企业
ENTERPRISE
大型汽车制造企业工业互联网安全态势感知与综合管控服务项目
案例名称:大型汽车制造企业工业互联网安全态势感知与综合管控服务项目
申报单位:杭州尊龙凯时技术股份有限公司
一、案例概述
杭州尊龙凯时技术股份有限公司为某大型汽车制造业企业(以下简称“企业”)提供安全咨询服务,为企业设计并建设了集安全合规管理、安全运营维护和安全服务赋能于一体的工业互联网安全态势感知与综合管控服务平台。
二、需求分析
(一)行业特点及问题痛点分析
随着信息技术不断发展和改革的不断深入,工业网络安全在政治、经济和社会稳定中具有举足轻重的重要意义,如何有效保障企业关键信息基础设施正常运行和不受侵害、统筹企业安全资源,是亟待解决的现实问题。
(二)实施目标
通过建设该平台,实时掌握各生产基地重要工业系统的网络安全态势;及时通报预警重大网络安全威胁;形成企业和下属各生产基地协调联动的网络安全处置工作机制;建设跨地域、跨部门的应急指挥协同机制。
(三)业务应用场景分析
汽车制造企业工业网络安全防御体系仍需完善,工业安全检测和感知能力不足。同时,集团工业网络安全工作涉及面广,需要建立统一的管理平台对各生产基地的安全态势进行统筹管理、协同推进。
(四)预计收益
通过该平台的建设保障企业生产系统的稳定运行,减少因网络安全事故造成大的经济损失,持续为企业创造经济价值。同时本项目的实施将显著提升汽车制造企业工业安全防护水平,促进企业控制技术发展,促进集团网络安全发展和人才培养。
三、建设内容
(一)主要内容
1.建设集团级工业安全感知能力
为实时掌握该汽车制造企业各生产基地工业安全情况及动态,在发生安全隐患时可以进行快速、精准预警,为工业安全保障工作提供有效支撑。
2.建立工业网络安全信息预警和通报机制
当发生网络安全事件、漏洞、隐患、恶意木马病毒时,有针对性地发出通报预警。
3.形成安全合规监督检查机制
通过建立企业工业安全检查机制,借助线上监测加线下检查形成管理合力,摸底该汽车制造企业各生产基地的工业控制系统网络安全状况。
4.建立应急响应协同管理体系
针对各类工业网络安全应急事件,制定一体化的应急预案,建立多级协同应急处置机制和流程;在事后提供日志分析、数据恢复、线索检索、攻击验证等技术手段。
(二)技术架构
1.总体技术架构
平台总体架构设计遵照“分层解耦、异构兼容”的原则,分为安全引擎层、安全中台层和安全应用层。
图1 平台架构图
2.业务应用层
应用层由安全可视化、安全管理工具集和安全技术支撑工具集三个模块构成,将该汽车制造集团、生产基地和安全支撑机构联合起来,共同治理工业网络安全问题。
3.安全中台层
安全数据中台提供对工业安全数据的统一接入、处理和存储,实现安全数据汇聚、管理和统一的数据服务。可将各种安全能力服务化,形成安全服务目录,实现安全资源的灵活调度,从而对基础安全能力进行统一管理。
4.安全引擎层
安全引擎层为平台运行提供必要的基础安全能力和数据来源,包括工业网络资产测绘引擎、工业威胁检测识别引擎、工业网络攻击诱捕引擎、工业网络防御引擎、工业威胁情报管理引擎等。
(三)主要功能
1.安全可视化
态势感知模块以可视化应用的方式对该汽车制造集团态势进行展示,组建两网(工控网、管理信息网)融合态势感知大屏。
图2 两网(工控网、管理信息网)融合态势感知大屏
2.安全管理工具集
(1)安全门户
安全门户为该汽车制造集团和生产基地用户提供统一的业务服务,主要包括工作资讯和支撑保障两项。
(2)合规管理
主要包括现场检查、安全自查两个部分,通过系统管理检查工作,收集检查数据,评价检查结果。
