工业互联网典型安全解决方案案例汇编（2022）.pdf

《工业互联网典型安全解决方案案例汇编（2022）.pdf》由会员分享，可在线阅读，更多相关《工业互联网典型安全解决方案案例汇编（2022）.pdf（283页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 工业互联网工业互联网 典型安全解决方案案例汇编典型安全解决方案案例汇编 （2 2022022）2023 年年 6 月月 VII 目 录 1.工业互联网安全概述.1 1.1 工业互联网安全形势.1 1.2 工业互联网安全挑战.2 2.典型安全解决方案.3 2.1 案例一：装备制造行业一体化安全运营建设案例构建 OT、IT安全能力全面融合的工业互联网安全运营体系.3 2.1.1 方案概述.3 2.1.2 方案实施概况.6 2.1.3 下一步实施计划.14 2.1.4 方案创新点和实施效果.15 2.1.5 单位基本信息.17 2.2 案例二：5G+量子融合安全提升解决方案面向能源领域的工业互联网

2、安全构建.17 2.2.1 方案概述.17 2.2.2 方案实施概况.19 2.2.3 下一步实施计划.23 2.2.4 方案创新点和实施效果.23 2.2.5 单位基本信息.24 2.3 案例三：工业互联网企业安全综合防护系统打造工业互联网企业全流程、全领域的综合安全保障体系.26 2.3.1 方案概述.26 2.3.2 方案实施概况.28 2.3.3 下一步实施计划.37 2.3.4 方案创新点和实施效果.39 2.3.5 单位基本信息.42 2.4 案例四：钢铁行业工控安全纵深防御解决方案基于 IT 和 OT融合技术构建钢铁行业网络安全防御体系.44 2.4.1 方案概述.44 2.4.

3、2 方案实施概况.47 2.4.3 下一步实施计划.57 2.4.4 方案创新点和实施效果.57 2.4.5 单位基本信息.59 2.5 案例五：地铁智慧车站运营管控平台信息安全防护方案为“智慧出行”保驾护航，实现智慧车站安全运营.60 2.5.1 方案概述.60 2.5.2 方案实施概况.62 2.5.3 下一步实施计划.68 2.5.4 方案创新点和实施效果.68 2.5.5 单位基本信息.69 2.6 案例六：智能网联汽车商用密码应用和解决方案车联业务平台安全加固技术方案.70 2.6.1 方案概述.70 2.6.2 方案实施概况.73 2.6.3 下一步实施计划.78 2.6.4 方案

4、创新点和实施效果.79 2.6.5 单位基本信息.83 2.7 案例七：某省电科院新能源工控网络安全实验室建设方案新能 IX 源网络安全多功能演兵场.85 2.7.1 方案概述.85 2.7.2 方案实施概况.89 2.7.3 下一步实施计划.117 2.7.4 方案创新点和实施效果.120 2.7.5 单位基本信息.123 2.8 案例八：某省工业互联网安全综合服务平台打造省、市级工业互联网安全公共服务生态体系.124 2.8.1 方案概述.124 2.8.2 方案实施概况.129 2.8.3 下一步实施计划.168 2.8.4 方案创新点和实施效果.170 2.8.5 单位基本信息.182

5、 2.9 案例九：面向工业互联网领域的集约化安全运营解决方案全面可靠的系统化解决方案.183 2.9.1 方案概述.183 2.9.2 方案实施概况.186 2.9.3 下一步实施计划.197 2.9.4 方案创新点和实施效果.199 2.9.5 单位基本信息.203 2.10 案例十：智能油库工业控制系统网络安全建设护航产业数字化变革，提升智能油库安全能力.204 2.10.1 方案概述.204 2.10.2 方案实施概况.208 2.10.3 下一步实施计划.223 2.10.4 方案创新点和实施效果.248 2.10.5 单位基本信息.253 2.11 案例十一：某火力发电厂工控安全解决

6、方案护航火力发电厂工业控制系统安全.255 2.11.1 方案概述.255 2.11.2 方案实施概况.257 2.11.3 下一步实施计划.262 2.11.4 方案创新点和实施效果.263 2.11.5 单位基本信息.263 2.12 案例十二：工业企业安全纵深防御新范式为能源企业打造平战结合的安全综合能力管控平台.264 2.12.1 方案概述.264 2.12.2 方案实施概况.266 2.12.3 下一步实施计划.272 2.12.4 方案创新点和实施效果.273 2.12.5 单位基本信息.276 3.结束语.278 1 1.1.工业互联网安全概述工业互联网安全概述 1.1 工业互

