ISC數(shù)字安全創(chuàng)新性案例報告-54正式版

ISC數(shù)字安全創(chuàng)新性案例報告CONENTS聚能安全創(chuàng)新·服務(wù)數(shù)字安全012023數(shù)字安全創(chuàng)新性案例”入選結(jié)果公布02億格云03藪貓科技09360數(shù)字安全集團13懸鏡安全17齊安科技22眾智維科技27觀成科技36金睛云華39未嵐科技45牧國科技49結(jié)語52聚能安全創(chuàng)新·服務(wù)數(shù)字安全—ISC2023數(shù)字安全創(chuàng)新百強評選活動在這個信息化飛速發(fā)展的時代，數(shù)字安全已經(jīng)成為了國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展的關(guān)鍵支柱。隨著技術(shù)的持續(xù)進步和應(yīng)用的廣泛擴展，數(shù)字安全面臨的挑戰(zhàn)也日益嚴(yán)峻。在這樣的背景下，ISC2023數(shù)字安全創(chuàng)新百強以“聚能安全創(chuàng)新，服務(wù)數(shù)字安全”為主題，致力于搭建一個交流分享的平臺，推動數(shù)字安全領(lǐng)域的創(chuàng)新和發(fā)展。我們期待通過這個平臺，激發(fā)更多創(chuàng)新思維、共享成功經(jīng)驗，讓數(shù)字安全從挑戰(zhàn)轉(zhuǎn)變?yōu)槿碌臋C遇。這是一個以服務(wù)數(shù)字安全為主旨的時代，我們迫切需要前瞻性的創(chuàng)新，以確保數(shù)字社會的安全和可持續(xù)發(fā)展。因此，“聚能安全創(chuàng)新，服務(wù)數(shù)字安全”不僅僅是一個主題，它是對當(dāng)前數(shù)字安全領(lǐng)域的深入洞察，也是對未來發(fā)展方向的明確指引，更是我們面對新形勢、新挑戰(zhàn)時的行動號召?！熬勰馨踩珓?chuàng)新”意味著集結(jié)各方力量，匯聚創(chuàng)新思維，共同推動數(shù)字安全技術(shù)的發(fā)展。它強調(diào)的是一種集體的力量，一種跨界合作的精神，一種不斷探索和前進的態(tài)度。在這個主題下，我們鼓勵和支持各行各業(yè)的企業(yè)投身到數(shù)字安全的創(chuàng)新實踐中，通過技術(shù)創(chuàng)新和模式創(chuàng)新，提升數(shù)字安全的整體水平?！胺?wù)數(shù)字安全”則是我們創(chuàng)新的最終目的，創(chuàng)新不是為了創(chuàng)新本身，而是要服務(wù)于社會，保障

數(shù)字世界的安全運行。這需要我們不僅要關(guān)注技術(shù)的先進性，更要關(guān)乎技術(shù)的實用性和普及性，確

保創(chuàng)新成果能夠真正落地，服務(wù)于客戶。本次ISC數(shù)字安全創(chuàng)新百強案例評選活動就是在這樣的背景和主題下發(fā)起的，通過這次活動，我

們將深入挖掘那些突破性的案例，深入剖析這些案例的背景、實施過程、創(chuàng)新點以及所帶來的影

響。這些案例承載著創(chuàng)新的火花，我們期望通過這些案例能夠為讀者提供一個全面、深入的數(shù)字安

全創(chuàng)新視角，為未來的數(shù)字安全發(fā)展提供借鑒與啟示。此外，ISC還為入選企業(yè)量身定制了獨特的雷達圖，這些雷達圖涵蓋了五個關(guān)鍵維度：技術(shù)創(chuàng)新

能力、行業(yè)影響力、研發(fā)投入能力、經(jīng)營能力以及市場拓展能力。ISC專家團隊將依據(jù)企業(yè)提交的詳

盡數(shù)據(jù)和案例分析，進行綜合評分，最終形成展現(xiàn)企業(yè)全方位實力的雷達圖。這些雷達圖不僅直觀地展示了企業(yè)在數(shù)字安全領(lǐng)域的綜合實力和特色，還為行業(yè)內(nèi)外的觀察者

提供了一個評估和比較的工具。通過這種方式，企業(yè)可以清晰地識別自身的優(yōu)勢和潛在的改進領(lǐng)

域，同時也為投資者和合作伙伴提供了決策參考。通過這種創(chuàng)新的評估，ISC數(shù)字安全創(chuàng)新百強評選活動旨在激勵企業(yè)持續(xù)推動技術(shù)邊界，加大研

發(fā)投入，優(yōu)化經(jīng)營策略，并在全球市場中擴大影響力。這不僅是對入選企業(yè)的認(rèn)可，更是激發(fā)整個

行業(yè)追求卓越的動力。我們期待本次推出的雷達圖能夠成為企業(yè)成長的路標(biāo)，引領(lǐng)數(shù)字安全行業(yè)向

更高的目標(biāo)邁進。01ISC2023數(shù)字安全創(chuàng)新性案例2023數(shù)字安全創(chuàng)新性案例”

入選結(jié)果公布序號案例提供方案例名稱1億格云小紅書基于零信任SASE辦公安全一體化解決方案2藪貓科技三一集團&藪貓科技-智能制造業(yè)數(shù)據(jù)安全建設(shè)案例3360數(shù)字安全集團某新零售集團股份有限公司安全運營服務(wù)項目4懸鏡安全基于代碼疫苗技術(shù)的某運營商SCA開源治理實踐5齊安科技電力監(jiān)控系統(tǒng)站端運維接入安全解決方案6眾智維科技能源行業(yè)工業(yè)互聯(lián)網(wǎng)安全智能應(yīng)急響應(yīng)平臺建設(shè)7觀成科技金融行業(yè)加密業(yè)務(wù)安全運營平臺建設(shè)項目8金睛云華金睛云華助力某央企高級威脅檢測能力建設(shè)9未嵐科技某證券公司網(wǎng)絡(luò)資產(chǎn)攻擊面管理平臺建設(shè)方案10牧聯(lián)鏈基于區(qū)塊鏈和人工智能技術(shù)的畜牧肉牛產(chǎn)業(yè)全流程服務(wù)平臺建設(shè)02案例提供方：億格云億格云企業(yè)定位：辦公安全一體化解決方案領(lǐng)導(dǎo)廠商企業(yè)介紹：億格云是SASE安全服務(wù)商，自主研發(fā)了SASE服務(wù)平臺—億格云樞，提供包括零信任網(wǎng)絡(luò)訪問（ZTNA）、數(shù)據(jù)防泄漏（XDLP）、威脅檢測響應(yīng)（XDR）、防病毒（EPP）、上網(wǎng)行為管理（SWG）和統(tǒng)一端點管理（UEM）等功能，解決企業(yè)數(shù)字化轉(zhuǎn)型過程中遇到的混合分支辦公安全、數(shù)據(jù)安全、終端安全等問題，億格云已服務(wù)超200家上市公司和獨角獸企業(yè)等在內(nèi)的行業(yè)客戶，包括吉利控股、海亮集團、零跑汽車、小紅書、美圖、奈雪控股等多領(lǐng)域頭部企業(yè)，在多等行業(yè)得到客戶認(rèn)可。重點產(chǎn)品：零信任數(shù)據(jù)安全SASE平臺-億格云樞企業(yè)網(wǎng)站：企業(yè)雷達圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例小紅書基于零信任SASE辦公安全一體化解決方案案例背景：小紅書作為面向年輕人網(wǎng)絡(luò)購物和社交平臺的互聯(lián)網(wǎng)公司，員工近萬人，分布上海、北京、武漢等地，多地遠程多設(shè)備成為常態(tài)，小紅書自身對數(shù)據(jù)分析和安全風(fēng)控有較好基礎(chǔ)，如何在混合辦公環(huán)境對核心數(shù)據(jù)防護同時實現(xiàn)高效靈活成為最大挑戰(zhàn)，例：①多身份角色，導(dǎo)致管控策略多樣化②多終端類型，導(dǎo)致技術(shù)方案無法復(fù)用③安全產(chǎn)品碎片化，不同環(huán)境使用差異性較大安全產(chǎn)品，無法統(tǒng)一管理，平臺兼容性差④運維壓力大⑤多Agent導(dǎo)致用戶體驗下降⑥混合辦公場景下遠程辦公讓數(shù)據(jù)暴露面變大。03ISC2023數(shù)字安全創(chuàng)新性案例關(guān)鍵挑戰(zhàn)：多身份角色，接入用戶多樣化導(dǎo)致訪問控制權(quán)限難管控：除了內(nèi)部員工，還有大量合作伙伴需要訪問內(nèi)網(wǎng)應(yīng)用。不同組織和人員的訪問權(quán)限劃分需要實時

更新，耗費大量精力。多終端類型，云桌面和沙箱等方案無法適用于所有場景：如今辦公終端類型多樣化，除了常見的Windows、MacOS等PC設(shè)備，還有大量iOS、Android等

移動設(shè)備需要接入辦公，傳統(tǒng)的數(shù)據(jù)防泄漏方案無法滿足小紅書多樣化辦公設(shè)備場景。安全產(chǎn)品碎片化：為了解決不同安全問題，需要部署多套產(chǎn)品。不同產(chǎn)品有不同的管理平臺，運維人員需要適應(yīng)不

同產(chǎn)品的設(shè)計邏輯和操作習(xí)慣，在不同產(chǎn)品控制臺之間頻繁切換，學(xué)習(xí)成本高且維護壓力大；此

外，各個產(chǎn)品之間無法形成聯(lián)動處置。傳統(tǒng)安全產(chǎn)品開放性低：在OpenAPI和自定義分析能力方面無法靈活匹配小紅書業(yè)務(wù)，導(dǎo)致1+1＜2；且傳統(tǒng)的安全產(chǎn)品

標(biāo)準(zhǔn)化交付模式，在一些細分場景下無法匹配小紅書業(yè)務(wù)，共創(chuàng)定制需求響應(yīng)慢，甚至無法完全

滿足。終端安裝多個Agent默認(rèn)就占用大量資源，導(dǎo)致員工辦公體驗差：傳統(tǒng)辦公安全解決方案，需要安裝VPN、EPP、EDR、DLP、UEM等多個Agent，會占用大量設(shè)

備資源，影響員工辦公體驗。混合辦公場景下遠程辦公讓數(shù)據(jù)暴露面變大：快速發(fā)展的小紅書，靈活辦公場景隨處可見?；旌限k公場景下各接入點的安全水位不一致，容易

成為攻擊者的目標(biāo)。數(shù)據(jù)安全法律法規(guī)發(fā)布，企業(yè)敏感數(shù)據(jù)難管控：隨著《個人信息保護法》等法律法規(guī)發(fā)布，企業(yè)的敏感數(shù)據(jù)面臨監(jiān)管壓力，但如今敏感數(shù)據(jù)分布

