1.1 項目背景

青島酷特智能股份有限公司（以下簡稱：酷特智能），經過多年轉型實踐，在服裝個性化智能定制領域，摸索出了一條自主創新的發展道路。

近年來，信息化程度不斷提高，制造業對信息系統的依賴程度不斷增加，酷特智能已有的信息化設備無法滿足業務發展的需要。現需要根據實際業務需求對原有信息化系統進行優化和改造，而信息安全建設是必不可少的環節。

酷特智能需要積極落實安全防護措施和管理制度，全面提高信息安全防護和管理能力，創建安全健康的網絡環境，促進信息化的穩步和深入發展。

1.2 項目簡介

酷特智能整體信息系統安全是業務開展的重要安全保障，它是一個包含技術（物理和環境、網絡和通信、設備和計算、應用和數據等四個技術層面）和管理（安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理等四個管理層面）兩大方面，通過技術保障和規章制度建立起來的可靠有效的安全體系。

本方案以酷特智能的整體信息系統建設為基礎，分析安全建設需求，結合國家等級保護建設規范、網絡安全法，為酷特智能的信息安全合規性建設、業務監管和防護、安全運營管理和機制建設提供指導。

2 項目實施

2.1 前期分析

目前集團安全防護措施相對薄弱，只有出口防火墻設備，整體網絡缺少統一的規劃，沒有按業務職能劃分安全域，也缺乏基礎的安全防護設備，網絡安全建設尚處在起步階段。因此在新機房進行規劃建設的同時，安全建設工作需要同步進行。并且按照等級保護三級標準進行整體規劃。

本次安全規劃按照“全局統一”的思想，重點保障新數據中心機房縱深防御體系，遵循等級保護建設標準進行規劃，著力做好數據中心機房的邊界防護、工業互聯網平臺安全體系以及網絡安全監控體系建設，做好協同防御。

2.2 技術方案

根據不同服務職能和安全等級，將酷特智能網絡劃分為邊界接入區、核心交換區、存儲與計算資源池區、安全管理區、安全資源池區等五個區域。

（1）邊界接入區

在邊界接入區通過雙機模式部署兩臺下一代防火墻，實現網絡邊界的訪問控制，通過開啟SSLVPN功能，提供遠程接入和數據加密傳輸功能，防止數據被篡改、被竊聽。集成防病毒和上網行為管理模塊，解決外部攻擊、病毒入侵和上網行為管理等安全問題。

（2）核心交換區

在核心交換區旁路部署APT攻擊預警平臺，通過對網絡流量進行深度解析，發現流量中的惡意攻擊，主要包括：Web威脅深度檢測、郵件威脅深度檢測、病毒木馬深度檢測、0day攻擊檢測、異常行為分析等，提供全面的檢測和預警的能力。通過內置沙箱技術，發現未知威脅，滿足等保2.0對于未知威脅發現能力的要求。通過與AILPHA大數據智能分析平臺的對接，為大數據平臺提供全面的威脅發現能力。

在核心交換機旁路部署全流量深度檢測探針，通過對流量采集及深度還原解析，發現流量中的應用會話行為和潛在威脅，并提供全流量審計及流量趨勢分析。通過與AILPHA大數據智能分析平臺的對接，為大數據平臺數據風險分析、數據行為分析和流量趨勢分析提供支撐。

（3）安全資源池區

建立安全資源池區，安全資源池通過旁路引渡的方式部署在核心交換機旁邊，對虛擬化資源池內的業務系統、數據庫等提供全面的安全防護能力，并且能夠統一天池云安全管理平臺，實現安全能力的彈性擴容和動態調整。安全資源池可提供以下安全能力：

· 通過虛擬防火墻，對虛擬化資源池各業務系統進行南北向訪問控制，并集成入侵防護和防病毒功能。

· 通過云數據庫審計，可實現內部數據庫的事前安全風險評估、實時行為監控、細粒度操作審計等。有效發現針對數據的攻擊行為和數據庫越權操作等行為。

· 通過在Web服務器、業務服務器、數據庫服務器上部署云主機安全及管理系統，可實現病毒查殺、網站后門查殺、漏洞管理、性能監控、登錄防護、東西向安全隔離、進程防護、勒索防御、挖礦防御等功能。

· 通過部署云堡壘機，實現對所有的網絡設備、網絡安全設備、應用系統的操作行為全面記錄，包括登錄IP、登錄用戶、登錄時間、操作命令全方位細粒度的審計。

· 通過部署Web應用防火墻，對Web應用進行全面安全防護，對各類Web攻擊，如SQL注入、釣魚攻擊、緩沖區溢出攻擊、CGI掃描、目錄遍歷等攻擊行為精準發現、識別和防護。且可基于酷特智能各業務系統的特點定制最佳的安全防護策略。