7、联网安全形势工业互联网安全形势 自 2018 年以来，工业互联网已连续六年写入工作报告，可见国家层面对工业互联网发展的重视程度。从 2018 年“发展工业互联网平台”首次写入政府工作报告；2019 年政府工作报告明确提出“打造工业互联网平台，拓展 智能+，为制造业转型升级赋能”；2020 年提到发展工业互联网，推进智能制造；2021 年提出要发展工业互联网，搭建更多共性技术研发平台，提升中小微企业创新能力和专业化水平；2022 年提出要加快发展工业互联网，培育壮大集成电路、人工智能等数字产业，提升关键软硬件技术创新和供给能力；2023 年指出支持工业互联网发展，有力促进了制造业数字化智能化。工

8、信部数据显示，2022 年，工业互联网已经全面融入 45 个国民经济大类，具有影响力的工业互联网平台超过 240 家，跨行业跨领域平台达到 28个，“5G+工业互联网”发展已进入快车道，一大批国民经济支柱产业开展创新实践，全国“5G+工业互联网”项目超过 4000 个。近年来，国家持续重视工业互联网安全，并发布多项政策文件，其中：2020 年 3 月，工信部印发关于推动工业互联网加快发展的通知，明确提出要健全安全保障体系，包括建立企业分级安全管理制度、完善安全技术监测体系、健全安全工作机制、加强安全技术产品创新等。2021 年 1 月，工信部发布工业互联网创新行动发展计划（2021-2023年

9、）：提出到 2023 年底，工业互联网与安全生产协同推进发展格局基本形成，工业企业本质安全水平显著增强。3 月，信通院和联盟联合产业各方发起“领航”计划，明确从 6 个重点方向推进工业互联网安全发展。6 月，2 中华人民共和国数据安全法 审议通过，明确了采用数据分类分级保护制度对数据进行安全保护，有助于工业企业对重要数据的安全防护有的放矢，消除工业企业用户对数据安全的顾虑。7 月工信部等十部门联合印发 5G 应用“扬帆”行动计划（2021-2023 年），明确重点推进 5G 在工业互联网等领域的深度应用。8 月，国务院总理李克强签署国务院令，公布关键信息基础设施安全保护条例，明确关键信息基础设

10、施是经济社会运行的神经中枢，是网络安全的重中之重。2022 年 5 月，工信部发布工业和信息化部办公厅关于开展工业互联网安全深度行活动的通知（工信厅网安函202297 号），涉及分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等 6 项内容。2022 年 7 月，国家互联网信息办公室公布 数据出境安全评估办法，自 2022 年 9 月 1 日起施行，旨在落实网络安全法数据安全法个人信息保护法的规定，规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，切实以安全保发展、以发展促安全。2022 年 9 月，工信部印发5G 全连接工厂建设指

11、南。其中，安全方面指出，结合生产安全需求，围绕设备、控制、网络、平台和数据等关键要素，构建多层级网络安全防护体系;做好安全应急预案，阶段性开展安全检测评估，提升网络安全监测水平，确保网络运行平稳，提高安全威胁发现、快速处置和应急响应能力。推进企业全面落实工业互联网企业网络安全分类分级管理相关政策与标准，提升设备、控制、网络、平台和数据等安全防护能力;加大网络安全投入，明确责任部门和责任人，建立健全监测预警、数据上报、应急响应、风险评估等安全机制。1.2 工业互联网安全挑战工业互联网安全挑战 据国家工信安全中心统计，2022年公开披露的工业互联网安全事件 312起，从行业分布来看，覆盖十几个工业

12、细分领域，制造、能源领域成为网 3 络攻击重点目标。从攻击方式看，包括恶意软件、DDoS 攻击、网络钓鱼等。从攻击趋势看，表现为目标多元化、手段复杂化、影响扩大化。（1 1）勒索攻击持续威胁勒索攻击持续威胁 2022年，公开披露的工业互联网勒索事件共89起，较2021年增长78%，再创新高。制造业成为勒索攻击主要目标，勒索攻击手段方法更加复杂化，勒索攻击导致经济损失创新高。（2 2）工业数据泄露事件影响进一步扩大工业数据泄露事件影响进一步扩大 受研发设计、生产制造等工业数据高价值驱动，相关行业数据泄露风险攀升。Version 2022 年数据泄露调查报告显示，2022 年制造业数据泄露事件共

13、338 起，比 2021 年增长 25.2%。（3 3）供应链攻击加剧工业互联网安全威胁供应链攻击加剧工业互联网安全威胁 随着工业互联网的不断发展，创痛制造业供应链由单一链条上企业的单线链接转向网络化、多层次的全方位链接，显著扩大了供应链攻击威胁。（4 4）地缘政治冲突推动安全风险升级地缘政治冲突推动安全风险升级 俄乌冲突升级推动大规模、有组织的黑客攻击事件频发，工业互联网威胁格局发生重大变化，针对国防工业领域的 APT 攻击活动肆虐全球。2.2.典型安全解决方案典型安全解决方案 2.12.1 案例一案例一：装备制造行业一体化安全运营建设案例装备制造行业一体化安全运营建设案例构建构建 OTOT