廣，獲取方式多樣，外發(fā)通道難以管控，給企業(yè)帶來了挑戰(zhàn)。解決方案：小紅書與億格云基于SASE共創(chuàng)零信任辦公與數(shù)據(jù)安全一體化解決方案：BeyondCorp與SASE能力的結(jié)合小紅書早期調(diào)研了以谷歌的BeyondCorp為代表的零信任方案，其無端的訪問方式確實帶來了極致的用戶體驗。安全團隊可以在網(wǎng)關(guān)上實現(xiàn)各種風(fēng)控能力，然而BeyondCorp也存在很大的缺陷：1、協(xié)議兼容性較差，只支持七層流量；2、需要對外暴露HTTP(S)服務(wù)，存在較大的攻擊面；3、缺少終端安全管控手段，無法覆蓋終端的安全問題；4、實現(xiàn)高可用需要投入大量時間、精力和成本。于是小紅書關(guān)注到近年來的零信任新趨勢，即SASE架構(gòu)，它天然彌補了上述幾個缺陷，分布式的POP點確保系統(tǒng)天然高可用，也補充了客戶端的安全管控能力。然而，直接使用SASE也存在弊端，無法利用小紅書自有業(yè)務(wù)網(wǎng)關(guān)優(yōu)勢，更要放棄小紅書在網(wǎng)關(guān)上積累的風(fēng)控能力，與企業(yè)內(nèi)部的數(shù)據(jù)管理脫節(jié)。04案例提供方：億格云綜合調(diào)研了各種方案后，小紅書根據(jù)自身網(wǎng)絡(luò)架構(gòu)特點，提出了一個創(chuàng)新的想法，將BeyondCorp與SASE能力結(jié)合，完美地滿足了終端、網(wǎng)絡(luò)和身份的安全需求。1、終端-DLP、殺毒、零信任訪問等功能AllinOne，并且支持終端安全與訪問控制策略聯(lián)動；2、網(wǎng)絡(luò)-辦公網(wǎng)改造成非特權(quán)網(wǎng)；全球POP接入點實現(xiàn)高可用；3、身份-客戶端與身份綁定，并在網(wǎng)關(guān)處與請求身份匹配，解決身份盜用問題；網(wǎng)關(guān)與客戶端聯(lián)動在以往依賴網(wǎng)關(guān)實現(xiàn)的風(fēng)控方案中，網(wǎng)關(guān)無法拿到終端的安全信息。小紅書創(chuàng)新地將網(wǎng)關(guān)風(fēng)控與客戶端聯(lián)動，網(wǎng)關(guān)風(fēng)控能實時識別請求中是否包含客戶端信息并檢測客戶端狀態(tài)，確保終端的可信性。同時，還可在終端上實施各種安全合規(guī)策略。對于未安裝客戶端的訪問請求，網(wǎng)關(guān)風(fēng)控可將用戶跳轉(zhuǎn)到客戶端下載頁面，以低成本實現(xiàn)客戶端全員覆蓋。實時風(fēng)控和異常分析小紅書在風(fēng)控基建上持續(xù)投入了多年，建立了完善的數(shù)據(jù)安全和風(fēng)控體系。這套零信任訪問系統(tǒng)可以將4/7層日志和客戶端日志接入風(fēng)控系統(tǒng)，實現(xiàn)與風(fēng)控系統(tǒng)的無縫結(jié)合?？蛻舳瞬杉陌踩畔轱L(fēng)控系統(tǒng)添加了更多維度的數(shù)據(jù)，實現(xiàn)更加精準(zhǔn)和完善的異常分析。05ISC2023數(shù)字安全創(chuàng)新性案例紅線數(shù)據(jù)不落地小紅書從數(shù)據(jù)安全生命周期管理出發(fā)，以“不落地”實現(xiàn)紅線數(shù)據(jù)不泄露。在全/脫敏/權(quán)限管理等措施，以數(shù)據(jù)打標(biāo)和API打標(biāo)作為數(shù)據(jù)防泄露管理的起點。對于內(nèi)部生產(chǎn)類數(shù)據(jù)，將數(shù)據(jù)管控手段左移，通過在線轉(zhuǎn)換業(yè)務(wù)系統(tǒng)產(chǎn)生的文檔，使用在線文件取代文件下載。相比傳統(tǒng)沙箱隔離和文件加密方案，這種做法不僅安全性更高，而且員工有更好的使用體驗。多級容災(zāi)機制整個訪問控制系統(tǒng)是串聯(lián)在訪問過程當(dāng)中，一旦出現(xiàn)故障將影響所有員工的正常辦公，所以系統(tǒng)的穩(wěn)定性是小紅書考慮的重中之重，為此小紅書與億格云創(chuàng)新性地打造了一個多級容災(zāi)方案。默認(rèn)情況下，流量通過小紅書自建的私有POP節(jié)點，確保流量和數(shù)據(jù)都在自己可控的網(wǎng)絡(luò)環(huán)境中。當(dāng)本地POP節(jié)點發(fā)生故障時，系統(tǒng)可自動切換到億格云的公有云POP節(jié)點。這種容災(zāi)方案已經(jīng)可以保證超高的可用性，但是小紅書不滿足于此，在此基礎(chǔ)上還實施一層Wireguard方案，當(dāng)零信任防護模式失效時降級到VPN模式，以此實現(xiàn)更高的可用性。06案例提供方：億格云自研客戶端小紅書向員工展示自有品牌的辦公安全平臺，以增加員工對安全軟件的認(rèn)可度，同時還可以在客戶端上集成更多內(nèi)部常用的辦公功能。小紅書基于億格云的客戶端SDK，打造了一個匹配小紅書自身風(fēng)格的客戶端UI，加之便捷的辦公體驗，實現(xiàn)其對員工的“種草”。創(chuàng)新性與優(yōu)勢：值得一提的是，這一輕量穩(wěn)定、簡潔高效的一體化“內(nèi)部安全辦公系統(tǒng)”為小紅書帶來的價值已得以顯

現(xiàn)。在內(nèi)部調(diào)研中，該系統(tǒng)也獲得高達70%的NPS（口碑值）：能力一體化、管理更精細：一體化設(shè)計思路，即平臺/功能/管理一體化，大幅降低終端安全體系建設(shè)、運行和擴展的復(fù)雜性。管控力度

更精細、權(quán)限可自動梳理、運維難度更低，對終端、身份、行為和數(shù)據(jù)等進行全生命周期的精細化準(zhǔn)入管

控，確保終端符合內(nèi)外部的相關(guān)準(zhǔn)入要求，做到合法合規(guī)，準(zhǔn)入可信。安全互相賦能：不僅實現(xiàn)產(chǎn)品平臺自身不同模塊之間的數(shù)據(jù)互通，更無縫銜接已有的安全能力。通過零信任平臺對接現(xiàn)有風(fēng)

控系統(tǒng)，根據(jù)員工所在網(wǎng)絡(luò)環(huán)境、身份、設(shè)備歸屬（公司設(shè)備or時動態(tài)調(diào)整訪問控制策略。07ISC2023數(shù)字安全創(chuàng)新性案例全域數(shù)據(jù)安全管控：系統(tǒng)實現(xiàn)數(shù)據(jù)安全防護以數(shù)據(jù)為中心、分類分級為基礎(chǔ)，為小紅書數(shù)據(jù)資產(chǎn)提供事前主動防御、事中實時監(jiān)

