各業務環節，為工業安全態勢感知平臺的安全穩定運行提供堅強支撐。

系統通過在本地提供相關的Web服務和API接入協助安全管理人員進行威脅分析，最終實現威脅情報與安全運營的高效對接。

2.2 具體應用場景和安全應用模式

（1）應用場景

平臺專門針對工控環境進行異常監測、發現、告警和安全審計。對工控系統的資產進行實時發現和監測，幫助用戶實現工控系統的“可視化”。基于工控協議的深度解析（DPI）技術，實時檢查工控協議異常通信，并通過智能學習建模技術，幫助用戶快速建立網絡基線，識別出系統中存在網絡異常事件。在此基礎上支持漏洞木馬、病毒以及其他網絡攻擊行為的檢查，實時發現信息安全威脅和其造成的系統運行異常，協助運營人員第一時間進行響應處理，對工控系統進行全方位監測和保護。工業威脅發現分析構架如圖4所示。

圖4 工業威脅發現分析架構

（2）創新模式

項目融合大數據能力、威脅情報能力、工業數據分析能力及可視化能力，建立一套完整的三級聯動的安全運營體系，構建以工業企業內外網安全監測為基礎、以協同聯動和信息共享為驅動、以安全運營為核心的三級聯動綜合防護體系及創新解決方案，該方案自下而上包括部署在工廠中的工業威脅探測器、部署在集團的工業安全運營中心和部署在安全管理部門的工業互聯網威脅監測平臺。部署在各個工廠的工業威脅探測器自動分析工業協議、發現異常流量、感知網絡威脅，并將工廠的安全風險上報給集團的工業安全運營中心，集團運營人員能夠全面掌握集團工業安全現狀，快速安排問題排查和事件處置，同時將重大的安全事件上報給工業互聯網威脅監測平臺，安全管理部門的運營人員通過企業風險評估和上報的安全事件全面感知工業互聯網安全態勢，掌握重點企業安全現狀，落實安全管理職責，協助企業進行安全檢查和事件整改，加強與外部資源聯系，通過實時的威脅情報分享和風險通報，形成協同安全解決方案。同時利用城市公共安全服務能力完成工業互聯網系統保護，包括設備或系統上線前的檢查、應急服務及日常支撐，為工業企業進行安全賦能。如圖5所示。

圖5 COSMOPlat三級聯動安全防護體系

2.3 安全及可靠性

產品采用必要的安全技術與防護策略，加強系統在網絡安全、主機安全、數據安全等方面的安全防護能力和基本邊界訪問控制、病毒木馬監測、系統漏洞掃描、日志安全審計以及統一權限管理等業務功能，確保平臺在數據獲取、系統訪問過程中的機密性、完整性、可控性，有效防范和處置各種潛在的威脅。

針對不同的應用場景設定防護級別，需要進行網絡安全域防護，增強網絡邊界病毒防范功能，實現對各種網絡病毒、惡意代碼的檢查、攔截、隔離、分析等功能，并建立DMZ區，設立單向隔離設備，與互聯網接口直聯的數據進行隔離、防護。指揮平臺下發的數據通過單向隔離系統導入DMZ區，并對下發的數據進行審計和記錄，最大限度保障平臺核心數據安全，防止信息泄露。

3 案例亮點

（1）構建在線監測網絡，直觀掌控安全態勢

基于多源數據支持安全威脅監測以及安全威脅突出情況的分析展示，綜合利用獲取的各種大數據，分析挖掘，實時掌握網絡攻擊對手情況、攻擊手段、攻擊目標、攻擊結果以及網絡自身存在的隱患、問題、風險等情況，對比歷史數據，形成趨勢性、合理性判斷，為通報預警提供重要支撐。該模塊支持對網絡空間安全態勢進行全方位、多層次、多角度、細粒度感知，包括但不限于對工業互聯網平臺、重點行業、重點單位、重點網站，重要信息系統、網絡基礎設施等保護對象的態勢進行感知。主要包括態勢分析和態勢呈現。

針對重保單位、網站數據采集分析，通過監測分析子系統的DDos攻擊監測、高級威脅攻擊檢測與APT攻擊檢測、IDS檢測等功能，利用惡意代碼檢測、異常流量分析、威脅分析等技術進行宏觀分析后，從監管單位視角對本項目監管范圍下的單位安全狀態進行監測。并且根據系統內置的風險評估算法給出當前被監管單位的整體安全評估。

充分利用工業企業現有安全監測平臺和接口，整理工業企業現有安全監測能力，通過互聯網主動探測和工業網絡流量采集解析，利用工業協議深度解析和工業流量分析技術進行威脅分析，發現工業企業的網聯資產，識別工業企業的內外網安全威脅，實現企業側安全監測、威脅分析、威脅預警、協同處置和應急響應，開展資產探查、安全監測、威脅預警、威脅信息推送、工業安全咨詢、等保合規、工業現場檢查和工業應急響應等安全服務，幫助工業企業構建全天候、全方位的安全監測和威脅感知能力，提高工業企業的安全管理能力，保障工業企業安全生產。

（2）實現多維風險監測，增強威脅發現能力

匯聚網絡側和企業側安全監測和態勢感知平臺的共享信息，結合國家態勢感知平臺的共享信息，構建基礎資源庫、知識庫和威脅信息庫等信息資源；結合專業機構的認定結果和處置建議，有針對性地開展日常信息運營，包括威脅分析、資產審核，提升安全威脅信息共享能力，實現工業互聯網綜合態勢可視化，完成與國家平臺信息共享和聯動。

構建工業互聯網安全知識庫和威脅信息庫。通過網絡側、企業側數據上報，與第三方平臺數據對接，數據挖掘，企業上報等多種方式獲取最全面、最權威的安全知識庫和威脅信息庫，提供工業互聯網異常監測能力、威脅分析和態勢感知能力，保障工業互聯網安全。安全知識庫包括漏洞庫、應急處置經驗庫、設備指紋庫、惡意網絡資源庫、惡意程序庫等，威脅信息庫包括主機受控事件庫、數據泄露事件庫、信息篡改事件庫、信息仿冒事件庫、網絡攻擊事件庫、有害程序事件庫、高級威脅事件庫、異常違規行為事件庫、設備設施故障事件庫等。

（3）建立協同聯動體系，提高事件處置效率

以安全數據共享、安全監測業務協同、安全處置協同聯動為核心，基于工業互聯網安全監管機構、工業互聯網企業、運營商與工業企業，構建以工信部、省級監管機構、工業企業、運營商為主的協同監測和多級聯動管理架構，實現工業互聯網安全監測、預警通報、應急處置、處置溯源和信息共享，形成上下聯動、政企協同的工業互聯網安全管理系統。

（4）基于業務的工業安全運營

根據本地數據結合云端大數據及威脅情報，聯系服務過程中發現的工業安全事件，針對可能發生的攻擊行為提前做好響應對策，并通過專業化的保障服務，使監管具備處理突發事件的技術實力，提高安全事件響應與處理能力，實現被動到主動的轉變。

安全運營團隊圍繞態勢感知平臺系統，通過資產梳理、安全事件監測、流量深度分析、事件通報、應急處置、重要時期安全保障等一系列安全措施，協助            省監管部門更全面、更準確、更高效地行使工業安全監管職能。