14、、ITIT 安全能力全面融合的工业互联网安全运营体系安全能力全面融合的工业互联网安全运营体系 2.1.1 方案概述方案概述 本方案通过建设一套自研可控可扩展的安全运营平台，实现在线化全生命周期的安全管理，助力用户全面安全能力的价值交付。结合方案案例用户前期安全设备及安全系统建设成果，以“安全三同步”原则帮助用户逐步 4 补齐基础安全工具能力的不足、完善安全系统交融互通，打破信息系统及安全设备的数据屏障，汇总全面安全数据，将安全运营能力覆盖 OT、IT 存量操作系统、中间件、数据库、网络设备、安全系统及控制设备等，同时支持未来增量系统的全面运营。构建四大类信息安全运营工作，实现漏洞、基线、事件及

15、风险业务的运营管理闭环。1.方案背景方案背景 装备制造企业发展普遍具有分散性及阶跃性，依据业务经营的市场需求及业务战略的规划方向，企业会分时期在不同地理区域独立建设生产不同产品类别的生产园区，企业充分考虑原材料、运输能力、技术人才的平衡，用以服务不同下游行业的业务需求。不同园区的信息化建设工作普遍独立进行，同时方案建设应用的技术体系也存在一定区别，从而形成各具特色的信息化网络架构与 IT、OT 技术环境。伴随着装备制造企业下属生产园区数量的增多，企业业务数字化运营也遇到了前所未有的难题，“数据分散、架构差异、资源浪费、人低效下、决策困难”等用户痛点不仅仅存在于业务层面，也同样阻碍在企业信息安全

16、层面层面。装备制造企业通过工业互联网平台、数据中台、技术中台统一构建一套服务于生产的业务运营体系，一定程度上解决了上述难题。企业应吸取业务运营体系成熟经验，在信息安全方面构建一套 OT、IT 安全能力全面融合的工业互联网安全运营体系，助力装备制造企业信息业务与信息安全能力同步提升。本方案用户为应对不同时期安全风险及迫切程度不同的安全防护需求，遵循“同步规划、同步建设、同步运营、适度安全”的原则，已分批完成了包含 IT 防火墙、OT 防火墙、IT 态势感知、漏洞扫描系统、终端准入、Web应用防火墙等安全系统的建设工作，但对于 OT 侧态势感知能力、工业主机安全，IT 侧服务器主机安全等基础安全设

17、备仍存在建设空白，亟需补齐对应安全防护能力；用户构建网络安全态势感知能力局限于公有云下信息系 5 统流量分析，对于公有云上业务流量的安全事件无法一体化分析，存在业务流量分析不完整的风险，亟需实现对公有云流量也能做到全面的安全态势分析能力；用户当前安全能力建设被动，在多次攻防演练活动中被动防御，需要补充必要的安全诱捕反制能力助力安全运营的高效联动；用户各独立安全系统目前数据割裂情况严重，安全防护能力没有形成合力，不能汇聚海量安全数据挖掘其真正价值，针对安全整改工作流程无法数字化管控，迫切需要建设一套安全运营平台，构建 OT、IT 安全能力全面融合的工业互联网安全运营体系，实现安全分类分级运营，建

18、立自动化安全管理流程，全面提升安全处置能力。2.方案简介方案简介 公司结合自身工业 Know-How 的积累，真正理解工业企业安全需求，整合最优安全能力，全面提高工业用户安全防护和管理水平，进一步优化安全资源利用率，发挥安全资源应用价值，降低用户安全投入总成本，推动构建OT、IT 安全能力全面融合的工业互联网安全运营体系建设进程。本方案建设贯穿用户“工具层”、“系统层”、“平台层”、“运营层”以及“能力层”全面安全能力的融合管理。主要内容如下：工具层工具层：利旧用户已建设的“IT 防火墙、OT 防火墙、IT 态势感知、WEB 应用防护、漏洞扫描”等安全技术成果，为用户补齐包括“IT 服务器安全

19、、OT 态势感知、OT 主机安全、蜜罐”等安全技术能力短板；系统层系统层：实现用户多个公有云上业务系统与云下业务系统安全管理的全面融合，构建风险感知能力，实现安全感知能力全域无死角，并将安全数据汇总至安全运营平台安全大数据分析系统模块；平台层平台层：构建OT、IT安全能力全面融合的工业互联网安全运营平台，包括用于安全大数据分析的安全中台以及用于支撑安全运营管理的安全前台，完成与安全系统及工具的解耦，模块化接入各系统、各设备安全运营所 6 需数据；运营层运营层：建设包含漏洞管理、基线管理、事件管理、风险管理在内的安全运营管理能力，同时打通 OA、飞书、等集团信息系统流程，实现安全系统与业务系统全