測、事后追蹤溯源和全程態(tài)勢感知?；跀?shù)據(jù)的全生命周期提供全方位、立體化防護。應(yīng)用效果：零信任SASE以身份為中心將原本不安全的廣域網(wǎng)和碎片化的安全能力融合，打破了企業(yè)需要部署10多個辦公安全產(chǎn)品且安全產(chǎn)品間煙囪化的現(xiàn)狀。對比單點采購買斷式安全產(chǎn)品堆疊的情況，采用一體化的辦公安全解決方案最大程度上實現(xiàn)了“降本增效”，無需配置單個專屬的IT工程師，為企業(yè)至少節(jié)約近40%的整體IT運營成本?？蛻粼u價：“小紅書的安全是緊貼業(yè)務(wù)類型與發(fā)展階段演進開展的，從內(nèi)容安全再到技術(shù)安全、網(wǎng)絡(luò)安全等方面不斷邁進。區(qū)別于傳統(tǒng)圍繞防止黑客入侵的安全建設(shè)思路，保障數(shù)據(jù)安全以及管理訪問控制是小紅書高度關(guān)注的要點，防止紅線數(shù)據(jù)外泄是終態(tài)目標(biāo)。當(dāng)下，隨著數(shù)據(jù)安全等政策法規(guī)的落地，數(shù)據(jù)安全成了備受關(guān)注的領(lǐng)域，在實現(xiàn)我們防護紅線數(shù)據(jù)不外泄的核心目標(biāo)，且保障員工工作效率及體驗，我們選擇性地舍去了傳統(tǒng)云桌面、沙箱之類比較“重”的工具?；诖耍矂?chuàng)落地零信任數(shù)據(jù)安全體系，集成至內(nèi)部安全辦公系統(tǒng)中，替代3、4個安全軟件，實現(xiàn)最小權(quán)限訪問以及數(shù)據(jù)分類分級、流轉(zhuǎn)、分發(fā)等全方位管控，這樣既有效保護紅線數(shù)據(jù)、又不影響員工效率與體驗?！苯?jīng)驗總結(jié)：零信任SASE一體化辦公安全解決方案同樣適用于擁有跨國業(yè)務(wù)、多分支架構(gòu)。正在數(shù)字化轉(zhuǎn)型的國央企大型集團公司、以數(shù)據(jù)為中心的數(shù)字化企業(yè)、關(guān)心敏感數(shù)據(jù)的外泄或強合規(guī)需求的企業(yè)、有信創(chuàng)終端的環(huán)境的企業(yè)、有遠程辦公需求的數(shù)字化企業(yè)等類型。其解決了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)所面臨的許多挑戰(zhàn)，傳統(tǒng)安全架構(gòu)主要關(guān)注網(wǎng)絡(luò)邊界的安全，而零信任SASE覆蓋了網(wǎng)絡(luò)安全、終端安全、應(yīng)用程序安全和數(shù)據(jù)安全等多個層面。提供更全面的安全保障，防止各種安全威脅的發(fā)生。SASE對企業(yè)網(wǎng)絡(luò)架構(gòu)0入侵和現(xiàn)有應(yīng)用0改造，可收斂互聯(lián)網(wǎng)暴露面，快速落地零信任安全訪問，用基于身份、持續(xù)驗證的動態(tài)訪問控制能力建立企業(yè)安全新邊界；同時，SASE采用云原生技術(shù)，高度的靈活性和敏捷性能夠統(tǒng)一管控辦公網(wǎng)的網(wǎng)絡(luò)和安全策略，無論分支總部，混合辦公場景下都具備全場景一致的高安全水位；借助全球加速網(wǎng)絡(luò)改善了網(wǎng)絡(luò)質(zhì)量，輕量化、穩(wěn)定、安全功能合一的客戶端以少量的資源占用實現(xiàn)對終端用戶體無打擾的網(wǎng)絡(luò)訪問和安全防護體驗。08案例提供方：藪貓科技藪貓科技企業(yè)定位：數(shù)據(jù)安全創(chuàng)新者、下一代數(shù)據(jù)防泄漏、數(shù)據(jù)安全態(tài)勢感知、終端一體化數(shù)據(jù)管理、全生命周期數(shù)據(jù)監(jiān)測、AI大語言模型技術(shù)企業(yè)介紹：藪貓科技作為網(wǎng)絡(luò)與數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè)，依托專業(yè)安全團隊的硬核技術(shù)，通過創(chuàng)新威脅檢測與響應(yīng)系列產(chǎn)品，打造「終端x流量」全鏈路、縱深防護體系。同時，結(jié)合滲透測試、安全審計、數(shù)據(jù)咨詢等專業(yè)服務(wù)，為企業(yè)提供下一代數(shù)據(jù)安全解決方案，讓數(shù)據(jù)更安全。重點產(chǎn)品：青騅DDR（DataDetection&Response）數(shù)據(jù)風(fēng)險檢測與響應(yīng)產(chǎn)品、颯露紫ADR（APIDetec-tion&Response）API安全檢測與響應(yīng)產(chǎn)品、赤兔數(shù)據(jù)資產(chǎn)測繪及合規(guī)平臺、數(shù)據(jù)安全咨詢服務(wù)、數(shù)據(jù)安全攻防服務(wù)等。企業(yè)網(wǎng)站：企業(yè)雷達圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例三一集團&藪貓科技：智能制造業(yè)數(shù)據(jù)安全建設(shè)典型案例案例背景：三一集團有限公司始創(chuàng)于1989年，業(yè)務(wù)全面涉及混凝土機械、挖掘機械、起重機械、筑路機械、樁工機械、風(fēng)電設(shè)備、港口機械、石油裝備、煤炭裝備、裝配式建筑PC等。旗下?lián)碛腥恢毓ぃ⊿H，600031）、三一國際（HK，00631）、三一重能（SH，688349）三家上市公司，同時擁有三一筑工科技有限公司能等未上市資產(chǎn)。目前三一正在實施三大戰(zhàn)略：數(shù)智化、電動化、國際化。09ISC2023數(shù)字安全創(chuàng)新性案例三一集團在安全評估工作中發(fā)現(xiàn)暫無有效的非結(jié)構(gòu)化識別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級工作還未開展，需要補充完善非結(jié)構(gòu)化數(shù)據(jù)分類分級制度以及相關(guān)工具對非結(jié)構(gòu)化數(shù)據(jù)進行分類分級。其次，三一集團雖然已經(jīng)部署了云桌面，實現(xiàn)了數(shù)據(jù)不落地，同時采用了網(wǎng)絡(luò)準(zhǔn)入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計來識別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，存在數(shù)據(jù)泄漏風(fēng)險，需要采取技術(shù)措施對終端數(shù)據(jù)進行監(jiān)控。最后，當(dāng)前三一集團數(shù)據(jù)安全運營管理工作，主要依賴桌面管理軟件和上網(wǎng)行為審計設(shè)備，通過人工抽查各類日志來發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過人工審查幾乎無法完成，不能覆蓋全部數(shù)據(jù)外發(fā)行為，可能存在漏審情況，需要更新數(shù)據(jù)安全運營模式。關(guān)鍵挑戰(zhàn)：防護能力有待提高三一集團期望在湖南省“HW”工作中取得更好的成績，因此急需專業(yè)的團隊提供整體安全防護能力，提升HW防守成績。同時，通過前期防護準(zhǔn)備發(fā)現(xiàn)企業(yè)存在的安全風(fēng)險，為后期整體安全建設(shè)提供參考依據(jù)。分類分級補充完善三一集團通過“HW”準(zhǔn)備階段的評估工作，發(fā)現(xiàn)目前已經(jīng)開展了數(shù)據(jù)分類分級工作，建立了《研發(fā)保密制度》《三一集團數(shù)據(jù)資產(chǎn)管理標(biāo)準(zhǔn)》以及結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分級分類管理流程。但是由于暫無有效的非結(jié)構(gòu)化識別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級工作還未開展，需要補充完善非結(jié)構(gòu)化數(shù)據(jù)分類分級制度以及相關(guān)工具對非結(jié)構(gòu)化數(shù)據(jù)進行分類分級。終端數(shù)據(jù)監(jiān)控不足三一集團已經(jīng)部署了云桌面，實現(xiàn)了數(shù)據(jù)不落地，同時采用了網(wǎng)絡(luò)準(zhǔn)入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計來識別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，存在數(shù)據(jù)泄漏風(fēng)險，因此需要采取技術(shù)措施對終端數(shù)據(jù)進行監(jiān)控。安全運營模式創(chuàng)新當(dāng)前三一集團數(shù)據(jù)安全運營管理工作，主要依賴桌面管理軟件和上網(wǎng)行為審計設(shè)備，通過人工抽查各類日志來發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過人工審查幾乎無法完成，不能覆蓋全部數(shù)據(jù)外發(fā)行為，可能存在漏審情況，因此需要更新數(shù)據(jù)安全運營模式。解決方案：基于三一集團在“HW”防護過程中發(fā)現(xiàn)的問題，結(jié)合三一集團對數(shù)據(jù)安全保護需求，藪貓科技公司根據(jù)自身在數(shù)據(jù)安全領(lǐng)域的認(rèn)知和經(jīng)驗，提供數(shù)據(jù)安全咨詢服務(wù)+數(shù)據(jù)安全產(chǎn)品的整體解決方案。數(shù)據(jù)安全產(chǎn)品為藪貓科技的青騅（DDR）數(shù)據(jù)風(fēng)險檢測及響應(yīng)系統(tǒng)（以下簡稱：青騅DDR系統(tǒng)）是基于智能內(nèi)容識別引擎、驅(qū)動級終端應(yīng)用事件監(jiān)控、數(shù)據(jù)外傳風(fēng)險檢測等核心自研技術(shù)所打造的終端數(shù)據(jù)防泄密產(chǎn)品。系統(tǒng)通過對敏感數(shù)據(jù)識別算法的革新和對終端軟件的深度hook，智能識別終端敏感數(shù)據(jù)內(nèi)容，全面監(jiān)控數(shù)據(jù)轉(zhuǎn)移行為，針對已發(fā)生的數(shù)據(jù)泄露事件進行及時響應(yīng)，追蹤泄密源頭，防止事件影響進一步擴大。同時，青騅DDR系統(tǒng)亦可幫助管理者監(jiān)控企業(yè)敏感數(shù)據(jù)使用情況，確保企業(yè)內(nèi)部敏感數(shù)據(jù)的合規(guī)合理使用，助力企業(yè)數(shù)字化轉(zhuǎn)型，保障企業(yè)知識產(chǎn)權(quán)與核心數(shù)據(jù)資產(chǎn)。青騅DDR系統(tǒng)采用B/S加C/S架構(gòu)，服務(wù)端管理采用web方式進行訪問管理，更加靈活便捷；終端泄露防10案例提供方：藪貓科技護采用輕客戶端方式進行管控，終端負(fù)擔(dān)更??；系統(tǒng)主要通過終端程序來完成用戶活動捕獲和用戶操作日志摘要，系統(tǒng)管理端來完成日志和用戶活動的集成、過濾和內(nèi)容分析，管理員可以直觀看到所有數(shù)據(jù)，也可對數(shù)據(jù)進行關(guān)聯(lián)分析、數(shù)據(jù)統(tǒng)計等，從而確保企業(yè)核心數(shù)據(jù)資產(chǎn)的合理使用。青騅DDR系統(tǒng)主要功能包括桌面管理、網(wǎng)絡(luò)管理和數(shù)據(jù)安全三個方面，不僅專注終端數(shù)據(jù)資產(chǎn)本身安全，同時也注重終端數(shù)據(jù)所處終端環(huán)境的安全。數(shù)據(jù)安全咨詢服務(wù)主要以數(shù)據(jù)分類分級咨詢服務(wù)為主，包含數(shù)據(jù)資產(chǎn)梳理服務(wù)、數(shù)據(jù)分類分級規(guī)范編制、數(shù)據(jù)分類分級策略制定和數(shù)據(jù)分類分級實施等內(nèi)容。首先，利用青騅DDR系統(tǒng)掃描和業(yè)務(wù)流程人工調(diào)研相結(jié)合的方式，形成數(shù)據(jù)清單。其次，結(jié)合客戶單位實際情況，明確分類分級管理過程中各方責(zé)任、操作過程、原則和方法，形成可持續(xù)的數(shù)據(jù)分類分級指導(dǎo)方法論。最后，利用數(shù)據(jù)分類分級指導(dǎo)方法進行實踐，設(shè)計數(shù)據(jù)資產(chǎn)的分類分級策略，指導(dǎo)數(shù)據(jù)分類分級標(biāo)記工作的展開，最終形成數(shù)據(jù)分類分級清單。三一集團數(shù)據(jù)安全建設(shè)項目中，整體方案分為四個建設(shè)步驟：發(fā)現(xiàn)、梳理、監(jiān)控、運營。發(fā)現(xiàn)：青騅DDR系統(tǒng)作為數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)的基礎(chǔ)，通過桌面管理軟件推送靜默安裝3200臺DDR系統(tǒng)客戶端。此外，青騅DDR系統(tǒng)服務(wù)端與三一飛書對接實現(xiàn)組織架構(gòu)信息，并自動將用戶賬號綁定終端。梳理：藪貓科技數(shù)據(jù)安全咨詢服務(wù)對9大業(yè)務(wù)進行了調(diào)研分析，并結(jié)合集團內(nèi)部的數(shù)據(jù)分類分級制度，對數(shù)據(jù)進行分類分級。最后，將收集整理的數(shù)據(jù)分類分級規(guī)則配置到青騅DDR服務(wù)端，通過青騅DDR客戶端對終端用戶的文件進行掃描，形成集團數(shù)據(jù)資產(chǎn)地圖。監(jiān)控：三一集團希望了解內(nèi)部員工終端數(shù)據(jù)的使用情況，因此使用青騅DDR客戶端對終端所有外發(fā)渠道進行監(jiān)控，全方位感知敏感文件流動態(tài)勢，覆蓋終端敏感數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、銷毀等數(shù)據(jù)生命周期各個階段。運營：利用青騅DDR系統(tǒng)的運營功能更新數(shù)據(jù)安全運營模式，通過定期對異常行為進行研判分析，結(jié)合深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等功能，發(fā)現(xiàn)“有意”或“無意”的數(shù)據(jù)泄漏行為，同時，對在研判過程中發(fā)現(xiàn)的誤報事件進行優(yōu)化改進閉環(huán)，精準(zhǔn)保護集團數(shù)據(jù)資產(chǎn)安全。創(chuàng)新性與優(yōu)勢：在資產(chǎn)發(fā)現(xiàn)、識別與梳理工作中，藪貓科技提出了數(shù)據(jù)分類分級咨詢服務(wù)與數(shù)據(jù)安全產(chǎn)品資產(chǎn)掃描相結(jié)合的方式，兩者互為補充，即有效地提高了數(shù)據(jù)分類分級咨詢服務(wù)實施效率，也極大地減少了單純的利用工具識別資產(chǎn)的誤報情況，快速形成了資產(chǎn)地圖。青騅DDR系統(tǒng)產(chǎn)品融合了LSTM、NER機器學(xué)習(xí)算法，對終端上識別和用戶主動上傳的文檔進行分詞。為滿足海量文檔的分詞工作，基于構(gòu)建詞圖的方式構(gòu)建自動機，實現(xiàn)了O（n）時間內(nèi)完成了多模匹配，極大提升了分詞的效率。青騅DDR系統(tǒng)終端的操作系統(tǒng)事件采集模塊可通過各類接口采集目標(biāo)操作系統(tǒng)的文件、進程、注冊表、網(wǎng)絡(luò)流量、動態(tài)庫與內(nèi)核擴展的加載與卸載等行為數(shù)據(jù)。這些接口可具體分為操作系統(tǒng)內(nèi)建方案（利用操作系統(tǒng)提供給第三方的各類接口信息）和非操作系統(tǒng)內(nèi)建方案（利用內(nèi)核內(nèi)聯(lián)掛鉤機制（KernelInlineHooking11ISC2023數(shù)字安全創(chuàng)新性案例Mechanism）掛接目標(biāo)函數(shù)）兩種。利用此項技術(shù)系統(tǒng)可深度捕獲應(yīng)用軟件的操作行為、網(wǎng)絡(luò)流量，從而實現(xiàn)數(shù)據(jù)的防泄密監(jiān)測。青騅DDR系統(tǒng)的內(nèi)核內(nèi)聯(lián)掛鉤機制具有獨家專利技術(shù)，它結(jié)合了回調(diào)架構(gòu)與內(nèi)聯(lián)掛接方案的優(yōu)點，可以為任意內(nèi)核或用戶態(tài)目標(biāo)添加CallbackHandler）以及“后操作回調(diào)CallbackHandler）。前、后操作回調(diào)處理程序既可以單獨生效，也可以組合使用。該方案支持跨Windows、macOS、Linux等主流操作系統(tǒng)平臺以及Intel、AppleSilicon等硬件平臺。青騅DDR融合了多種識別瀏覽器上的數(shù)據(jù)動態(tài)傳輸（Data-in-Motion）技術(shù)，通過精準(zhǔn)數(shù)據(jù)匹配（IDM、OCR技術(shù)等），高維度聚合，實現(xiàn)SSL加密流量檢測，解密流量，識別流量內(nèi)容；對文件上傳、下載、URLs進行訪問控制，有效地對終端DLP基于瀏覽器防護中的敏感數(shù)據(jù)進行攔截，實現(xiàn)多終端、多網(wǎng)絡(luò)訪問的統(tǒng)一數(shù)據(jù)防護策略。應(yīng)用效果：數(shù)據(jù)安全咨詢服務(wù)為三一集團建立非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分類分級標(biāo)準(zhǔn)，共形成273個文件分類，并結(jié)合集團內(nèi)部的數(shù)據(jù)分類分級制度，將數(shù)據(jù)分為公開數(shù)據(jù)、一般商秘、重要商秘、核心商秘4個安全等級，明確了重點保護對象，避免數(shù)據(jù)泄露和濫用，提高數(shù)據(jù)的安全性和可靠性，更好地滿足法律、監(jiān)管和合規(guī)要求，減少違規(guī)風(fēng)險。在咨詢服務(wù)形成的分類分級規(guī)則的基礎(chǔ)上，青騅DDR系統(tǒng)通過資產(chǎn)掃描、分類分級和泄露管控等功能，完成終端數(shù)據(jù)測繪，并通過監(jiān)控和識別敏感數(shù)據(jù)外發(fā)行為，及時發(fā)現(xiàn)和阻止員工將敏感數(shù)據(jù)泄露給外部人員，保護企業(yè)的商業(yè)秘密。青騅DDR系統(tǒng)提供的包含渠道管控、郵件管控、代碼管控、數(shù)據(jù)行為等多維度可視化儀表盤，便于安全人員全面掌握企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全風(fēng)險全狀況，提升安全可見性。為安全決策提供數(shù)據(jù)支撐，便于安全人員全面掌握企業(yè)數(shù)據(jù)風(fēng)險狀況，滿足日常安全運營的需求。在HW防守準(zhǔn)備階段梳理分析發(fā)現(xiàn)非結(jié)構(gòu)化數(shù)據(jù)使用存在安全風(fēng)險，針對發(fā)現(xiàn)的風(fēng)險借助數(shù)據(jù)安全咨詢服務(wù)制定了解決方案，方案落地分為管理和技術(shù)兩方面，管理方面通過調(diào)研梳理完善非結(jié)構(gòu)化數(shù)據(jù)識別規(guī)則，技術(shù)方面采取數(shù)據(jù)防泄漏工具對非結(jié)構(gòu)化數(shù)據(jù)進行識別、監(jiān)控、告警，確保非結(jié)構(gòu)化數(shù)據(jù)安全，提高發(fā)現(xiàn)解決問題的綜合能力。數(shù)據(jù)分類分級服務(wù)和青騅DDR系統(tǒng)的建設(shè)有效保護客戶提供的數(shù)據(jù)資產(chǎn)，使得客戶更加信任企業(yè)，從而提高企業(yè)的競爭力。12案例提供方：360數(shù)字安全集團360數(shù)字安全集團企業(yè)定位：企業(yè)介紹：360數(shù)字安全集團是數(shù)字安全的領(lǐng)導(dǎo)者，秉持“上山下海助小微”的企業(yè)使命，確立安全和AI發(fā)展雙主線。在安全領(lǐng)域，形成以“看見”為核心的數(shù)字安全中國方案，基于安全即服務(wù)理念，將這套方案通過360安全云賦能城市、大型企業(yè)、中小微企業(yè)。在人工智能領(lǐng)域，推出360安全大模型，率先實現(xiàn)AI實戰(zhàn)應(yīng)用，解決傳統(tǒng)安全和大模型安全問題。重點產(chǎn)品：360安全云、360安全大模型、360本地安全大腦、360終端安全管理系統(tǒng)企業(yè)網(wǎng)站：企業(yè)雷達圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例某新零售集團股份有限公司安全運營服務(wù)項目案例背景：隨著數(shù)字化轉(zhuǎn)型加速，零售行業(yè)的經(jīng)營模式正在發(fā)生著巨大的變化，越來越多的零售企業(yè)將業(yè)務(wù)轉(zhuǎn)向了線上，通過大數(shù)據(jù)和互聯(lián)網(wǎng)重構(gòu)“人、貨、場”等商業(yè)要素形成新的商業(yè)業(yè)態(tài)，形成線上線下相結(jié)合的新零售模式。作為大型、綜合、創(chuàng)新型家居零售商，某新零售集團股份有限公司已搭建全國線下零售網(wǎng)絡(luò)，并率先在家具行業(yè)內(nèi)開展數(shù)字化轉(zhuǎn)型，以場景化、客戶體驗感、線上線下融合帶來全新消費方式變革，打造實體店第二增長曲線。隨著新零售從線下走到線上，從終端、網(wǎng)站走向APP、小程序等多渠道，面對日漸復(fù)雜的網(wǎng)絡(luò)環(huán)境和不斷增多的數(shù)字資產(chǎn)，針對新零售業(yè)務(wù)的攻擊手段變得更加多樣化、復(fù)雜化，企業(yè)面臨的安全風(fēng)險也呈幾何倍數(shù)增長，一旦被攻破將帶來極大的損失。如何保障全渠道的業(yè)務(wù)安全，也成為新零售企業(yè)的難題。13ISC2023數(shù)字安全創(chuàng)新性案例關(guān)鍵挑戰(zhàn)：解決方案：云端服務(wù)團隊360安全云本地服務(wù)團隊客戶側(cè)360安全云：圖中上半部分由360安全云產(chǎn)品和云端安全運營服務(wù)團隊組成，360安全云團隊為本項目客戶所提供的安全運營服務(wù)是在360安全云賦能下，基于360安全運營數(shù)字化協(xié)作平臺和云端多層級專業(yè)化運營服務(wù)團隊保障和持續(xù)的服務(wù)質(zhì)量監(jiān)督機制，為客戶提供不同安全場景下的安全即服務(wù)。用戶側(cè)：圖中下半部分主要由360安全云服務(wù)所依賴的各類安全工具以及本地服務(wù)團隊組成。其中各類安全工具，用于支撐不同安全即服務(wù)的服務(wù)內(nèi)容，各項服務(wù)所產(chǎn)生的安全運營數(shù)據(jù)將上報到360安全云的安全運營數(shù)字化協(xié)作平臺，然后由云端服務(wù)團隊按照標(biāo)準(zhǔn)服務(wù)流程開展安全運營。關(guān)于本地服務(wù)團隊，主要針對客戶側(cè)有自有安全技術(shù)人員和項目管理人員的情況，通過360安全云體系化培訓(xùn)賦能，經(jīng)360安全云考核認(rèn)證的人員，作為用戶側(cè)的本地服務(wù)人員與云端服務(wù)團隊開展云地協(xié)同，解決最后一公里的安全事件閉環(huán)的問題，共同為客戶提供高質(zhì)量的安全運營服務(wù)。本項目所提供的安全即服務(wù)內(nèi)容：為保證客戶全國數(shù)百家門店安全，360安全云提供終端安全托管服務(wù)和網(wǎng)絡(luò)威脅監(jiān)測服務(wù)，由360安全專家對終端系統(tǒng)和網(wǎng)絡(luò)流量的告警進行研判分析，通過識別有效告警并將潛在威脅事件升級為工單及時通知客戶；數(shù)字資泄露監(jiān)測服務(wù)則通過自動化持續(xù)監(jiān)測預(yù)警該公司的風(fēng)險事件，幫助客戶掌握自身數(shù)據(jù)泄露情況和受影響面。提及客戶的線上業(yè)務(wù)，360安全云的網(wǎng)站威脅監(jiān)測服務(wù)通過對其網(wǎng)站的漏洞威脅、網(wǎng)頁篡改、網(wǎng)站可用性等進行實時監(jiān)測，配合安全專家的分析研判，及時將造成影響的安全事件報告給客戶，進而阻斷威脅?；ヂ?lián)網(wǎng)暴露面監(jiān)測服務(wù)持續(xù)跟進互聯(lián)網(wǎng)風(fēng)險暴露情況，主動開展外部攻擊面管理，避免被攻擊者非法利用。14案例提供方：360數(shù)字安全集團此外，考慮到零售行業(yè)易遭受勒索攻擊，360安全云為客戶提供了勒索攻擊安全托管服務(wù)，使用專項勒索攻擊監(jiān)測工具，幫助客戶驗證和提升現(xiàn)有防護體系應(yīng)對勒索攻擊的防護能力。同時，贈送防勒索險服務(wù)，覆蓋投保前、投保期間和出險期間，全方位為客戶提供風(fēng)險管理服務(wù)。創(chuàng)新性與優(yōu)勢：創(chuàng)新性提出“管家式”端到端的服務(wù)新模式，高效構(gòu)建安全體系，低成本獲得安全能力360安全云采用先進的安全云技術(shù)，把服務(wù)于國家的高位安全能力賦能給廣大政企，開創(chuàng)“軟、硬件免費，服務(wù)收費”的網(wǎng)絡(luò)安全商業(yè)模式先河，以7×24小時的遠程運營服務(wù)形式，幫助客戶實現(xiàn)全天候、全方位的威脅監(jiān)測。通過實時發(fā)現(xiàn)和處置安全風(fēng)險，為廣大政企單位構(gòu)建了一道堅實的數(shù)字安全屏障。這種創(chuàng)新性的服務(wù)模式能夠為用戶提供持續(xù)的安全保障，確保業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運行。解決了安全運營工作協(xié)同難、處置慢難題，實現(xiàn)了全網(wǎng)資源“超鏈接”業(yè)界當(dāng)前的托管安全運營多是通過安全運營分析平臺進行研判分析，IM通信通知事件，郵箱推送報告，三者相互獨立、信息割裂，事件通知缺少上下文，報告存儲混亂易流失，導(dǎo)致運營工作協(xié)同難、處置慢。360基于業(yè)內(nèi)獨有的統(tǒng)一運營協(xié)作平臺-推推，創(chuàng)新性實現(xiàn)了以一套安全協(xié)同平臺打通全網(wǎng)安全數(shù)據(jù)，連接多方人員與資源，包含企業(yè)管理領(lǐng)導(dǎo)、企業(yè)技術(shù)人員、360實戰(zhàn)化安全團隊、用戶資產(chǎn)、生態(tài)渠道等，實現(xiàn)安全運營流程流轉(zhuǎn)互通、多方人員溝通、安全工作協(xié)同。此外，通過智能的告警處置機制、強大的腳本知識庫、交互式的用戶運營體驗，可追溯的安全運營過程，可視化的安全運營成果，保姆式的專家集梯隊為客戶提供7×24小時常態(tài)化安全運營服務(wù)，真正實現(xiàn)一套平臺解決用戶90%以上的安全問題。基于全球領(lǐng)先的海量安全大數(shù)據(jù)支撐，首創(chuàng)“云查殺”技術(shù)，解決了本地安全視野局限、安全能力上限低的問題在360全網(wǎng)數(shù)字安全大腦的賦能下，360安全云以2EB海量安全大數(shù)據(jù)（其中包括總量180億+惡意網(wǎng)址、

