ISC數(shù)字安全創(chuàng)新性案例報(bào)告-54正式版

ISC2023ISC數(shù)字安全創(chuàng)新性案例報(bào)告CO

N目T錄EN

TS聚能安全創(chuàng)新·服務(wù)數(shù)字安全01020309131722273639454952“ISC2023數(shù)字安全創(chuàng)新性案例”入選結(jié)果公布億格云藪貓科技360數(shù)字安全集團(tuán)懸鏡安全齊安科技眾智維科技觀成科技金睛云華未嵐科技牧國科技結(jié)語聚能安全創(chuàng)新·服務(wù)數(shù)字安全——ISC2023數(shù)字安全創(chuàng)新百強(qiáng)評選活動(dòng)在這個(gè)信息化飛速發(fā)展的時(shí)代，數(shù)字安全已經(jīng)成為了國家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的關(guān)鍵支柱。隨著技術(shù)的持續(xù)進(jìn)步和應(yīng)用的廣泛擴(kuò)展，數(shù)字安全面臨的挑戰(zhàn)也日益嚴(yán)峻。在這樣的背景下，ISC2023數(shù)字安全創(chuàng)新百強(qiáng)以“聚能安全創(chuàng)新，服務(wù)數(shù)字安全”為主題，致力于搭建一個(gè)交流分享的平臺(tái)，推動(dòng)數(shù)字安全領(lǐng)域的創(chuàng)新和發(fā)展。我們期待通過這個(gè)平臺(tái)，激發(fā)更多創(chuàng)新思維、共享成功經(jīng)驗(yàn)，讓數(shù)字安全從挑戰(zhàn)轉(zhuǎn)變?yōu)槿碌臋C(jī)遇。這是一個(gè)以服務(wù)數(shù)字安全為主旨的時(shí)代，我們迫切需要前瞻性的創(chuàng)新，以確保數(shù)字社會(huì)的安全和可持續(xù)發(fā)展。因此，“聚能安全創(chuàng)新，服務(wù)數(shù)字安全”不僅僅是一個(gè)主題，它是對當(dāng)前數(shù)字安全領(lǐng)域的深入洞察，也是對未來發(fā)展方向的明確指引，更是我們面對新形勢、新挑戰(zhàn)時(shí)的行動(dòng)號召?！熬勰馨踩珓?chuàng)新”意味著集結(jié)各方力量，匯聚創(chuàng)新思維，共同推動(dòng)數(shù)字安全技術(shù)的發(fā)展。它強(qiáng)調(diào)的是一種集體的力量，一種跨界合作的精神，一種不斷探索和前進(jìn)的態(tài)度。在這個(gè)主題下，我們鼓勵(lì)和支持各行各業(yè)的企業(yè)投身到數(shù)字安全的創(chuàng)新實(shí)踐中，通過技術(shù)創(chuàng)新和模式創(chuàng)新，提升數(shù)字安全的整體水平?！胺?wù)數(shù)字安全”則是我們創(chuàng)新的最終目的，創(chuàng)新不是為了創(chuàng)新本身，而是要服務(wù)于社會(huì)，保障數(shù)字世界的安全運(yùn)行。這需要我們不僅要關(guān)注技術(shù)的先進(jìn)性，更要關(guān)乎技術(shù)的實(shí)用性和普及性，確保創(chuàng)新成果能夠真正落地，服務(wù)于客戶。本次ISC數(shù)字安全創(chuàng)新百強(qiáng)案例評選活動(dòng)就是在這樣的背景和主題下發(fā)起的，通過這次活動(dòng)，我們將深入挖掘那些突破性的案例，深入剖析這些案例的背景、實(shí)施過程、創(chuàng)新點(diǎn)以及所帶來的影響。這些案例承載著創(chuàng)新的火花，我們期望通過這些案例能夠?yàn)樽x者提供一個(gè)全面、深入的數(shù)字安全創(chuàng)新視角，為未來的數(shù)字安全發(fā)展提供借鑒與啟示。