20、面融合；能力层能力层：完成系统化纵深安全防御与数字化高效安全运营的融合，由被动防御应对向主动运营反制转变，全面提升企业安全能力。3.方案目标方案目标 方案建设总体目标包括完善基础安全防护能力、覆盖集团全面业务资产、实现安全分类分级运营、建立自动化安全工单管理流程、全面提升安全处置效率等内容，拆解实现运营管理效率提升目标如下：漏洞管理目标漏洞管理目标：实现集团 OT、IT 高危漏洞收集、通知、整改、完成、复检全流程管理，漏洞整改闭环率 100%，紧急漏洞 48 小时内完成响应与整改；基线管理目标基线管理目标：实现集团 OT、IT 相关系统、中间件、数据库、设备的安全配置基线检查结果收集、通知整改

21、、整改完成、复检管理，基线覆盖率达到 95%；事件管理目标事件管理目标：实现集团 OT、IT 信息安全攻击事件工单处罚、通知整改、整改完成、工单关闭管理，事件响应时间不超过 8 小时；风险管理目标风险管理目标：实现集团 OT、IT 日常信息安全风险的发现记录、跟踪处置过程，风险覆盖率 100%跟踪。2.1.2 方案实施概况方案实施概况 本方案建设实施主要包括一套一体化安全运营平台，以其为核心进行工具建设、系统建设、运营建设，打破信息设备及安全设备的数据屏障，汇总全面安全数据，实现 OT 侧与 IT 侧、云上与云下全面融合的安全运营管理。7 1.方案总体架构和主要内容方案总体架构和主要内容（1

22、1）顶层设计架构顶层设计架构 以构建 OT、IT 安全能力全面融合的工业互联网安全运营体系的目标为指导，顶层设计架构涵盖设备层、工具层、平台层、运营层等多个业务层级，其中平台层根据灵活性、松耦合的实际需求，拆解为平台中台与平台前台两部分，从而起到安全运营体系的承上启下作用，如图 1-1 所示。图 1-1 一体化安全运营总体功能架构 设备层包含 OT、IT 信息设备与 OT、IT 安全防护设备两大类，作为基础设施建设，既起到最直接的业务运行及安全防护支撑作用，又向上提供安全及业务分析所需海量数据；工具层利旧用户已建设的 OT、IT 系统脆弱性管理能力，同时建设服务器主机防护能力，实现主机及应用层

23、漏洞及基线工具建设；平台中台层构建安全大数据分析系统，对下连接汇聚 OT、IT 设备安全数据及安全工具系统日志数据，对上支撑前台系统数据高价值应用调度；平台前台层构建涵盖漏洞管理、基线管理、事件管理、风险管理在内的运营交付能力，建立支撑全面安全运营的系统功能组件，对接集团三方业务系统；安全运营层依托上述业务层级能力实现分类分级的自动化安全运营，8 支撑风险及时应对，全面提高安全运营效率。（2 2）公有云上与云公有云上与云下安全态势统一管理下安全态势统一管理 为构建全面覆盖用户业务的安全风险识别能力，解决“信息安全木桶效应”的短板问题，充分考虑集团当前多公有云业务账号各成体系、云安全产品与云下安

24、全体系适配困难、自动处理能力欠缺、生产特征环境差异大”等业务现状，在不改变用户现有网络和业务架构的基础上，实现用户多个公有云上业务系统与云下业务系统安全管理的全面融合，构建风险感知能力，实现安全感知能力全域无死角，并将安全数据汇总至安全运营平台安全大数据分析系统模块，如图 1-2 所示。图 1-2 多公有云与云下安全态势统一管理架构 安全运营平台构建安全大数据分析系统，通过丰富的多源采集接口接NAT防火墙CVM数据库其他云产品安全运营中心（主）VPC防火墙VPC1VPC2日志告警漏洞配置检查处置动作资产互联网防火墙主机安全WEB应用防火墙Internet安全运营中心日志告警漏洞配置检查处置动作

25、资产集团事业部云上账号互通NAT防火墙CVM数据库其他云产品VPC防火墙VPC1VPC2互联网防火墙主机安全WEB应用防火墙Internet态势感知（IDC）多源采集Syslog安全大数据分析API接口NetflowSnmp自动正则分布处理规则解析数据路由分布解析统计分析安全模型智能关联事件管理模型分析云上云下 9 入来自多公有云账号的安全数据以及云下 OT、IT 态势感知安全数据，并依托安全模型进行安全数据的价值提升与智能关联，将云上与云下、OT 与 IT链接为一体，见微知著全面洞悉用户安全风险；云下部分利旧用户已建设的IT 态势感知系统，同时建设针对于工业生产的 OT 态势感知能力，通过数