5萬億+存活網(wǎng)址、樣本文件300億+、700億+DNS解析記錄等）為基礎(chǔ)，依托360在終端、流量、網(wǎng)站、云

端、威脅情報能力、云查殺能力、漏洞、測繪、沙箱、安全DNS、APT、移動端等多維度、多場景的數(shù)據(jù)聚

合分析，形成了全面的、完整的威脅認(rèn)知和情報數(shù)據(jù)體系，為用戶提供了高位視角主動防護與監(jiān)測，幫助客

戶構(gòu)筑持續(xù)、主動、閉環(huán)的安全運營能力。AI賦能數(shù)字安全防護體系，極大提升了網(wǎng)絡(luò)安全運營的自動化、實戰(zhàn)化能力面對海量的數(shù)據(jù)及安全告警，360安全云依托領(lǐng)先的人工智能技術(shù)優(yōu)化降噪模型，篩選出高價值安全事

件，全面提高用戶的安全運營效率；此外，360安全云還在平臺上內(nèi)置安全運營百事通AI功能，為用戶及運

營服務(wù)人員提供人機協(xié)作服務(wù)模式（例如：智能統(tǒng)計報表、智能生成報告、智能分析、智能處置、智能問答

等），不斷提升運營服務(wù)人員的服務(wù)能力，保障運營服務(wù)高質(zhì)量交付。關(guān)鍵挑戰(zhàn)：實際應(yīng)用效果15ISC2023數(shù)字安全創(chuàng)新性案例1、終端安全托管服務(wù)：截至目前，360安全云查殺病毒攻擊數(shù)量30多個，監(jiān)測高危漏洞數(shù)量9000多個；2、網(wǎng)絡(luò)威脅監(jiān)測服務(wù)：截至目前，360安全云分析網(wǎng)絡(luò)攻擊事件14000余件，其中嚴(yán)重級別的網(wǎng)絡(luò)攻擊事件190余件，涉及弱口令安全事件170余個，調(diào)優(yōu)設(shè)備規(guī)則8條；3、數(shù)字資產(chǎn)泄露監(jiān)測服務(wù)：截至目前，360安全云共發(fā)現(xiàn)542個數(shù)據(jù)泄漏點。發(fā)現(xiàn)54個敏感信息泄露點，其中25個存在非法獲利現(xiàn)象；4、網(wǎng)站威脅監(jiān)測服務(wù)：截至目前，360安全云共發(fā)現(xiàn)2個網(wǎng)站安全漏洞；5、互聯(lián)網(wǎng)暴露面監(jiān)測服務(wù)：截至目前，360安全云幫助客戶梳理互聯(lián)網(wǎng)資產(chǎn)800多個，涉及網(wǎng)站、域名、IP、端口、應(yīng)用組件、公眾號、小程序等資產(chǎn)類型，通過與客戶溝通，及時收斂不必要對外開放的資產(chǎn)26個；6、勒索攻擊安全托管服務(wù)：截至目前，在360安全云保護下的終端未發(fā)生成功勒索攻擊事件，相關(guān)防勒索保險暫未觸發(fā)賠付?？蛻粼u價客戶負(fù)責(zé)人表示：“360安全云所提供的數(shù)字安全托管運營服務(wù)可以自動監(jiān)測我們?nèi)珖鏖T店和線上業(yè)務(wù)系統(tǒng)，定期輸出報告，大大減輕了我們的運維壓力，贈送的防勒索保險也進一步為我們的業(yè)務(wù)兜底，做到了花了錢，就看得到效果，真正為效果買單！”經(jīng)濟效益通過減少安全事件、提高業(yè)務(wù)流轉(zhuǎn)效率和降低運營成本，該項目為客戶帶來顯著的經(jīng)濟效益，實現(xiàn)降本增效。360安全云服務(wù)開創(chuàng)了新的商業(yè)模式：軟硬件免費、為服務(wù)買單。在這一新的商業(yè)模式下，一般規(guī)模企業(yè)每年費用在十幾萬到幾十萬之間，是傳統(tǒng)集成建設(shè)模式的1/3-1/4，安全投資大幅下降。通過實際應(yīng)用，滿足用戶相同需求的前提下，只需要傳統(tǒng)安全投入的30%，企業(yè)僅需要為數(shù)字安全最有價值的：人、數(shù)據(jù)、運營能力買單。經(jīng)驗總結(jié)：溝通的頻次和形式仍需加強，針對服務(wù)過程發(fā)現(xiàn)的緊急情況，除安全運營平臺本身的預(yù)警機制外，采取電話或者郵件形式的溝通。主動服務(wù)的頻次和形式仍需要加強，定期主動詢問客戶是否需要技術(shù)支持或其他事項協(xié)助。增加服務(wù)工具，包括不僅限于公司自有產(chǎn)品、產(chǎn)品以及自研、開源的工具，更好地提升服務(wù)效果。16案例提供方：懸鏡安全懸鏡安全企業(yè)定位：數(shù)字供應(yīng)鏈安全開拓者、DevSecOps敏捷安全領(lǐng)導(dǎo)者企業(yè)介紹：開拓者和DevSecOps敏捷安全領(lǐng)導(dǎo)者，始終專注于以“代碼疫苗”技術(shù)為內(nèi)核，憑借原創(chuàng)專利級”全流程數(shù)字供應(yīng)鏈安全賦能平臺+敏捷安全工具鏈+供應(yīng)鏈安全情報預(yù)警服務(wù)”的第三代DevSecOps數(shù)字供應(yīng)鏈安全管理重點產(chǎn)品：源鑒SCA開源威脅管控平臺、靈脈IAST灰盒安全測試平臺、靈脈SAST白盒代碼審計平臺、云鯊RASP自適應(yīng)云防御平臺、靈脈PTE自動化滲透測試平臺、云脈XSBOM供應(yīng)鏈安全情報預(yù)警服務(wù)、夫子SCS數(shù)字供應(yīng)鏈安全管理平臺、OpenSCA社區(qū)企業(yè)網(wǎng)站：企業(yè)雷達圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例基于代碼疫苗技術(shù)的某運營商SCA開源治理實踐案例背景：17ISC2023數(shù)字安全創(chuàng)新性案例理支撐系統(tǒng)、前瞻性IT研究等集團重點任務(wù)。為進一步深入落實集團“1+9+3”戰(zhàn)略規(guī)劃、筑牢數(shù)字化發(fā)展防關(guān)鍵挑戰(zhàn)：開源組件大規(guī)模使用，安全風(fēng)險加劇該用戶過去在長期的業(yè)務(wù)系統(tǒng)建設(shè)中引入了大量開源軟件，如K8S、Ceph、Contiv、Istio、Redis、K且開源軟件大部分情況下缺少相應(yīng)的付費服務(wù)和運維支持，而用戶本身的技術(shù)人員數(shù)量及能力都有一定限制，導(dǎo)致開源軟件相關(guān)漏洞問題解決困難。此外，由于該用戶過往未制定相應(yīng)的開源組件使用規(guī)范，各個系統(tǒng)引入的開源軟件復(fù)雜多樣，存在大量老舊、廢棄版本等情況，開發(fā)人員在開發(fā)過程中未能關(guān)注開源組件的漏洞情況，導(dǎo)致已有的開源組件安全漏洞反復(fù)出現(xiàn)，由開源軟件直接或間接引發(fā)的故障占比較高。開源組件資產(chǎn)難以統(tǒng)計第三方軟件供應(yīng)商一般不會說明其產(chǎn)品中是否涉及開源代碼，甚至對用戶號稱完全自主研發(fā)，用戶很可能被動引入開源軟件。此外，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發(fā)過程中，如果企業(yè)并未對源代碼進行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過程中使用了開源代碼片段。同時，對運營商而言，存量軟件及代碼的規(guī)模相對更加龐大，因此，用戶想要完全準(zhǔn)確統(tǒng)計企業(yè)內(nèi)引入開源軟件的數(shù)目及真實情況在操作層面存在一定困難。開源許可證隱含的法律風(fēng)險較為顯著每一個開源軟件都會通過開源許可證規(guī)定其使用范圍和權(quán)利義務(wù)，用戶在很多情況并不能明確得知該軟件是否遵守了開源許可證的要求。一旦違反開源許可證規(guī)定，極有可能面臨法律制裁和知識產(chǎn)權(quán)風(fēng)險。解決方案：根據(jù)用戶在開源軟件漏洞檢測、軟件成分分析、軟件許可管理、軟件物料管理等各方面的要求，結(jié)合現(xiàn)有軟件項目使用開源代碼的比例逐步提高的現(xiàn)狀，該用戶通過源鑒SCA重點建設(shè)了內(nèi)部開源組件版本基線使用規(guī)則，對開源組件的漏洞、許可證信息等進行掃描，實現(xiàn)內(nèi)部體系化治理：1、首先建立完善的組件選型機制，參考社區(qū)活躍程度、組件更新間隔時間、組件更新頻率、是否仍持續(xù)更新以及開源許可證等多個維度輔助考量開源組件的版本基線范圍設(shè)置；3、最后，結(jié)合在流水線構(gòu)建階段的基線阻斷配置，通過在流水線構(gòu)建過程中實時進行開源組件安全檢測，若檢測應(yīng)用不符合開源組件基線使用規(guī)則，則阻斷流水線的構(gòu)建過程。18案例提供方：懸鏡安全圖1源鑒SCA架構(gòu)圖圖2源鑒SCA部署圖19ISC2023數(shù)字安全創(chuàng)新性案例創(chuàng)新性與優(yōu)勢：采用首創(chuàng)代碼疫苗技術(shù)：本解決方案采用的核心技術(shù)為代碼疫苗技術(shù)，代碼疫苗技術(shù)旨將智能風(fēng)險檢測和積極防御邏輯注入到運行時的數(shù)字應(yīng)用中，如同疫苗一般與應(yīng)用載體融為一體，突破性地使其實現(xiàn)對潛在風(fēng)險的自發(fā)現(xiàn)和對未知威脅的自免疫。代碼疫苗技術(shù)基于插樁技術(shù)實現(xiàn)，創(chuàng)新性地統(tǒng)一融合了IAST（交互式應(yīng)用安全測試）、SCA（軟件成分分析）、RASP（運行時應(yīng)用自保護）、DRA（數(shù)據(jù)風(fēng)險評估）、API分析、APM監(jiān)控等能力，即一個探針插樁即可在數(shù)字供應(yīng)鏈的不同階段中實現(xiàn)不同能力與效果的安全檢測并防御多種攻擊風(fēng)險，做到了數(shù)字供應(yīng)鏈全生命周期的安全保障，且可輕松適配多業(yè)務(wù)場景，輕量級地實現(xiàn)了數(shù)字供應(yīng)鏈的安全檢測與防御。作為代碼疫苗技術(shù)的核心，函數(shù)級單探針以插樁實現(xiàn)植入在應(yīng)用內(nèi)存上下文之中，既能夠在軟件開發(fā)測試環(huán)節(jié)里通過IAST對軟件安全風(fēng)險進行智能檢測，精準(zhǔn)定位API安全風(fēng)險和缺陷，有效解決運行時API中敏感數(shù)據(jù)流動的追蹤問題，又能夠在軟件部署和運營環(huán)節(jié)通過RASP實現(xiàn)軟件風(fēng)險自免疫，提供閉環(huán)的數(shù)字供應(yīng)鏈安全檢測與防御能力。國內(nèi)首款多引擎SCA產(chǎn)品：源鑒SCA是國內(nèi)首款集源碼級組件依賴檢測引擎、源代碼同源檢測引擎、二進制成分分析引擎、容器鏡

像檢測引擎及運行態(tài)組件檢測的多核心引擎驅(qū)動的SCA產(chǎn)品。相比于傳統(tǒng)的SCA檢測平臺，源鑒SCA基于運行

態(tài)的代碼級開源軟件成分檢測，可以在應(yīng)用運行過程中基于請求、代碼、數(shù)據(jù)流、控制流綜合分析判斷漏

洞，漏洞測試準(zhǔn)確性高；安全漏洞既可定位到代碼行，還可以得到完整的請求和響應(yīng)信息、完整的數(shù)據(jù)流和

堆棧信息，便于定位、修復(fù)和驗證安全漏洞。深度流程融合DevOps，加速安全開發(fā)：源鑒SCA支持與DevOps流程無縫結(jié)合，在流水線的相應(yīng)階段自動發(fā)現(xiàn)應(yīng)用程序中的開源組件，提供關(guān)鍵

的版本控制和使用信息，并在DevOps的任何階段檢測到漏洞風(fēng)險和策略風(fēng)險時觸發(fā)警報。所有信息通過安全

和開發(fā)團隊所使用的平臺工具實時推送，整個過程無需安全專家介入，全程不改變原有開發(fā)流程、無需額外

安全測試時間投入，滿足敏捷開發(fā)和DevOps模式下軟件產(chǎn)品快速迭代、快速交付的需求。

智能大數(shù)據(jù)實時推送供應(yīng)鏈安全情報預(yù)警：TOP10、國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平

臺（CNVD）及CWE標(biāo)準(zhǔn)，基于精確、全面的軟件物料清單梳理和AI大數(shù)據(jù)分析引擎，實現(xiàn)7*24全網(wǎng)數(shù)字供

應(yīng)鏈安全動態(tài)監(jiān)測與溯源分析，智能推送數(shù)字供應(yīng)鏈投毒攻擊、組件缺陷與失效和開源許可證風(fēng)險，讓用戶

及時獲取影響其安全的最新開源組件漏洞和許可證風(fēng)險情報。應(yīng)用效果：全面降低開源組件引入風(fēng)險：20案例提供方：懸鏡安全方案建設(shè)落地后，該用戶建立了內(nèi)部的開源組件使用規(guī)范，研發(fā)人員在開源組件的引入及使用過程中即可確定組件的安全版本范圍，在研發(fā)早期階段規(guī)避了開源組件漏洞的引入，大大降低了開源組件漏洞修復(fù)成本，有效減少了業(yè)務(wù)上線時開源組件引入的風(fēng)險。組件級資產(chǎn)測繪及臺賬可視化：構(gòu)筑開源風(fēng)險治理體系：該用戶基于源鑒SCA的開源治理能力建立了企業(yè)級平臺，可對各類型采購、自研、軟件資產(chǎn)進行梳理和安全審查，進一步在內(nèi)部建立開源治理組織架構(gòu)，制定配套的開源治理管理制度和規(guī)范，逐步構(gòu)筑起比較完備的開源風(fēng)險治理體系，規(guī)范開源軟件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，進而提升開源治理能力。經(jīng)驗總結(jié)：該項目的實施幫助用戶構(gòu)建了企業(yè)級的開源治理平臺、院級的軟件物料清單，引入了證書以及安全的檢測能力等，完成了開源治理底座能力的建設(shè)，助力治理工作的有效實施落地。開源治理并非一蹴而就，除了技術(shù)工具的使用外，用戶還應(yīng)當(dāng)在組織架構(gòu)、管理制度、人員意識等方面持續(xù)完善，打造常態(tài)化的系統(tǒng)工程。21ISC2023數(shù)字安全創(chuàng)新性案例齊安科技企業(yè)定位：工業(yè)互聯(lián)網(wǎng)接入安全體系倡導(dǎo)者企業(yè)介紹：浙江齊安信息科技有限公司（齊安科技）致力于工業(yè)互聯(lián)網(wǎng)接入安全體系與技術(shù)的持續(xù)創(chuàng)新，為用戶提供全方位接入安全管理與防護解決方案。依托核心技術(shù)和豐富工控行業(yè)知識，開發(fā)了涵蓋檢測、運維、防護、平臺等多個領(lǐng)域的工控行業(yè)接入安全產(chǎn)品與解決方案。產(chǎn)品與服務(wù)廣泛應(yīng)用于電力、煤礦、軍工、軌道交通、石油石化、智能制造等領(lǐng)域，保障關(guān)鍵信息基礎(chǔ)設(shè)施與重要工業(yè)領(lǐng)域的安全，維護工業(yè)信息安全。重點產(chǎn)品：便攜式運維網(wǎng)關(guān)、USB安全隔離保護系統(tǒng)、安全配置核查系統(tǒng)、一體化遠程運維系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全審計系統(tǒng)、企業(yè)流量在線監(jiān)測系統(tǒng)、物聯(lián)網(wǎng)加密網(wǎng)關(guān)系統(tǒng)、日志審計與分析系統(tǒng)企業(yè)網(wǎng)站：企業(yè)雷達圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例電力監(jiān)控系統(tǒng)站端運維接入安全解決方案案例背景：人員風(fēng)險一些電力監(jiān)控系統(tǒng)運維人員（包括二次班人員、外單位運維人員、檢查人員）缺乏網(wǎng)絡(luò)安全意識，組織員工定期接受網(wǎng)絡(luò)安全培訓(xùn)的工作落實不到位，使得很多重要的電力監(jiān)控系統(tǒng)在日常工作中缺乏有效的安全防護措施。很多員工對密碼管理缺少必要的認(rèn)識，例如采用默認(rèn)密碼、長期不修改使用密碼、密碼存放在互聯(lián)網(wǎng)或云平臺等公開環(huán)境中，極易導(dǎo)致核心電力控制系統(tǒng)的用戶名和密碼泄露，被惡意攻擊者掌握。22案例提供方：齊安科技勒索病毒、蠕蟲和木馬隨著移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)等新技術(shù)在電力系統(tǒng)中的廣泛使用，移動終端和App等平臺為電網(wǎng)調(diào)度指揮提供了更為方便、高效的管理方式，但同時也面臨勒索病毒及其他網(wǎng)絡(luò)攻擊的風(fēng)險。勒索病毒等網(wǎng)絡(luò)攻擊手段具有隱蔽性、破壞性、傳染性等特性，一旦進入調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，將嚴(yán)重影響電力系統(tǒng)數(shù)據(jù)資料安全性，甚至導(dǎo)致整個生產(chǎn)網(wǎng)絡(luò)癱瘓，造成巨大損失。近年頻繁發(fā)生的勒索病毒襲擊國內(nèi)外關(guān)鍵基礎(chǔ)設(shè)施事件充分暴露了這種風(fēng)險的嚴(yán)重性。系統(tǒng)性風(fēng)險當(dāng)前，電力監(jiān)控系統(tǒng)主要面臨的系統(tǒng)性風(fēng)險：一是缺乏針對新興技術(shù)廣泛應(yīng)用帶來的網(wǎng)絡(luò)安全威脅進行有效安全管控措施；二是攻擊威脅監(jiān)測預(yù)警與安全防護分離脫節(jié)；三是已有網(wǎng)絡(luò)安全防護機制在電力監(jiān)控系統(tǒng)中的“簡單堆疊”，造成防護資源浪費且對新型攻擊手段防護能力較弱。安全威脅與建設(shè)實踐的脫節(jié)風(fēng)險目前，在電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護建設(shè)實踐中，符合國家、行業(yè)及公司級的電力監(jiān)控系統(tǒng)安全防護規(guī)定，以及防火墻、隔離網(wǎng)關(guān)、電力網(wǎng)閘等訪問控制設(shè)備的大規(guī)模部署成為電網(wǎng)公司重點關(guān)注的建設(shè)內(nèi)容。而生產(chǎn)控制信息網(wǎng)絡(luò)和管理信息網(wǎng)絡(luò)實際面臨的攻擊威脅情況卻并未引起足夠關(guān)注。這是由于電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理與建設(shè)實踐很大程度由合規(guī)性驅(qū)動，而合規(guī)性驅(qū)動的安全防護建設(shè)思路存在的弊端非常明顯：一方面，合規(guī)性防護策略只是安全防護的一個重要方面，無法保證動態(tài)變化的電力監(jiān)控系統(tǒng)是安全可靠的，反而會給相關(guān)各方造成看似安全的假象，以偏概全；另一方面，由合規(guī)性驅(qū)動的電力監(jiān)控系統(tǒng)建設(shè)，容易出現(xiàn)安全防護設(shè)備簡單堆疊、資源浪費，面對跨網(wǎng)跨域的高級持續(xù)性攻擊威脅防護能力弱等問題?，F(xiàn)場運維安全性電力監(jiān)控系統(tǒng)在現(xiàn)場檢修運維層面仍存在著安全隱患，檢修運維人員進入了變電站現(xiàn)場后，跳過了層層

