1.1 项目背景

青岛酷特智能股份有限公司（以下简称：酷特智能），经过多年转型实践，在服装个性化智能定制领域，摸索出了一条自主创新的发展道路。

近年来，信息化程度不断提高，制造业对信息系统的依赖程度不断增加，酷特智能已有的信息化设备无法满足业务发展的需要。现需要根据实际业务需求对原有信息化系统进行优化和改造，而信息安全建设是必不可少的环节。

酷特智能需要积极落实安全防护措施和管理制度，全面提高信息安全防护和管理能力，创建安全健康的网络环境，促进信息化的稳步和深入发展。

1.2 项目简介

酷特智能整体信息系统安全是业务开展的重要安全保障，它是一个包含技术（物理和环境、网络和通信、设备和计算、应用和数据等四个技术层面）和管理（安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理等四个管理层面）两大方面，通过技术保障和规章制度建立起来的可靠有效的安全体系。

本方案以酷特智能的整体信息系统建设为基础，分析安全建设需求，结合国家等级保护建设规范、网络安全法，为酷特智能的信息安全合规性建设、业务监管和防护、安全运营管理和机制建设提供指导。

2 项目实施

2.1 前期分析

目前集团安全防护措施相对薄弱，只有出口防火墙设备，整体网络缺少统一的规划，没有按业务职能划分安全域，也缺乏基础的安全防护设备，网络安全建设尚处在起步阶段。因此在新机房进行规划建设的同时，安全建设工作需要同步进行。并且按照等级保护三级标准进行整体规划。

本次安全规划按照“全局统一”的思想，重点保障新数据中心机房纵深防御体系，遵循等级保护建设标准进行规划，着力做好数据中心机房的边界防护、工业互联网平台安全体系以及网络安全监控体系建设，做好协同防御。

2.2 技术方案

根据不同服务职能和安全等级，将酷特智能网络划分为边界接入区、核心交换区、存储与计算资源池区、安全管理区、安全资源池区等五个区域。

（1）边界接入区

在边界接入区通过双机模式部署两台下一代防火墙，实现网络边界的访问控制，通过开启SSLVPN功能，提供远程接入和数据加密传输功能，防止数据被篡改、被窃听。集成防病毒和上网行为管理模块，解决外部攻击、病毒入侵和上网行为管理等安全问题。

（2）核心交换区

在核心交换区旁路部署APT攻击预警平台，通过对网络流量进行深度解析，发现流量中的恶意攻击，主要包括：Web威胁深度检测、邮件威胁深度检测、病毒木马深度检测、0day攻击检测、异常行为分析等，提供全面的检测和预警的能力。通过内置沙箱技术，发现未知威胁，满足等保2.0对于未知威胁发现能力的要求。通过与AILPHA大数据智能分析平台的对接，为大数据平台提供全面的威胁发现能力。

在核心交换机旁路部署全流量深度检测探针，通过对流量采集及深度还原解析，发现流量中的应用会话行为和潜在威胁，并提供全流量审计及流量趋势分析。通过与AILPHA大数据智能分析平台的对接，为大数据平台数据风险分析、数据行为分析和流量趋势分析提供支撑。

（3）安全资源池区

建立安全资源池区，安全资源池通过旁路引渡的方式部署在核心交换机旁边，对虚拟化资源池内的业务系统、数据库等提供全面的安全防护能力，并且能够统一天池云安全管理平台，实现安全能力的弹性扩容和动态调整。安全资源池可提供以下安全能力：

· 通过虚拟防火墙，对虚拟化资源池各业务系统进行南北向访问控制，并集成入侵防护和防病毒功能。

· 通过云数据库审计，可实现内部数据库的事前安全风险评估、实时行为监控、细粒度操作审计等。有效发现针对数据的攻击行为和数据库越权操作等行为。

· 通过在Web服务器、业务服务器、数据库服务器上部署云主机安全及管理系统，可实现病毒查杀、网站后门查杀、漏洞管理、性能监控、登录防护、东西向安全隔离、进程防护、勒索防御、挖矿防御等功能。

· 通过部署云堡垒机，实现对所有的网络设备、网络安全设备、应用系统的操作行为全面记录，包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。

· 通过部署Web应用防火墙，对Web应用进行全面安全防护，对各类Web攻击，如SQL注入、钓鱼攻击、缓冲区溢出攻击、CGI扫描、目录遍历等攻击行为精准发现、识别和防护。且可基于酷特智能各业务系统的特点定制最佳的安全防护策略。