26、据接口与安全运营平台进行数据交互，实现动态闭环；云上部分依托公有云原生安全能力，通过云厂商支撑网络及数据接口平台研发打通各账号信息安全壁垒，实现与安全运营平台的数据交互，从而实现云上云下的一体化安全分析。2.网络网络、平台或安全互联架构平台或安全互联架构（1）基础网络安全互联架构基础网络安全互联架构 公司致力于用户数据及信息内容的保护，严格遵循 网络安全法、数据安全法、个人信息保护法等法律法规要求，为保障用户信息安全，针对网络、平台及安全互联架构进行脱敏抽象处理，用户网络安全架构仅做示意展示，如图 1-3 所示。图 1-3 基础网络安全互联架构示意图 用户在全国范围建设涉及包括混凝土机械、挖掘

27、机械、起重机械、筑路 10 机械、桩工机械、风电设备、港口机械、石油装备、煤炭装备、装配式建筑PC 机械等全系列产品的生产园区，并建设覆盖产品研发、设计、生产、销售、售后活动的业务系统。用户利用运营商专线建设骨干广域环网用于构建集团业务网络；各生产园区根据自身业务需要独立构建园区网络，并根据业务特点为工业生产业务独立构建OT生产网络保证网络的分区分域隔离管理；用户公有云上存在大量业务系统，为保障业务的安全稳定性，集团与公有云运营商通过专线进行安全的互联互通。本方案在用户集团安全管理区域部署一体化安全运营平台、攻击诱捕反制蜜罐系统、服务器主机安全防护系统、OT 态势感知系统、OT 工控主机安全系

28、统，同时利旧用户原有 IT 防火墙、OT 防火墙、IT 态势感知、漏洞扫描、云原生安全等能力，共同构建 OT、IT 安全能力全面融合的工业互联网安全运营体系，各园区网络实现覆盖 OT 生产环境、IT 办公环境的边界防护能力、计算环境防护能力，通过态势感知探针实时洞悉网络安全风险，并在部分园区尝试性部署攻击诱捕反制系统用于变被动防御为主动反制。安全运营平台汇聚包含各园区 OT 生产区域、IT 办公区域、集团办公区域、研发测试区域、公有云业务区域在内的安全信息，形成海量的安全分析数据源，支撑 OT 侧与 IT 侧、云上与云下全面融合的安全运营管理。（2）诱捕反制安全能力架构 本方案选取具有代表性的

29、生产园区、集团部分业务网段、公有云部分业务网段作为攻击诱捕反制安全能力建设试点，希望实现将系统化纵深安全防御与数字化高效安全运营相融合，由被动防御应对向主动运营反制转变，全面提升企业安全能力。架构示意如图 1-4 所示。11 图 1-4 诱捕反制安全能力架构示意图 在集团安全管理区域部署诱捕反制系统模拟出多套仿真沙箱，实现对门户网站、协同办公系统、VPN 系统等面向互联网的业务系统进行模拟，将欺骗防御资产融入到用户集团的真实资产中，吸引攻击者的注意力，保护真实资产；在部分重要园区部署中继节点，在公有云环境中部署伪装代理，模拟和监听非业务端口，实现端口混淆，利用网络中空闲 IP 与真实流量构建具

30、有迷惑性的资产暴露，实现分布式蜜网感知，将内网横向移动、僵木蠕毒行为诱导至沙箱；在互联网、内网等各个区域及各个园区密布诱饵，从而有助于发现、延迟或阻断攻击者的活动，达到增加信息系统安全性的目的。3.具体应用场景和安全应用模式具体应用场景和安全应用模式（1 1）漏洞管理运营漏洞管理运营 漏洞管理运营功能依托安全运营平台对接用户 OA、SSO、CMDB 等三方系统获得统一的流程资产数据输入及权限管理，借助方案建设服务器主机防护及脆弱性扫描管理系统等工具，服务于包括整改责任人、安全管理员、事业部安全专员、事业部业务领导、集团领导在内的相关角色，完成贯穿漏洞管理信息获取、工单生成、漏洞整改、结果验证、

31、工单关闭在内的全流程闭环管理。实现涵盖 OT、IT 系统在内的高效漏洞管理运营。应用示意图如图 1-5 所示。12 图 1-5 漏洞管理运营应用场景示意图（2 2）安全工具自服务模式安全工具自服务模式 本方案以安全能力自服务理念，全面提升安全资源效率，各事业部责任整改人收到安全整改流程督办信息后，根据安全运营平台知识库辅助完成安全整改工作，其后通过安全运营平台可实现针对安全问题复测提交，不借助安全运维人员，以自服务的形式进行安全工具使用申请，平台通过优先级业务逻辑选择，依照相关顺序完成复测检验，进一步优化安全资源利用率，发挥安全资源应用价值。应用示意图如图 1-6 所示。图 1-6 安全工具自