設(shè)防的網(wǎng)絡(luò)安全設(shè)備直接將筆記本電腦、移動存儲設(shè)備等通過網(wǎng)絡(luò)接口、串行接口和USB接口接入現(xiàn)場系

統(tǒng)，對設(shè)備進行檢修運維操作。這種檢修運維方式會產(chǎn)生如下一系列管控問題：1、檢修運維過程中，由于缺少物理隔離和擺渡，不同網(wǎng)絡(luò)交叉使用的移動存儲介質(zhì)和運維設(shè)備（如U

盤，筆記本電腦）容易將惡意代碼帶入到電力監(jiān)控系統(tǒng)之中，導(dǎo)致核心生產(chǎn)數(shù)據(jù)和配置信息被泄露；

2、由于缺少安全審計手段，在檢修運維人員出現(xiàn)誤操作甚至惡意操作的情況下，存在發(fā)生安全事故的隱

患，而在安全事故發(fā)生之后又難以追蹤溯源并定責(zé)；3、在檢修運維過程中，檢修運維人員通過上傳非法的配置數(shù)據(jù)，導(dǎo)致現(xiàn)場設(shè)備運行異常，也會引發(fā)相應(yīng)

的安全事故。世界各國高度重視維護電力系統(tǒng)安全，紛紛采取立法保護、技術(shù)防范、分散風(fēng)險等方法，提高本國電網(wǎng)

的抗毀傷能力。尤其是我國，在電網(wǎng)二次安防領(lǐng)域走在世界前面。中華人民共和國國務(wù)院、國家發(fā)展與改革

委員會、中華人民共和國工業(yè)和信息化部、國家能源局、中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局、中國

國家標(biāo)準(zhǔn)化管理委員會等國家主管單位，近年來對工業(yè)控制系統(tǒng)信息安全工作做出了一系列的指導(dǎo)意見和規(guī)

范要求，其中，2022年4月，國調(diào)中心關(guān)于印發(fā)《電力監(jiān)控系統(tǒng)便攜式運維網(wǎng)關(guān)技術(shù)規(guī)范（試行）》的通

