通过企业风险评估和上报的安全事件全面感知工业互联网安全态势，掌握重点企业安全现状，落实安全管理职责，协助企业进行安全检查和事件整改，加强与外部资源联系，例如工控系统集成商或者原厂的合作，通过实时的威胁情报分享和风险通报，形成协同安全解决方案。

2 项目实施

2.1 项目总体架构和主要内容

（1）技术架构（如图1所示）

平台主要包括应用服务层、数据采集层、数据存储、数据分析层等内容。

图1 技术架构

（2）功能架构

发现和识别暴露在工业互联网的资产，监测和分析工业互联网的风险和威胁，实现工业互联网的网络安全态势觉察、跟踪和分析，全面掌握工业互联网的安全态势、安全威胁、安全风险和安全隐患，及时向企业预警通报安全风险和安全事件，根据预警级别进行快速准确的应急处置，形成平台与国家工业互联网网络安全监测与态势感知平台的情报推送和情报共享服务，平台与工业企业的协调联动、情报共享的预警通报和响应处置机制。主要功能如图2所示。

图2 功能架构

（3）网络架构

· 工业安全态势感知平台由流量管理平台、白名单管理平台和威胁探测器组成。

· 在各工厂的核心交换机、汇聚交换机旁路部署网络威胁探测器，持续对工厂内的网络资产、漏洞、威胁等情况进行监测和分析，并采用4G或有线通讯将威胁事件数据上报到工业互联网威胁监测平台，实现对各厂区的工控网络安全状态的监测。

· 将海尔原有的流量管理平台、白名单管理平台以及流量探针、网闸、防护墙、主机防护等安全设备接入工业安全态势感知平台。实现海尔所有网络安全设备的统一管控和数据汇总分析。

· 部署展示大屏，态势感知平台分级展示实时数据，包括实时告警、攻击来源、网络威胁、系统安全、用户行为、资产分布、网络拓扑、攻击者/资产威胁溯源等内容。

· 提供灵活的系统配置方式。最新的工业威胁探测器可以通过流量管理平台上报数据，也可以直接接入态势感知平台，根据实际情况选择合适的配置。

平台部署网络架构如图3所示。

图3 平台部署网络架构

平台的威胁检测分析系统和运营管理系统，依托“九天”情报系统和“哈莫韦”工业网络安全实验室，针对工业互联网行业特点，建立从基础信息采集到数据分析的一体化威胁情报分析。通过搭建威胁监测、分析管理平台，将“九天”系统的威胁分析能力和“哈莫韦”工业网络安全实验室的研究成果，有效串联至卡奥斯-双湃工业安全态势感知平台各业务环节，为工业安全态势感知平台的安全稳定运行提供坚强支撑。

系统通过在本地提供相关的Web服务和API接入协助安全管理人员进行威胁分析，最终实现威胁情报与安全运营的高效对接。

2.2 具体应用场景和安全应用模式

（1）应用场景

平台专门针对工控环境进行异常监测、发现、告警和安全审计。对工控系统的资产进行实时发现和监测，帮助用户实现工控系统的“可视化”。基于工控协议的深度解析（DPI）技术，实时检查工控协议异常通信，并通过智能学习建模技术，帮助用户快速建立网络基线，识别出系统中存在网络异常事件。在此基础上支持漏洞木马、病毒以及其他网络攻击行为的检查，实时发现信息安全威胁和其造成的系统运行异常，协助运营人员第一时间进行响应处理，对工控系统进行全方位监测和保护。工业威胁发现分析构架如图4所示。

图4 工业威胁发现分析架构

（2）创新模式

项目融合大数据能力、威胁情报能力、工业数据分析能力及可视化能力，建立一套完整的三级联动的安全运营体系，构建以工业企业内外网安全监测为基础、以协同联动和信息共享为驱动、以安全运营为核心的三级联动综合防护体系及创新解决方案，该方案自下而上包括部署在工厂中的工业威胁探测器、部署在集团的工业安全运营中心和部署在安全管理部门的工业互联网威胁监测平台。部署在各个工厂的工业威胁探测器自动分析工业协议、发现异常流量、感知网络威胁，并将工厂的安全风险上报给集团的工业安全运营中心，集团运营人员能够全面掌握集团工业安全现状，快速安排问题排查和事件处置，同时将重大的安全事件上报给工业互联网威胁监测平台，安全管理部门的运营人员通过企业风险评估和上报的安全事件全面感知工业互联网安全态势，掌握重点企业安全现状，落实安全管理职责，协助企业进行安全检查和事件整改，加强与外部资源联系，通过实时的威胁情报分享和风险通报，形成协同安全解决方案。同时利用城市公共安全服务能力完成工业互联网系统保护，包括设备或系统上线前的检查、应急服务及日常支撑，为工业企业进行安全赋能。如图5所示。