32、服务应用场景示意图（3 3）安全信息统一追溯管理安全信息统一追溯管理 13 一体化安全运营管理平台汇聚安全数据涉及多系统、多区域、多层级、多主体，在安全信息的传递汇聚过程中不可避免的造成数据的可用性降低，信息缺失。为提升安全运营精准性，安全运营平台多维度构建信息来源追溯功能，通过包含设备 IP、时间印记、业务 ID 等信息在内的数据来源识别能力，帮助安全分析层层下钻。应用示意图如图 1-7 所示。图 1-7 安全信息统一追溯管理应用场景示意图 4.安全及可靠性安全及可靠性（1 1）完善的基础防护能力完善的基础防护能力 本方案为构建 OT、IT 安全能力全面融合的工业互联网安全运营体系，对用户网

33、络、业务、安全现状进行充分调研分析，帮助用户形成涵盖“网络、边界、主机、设备、应用”的基础防护能力及风险识别能力。网络方面通过OT、IT 态势感知系统充分识别风险流量，边界方面通过 OT、IT 防火墙进行有效的访问控制管理，主机方面通过 IT 服务器主机防护系统及 OT 工控主机防护系统提供差异化的计算环境保护，设备及应用方面通过脆弱性管理系统保障 OT、IT 设备及系统漏洞可知、可管、可控，并通过安全运营平台构建覆盖用户集团整体的安全运营管理能力。14 （2 2）可靠的安全运营能力可靠的安全运营能力 方案通过安全运营平台打通用户安全流程协同管理，借助 OA、BPM 流程引擎，将安全与业务紧密

34、融合；构建丰富的安全运营指标展示与考核功能，以数字化技术手段将安全数据价值全面提升展示；建立全自动工单闭环管理功能，保障安全运营督办的执行落地，多状态、多分支、多角色共同参与，保障业务安全有效平稳运行。5.其他亮点其他亮点（1 1）龙头企业示范效应龙头企业示范效应 本案例用户作为我国工程机械装备行业龙头企业，其安全防护能力及安全运营能力建设成果对行业具有高度示范作用；同时，用户上下游产业链机构丰富，以点及面，行业影响效果显著。方案用户充分落实企业网络安全主体责任，为产业行业先进引领，完成了高质量的试点示范。（2 2）重点活动成效显著重点活动成效显著 用户作为大型工业生产企业存在资产暴露面大、O

35、T 生产环境复杂、安全运营应急响应难度大等问题，在历年各级主管单位重点活动中演练成绩不佳。用户依托本方案安全运营体系建设，形成了 OT、IT 安全能力全面融合的工业互联网安全运营体系，于 2022 年度在其所在省份网络攻防演习获得第二名的优异成绩。2.1.3 下一步实施计划下一步实施计划 1.1.运营平台能力提升运营平台能力提升 遵循安全能力“同步规划、同步建设、同步使用”的原则，本期方案功能规划预留了充分的能力提升空间。下一步计划将安全运营平台进行持续能力提升，当前安全处置仍需人工审核，在进一步积累安全场景、安全处置剧本、安全响应标准动作的帮助下，逐步完善运营平台 SOAR 的能力，充分结合

36、业务分类分级管理运营，将可控低影响的安全事件，逐步依托安全剧本 15 自动化处置，进一步提升安全处置效率，将安全运营人力进一步释放。2 2.保护范围持续完善保护范围持续完善 根据用户业务的不断发展，以及业务系统应用技术的不断演进，用户容器部署的业务系统日渐增多，业务功能微服务化趋势明显。下一步计划在安全功能持续完善方面帮助用户将容器内的风险识别、安全保护、安全检测、安全响应融入整体安全运营平台体系，保障安全防护与业务系统同步发展、敏捷支撑。3 3.解决方案行业推广解决方案行业推广 伴随着本方案标杆案例的持续运营完善，业务安全处置模型的不断积累，安全运营功能的实用落地，安全指标维度的丰富积累。下

37、一步计划发挥龙头企业标杆案例示范影响效力，在装备制造行业及上下游产业行业中进行构建 OT、IT 安全能力全面融合的工业互联网安全运营体系解决方案的持续推广，助力工业互联网安全产业不断发展。2.1.4 方案创新点和实施效果方案创新点和实施效果 1.1.方案先进性及创新点方案先进性及创新点 本方案打破当前普遍存在的用户适应安全厂商固定安全运营产品的现状，高度重视用户业务需求，以自研可控、代码级交付的理念为用户按需交付安全运营能力，方案统筹考虑 OT 生产环境及 IT 办公环境的安全运营覆盖建设，创新性实践公有云安全风险与云下传统安全态势感知的统一运营管理，方案完成系统化纵深安全防御与数字化高效安全

38、运营融合，由被动防御应对向主动运营反制转变，全面提升企业安全能力。部分先进创新内容如下：（1 1）覆盖全覆盖全、体量大体量大 本方案覆盖生产园区 OT、IT 系统涉及全国十余个省市，涉及工业生产品类达数十种、服务器主机安全运营体量达万级、OT 工业主机安全防护近 16 千套、OT 态势感知探针建设近百（2 2）品类多品类多、全融合全融合 本方案涉及安全信息来源广泛，存在大量 IT 系统及 OT 系统，包含多个公有云环境、集团IDC机房、集团研发测试区域、多省事生产办公区域 2 2.实施效果实施效果 通过本方案的实施，为用户实现了集团-园区、云上-云下的全面安全运营及安全防护能力提升，具体表现在