知，加強變電站（換流站）監(jiān)控系統(tǒng)運維安全管控，防范違規(guī)外聯(lián)、惡意代碼感染、非法操作等安全風(fēng)險，23ISC2023數(shù)字安全創(chuàng)新性案例提升對現(xiàn)場作業(yè)人員、調(diào)試工具和調(diào)試行為的管控能力?；诖耍R安科技研制了檢修作業(yè)安全運維系統(tǒng)，即運維移動堡壘機(便攜式運維網(wǎng)關(guān))，用以規(guī)范電力監(jiān)控系統(tǒng)的運維操作行為，保護站端設(shè)備網(wǎng)絡(luò)安全，降低電力監(jiān)控系統(tǒng)現(xiàn)場檢修運維的風(fēng)險，保障設(shè)備資產(chǎn)穩(wěn)定運行。關(guān)鍵挑戰(zhàn)：當(dāng)前，變電站運維工作中缺少必要的安全防護及審計措施，具體來說，存在運維人員使用自帶筆記本電腦及U盤等運維工具直接接入變電站監(jiān)控系統(tǒng)的情況，容易引起違規(guī)外聯(lián)、誤操作、惡意代碼、網(wǎng)絡(luò)攻擊等安全風(fēng)險。國網(wǎng)安監(jiān)部曾多次通報關(guān)于電力監(jiān)控系統(tǒng)感染惡意代碼、違規(guī)外聯(lián)等安全事件。變電站的外聯(lián)風(fēng)險、違規(guī)操作、惡意代碼感染問題屢禁不止。簡單來說，變電站運維工作的痛點在于“事前無認(rèn)證、事中無監(jiān)控、事后難溯源”。解決方案：24案例提供方：齊安科技項目實施過程中，通過將便攜式運維網(wǎng)關(guān)部署在站控層交換機上，實現(xiàn)對整個運維過程進行全程實時安全管控。在運維過程中，便攜式運維網(wǎng)關(guān)（檢修作業(yè)安全運維系統(tǒng)）主要實現(xiàn)以下功能：1、對運維電腦的網(wǎng)絡(luò)連接和外設(shè)接口狀態(tài)進行實時監(jiān)測，避免運維電腦違規(guī)外聯(lián)或泄露內(nèi)部數(shù)據(jù)；2、對運維過程傳輸?shù)奈募M行惡意代碼查殺，避免未安裝防病毒軟件或未及時更新病毒庫的電力監(jiān)控系統(tǒng)被病毒入侵；3、實時監(jiān)測運維過程的網(wǎng)絡(luò)通訊，避免運維電腦向站控層網(wǎng)絡(luò)和設(shè)備發(fā)起多種類型的掃描和網(wǎng)絡(luò)攻擊，禁止高危端口通信；4、對運維過程的高風(fēng)險指令和控制類指令進行精準(zhǔn)識別，避免誤操作；5、對運維操作過程進行授權(quán)管理和二次確認(rèn)，并通過視頻、文件、通訊數(shù)據(jù)包、日志等多種方式對運維過程進行記錄，解決因缺少訪問控制措施（如防火墻）及運維審計所帶來的問題。創(chuàng)新性與優(yōu)勢：1、便攜的形態(tài)設(shè)計：產(chǎn)品在形態(tài)上摒棄了傳統(tǒng)的固定式旁路部署，只適用于網(wǎng)絡(luò)接入方式的運維管控模式。取而代之的是采用便攜式設(shè)計方案，能夠適應(yīng)工業(yè)現(xiàn)場多樣化的布局，并且在保持靈活部署的同時，有效降低了用戶的安全建設(shè)成本。2、緊貼業(yè)務(wù)的功能設(shè)計：①實施“雙因子”身份驗證，解決了人員身份認(rèn)證問題；②限制運維接入電腦與被檢修設(shè)備之間的訪問規(guī)則，解決了檢修人員操作權(quán)限管控問題；③全程監(jiān)控和錄制操作視頻，解決了因缺乏訪問控制和審計導(dǎo)致的問題；25ISC2023數(shù)字安全創(chuàng)新性案例④實時檢查傳輸文件中的惡意代碼，解決了工控主機未安裝防病毒軟件的病毒查殺問題；⑤管控和取證檢修過程中運維人員上傳和下載的配置文件，解決了數(shù)據(jù)泄露和取證問題；⑥實時監(jiān)測運維電腦外設(shè)接口和網(wǎng)絡(luò)連接狀態(tài)，確保安全運維環(huán)境，解決了違規(guī)操作帶來的安全隱患。3、技術(shù)積累：為了提升用戶現(xiàn)場作業(yè)的效率，通常做法是采用EXCEL模板編輯任務(wù)內(nèi)容后導(dǎo)入系統(tǒng)，但這會增加導(dǎo)入、導(dǎo)出和編輯工作量，并引入額外的安全風(fēng)險。齊安科技的系統(tǒng)集成了OCR識別技術(shù)，能夠拍照識別紙質(zhì)工作票的關(guān)鍵信息并自動生成檢修任務(wù)。用戶可以根據(jù)需求定制檢修任務(wù)模板并生成任務(wù)，只需增加拍照步驟，節(jié)省大量數(shù)據(jù)導(dǎo)入和編輯時間，顯著提升了使用體驗。此外，由于各地工作票模板存在差異，齊安科技積累了大量模板。4、安全可靠：基于國產(chǎn)化操作系統(tǒng)和國產(chǎn)CPU研發(fā)，安全自主可控；采用國密算法保證鑒別信息和重要業(yè)務(wù)數(shù)據(jù)等敏感信息存儲的保密性。5、成本優(yōu)勢：在設(shè)計開發(fā)初期便采用了軟硬件自研的技術(shù)路線。隨著產(chǎn)品出貨量的增加，研發(fā)成本逐步攤薄，對硬件供應(yīng)鏈的管控能力有保證，從而確保產(chǎn)品的利潤最大化。應(yīng)用效果：性能提升、成本節(jié)?。罕卷椖客ㄟ^在5座變電站上部署便攜式運維網(wǎng)關(guān)，至今共計攔截違規(guī)外聯(lián)及高風(fēng)險指令數(shù)十次，避免產(chǎn)生安全事故避免運維過程中產(chǎn)生的風(fēng)險與威脅。經(jīng)濟效益：工作效率提升：無需固定部署，適用于離散型網(wǎng)絡(luò)環(huán)境，有效降低用戶重復(fù)建設(shè)的成本；技術(shù)成本降低：檢修作業(yè)安全運維系統(tǒng)整體設(shè)計簡單易用，支持一鍵生成檢修任務(wù)、OCR快速識別工作票信息生成檢修任務(wù)，業(yè)務(wù)流程做到即插即用，不做多余設(shè)置，簡單便捷，方便現(xiàn)場運維人員快速開展工作，減少現(xiàn)場運維人員的技術(shù)成本。資源最大化：運維人員可以更好地規(guī)劃和利用其時間和技能，從而更有效地管理多個設(shè)備和網(wǎng)絡(luò)。安全效益：增強安全管理能力：規(guī)范現(xiàn)場操作人員行為，減少潛在的威脅和風(fēng)險、減少事故風(fēng)險。溯源定責(zé)：事后追蹤溯源時提供有效依據(jù)，確定責(zé)任人。提供風(fēng)險監(jiān)管能力：通過技術(shù)手段為用戶提供了監(jiān)測和處理風(fēng)險的能力。溯源定責(zé)：事后追蹤溯源時提供有效依據(jù)，確定責(zé)任人。提供風(fēng)險監(jiān)管能力：通過技術(shù)手段為用戶提供了監(jiān)測和處理風(fēng)險的能力。提升運維效率與精準(zhǔn)度：通過集中管理不同區(qū)域、不同站點的同類設(shè)備運維記錄，實現(xiàn)了數(shù)據(jù)驅(qū)動的運維決策。不僅提升運維效率，同事提高預(yù)防性維護的精準(zhǔn)度，降低了潛在風(fēng)險。與此同時，對單個站點歷史運維記錄的縱向追蹤，有利于事后的責(zé)任追溯和運維還原工作，進一步提升了企業(yè)的運維管理水平。經(jīng)驗總結(jié)：不斷升級硬件、優(yōu)化算法等，實時更新病毒庫及升級網(wǎng)關(guān)設(shè)備；為用戶提供更好的技術(shù)服務(wù)以及培訓(xùn)、安裝指導(dǎo)，保障產(chǎn)品售后服務(wù)，進一步提高用戶滿意度。26案例提供方：眾智維科技眾智維科技企業(yè)定位：AI安全大模型賦能智能安全運營體系、安全協(xié)同、暴露面管理企業(yè)介紹：眾智維科技總部與研發(fā)中心設(shè)立于南京，在北京、上海、山東、深圳、河南、蘇州設(shè)立子公司或辦事處。公司始終堅持“眾智創(chuàng)新重塑安全生態(tài)、AI運營賦能網(wǎng)信安全”的創(chuàng)業(yè)理念，作為新一代人工智能+機器學(xué)習(xí)驅(qū)動的網(wǎng)絡(luò)安全運營協(xié)同解決方案商，長期聚焦網(wǎng)絡(luò)安全攻防實戰(zhàn)，多維度構(gòu)建了紅藍紫三方高頻壓力下的安全運營協(xié)同作戰(zhàn)體系，主營方向為網(wǎng)絡(luò)安全、大數(shù)據(jù)＋及信息技術(shù)應(yīng)用創(chuàng)新。重點產(chǎn)品：RedOps紅鯨智能安全運營平臺、天巢SkyNest安全風(fēng)險運營平臺、紅色衛(wèi)士RedGuard安全大模型、重明MSS網(wǎng)絡(luò)安全自動化托管平臺企業(yè)網(wǎng)站：企業(yè)雷達圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例能源行業(yè)工業(yè)互聯(lián)網(wǎng)安全智能應(yīng)急響應(yīng)平臺建設(shè)案例背景：項目背景工業(yè)互聯(lián)網(wǎng)的快速發(fā)展加速了OT/IT網(wǎng)絡(luò)和物聯(lián)網(wǎng)融合互聯(lián)，更多的工控系統(tǒng)連接到互聯(lián)網(wǎng)，同時，工業(yè)信息安全事件頻繁發(fā)生且發(fā)生行業(yè)呈多元化趨勢，工控系統(tǒng)高危漏洞層出不窮。工業(yè)安全已得到政府監(jiān)管部門和工業(yè)企業(yè)高度重視，國家出臺了一系列政策法規(guī)，提升工業(yè)安全保障能力。在國家政策引導(dǎo)下，某能源企業(yè)公司作為大型電站、光伏發(fā)電及運維服務(wù)于一體的電力能源企業(yè)，以創(chuàng)新引領(lǐng)作為第一發(fā)展戰(zhàn)略和核心驅(qū)動力量，迫切需要在公司搭建全面領(lǐng)先的電力監(jiān)測工業(yè)互聯(lián)網(wǎng)平臺科創(chuàng)體系。27ISC2023數(shù)字安全創(chuàng)新性案例關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。某能源企業(yè)信息化建設(shè)較早，其業(yè)務(wù)安全系統(tǒng)在長期的各類專項安全建設(shè)中實現(xiàn)了安全設(shè)備的廣覆蓋，并在態(tài)勢感知的建設(shè)過程中，在態(tài)勢要素收集、態(tài)勢分析、態(tài)勢呈現(xiàn)等領(lǐng)域已經(jīng)取得初步成果，但是在關(guān)鍵的態(tài)勢處置方面，仍然處于相對初級的階段，同時缺乏能夠?qū)I(yè)控制系統(tǒng)進行全面監(jiān)控，及時預(yù)警，快速響應(yīng)的監(jiān)控一體化平臺。痛點需求1、態(tài)勢感知能力需加強：能源互聯(lián)網(wǎng)環(huán)境下，企業(yè)電力調(diào)度與監(jiān)控系統(tǒng)實際接入運行過程中普遍存在攻擊種類、方式多且頻繁，在防御過程中各類靜態(tài)和動態(tài)的實時數(shù)據(jù)監(jiān)測難以落實；同時由于該企業(yè)體量龐大，各類安全設(shè)備難以規(guī)范化，設(shè)備于設(shè)備之間難以協(xié)調(diào)，導(dǎo)致物理設(shè)備數(shù)字化水平較弱。2、安全威脅響應(yīng)不夠及時：針對關(guān)鍵性基礎(chǔ)設(shè)施的定向攻擊事件發(fā)生不斷增多，網(wǎng)絡(luò)攻擊形式日趨復(fù)雜，響應(yīng)難度也日趨增加；目前開展監(jiān)測預(yù)警、應(yīng)急處置、分析報告等工作主要采取人工方式，大量的安全設(shè)備數(shù)據(jù)之間相互獨立，運營人員需同時協(xié)調(diào)多個設(shè)備，存在響應(yīng)不及時的情況。關(guān)鍵挑戰(zhàn)：該能源企業(yè)依靠各種各類安全設(shè)備，實現(xiàn)安全告警和要素獲取，可快速發(fā)現(xiàn)安全事件和行為異常；但判斷與決策能力相對較弱，判斷階段在電力監(jiān)控系統(tǒng)中，對應(yīng)態(tài)勢分析和呈現(xiàn)，實現(xiàn)告警的基礎(chǔ)分析和聚類，初步轉(zhuǎn)換成安全事件并加以分類；決策階段在電力監(jiān)控系統(tǒng)中，需要針對安全事件的類型和影響范圍進行判斷，確定使用怎樣的流程，驅(qū)動哪些人員，調(diào)用哪些工具和設(shè)備進行處置，這些處置會否產(chǎn)生額外的安全風(fēng)險；執(zhí)行階段在電力監(jiān)控系統(tǒng)中，即根據(jù)決策的結(jié)果調(diào)用對應(yīng)的安全設(shè)備和安全工具，執(zhí)行具體操作完成安全事件處置。目前仍缺少有機統(tǒng)一平臺來實現(xiàn)整體指揮。因此，某能源企業(yè)需要通過自動化手段替代現(xiàn)有的人工決策和手動執(zhí)行手段，降低平均事件響應(yīng)時間MTTR，提升安全處置效率，使企業(yè)在攻防角力過程中不再處于被動狀態(tài)。解決高級、新型威脅帶來的影響，降低風(fēng)險造成的損失，從而簡化統(tǒng)一協(xié)同響應(yīng)流程，節(jié)省手動分析時間，真正達到主動監(jiān)測，自動化快速響應(yīng)的目標(biāo)。解決方案：南京眾智維科技信息有限公司深耕工業(yè)信息安全多年，具備深厚的安全經(jīng)驗與技術(shù)能力，形成了完善的產(chǎn)品體系，并在電力電網(wǎng)、石油石化、先進制造等多個領(lǐng)域建立工控安全實踐案例。