AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
企業
ENTERPRISE
大型汽車制造企業工業互聯網安全態勢感知與綜合管控服務項目
案例名稱:大型汽車制造企業工業互聯網安全態勢感知與綜合管控服務項目
申報單位:杭州安恒信息技術股份有限公司
一、案例概述
杭州安恒信息技術股份有限公司為某大型汽車制造業企業(以下簡稱“企業”)提供安全咨詢服務,為企業設計并建設了集安全合規管理、安全運營維護和安全服務賦能于一體的工業互聯網安全態勢感知與綜合管控服務平臺。
二、需求分析
(一)行業特點及問題痛點分析
隨著信息技術不斷發展和改革的不斷深入,工業網絡安全在政治、經濟和社會穩定中具有舉足輕重的重要意義,如何有效保障企業關鍵信息基礎設施正常運行和不受侵害、統籌企業安全資源,是亟待解決的現實問題。
(二)實施目標
通過建設該平臺,實時掌握各生產基地重要工業系統的網絡安全態勢;及時通報預警重大網絡安全威脅;形成企業和下屬各生產基地協調聯動的網絡安全處置工作機制;建設跨地域、跨部門的應急指揮協同機制。
(三)業務應用場景分析
汽車制造企業工業網絡安全防御體系仍需完善,工業安全檢測和感知能力不足。同時,集團工業網絡安全工作涉及面廣,需要建立統一的管理平臺對各生產基地的安全態勢進行統籌管理、協同推進。
(四)預計收益
通過該平臺的建設保障企業生產系統的穩定運行,減少因網絡安全事故造成大的經濟損失,持續為企業創造經濟價值。同時本項目的實施將顯著提升汽車制造企業工業安全防護水平,促進企業控制技術發展,促進集團網絡安全發展和人才培養。
三、建設內容
(一)主要內容
1.建設集團級工業安全感知能力
為實時掌握該汽車制造企業各生產基地工業安全情況及動態,在發生安全隱患時可以進行快速、精準預警,為工業安全保障工作提供有效支撐。
2.建立工業網絡安全信息預警和通報機制
當發生網絡安全事件、漏洞、隱患、惡意木馬病毒時,有針對性地發出通報預警。
3.形成安全合規監督檢查機制
通過建立企業工業安全檢查機制,借助線上監測加線下檢查形成管理合力,摸底該汽車制造企業各生產基地的工業控制系統網絡安全狀況。
4.建立應急響應協同管理體系
針對各類工業網絡安全應急事件,制定一體化的應急預案,建立多級協同應急處置機制和流程;在事后提供日志分析、數據恢復、線索檢索、攻擊驗證等技術手段。
(二)技術架構
1.總體技術架構
平臺總體架構設計遵照“分層解耦、異構兼容”的原則,分為安全引擎層、安全中臺層和安全應用層。
圖1 平臺架構圖
2.業務應用層
應用層由安全可視化、安全管理工具集和安全技術支撐工具集三個模塊構成,將該汽車制造集團、生產基地和安全支撐機構聯合起來,共同治理工業網絡安全問題。
3.安全中臺層
安全數據中臺提供對工業安全數據的統一接入、處理和存儲,實現安全數據匯聚、管理和統一的數據服務。可將各種安全能力服務化,形成安全服務目錄,實現安全資源的靈活調度,從而對基礎安全能力進行統一管理。
4.安全引擎層
安全引擎層為平臺運行提供必要的基礎安全能力和數據來源,包括工業網絡資產測繪引擎、工業威脅檢測識別引擎、工業網絡攻擊誘捕引擎、工業網絡防御引擎、工業威脅情報管理引擎等。
(三)主要功能
1.安全可視化
態勢感知模塊以可視化應用的方式對該汽車制造集團態勢進行展示,組建兩網(工控網、管理信息網)融合態勢感知大屏。
圖2 兩網(工控網、管理信息網)融合態勢感知大屏
2.安全管理工具集
(1)安全門戶
安全門戶為該汽車制造集團和生產基地用戶提供統一的業務服務,主要包括工作資訊和支撐保障兩項。
(2)合規管理