· 通過部署云日志審計，可對虛擬化環境下各服務器的日志進行采集并與大數據平臺對接，補充虛擬化平臺的日志采集能力。

（4）存儲與計算資源池區

該區域主要包括酷特智能虛擬化平臺下的宿主服務器、虛擬機、各類業務系統、數據庫服務器等。

· 通過在Web服務器、業務服務器、數據庫服務器上部署云主機安全及管理系統，可實現各虛擬機之間的東西向安全隔離功能。有效防止虛擬機之間的越權訪問與攻擊行為，以及病毒、蠕蟲等在各虛擬機之間橫向傳播。

· 在Web服務器上部署網頁防篡改系統，可在站點內部通過防篡改模塊進行文件實時監控，發現有對網頁進行修改、刪除等非法操作時，進行保護并報警。

· 通過部署數據庫防火墻，可以對數據庫服務器從系統層面、網絡層面、數據庫層面實現三維一體的立體安全防護，解決日常數據庫安全管理中的賬號復用、濫用、盜用、越權違規訪問、敏感數據泄露篡改等嚴重問題，對數據庫提供高級別的實時安全檢測防護，提高數據庫的安全防御級別，保護酷特智能敏感數據都能被合法正常使用，避免數據庫處于不可知、不可控的情況。考慮到沒有劃分單獨的數據庫服務器區，本次網絡環境中，數據庫防火墻推薦采用反向代理的方式部署。

（5）安全管理區

劃分單獨的安全管理區，通過安全管理區對整個網絡中各類服務器、網絡設備等進行安全運維。基于等保要求和酷特智能當前安全情況，在安全管理區中，推薦部署以下安全產品：

· 在安全管理區部署遠程安全評估系統，通過系統內置系統掃描模塊、Web應用掃描模塊和數據庫掃描模塊，能夠全面、深層次、快速地對酷特智能網絡中的各類IT資產進行安全風險評估。

· 在安全管理區部署通過云數據庫審計，可實現內部數據庫的事前安全風險評估、實時行為監控、細粒度操作審計等。有效發現針對數據的攻擊行為和數據庫越權操作等行為。通過部署Agent組件的方式，解決虛擬化環境下數據審計問題。

· 在安全管理區部署大數據智能安全平臺，通過日志采集探針、流量采集探針，收集全集團的網絡安全數據進行集中存儲和分析，利用機器學習、聚類分析等手段構建智能的安全檢測模型，實時分析發現全集團范圍內的安全事件和攻擊行為。并利用海量日志和流量數據的關聯分析能力，進行攻擊事件的溯源和攻擊者溯源。通過大數據態勢感知平臺為管理人員提供全局視角，確保客戶業務的不間斷運營安全。

· 通過玄武盾，提供云端監測和防護服務，對需要從互聯網訪問的網站和Web應用系統進行統一監管和防護，并可提供最高達2.5T的云端抗D能力。全面掌握集團業務系統整體安全態勢，及時了解相關網絡安全威脅、風險和隱患，及時監測和防護漏洞、后門、網絡攻擊情況，及時發現網絡安全案（事）件線索，掌握有關情報和況信息，進而提升酷特智能業務系統監管、防護與安全態勢感知能力。

· 從安全策略和管理制度、安全管理機構和人員、安全建設管理和安全運維管理等四個管理層面綜合考慮，建立完善的管理體系和服務體系。

· 配置等級保護檢查工具箱（自查版）對信息系統進行安全檢查評估，發現問題及時整改，加強和完善自身信息安全等級保護制度的建設，加強自我保護。

· 安全服務是對安全技術防護體系的合理補充，考慮到集團目前實際情況，建議主要考慮漏洞掃描、安全檢查、滲透測試、安全加固、應急響應、安全通告、風險評估服務、安全培訓服務和駐場運維服務。

網絡架構圖如圖1所示。

圖1 網絡架構圖

2.3 實際應用成效

（1）預見性安全維護，降低生產中斷頻率，大幅度減少因惡意攻擊造成的經濟損失

預見性安全維護，可以有效提高預見性維護與修復性維護的比率。通過減少意外停機時間，將資產可用率提高3%~5%。庫存需求減少10%~20%。

針對重要基礎設施行業因惡意攻擊而導致停機，如電力、石化行業的大型企業停機1天可損失數百甚至上千萬元的經濟利益，所以最大限度降低因安全事件引起此種情況發生，保證生產安全穩定運行，可使企業獲得良好的經濟效益及企業口碑價值。

（2）平臺化運營，減少安全運維成本，提高經濟效益

酷特智能平臺采用工業物聯網信息安全集中運營平臺，用無監督的算法對數據進行智能判斷，并在分析結果上打上標記。同時，承包商安恒信息的專業運維團隊能夠提供7×24小時的安全專家運維服務，用戶在服務過程中碰到不清楚的地方，只需要撥打400電話，即刻會有安全專家協助解決。安全專家團隊針對每天大量的日志，提煉出安全預警、安全漏洞、攻擊態勢等信息向用戶展示和匯報，大大減少了運維人員的工作量。