現(xiàn)根據(jù)某能源企業(yè)安全業(yè)務(wù)流程的應(yīng)用特征，我司通過定制化安全運營平臺建設(shè)，以安全編排與自動化響應(yīng)（SOAR）+AI技術(shù)賦能，為用戶提供該項目總體解決方案設(shè)計框架，如下圖所示:圖1-1：態(tài)勢呈現(xiàn)架構(gòu)28案例提供方：眾智維科技態(tài)勢處置自動化響應(yīng)系統(tǒng)保護級阻斷遠后備保護級阻斯近后備保護級阻斷就地保護級阻斷安全業(yè)務(wù)流程自動化功能層劇本工具動作管理劇本管理事件協(xié)作劇本解析事件管理策略管理運營報告引擎層動作執(zhí)行引肇劇本引擎工作流引擎存儲層劇本動作策略案例事件情報交換層圖1-2：態(tài)勢處置架構(gòu)該能源企業(yè)使用SOAR技術(shù)構(gòu)建自己的自動化態(tài)勢處置平臺，SOAR（SecuritytionandResponse，安全編排自動化與響應(yīng)）。以安全編排與自動化為核心，并具備事件管理、威脅情報管理、儀表板和報告，以及跨功能分析。構(gòu)建適用于企業(yè)電力監(jiān)控系統(tǒng)的安全情景策略庫，用于不同保障場景和防護目標(biāo)的處理“套路”。根據(jù)不同安全場景和不同安全保障等級，可以編排組合對應(yīng)的策略。自動化響應(yīng)平臺集中指令來源、設(shè)備通道、預(yù)設(shè)腳本、結(jié)合自動下發(fā)與人工干預(yù)功能，以最快的速度定位策略執(zhí)行點，選用適合的策略預(yù)案，生成腳本，通過人工流轉(zhuǎn)或自動向安全防護設(shè)備下發(fā)執(zhí)行指令，最終實現(xiàn)安全事件響應(yīng)的自動化處置。解決方案分成業(yè)務(wù)流程自動化和自動化響應(yīng)兩個部分。業(yè)務(wù)流程自動化實現(xiàn)“Decision決策”步驟功能，從電力監(jiān)控系統(tǒng)的態(tài)勢感知平臺獲取安全事件、威脅情報，并且通過自身的工作引擎進行分析和案例推演，依照安全策略，驅(qū)動流程、劇本、動作，實現(xiàn)協(xié)同作戰(zhàn)和自動化決策；自動化響應(yīng)實現(xiàn)“Action執(zhí)行”步驟功能，依照劇本和動作的步驟，通過響應(yīng)模塊驅(qū)動各類網(wǎng)絡(luò)設(shè)備或者安全設(shè)備，實現(xiàn)自動化響應(yīng)和多種級別的自動化阻斷行為。處置流程可以按照發(fā)電企業(yè)需求定制為：所有事件需要人工確認(rèn)，所有事件自動化執(zhí)行，以及前置事件分級判斷步驟并根據(jù)安全事件等級設(shè)定不同的處置方案。方案可以為不同安全級別的事件制定不同的確認(rèn)流程、處置方法、通告方式等。本方案通過在發(fā)電網(wǎng)絡(luò)內(nèi)部署眾智維紅鯨安全協(xié)同響應(yīng)平臺（以下簡稱RedOps）的方式實現(xiàn)態(tài)勢處置能機結(jié)合的方法進行事件分析與分類，根據(jù)標(biāo)準(zhǔn)流程輔助定義、排序和驅(qū)動標(biāo)準(zhǔn)化事件響應(yīng)行為，并應(yīng)用到防圖1-3：平臺工作原理29ISC2023數(shù)字安全創(chuàng)新性案例部署方式系統(tǒng)是軟硬件一體化安全設(shè)備，設(shè)備為2U標(biāo)準(zhǔn)機架式設(shè)備，旁路接入企業(yè)區(qū)網(wǎng)絡(luò)，通過B/S方式進行管理。由于設(shè)備是態(tài)勢處置流程的核心，部署期間需要和現(xiàn)有的態(tài)勢感知平臺以及各類安全設(shè)備實現(xiàn)應(yīng)用對接；需要按照業(yè)務(wù)需求和處置預(yù)案編寫符合電力監(jiān)控系統(tǒng)需求的劇本。主要功能編排和自動化是整個系統(tǒng)的核心功能，實現(xiàn)了運營過程和流程的劇本化，安全應(yīng)用的編排化，將安全產(chǎn)品以及安全流程鏈接整合起來，通過預(yù)定義的工作流（Work?ow）和工作劇本（Playbook）來標(biāo)準(zhǔn)化事故的調(diào)查處置流程，提升威脅響應(yīng)的自動化程度和執(zhí)行效率。圖1-4：事件響應(yīng)劇本平臺具備完善的劇本管理功能，安全運營人員通過劇本庫對所有劇本進行統(tǒng)一管理，內(nèi)置通用漏洞或零日預(yù)警響應(yīng)、攻擊事件響應(yīng)、釣魚郵件處置、主機異常登錄場景、病毒告警事件、WebShell檢測告警、DNS異常日志、重大安全事件告警等通用劇本模板，且在維保期間可根據(jù)用戶需求定制化開發(fā)新劇本，劇本容量不設(shè)上限；內(nèi)置工作流引擎，以及由該工作流引擎驅(qū)動的編排器。編排器是系統(tǒng)的心臟，啟動后會自動從劇本庫中加載所有激活的劇本，并依照不同的觸發(fā)條件執(zhí)行相應(yīng)的劇本實例。工作流引擎會根據(jù)劇本的預(yù)設(shè)邏輯執(zhí)行每個活動，例如人機交互活動則調(diào)用人機接口，應(yīng)用活動則調(diào)用自動化應(yīng)用執(zhí)行引擎，自動激活相關(guān)應(yīng)用動作的執(zhí)行過程。2、AI協(xié)同作戰(zhàn)室系統(tǒng)支持創(chuàng)建或關(guān)閉作戰(zhàn)室用于協(xié)同作戰(zhàn)，可以通過作戰(zhàn)列表查看已存在（包含處理中、已解決、已關(guān)閉等各狀態(tài)）的作戰(zhàn)室，并進入作戰(zhàn)室查看歷史信息。針對作戰(zhàn)室中的每個事件，事件負(fù)責(zé)人可以快速創(chuàng)建一個針對該事件的溝通群（也叫作戰(zhàn)室）。事件負(fù)責(zé)人可以添加需要加入此溝通群的人員，快速形成一個作戰(zhàn)團隊，通常包括監(jiān)測組、研判組、處置組的成員。支持設(shè)置各個成員在作戰(zhàn)室中的角色。30案例提供方：眾智維科技圖1-5：協(xié)同作戰(zhàn)室溝通系統(tǒng)采用網(wǎng)絡(luò)安全作戰(zhàn)室語義算法技術(shù)，構(gòu)建AI智能機器人，提高結(jié)果的準(zhǔn)確性，調(diào)度劇本引擎實現(xiàn)對網(wǎng)絡(luò)安全事件觸發(fā)，當(dāng)后續(xù)類似攻擊發(fā)生時，實現(xiàn)精準(zhǔn)推送，充分利用自動化技術(shù)手段，將人、技術(shù)和流程高度協(xié)同。并支持基于安全事件的特點和行業(yè)已有的成熟解決劇本方案，使用協(xié)同過濾算法，在行業(yè)級的知識庫中進行事件關(guān)聯(lián)度特征匹配，實現(xiàn)另一個維度的協(xié)同工作。當(dāng)安全事件觸發(fā)后，網(wǎng)絡(luò)安全作戰(zhàn)室依據(jù)安全日志等進行數(shù)據(jù)分析，生成分析報告，作戰(zhàn)室的相關(guān)人員，如總指揮、作戰(zhàn)參謀和事件處置人員等做出指令決策。根據(jù)這些信息，將數(shù)據(jù)進行標(biāo)準(zhǔn)化處理，為NLP模型讀取數(shù)據(jù)打好基礎(chǔ)。相關(guān)數(shù)據(jù)讀入推薦算法模型后，參考網(wǎng)絡(luò)安全事件的知識庫，推薦出一個或多個可施行的劇本來完成相應(yīng)的工作流程。協(xié)同作戰(zhàn)模塊支持與事件模塊關(guān)聯(lián)，在生成特定事件時自動創(chuàng)建作戰(zhàn)室并拉入相關(guān)人員，且支持在作戰(zhàn)室中手動發(fā)起應(yīng)用、任務(wù)或劇本模塊。每個作戰(zhàn)室內(nèi)置一個聊天機器人，作戰(zhàn)團隊成員都可以與之進行溝通，給它派發(fā)指令，快速執(zhí)行一些基本的工作?！鞍踩呗詣”尽睂踩珜＜业慕?jīng)驗沉淀，套路化自動化，每當(dāng)有同類安全事件發(fā)生時，AI智能機器人可以根據(jù)自定義的安全策略庫自動啟動智能策略開展應(yīng)急響應(yīng)，加速工程師處置速率，為安全防護爭取時間。圖1-6：AI機器人智能對話31ISC2023數(shù)字安全創(chuàng)新性案例3、智能告警管理系統(tǒng)能夠接收來自第三方SIEM/SOC產(chǎn)品發(fā)出的告警信息；能夠接收其它第三方系統(tǒng)/設(shè)備通過syslog發(fā)出的告警信息；能夠通過K接受第三方的告警信息；支持人工錄入或者導(dǎo)入告警信息?？梢苑浅７奖愕暮碗娏ΡO(jiān)控系統(tǒng)現(xiàn)有態(tài)勢感知平臺打通，實現(xiàn)告警信息的采集。圖1-7：告警列表界面支持對告警采集、告警展示、告警關(guān)聯(lián)劇本、告警處置、告警關(guān)聯(lián)作戰(zhàn)室，內(nèi)置100+告警類型，能夠?qū)Σ煌瑏碓吹母婢畔⑦M行進行分析匹配，自動關(guān)聯(lián)任務(wù)、劇本進行處置，無需人工介入，針對較高等級安全事件支持升級到作戰(zhàn)室進行協(xié)同處置，實現(xiàn)業(yè)務(wù)運行過程中的負(fù)載信息以及監(jiān)控指標(biāo)的實時監(jiān)控與記錄，當(dāng)監(jiān)控到異常信息時，第一時間對管理人員發(fā)送告警信息，觸發(fā)告警動作后，管理人員將收到一條告警信息來提醒相關(guān)人員注意，也可以是執(zhí)行一個遠程命令或腳本來達到常見故障自動修復(fù)的目的。4、自動化事件處置事件管理能夠幫助安全運營人員對一組相關(guān)的告警按照既定的應(yīng)對措施進行流程化、持續(xù)化、協(xié)作化、全周期的調(diào)查分析與響應(yīng)處置，以及應(yīng)對措施自身的持續(xù)改進。①事件列表：系統(tǒng)能夠以列表的形式展示所有事件清單，依次展示每個事件概況，包括事件名稱、概述、類型、責(zé)任人、事件等級、發(fā)生時間、結(jié)束時間、詳細、級別、狀態(tài)、調(diào)用的劇本、動作和任務(wù)等。安全運營人員可以方便的進行事件手動添加、處置和查看事件詳情。事件處置狀態(tài)包括未處理、進行中、已完成、忽略等。②事件關(guān)聯(lián)劇本：系統(tǒng)事件模塊內(nèi)置基于規(guī)則的關(guān)聯(lián)分析引擎，能夠?qū)Σ煌瑏碓吹暮Ａ扛婢畔⑦M行分析，協(xié)助安全運營人員自動從海量告警信息中識別真正需要自動處置的類型。③事件處理：事件處理是事件管理的核心功能。安全運營人員可以持續(xù)地對事件信息進行處理，不斷豐富事件信息，并最終完成處理，積累知識和經(jīng)驗。安全運營人員可以查看事件相關(guān)的告警詳情。32案例提供方：眾智維科技系統(tǒng)可以為一個事件附帶應(yīng)對措施，以任務(wù)的形式下發(fā)給相關(guān)的責(zé)任人。各責(zé)任人可以依照任務(wù)執(zhí)行，提高事件處理的效率。任務(wù)在執(zhí)行中支持痕跡管理、標(biāo)注管理和附件管理功能，相關(guān)安全運營人員可以往事件里面添加痕跡信息，譬如IP、URL、域名、文件哈希值等關(guān)鍵信息；可以對事件進行標(biāo)注，添加各類文字信息；可以上傳相關(guān)的附件，譬如圖片、文檔、聲音、視頻等。借助這些功能，系統(tǒng)可以不斷積累該事件相關(guān)的關(guān)鍵痕跡物證和攻擊者的戰(zhàn)技規(guī)程指標(biāo)信息。系統(tǒng)提供關(guān)系圖等可視化調(diào)查分析的手段，以幫助用戶拓展相關(guān)事件的痕跡信息。對于事件中的每個痕跡，可以觸發(fā)預(yù)置的響應(yīng)動作，所有動作的執(zhí)行操作及其結(jié)果都會自動記錄，作為該事件的處置記錄。安全運營人員也可以針對事件觸發(fā)預(yù)置的編排劇本，并將相關(guān)操作和結(jié)果記錄到處置記錄中。所有事件相關(guān)的處置記錄都可以被查閱和審計。事件負(fù)責(zé)人可以隨時查看事件處理的活動記錄，并以時間線的方式進行形象展示，便于其了解事件處理的進展。事件處置完成后，事件責(zé)任人在編寫報告時，系統(tǒng)能提供編寫報告的素材，包括事件處置過程中的痕跡物證和調(diào)用劇本、動作的執(zhí)行結(jié)果等信息。④事件關(guān)聯(lián)作戰(zhàn)室：對于等級較高或新型的告警事件，支持升級到作戰(zhàn)室進行協(xié)同處置。事件響應(yīng)中的各方以聊天的方式進行實時溝通與響應(yīng)處置，支持添加、移除成員，以及設(shè)置成員在各事件作戰(zhàn)室中的角色。系統(tǒng)自動記錄協(xié)作處理中劇本、應(yīng)用和任務(wù)的執(zhí)行結(jié)果，以及整個事件處置過程的聊天記錄、證據(jù)、結(jié)論和星標(biāo)信息，便于實時查看和復(fù)盤。處置完成的事件，能在線編輯報告，系統(tǒng)提供編輯報告的素材，如事件處置過程中的調(diào)用的劇本/應(yīng)用，證據(jù)和結(jié)論等。事件通知支持自定義通知對象、創(chuàng)建通知、解決通知、手動@通知等。⑤報告管理：RedOps紅鯨平臺內(nèi)置報告編輯器，提供編輯報告的素材，包括事件或任務(wù)基本信息，事件或任務(wù)處置過程中的調(diào)用的劇本、應(yīng)用和處置模型等處置信息，以及證據(jù)和結(jié)論等痕跡信息，方便用戶進行報告的在線編寫。根據(jù)報告匯報對象，可導(dǎo)入報告模板進行編輯。報告編寫完成后，支持報告的提交和審核操作，同時報告的審批路徑支持自定義配置審核流程和審核人，審核時可以駁回到任意一級。通過報告列表