· 通过部署云日志审计，可对虚拟化环境下各服务器的日志进行采集并与大数据平台对接，补充虚拟化平台的日志采集能力。

（4）存储与计算资源池区

该区域主要包括酷特智能虚拟化平台下的宿主服务器、虚拟机、各类业务系统、数据库服务器等。

· 通过在Web服务器、业务服务器、数据库服务器上部署云主机安全及管理系统，可实现各虚拟机之间的东西向安全隔离功能。有效防止虚拟机之间的越权访问与攻击行为，以及病毒、蠕虫等在各虚拟机之间横向传播。

· 在Web服务器上部署网页防篡改系统，可在站点内部通过防篡改模块进行文件实时监控，发现有对网页进行修改、删除等非法操作时，进行保护并报警。

· 通过部署数据库防火墙，可以对数据库服务器从系统层面、网络层面、数据库层面实现三维一体的立体安全防护，解决日常数据库安全管理中的账号复用、滥用、盗用、越权违规访问、敏感数据泄露篡改等严重问题，对数据库提供高级别的实时安全检测防护，提高数据库的安全防御级别，保护酷特智能敏感数据都能被合法正常使用，避免数据库处于不可知、不可控的情况。考虑到没有划分单独的数据库服务器区，本次网络环境中，数据库防火墙推荐采用反向代理的方式部署。

（5）安全管理区

划分单独的安全管理区，通过安全管理区对整个网络中各类服务器、网络设备等进行安全运维。基于等保要求和酷特智能当前安全情况，在安全管理区中，推荐部署以下安全产品：

· 在安全管理区部署远程安全评估系统，通过系统内置系统扫描模块、Web应用扫描模块和数据库扫描模块，能够全面、深层次、快速地对酷特智能网络中的各类IT资产进行安全风险评估。

· 在安全管理区部署通过云数据库审计，可实现内部数据库的事前安全风险评估、实时行为监控、细粒度操作审计等。有效发现针对数据的攻击行为和数据库越权操作等行为。通过部署Agent组件的方式，解决虚拟化环境下数据审计问题。

· 在安全管理区部署大数据智能安全平台，通过日志采集探针、流量采集探针，收集全集团的网络安全数据进行集中存储和分析，利用机器学习、聚类分析等手段构建智能的安全检测模型，实时分析发现全集团范围内的安全事件和攻击行为。并利用海量日志和流量数据的关联分析能力，进行攻击事件的溯源和攻击者溯源。通过大数据态势感知平台为管理人员提供全局视角，确保客户业务的不间断运营安全。

· 通过玄武盾，提供云端监测和防护服务，对需要从互联网访问的网站和Web应用系统进行统一监管和防护，并可提供最高达2.5T的云端抗D能力。全面掌握集团业务系统整体安全态势，及时了解相关网络安全威胁、风险和隐患，及时监测和防护漏洞、后门、网络攻击情况，及时发现网络安全案（事）件线索，掌握有关情报和况信息，进而提升酷特智能业务系统监管、防护与安全态势感知能力。

· 从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全运维管理等四个管理层面综合考虑，建立完善的管理体系和服务体系。

· 配置等级保护检查工具箱（自查版）对信息系统进行安全检查评估，发现问题及时整改，加强和完善自身信息安全等级保护制度的建设，加强自我保护。

· 安全服务是对安全技术防护体系的合理补充，考虑到集团目前实际情况，建议主要考虑漏洞扫描、安全检查、渗透测试、安全加固、应急响应、安全通告、风险评估服务、安全培训服务和驻场运维服务。

网络架构图如图1所示。

图1 网络架构图

2.3 实际应用成效

（1）预见性安全维护，降低生产中断频率，大幅度减少因恶意攻击造成的经济损失

预见性安全维护，可以有效提高预见性维护与修复性维护的比率。通过减少意外停机时间，将资产可用率提高3%~5%。库存需求减少10%~20%。

针对重要基础设施行业因恶意攻击而导致停机，如电力、石化行业的大型企业停机1天可损失数百甚至上千万元的经济利益，所以最大限度降低因安全事件引起此种情况发生，保证生产安全稳定运行，可使企业获得良好的经济效益及企业口碑价值。

（2）平台化运营，减少安全运维成本，提高经济效益

酷特智能平台采用工业物联网信息安全集中运营平台，用无监督的算法对数据进行智能判断，并在分析结果上打上标记。同时，承包商安恒信息的专业运维团队能够提供7×24小时的安全专家运维服务，用户在服务过程中碰到不清楚的地方，只需要拨打400电话，即刻会有安全专家协助解决。安全专家团队针对每天大量的日志，提炼出安全预警、安全漏洞、攻击态势等信息向用户展示和汇报，大大减少了运维人员的工作量。