3 案例亮點

3.1 技術創新

（1）基于機器學習的異常行為檢測技術創新根據工業物聯網系統中用戶及網絡設備之間訪問行為的業務特征，確定行為指標。其次，平臺的數據預處理模塊將系統行為日志中的行為指標提取出來作為多維變量數據。每一條數據在數學上就是一個多維變量。然后利用無監督的算法對數據進行聚類分析，讓安全專家對分析結果的正確性進行人工判斷并在分析結果上打上標記。標記后的數據再作為訓練數據交給有監督的算法進行分析并產生分類規則。第三，聯合有監督和無監督的算法對行為日志進行分析，經過反復迭代有監督算法的分析，逐漸將專家的經驗學習到分析算法中。待分析的數據經過上述算法的分析，可以準確地發現工業物聯系統中的異常行為。

（2）基于隱患利用路徑的威脅預警分析技術創新

工業物聯網系統中，各個信息資產（軟硬件設備）都有可能存在隱患（即系統漏洞和配置錯誤）。于各信息資產之間存在依賴關系，一個信息資產上的隱患被利用，成功入侵到該信息資產并取得高優先級的訪問權限，有可能導致與被攻陷資產有依賴關系的其他信息資產上的隱患也被利用。基于隱患利用路徑的攻擊預警是一個基于理論推理的可能性結果，利用可視化功能，可以將這些能的結果用可視化方式即攻擊圖譜的方式呈現出來，更加直觀地提示出攻擊事件的可能發生過程。威脅預警分析技術流程圖如圖2所示。

圖2 威脅預警分析技術流程圖

3.2 產品創新

（1）移動HSE管理平臺

在全功能方面，HSE的勞動生產力平臺+業務插件解決方案，覆蓋安全生產和人員效能的全局管理功能。在全數據方面，HES打通模塊間直接信息傳遞，實現信息的統一收集和追溯，使業務聯動、交叉關聯分析成為可能。在人性化方面，HES實現以人為本的設計理念，使產品更加人性化，便于用戶的使用，提高工作效率。在分階段方面，實現一個平臺、多個插件滿足現有和未來擴展需求。HSE可以真正為一線員工打造現場安全管理應用，大幅減少重復錄入和紙面作業，真正匯總現場和一線信息，同時確保相關信息的安全性。

（2）工業物聯網信息安全集中運營平臺

針對酷特智能工業物聯網新安全主動防護的需求，研制了工業物聯網信息安全集中運營平臺。基于數據與知識挖掘，按照“感知-理解-預測”三個層次分別從時間維度和空間維度研究工控系統安全態勢感知技術，實現對物理系統、業務流程的安全分析、入侵攻擊類型的識別、安全事故的關聯性分析以及安全連鎖事故的推理；通過人工分析、安全評估、數據交互等，挖掘網絡數據中包含的安全信息，實現對工控網絡安全數據的可視化顯示；根據實時態勢感知的結果全面評估工控網絡的安全狀況與態勢，對工控系統中潛在的攻擊和異常操作行為及時預警，主動采取相應的防護措施，實現安全事件預警、監測、響應和取證，為系統統一安全管理提供決策支撐。工業物聯網安全運營流程圖如圖3所示。

圖3 工業物聯網安全運營流程圖

3.3 模式創新

（1）“云+網+端”一體化云數據安全解決方案

要解決云平臺環境下的數據安全問題，僅僅在終端、網絡、云平臺中的任何一方面實施保護是不夠的，必須要融合云平臺數據安全管理技術、終端數據安全管理技術、網絡安全傳輸技術，實現對云數據的全程一體化安全管理。在云平臺數據中心，重點完成用戶身份認證、多租戶模式下的數據隔離、租戶行為異常審計、結構化數據和非結構化數據的透明加密。在終端，重點完成用戶密鑰生成、終端環境安全、終端外設安全、終端文件透明加密保護。在網絡傳輸過程，重點負責完成終端與云平臺之間建立虛擬安全通道。

（2）集中化安全運營方案

根據“風險分析+執行策略+系統實施+漏洞監測+實時響應+安全恢復=系統安全”的建設思路，作業區工控系統安全構建了多層次、全方位、立體的體系架構。以保障工控系統信息安全、穩定運行為出發點，結合油田生產過程的多樣化，研究建立安全風險模型，奠定了安全技術與運行管理的基礎。融合工業防火墻、“白名單”防護、統一安全管理等技術，建立了以主動安全防御為核心的技術體系，實現了“分區分域、縱深防御、統一監控”的建設目標，提高了工控系統信息安全風險防控能力。結合運行、管理、技術三個方面，建立起可管理、可控制、可信任的工控安全運行管理體系并形成長效運行管理機制。