中查看各報告的發(fā)生時間、報告概述、報告附件、報告結(jié)果等信息。圖1-8：報告管理界面33ISC2023數(shù)字安全創(chuàng)新性案例創(chuàng)新性與優(yōu)勢：一是以技術(shù)先進、功能完備、面向?qū)崙?zhàn)化安全運營的安全編排自動化與響應(yīng)系統(tǒng)（SOAR）和AI技術(shù)為核心，構(gòu)建適用于電力行業(yè)多場景的網(wǎng)絡(luò)安全劇本庫、工作流、知識庫，融合行程網(wǎng)絡(luò)安全知識情報體系，幫助某能源企業(yè)將電力業(yè)務(wù)監(jiān)控系統(tǒng)態(tài)勢感知中繁雜低效的態(tài)勢處置（安全響應(yīng)）過程梳理為任務(wù)和劇本，將分散的安全工具與功能轉(zhuǎn)化為可編程的應(yīng)用和動作，將團隊、工具和流程的高度協(xié)同起來。二是基于眾智維科技自研的AI大模型“紅色衛(wèi)士RedGuard”具備豐富的安全運營處置經(jīng)驗，AI智能機器人可構(gòu)建全面的知識圖譜安全事件、降低安全運營的數(shù)據(jù)使用門檻，通過自助式服務(wù)體驗來確保安全運營流程的流暢運行，大幅減少某能源企業(yè)的人員成本于處置效率，以提高安全運營的自動化程度。應(yīng)用效果：大幅提升安全事件響應(yīng)效率RedOps系統(tǒng)的應(yīng)用提升了企業(yè)的安全生產(chǎn)業(yè)務(wù)流程綜合防護體系，對系統(tǒng)的正常穩(wěn)定運行起到了保障作用。在面對已知/未知風(fēng)險具備主動預(yù)防能力，網(wǎng)絡(luò)監(jiān)測預(yù)警功能使網(wǎng)絡(luò)安全管理從“靜態(tài)布防、邊界監(jiān)視”向“實時管控、縱深防御”轉(zhuǎn)變，整體響應(yīng)效率提高80%。多臺防火墻可同時操作，根據(jù)執(zhí)行指令的復(fù)雜性、設(shè)備數(shù)量不同，執(zhí)行效率可以提升5倍~20倍，MTTR降低50%~95%。平均效率提升8倍，平均MTTR降低80%。新技術(shù)的運用顯著增加了企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全可靠性，監(jiān)控系統(tǒng)綜合防護措施得到了有效改善。安全合規(guī)，業(yè)務(wù)保障能力穩(wěn)步提升通過部署網(wǎng)絡(luò)安全監(jiān)控運營平臺，使以前需要人工逐臺設(shè)備查看分析日志和報警信息，辨識可能存在的異常和風(fēng)險，轉(zhuǎn)變?yōu)橛砂踩O(jiān)測平臺自動采集匯聚系統(tǒng)內(nèi)各設(shè)備的安全信息，進行專業(yè)的分析處理，從而確保業(yè)務(wù)生產(chǎn)監(jiān)控系統(tǒng)安全穩(wěn)定運行。安全工具集中管控，實現(xiàn)行業(yè)內(nèi)外賦能系統(tǒng)可以納管該能源企業(yè)的安全設(shè)備，同時系統(tǒng)自帶的APP應(yīng)用超市可調(diào)用超過500種安全工具，可以為該企業(yè)提供開箱即用的安全能力與服務(wù)，包含資產(chǎn)管理、安全評估、安全加固、威脅監(jiān)控、研判分析、溯源處置、運營管理優(yōu)化等安全運營場景，將其安全能力及建設(shè)模式推廣及其他能源企業(yè)，行業(yè)賦能，可帶來客觀經(jīng)濟效益。應(yīng)用效果：遇見的問題：1、API接口打通比較花費時間，2、調(diào)研客戶處置的工作流并且繪制劇本；3、協(xié)調(diào)客戶及第三方人員，將平臺嵌入日常安全流程中使用；4、實施中發(fā)現(xiàn)不同數(shù)據(jù)源的告警接入字段非標(biāo)準(zhǔn)化，平臺識別比較繁瑣。后面平臺通過整合，形成了針對不同設(shè)備及語義的一套告警映射規(guī)則。34案例提供方：眾智維科技可優(yōu)化方面目前只接入SIEM的日志，不夠全，且解析不對，可以增加接入生產(chǎn)環(huán)境設(shè)備CIC和ATD，增加可分析告警和增加Redops可操作性，附加針對性的劇本和工作流。2、增加每日安全態(tài)勢和安全報告生成功能安全報告建議根據(jù)每日安全態(tài)勢自動生成，類似告警事件TOP10，告警類型TOP10，白