3 案例亮点

3.1 技术创新

（1）基于机器学习的异常行为检测技术创新根据工业物联网系统中用户及网络设备之间访问行为的业务特征，确定行为指标。其次，平台的数据预处理模块将系统行为日志中的行为指标提取出来作为多维变量数据。每一条数据在数学上就是一个多维变量。然后利用无监督的算法对数据进行聚类分析，让安全专家对分析结果的正确性进行人工判断并在分析结果上打上标记。标记后的数据再作为训练数据交给有监督的算法进行分析并产生分类规则。第三，联合有监督和无监督的算法对行为日志进行分析，经过反复迭代有监督算法的分析，逐渐将专家的经验学习到分析算法中。待分析的数据经过上述算法的分析，可以准确地发现工业物联系统中的异常行为。

（2）基于隐患利用路径的威胁预警分析技术创新

工业物联网系统中，各个信息资产（软硬件设备）都有可能存在隐患（即系统漏洞和配置错误）。于各信息资产之间存在依赖关系，一个信息资产上的隐患被利用，成功入侵到该信息资产并取得高优先级的访问权限，有可能导致与被攻陷资产有依赖关系的其他信息资产上的隐患也被利用。基于隐患利用路径的攻击预警是一个基于理论推理的可能性结果，利用可视化功能，可以将这些能的结果用可视化方式即攻击图谱的方式呈现出来，更加直观地提示出攻击事件的可能发生过程。威胁预警分析技术流程图如图2所示。

图2 威胁预警分析技术流程图

3.2 产品创新

（1）移动HSE管理平台

在全功能方面，HSE的劳动生产力平台+业务插件解决方案，覆盖安全生产和人员效能的全局管理功能。在全数据方面，HES打通模块间直接信息传递，实现信息的统一收集和追溯，使业务联动、交叉关联分析成为可能。在人性化方面，HES实现以人为本的设计理念，使产品更加人性化，便于用户的使用，提高工作效率。在分阶段方面，实现一个平台、多个插件满足现有和未来扩展需求。HSE可以真正为一线员工打造现场安全管理应用，大幅减少重复录入和纸面作业，真正汇总现场和一线信息，同时确保相关信息的安全性。

（2）工业物联网信息安全集中运营平台

针对酷特智能工业物联网新安全主动防护的需求，研制了工业物联网信息安全集中运营平台。基于数据与知识挖掘，按照“感知-理解-预测”三个层次分别从时间维度和空间维度研究工控系统安全态势感知技术，实现对物理系统、业务流程的安全分析、入侵攻击类型的识别、安全事故的关联性分析以及安全连锁事故的推理；通过人工分析、安全评估、数据交互等，挖掘网络数据中包含的安全信息，实现对工控网络安全数据的可视化显示；根据实时态势感知的结果全面评估工控网络的安全状况与态势，对工控系统中潜在的攻击和异常操作行为及时预警，主动采取相应的防护措施，实现安全事件预警、监测、响应和取证，为系统统一安全管理提供决策支撑。工业物联网安全运营流程图如图3所示。

图3 工业物联网安全运营流程图

3.3 模式创新

（1）“云+网+端”一体化云数据安全解决方案

要解决云平台环境下的数据安全问题，仅仅在终端、网络、云平台中的任何一方面实施保护是不够的，必须要融合云平台数据安全管理技术、终端数据安全管理技术、网络安全传输技术，实现对云数据的全程一体化安全管理。在云平台数据中心，重点完成用户身份认证、多租户模式下的数据隔离、租户行为异常审计、结构化数据和非结构化数据的透明加密。在终端，重点完成用户密钥生成、终端环境安全、终端外设安全、终端文件透明加密保护。在网络传输过程，重点负责完成终端与云平台之间建立虚拟安全通道。

（2）集中化安全运营方案

根据“风险分析+执行策略+系统实施+漏洞监测+实时响应+安全恢复=系统安全”的建设思路，作业区工控系统安全构建了多层次、全方位、立体的体系架构。以保障工控系统信息安全、稳定运行为出发点，结合油田生产过程的多样化，研究建立安全风险模型，奠定了安全技术与运行管理的基础。融合工业防火墙、“白名单”防护、统一安全管理等技术，建立了以主动安全防御为核心的技术体系，实现了“分区分域、纵深防御、统一监控”的建设目标，提高了工控系统信息安全风险防控能力。结合运行、管理、技术三个方面，建立起可管理、可控制、可信任的工控安全运行管理体系并形成长效运行管理机制。