(3)通报预警
当监测到工业系统存在重大风险隐患,或产生重大安全事件时,通过平台进行通报,被通报的工业网系统、管理信息网系统按期反馈处置结果。
(4)协同应急
协同应急主要用于发生安全事件判断风险较高时,或在重要会议、重大活动期间,及时通报预警网络安全隐患,对应急指挥期间各职能部门、重要行业部门、技术支持单位进行综合指挥。
3.安全技术支撑工具集
(1)资产管理
资产管理可将所有业务系统的网络设备、工控设备、安全设备、服务器及其之上承载的操作系统、数据库、应用系统、接口方式、硬件属性、使用维护人员等信息均作为资产管理的内容,提供资产录入、管理、变更等管理功能。
(2)安全监测
通过对全流量审计行为、Web攻击监测行为、邮件攻击监测行为、勒索病毒行为的监测,并结合工业网络场景下的安全监测能力,帮助该企业快速定位在工业网络安全场景下的安全事件难题。
(3)安全分析
平台提供了五大建模管理方式,主要包括规则建模、安全事件关联建模、安全事件统计建模、威胁情报建模和AI学习建模,利用分析引擎进行数据深入分析。同时,在内置模型中还专门定义了基于工控场景下的威胁模型,进一步提高在工控场景下的威胁感知能力。
(4)资产画像
工业资产画像以采集到的各种数据为依据,通过安全建模分析,提供可视化工业资产画像,主要包括:资产基本信息、风险信息、访问关系、行为画像等。
(5)追踪溯源
在确定攻击事件后,回溯所有攻击相关的网络数据包,对系统近期的所有行为进行串联,确定攻击事件的整个事件周期,展示整个攻击事件的所有攻击路径。
4.安全运营
(1)安全工作台
为该汽车制造企业网络安全运维人员提供安全事件处置工作界面,并为用户提供代办工单状态工作台,方便用户快速进行需要处理的安全工单。
(2)运行报告
通过对安全态势数据进行周期性归纳总结、统计分析,形成全网安全态势分析报告,帮助用户管理全网安全态势变化。
(3)安全自动化编排响应(SOAR)
基于安全分析能力和应用能力,通过剧本编排,对复杂的分析、处置流程进行集成整合,实现从静态事件响应到动态工作流跟踪的转变。
四、应用效果
(一)建立集约化工业互联网安全公共服务体系
通过对企业资产梳理、安全隐患监测、安全事件分析研判、应急响应支持、安全态势感知服务、安全运营服务等,提高企业提供网络安全公共服务的能力。
(二)提升企业多方协同管理能力
结合对企业建立监测、预警、多方协同管理机制,形成面向企业总部集团-分公司-智能工厂三级长效协同工作机制,全面提升企业多方协同作战能力。
(三)建立企业安全合规管理机制
以《网络安全法》、相关行业标准等为依据,建立该汽车制造企业安全合规管理机制。
(四)建立数据信息共享机制
平台实现该汽车制造企业总部集团与分公司和各生产基地的数据信息共享机制,形成数据上传、下达,纵向与各级单位平台的数据贯通和业务协同。
五、案例亮点和创新点
(一)数字化、集约化和服务化的公共服务技术创新
帮助该汽车制造企业提高日常安全监测预警、研判分析能力,以及响应处置效率;帮助下属各级单位提高安全防护意识,显著提高安全防护水平。降低企业网络安全部门的管理成本。
(二)工业网络安全场景安全数据采集与融合分析技术创新
汽车制造企业工业网络场景具有网络结构复杂、业务系统和设备类型多的特点,因此需要将安全数据采集能力与大数据智能分析能力进行深度融合,形成工业互联网专有的威胁分析模型,满足企业对安全分析与追踪溯源能力的需求。
(三)基于闭环安全管理机制的多级协同响应处置技术创新
平台可将总部集团、分公司、生产基地和安全支撑机构打通,开展联合协同响应,有效提高应急响应速度与处置效率。