39、运营效果、防护效果以及反制效果三个方面：（1 1）运营效果运营效果 本方案通过一体化安全运营体系的构建，帮助用户打破安全数据交互壁垒，统筹安全能力，从而形成安全防护合力。建设以漏洞管理、基线管理、事件管理、风险管理为功能模块的安全运营前台，通过安全运营中台汇聚海量安全数据，挖掘数据真正价值，全面提高安全处置效率，提升安全岗位人效，赋能集团人员安全意识提升。促使用户集团信息安全处置效率提升 87%、安全数据可视化利用率达到 90%、安全资产管理率达到 99%。（2 2）防护效果防护效果 本方案为支撑能够建设 OT、IT 安全能力全面融合的工业互联网安全运营体系，利旧用户原有 IT 防火墙、OT

40、防火墙、IT 态势感知、漏洞扫描、云原生安全等能力的同时，新增建设 IT 服务器主机安全防护系统、OT 态势感知系统、OT 工控主机安全系统，攻击诱捕反制蜜罐系统。全面提升用户涉及“网络、边界、主机、设备、应用”的基础防护能力及风险识别能力。（3 3）反制效果反制效果 本方案选取具有代表性的生产园区、集团部分业务网段、公有云部分业务网段作为攻击诱捕反制安全能力建设试点，实现系统化纵深安全防御与数字化高效安全运营融合，由被动防御应对向主动运营反制转变，全面提升 17 企业安全能力。2022 年度用户在其所在省份网络攻防演习中，借助诱捕反制得分获得优异成绩。2.1.5 单单位基本信息位基本信息 树

41、根互联股份有限公司将新一代信息技术与制造业深度融合，开发了以自主可控的工业互联网操作系统为核心的工业互联网平台根云平台。公司提供的工业互联网解决方案主要包括智能制造 IIoT 解决方案、产品智能化 IIoT 解决方案、产业链 IIoT 解决方案，赋能工业企业的智能生产管理、产品与服务的创新以及产业链协同，提供低成本、低门槛、高效率、高可靠的工业互联网数字化转型服务。公司是工信部遴选的第一批国家级跨行业跨领域工业互联网平台企业，并连续四年入选；2019 年根云平台成为了公安部信息系统安全等级保护（2.0）发布后首批通过三级测评的工业互联网平台；2021 年，公司收到国务院发展研究中心的致谢信：公

42、司提供的“工程机械大数据挖掘机指数”为国务院发展研究中心相关工作提供了数据支撑，并对有关政策制定和实际工作发挥了积极作用。根云平台于2019 年、2020 年、2021 年连续三年入选权威机构 Gartner 全球工业互联网魔力象限，系唯一入选的中国工业互联网平台；在 IDC 发布的2021 年中国工业互联网平台市场厂商评估 结果中，公司位于领导者象限，技术力位居中国第一；在福布斯中国 2021 年度中国十大工业互联网企业 排名中，公司位列第一；公司于 2021 年取得 CMMI 最高等级 5 级认证。2.22.2 案例二案例二：5G+5G+量子融合安全提升解决方案量子融合安全提升解决方案面向

43、能源领域的面向能源领域的工业互联网安全构建工业互联网安全构建 2.2.1 方案概述方案概述 电力行业是我国重要的工业领域之一，发展工业互联网是电力行业数字化转型的必然过程，根据工信部印发的工业互联网创新发展行动计划 18 （2021-2023 年）的相关内容要求，电力行业将进一步加快工业互联网创新发展步伐，持续推动工业数字化转型。安徽移动面向国网电力安徽公司虚拟电厂、配网保护等生产控制应用，建立 5G 电力专网，通过 RB 预留、Flexe硬切片、UPF 下沉隔离、网络边界一体融合的安全防护体系等技术实现电力业务网络承载层面数据安全隔离，结合应用层面量子加密系统融入 5G 专网通信体系，打造网

44、业一体的电力网络安全解决方案。1.方案背景方案背景 2020 年，中央政治局就量子科技研究和应用前景举行第二十四次集中学习，并写入国家“十四五规划”。2021 年国家电网公司能源互联网规划要求，要通过建设坚强骨干网架、弹性灵活配电网、平台云网融合等，构建能源互联网安全防御体系，提高“双高”“双峰”背景下电网抗扰动能力和自愈能力，提升信息安全态势感知能力和智能化、动态化网络安全防护水平，实现更高水平的电力安全保障。2022 年，国网“十四五数字化规划”和“十四五”配电数字化建设应用工作方案，提出要探索研究量子加密技术在海量分布式新能源接入、“源网荷储”高效互动、配电网等业务场景的应用。随着以新能