图5 COSMOPlat三级联动安全防护体系

2.3 安全及可靠性

产品采用必要的安全技术与防护策略，加强系统在网络安全、主机安全、数据安全等方面的安全防护能力和基本边界访问控制、病毒木马监测、系统漏洞扫描、日志安全审计以及统一权限管理等业务功能，确保平台在数据获取、系统访问过程中的机密性、完整性、可控性，有效防范和处置各种潜在的威胁。

针对不同的应用场景设定防护级别，需要进行网络安全域防护，增强网络边界病毒防范功能，实现对各种网络病毒、恶意代码的检查、拦截、隔离、分析等功能，并建立DMZ区，设立单向隔离设备，与互联网接口直联的数据进行隔离、防护。指挥平台下发的数据通过单向隔离系统导入DMZ区，并对下发的数据进行审计和记录，最大限度保障平台核心数据安全，防止信息泄露。

3 案例亮点

（1）构建在线监测网络，直观掌控安全态势

基于多源数据支持安全威胁监测以及安全威胁突出情况的分析展示，综合利用获取的各种大数据，分析挖掘，实时掌握网络攻击对手情况、攻击手段、攻击目标、攻击结果以及网络自身存在的隐患、问题、风险等情况，对比历史数据，形成趋势性、合理性判断，为通报预警提供重要支撑。该模块支持对网络空间安全态势进行全方位、多层次、多角度、细粒度感知，包括但不限于对工业互联网平台、重点行业、重点单位、重点网站，重要信息系统、网络基础设施等保护对象的态势进行感知。主要包括态势分析和态势呈现。

针对重保单位、网站数据采集分析，通过监测分析子系统的DDos攻击监测、高级威胁攻击检测与APT攻击检测、IDS检测等功能，利用恶意代码检测、异常流量分析、威胁分析等技术进行宏观分析后，从监管单位视角对本项目监管范围下的单位安全状态进行监测。并且根据系统内置的风险评估算法给出当前被监管单位的整体安全评估。

充分利用工业企业现有安全监测平台和接口，整理工业企业现有安全监测能力，通过互联网主动探测和工业网络流量采集解析，利用工业协议深度解析和工业流量分析技术进行威胁分析，发现工业企业的网联资产，识别工业企业的内外网安全威胁，实现企业侧安全监测、威胁分析、威胁预警、协同处置和应急响应，开展资产探查、安全监测、威胁预警、威胁信息推送、工业安全咨询、等保合规、工业现场检查和工业应急响应等安全服务，帮助工业企业构建全天候、全方位的安全监测和威胁感知能力，提高工业企业的安全管理能力，保障工业企业安全生产。

（2）实现多维风险监测，增强威胁发现能力

汇聚网络侧和企业侧安全监测和态势感知平台的共享信息，结合国家态势感知平台的共享信息，构建基础资源库、知识库和威胁信息库等信息资源；结合专业机构的认定结果和处置建议，有针对性地开展日常信息运营，包括威胁分析、资产审核，提升安全威胁信息共享能力，实现工业互联网综合态势可视化，完成与国家平台信息共享和联动。

构建工业互联网安全知识库和威胁信息库。通过网络侧、企业侧数据上报，与第三方平台数据对接，数据挖掘，企业上报等多种方式获取最全面、最权威的安全知识库和威胁信息库，提供工业互联网异常监测能力、威胁分析和态势感知能力，保障工业互联网安全。安全知识库包括漏洞库、应急处置经验库、设备指纹库、恶意网络资源库、恶意程序库等，威胁信息库包括主机受控事件库、数据泄露事件库、信息篡改事件库、信息仿冒事件库、网络攻击事件库、有害程序事件库、高级威胁事件库、异常违规行为事件库、设备设施故障事件库等。

（3）建立协同联动体系，提高事件处置效率

以安全数据共享、安全监测业务协同、安全处置协同联动为核心，基于工业互联网安全监管机构、工业互联网企业、运营商与工业企业，构建以工信部、省级监管机构、工业企业、运营商为主的协同监测和多级联动管理架构，实现工业互联网安全监测、预警通报、应急处置、处置溯源和信息共享，形成上下联动、政企协同的工业互联网安全管理系统。

（4）基于业务的工业安全运营

根据本地数据结合云端大数据及威胁情报，联系服务过程中发现的工业安全事件，针对可能发生的攻击行为提前做好响应对策，并通过专业化的保障服务，使监管具备处理突发事件的技术实力，提高安全事件响应与处理能力，实现被动到主动的转变。

安全运营团队围绕态势感知平台系统，通过资产梳理、安全事件监测、流量深度分析、事件通报、应急处置、重要时期安全保障等一系列安全措施，协助            省监管部门更全面、更准确、更高效地行使工业安全监管职能。