主要包括現場檢查、安全自查兩個部分,通過系統管理檢查工作,收集檢查數據,評價檢查結果。
(3)通報預警
當監測到工業系統存在重大風險隱患,或產生重大安全事件時,通過平臺進行通報,被通報的工業網系統、管理信息網系統按期反饋處置結果。
(4)協同應急
協同應急主要用于發生安全事件判斷風險較高時,或在重要會議、重大活動期間,及時通報預警網絡安全隱患,對應急指揮期間各職能部門、重要行業部門、技術支持單位進行綜合指揮。
3.安全技術支撐工具集
(1)資產管理
資產管理可將所有業務系統的網絡設備、工控設備、安全設備、服務器及其之上承載的操作系統、數據庫、應用系統、接口方式、硬件屬性、使用維護人員等信息均作為資產管理的內容,提供資產錄入、管理、變更等管理功能。
(2)安全監測
通過對全流量審計行為、Web攻擊監測行為、郵件攻擊監測行為、勒索病毒行為的監測,并結合工業網絡場景下的安全監測能力,幫助該企業快速定位在工業網絡安全場景下的安全事件難題。
(3)安全分析
平臺提供了五大建模管理方式,主要包括規則建模、安全事件關聯建模、安全事件統計建模、威脅情報建模和AI學習建模,利用分析引擎進行數據深入分析。同時,在內置模型中還專門定義了基于工控場景下的威脅模型,進一步提高在工控場景下的威脅感知能力。
(4)資產畫像
工業資產畫像以采集到的各種數據為依據,通過安全建模分析,提供可視化工業資產畫像,主要包括:資產基本信息、風險信息、訪問關系、行為畫像等。
(5)追蹤溯源
在確定攻擊事件后,回溯所有攻擊相關的網絡數據包,對系統近期的所有行為進行串聯,確定攻擊事件的整個事件周期,展示整個攻擊事件的所有攻擊路徑。
4.安全運營
(1)安全工作臺
為該汽車制造企業網絡安全運維人員提供安全事件處置工作界面,并為用戶提供代辦工單狀態工作臺,方便用戶快速進行需要處理的安全工單。
(2)運行報告
通過對安全態勢數據進行周期性歸納總結、統計分析,形成全網安全態勢分析報告,幫助用戶管理全網安全態勢變化。
(3)安全自動化編排響應(SOAR)
基于安全分析能力和應用能力,通過劇本編排,對復雜的分析、處置流程進行集成整合,實現從靜態事件響應到動態工作流跟蹤的轉變。
四、應用效果
(一)建立集約化工業互聯網安全公共服務體系
通過對企業資產梳理、安全隱患監測、安全事件分析研判、應急響應支持、安全態勢感知服務、安全運營服務等,提高企業提供網絡安全公共服務的能力。
(二)提升企業多方協同管理能力
結合對企業建立監測、預警、多方協同管理機制,形成面向企業總部集團-分公司-智能工廠三級長效協同工作機制,全面提升企業多方協同作戰能力。
(三)建立企業安全合規管理機制
以《網絡安全法》、相關行業標準等為依據,建立該汽車制造企業安全合規管理機制。
(四)建立數據信息共享機制
平臺實現該汽車制造企業總部集團與分公司和各生產基地的數據信息共享機制,形成數據上傳、下達,縱向與各級單位平臺的數據貫通和業務協同。
五、案例亮點和創新點
(一)數字化、集約化和服務化的公共服務技術創新
幫助該汽車制造企業提高日常安全監測預警、研判分析能力,以及響應處置效率;幫助下屬各級單位提高安全防護意識,顯著提高安全防護水平。降低企業網絡安全部門的管理成本。
(二)工業網絡安全場景安全數據采集與融合分析技術創新
汽車制造企業工業網絡場景具有網絡結構復雜、業務系統和設備類型多的特點,因此需要將安全數據采集能力與大數據智能分析能力進行深度融合,形成工業互聯網專有的威脅分析模型,滿足企業對安全分析與追蹤溯源能力的需求。
(三)基于閉環安全管理機制的多級協同響應處置技術創新
平臺可將總部集團、分公司、生產基地和安全支撐機構打通,開展聯合協同響應,有效提高應急響應速度與處置效率。