45、源为主体的新型电力系统建设，海量分布式新能源并网接入，源网荷储友好互动，对通信网络的灵活接入、实时性、可靠性和安全性提出了更高要求。2.方案简介方案简介 方案通过 5G 专网+量子加密体系融合，基于 5G 专网技术，结合量子保密通信在 5G 通信通道加密、电力业务数据加密和身份认证、鉴权等方面的关键技术，攻关“5G+量子纵向加密认证技术”和“5G+量子横向加密技术”，提出“5G+量子”方案，建设省级电力量子密钥服务平台，研发首台5G 量子纵向加密认证装置、首个具有精准时间同步功能的 5G 量子横向加密通信终端，将实时更新的量子密钥融入电力二次安防体系，为 5G 承载不同 19 电力业务提供定制

46、化的保密服务，构建新型电力系统坚强护盾。3.方案目标方案目标 以 5G 专网为承载基础，结合 5G 承载电网调控业务的量子密钥应用需求，遵循“统一量子密码服务平台+定制化密码应用”的整体思路，积极贯彻落实国家“十四五”规划量子科技战略，建设具有差异化量子密钥供给能力的量子密服平台，研制涵盖“5G+量子+纵向加密、横向加密”两款 5G 量子密钥应用产品，通过将随机性更强、更新频率更高的量子密钥引入 5G 通信通道加密和调控业务数据加密环节，提升 5G 承载电网调控类业务的安全水平。2.2.2 方案实施概况方案实施概况 5G 网络引入网络功能虚拟化、网络切片、边缘计算、网络能力开放等关键技术，一定

47、程度上带来了新的安全威胁和风险，对数据保护、安全防护和运营部署等方面提出了更高要求。本方案通过建设5G专网安全防护体系，结合业务应用安全要求特点，将 5G 专网与电力应用加密网络二网融合，建立面向业务的端到端安全防护体系。1.方案总体架构方案总体架构和和主要主要内容内容 基于 5G+AICDE，为安徽电力打造 5G 业务专网，形成网络+业务的的一体化安全解决方案，以 5G 专网安全为基础，设计了面向通道加密、身份认证、数据加密的差异化量子密钥应用策略，设计了首套支持量子随机数、多厂家多制式 QKD 密码源，支持多种量子密码应用策略，支持对外提供统一API 接口的量子密码服务平台，并在国网安徽省

48、电力公司统一部署，满足不同电力业务的差异化量子密钥应用需求。20 图 2-1 安徽移动电力 5G 专网系统架构 2.网络网络、平台平台或安全或安全互联互联架构架构（1 1）打造面向客打造面向客户的网络安全方案户的网络安全方案 围绕 SDN、安全资源池、云安全管理平台 3 大模块，构建云化网络防护能力，安全能力部署在 UPF 近源侧，通过分流减压纵深化检、安全编排云边协同、虚拟资源弹性伸缩多维度安全协同，为企业客户打造专属的安全解决方案，对企业网络进行全流量安全监控，保障园区资产的安全访问与使用。图 2-2 安徽移动电力 5G 专网网络安全系统架构 21 （2 2）融合业务应用提升业务侧安全能力

49、融合业务应用提升业务侧安全能力 通过部署“5G+量子纵向加密认证技术”，使用支持 5G 通信、量子密钥和纵向加密认证功能的 5G 量子纵向加密认证装置，并在分布式新能源群调群控和虚拟电厂两个业务场景开展业务安全部署。通过攻关“5G+量子横向加密技术”，研发具有精准时间同步功能的 5G 量子横向加密通信终端，并在配网保护业务场景落地使用。图 2-3 安徽移动电力 5G 专网应用安全系统架构 3.具体应用具体应用场景场景和安全和安全应用模式应用模式（1 1）面向电力企业主网调控的面向电力企业主网调控的“5G+5G+量子纵向加密量子纵向加密”安全应用安全应用 针对新型电力系统分布式新能源并网、“源网

50、荷”友好互动、虚拟电厂等业务安全接入需求，在主站侧对纵向加密认证装置进行量子化升级，在终端侧部署 5G 量子纵向加密认证装置，基于 5G 专网安全的承载通道，利用量子密码服务平台实时分发和统一调度的量子密钥构建纵向加密隧道，选取典型分布式新能源场站开展业务部署验证，探索 5G+量子加密技术在分布式新能源群调群控和虚拟电厂等主网调控业务中应用的可行性，为安全电网运行提供端到端一体化安全防护能力。22 （2 2）面向电力企业配网调控的面向电力企业配网调控的“5G+5G+量子横向加密量子横向加密”应用应用 针对配网差动保护业务安全提升需求，结合人工智能技术预测配网差动保护业务状态，提出差异化的量子密