此外，ISC還為入選企業(yè)量身定制了獨(dú)特的雷達(dá)圖，這些雷達(dá)圖涵蓋了五個(gè)關(guān)鍵維度：技術(shù)創(chuàng)新能力、行業(yè)影響力、研發(fā)投入能力、經(jīng)營能力以及市場拓展能力。ISC專家團(tuán)隊(duì)將依據(jù)企業(yè)提交的詳盡數(shù)據(jù)和案例分析，進(jìn)行綜合評分，最終形成展現(xiàn)企業(yè)全方位實(shí)力的雷達(dá)圖。這些雷達(dá)圖不僅直觀地展示了企業(yè)在數(shù)字安全領(lǐng)域的綜合實(shí)力和特色，還為行業(yè)內(nèi)外的觀察者提供了一個(gè)評估和比較的工具。通過這種方式，企業(yè)可以清晰地識(shí)別自身的優(yōu)勢和潛在的改進(jìn)領(lǐng)域，同時(shí)也為投資者和合作伙伴提供了決策參考。通過這種創(chuàng)新的評估，ISC數(shù)字安全創(chuàng)新百強(qiáng)評選活動(dòng)旨在激勵(lì)企業(yè)持續(xù)推動(dòng)技術(shù)邊界，加大研發(fā)投入，優(yōu)化經(jīng)營策略，并在全球市場中擴(kuò)大影響力。這不僅是對入選企業(yè)的認(rèn)可，更是激發(fā)整個(gè)行業(yè)追求卓越的動(dòng)力。我們期待本次推出的雷達(dá)圖能夠成為企業(yè)成長的路標(biāo)，引領(lǐng)數(shù)字安全行業(yè)向更高的目標(biāo)邁進(jìn)。01ISC2023數(shù)字安全創(chuàng)新性案例“ISC2023數(shù)字安全創(chuàng)新性案例”入選結(jié)果公布序號案例提供方案例名稱1億格云小紅書基于零信任SASE辦公安全一體化解決方案三一集團(tuán)&藪貓科技-智能制造業(yè)數(shù)據(jù)安全建設(shè)案例某新零售集團(tuán)股份有限公司安全運(yùn)營服務(wù)項(xiàng)目基于代碼疫苗技術(shù)的某運(yùn)營商SCA開源治理實(shí)踐電力監(jiān)控系統(tǒng)站端運(yùn)維接入安全解決方案23藪貓科技360數(shù)字安全集團(tuán)懸鏡安全45齊安科技6眾智維科技觀成科技能源行業(yè)工業(yè)互聯(lián)網(wǎng)安全智能應(yīng)急響應(yīng)平臺(tái)建設(shè)金融行業(yè)加密業(yè)務(wù)安全運(yùn)營平臺(tái)建設(shè)項(xiàng)目78金睛云華金睛云華助力某央企高級威脅檢測能力建設(shè)9未嵐科技某證券公司網(wǎng)絡(luò)資產(chǎn)攻擊面管理平臺(tái)建設(shè)方案基于區(qū)塊鏈和人工智能技術(shù)的畜牧肉牛產(chǎn)業(yè)全流程服務(wù)平臺(tái)建設(shè)10牧聯(lián)鏈02案例提供方：億格云億格云企業(yè)定位：辦公安全一體化解決方案領(lǐng)導(dǎo)廠商企業(yè)介紹：億格云是SASE安全服務(wù)商，自主研發(fā)了SASE服務(wù)平臺(tái)—億格云樞，提供包括零信任網(wǎng)絡(luò)訪問（ZTNA）、數(shù)據(jù)防泄漏（XDLP）、威脅檢測響應(yīng)（XDR）、防病毒（EPP）、上網(wǎng)行為管理（SWG）和統(tǒng)一端點(diǎn)管理（UEM）等功能，解決企業(yè)數(shù)字化轉(zhuǎn)型過程中遇到的混合分支辦公安全、數(shù)據(jù)安全、終端安全等問題，億格云已服務(wù)超200家上市公司和獨(dú)角獸企業(yè)等在內(nèi)的行業(yè)客戶，包括吉利控股、海亮集團(tuán)、零跑汽車、小紅書、美圖、奈雪控股等多領(lǐng)域頭部企業(yè)，在多等行業(yè)得到客戶認(rèn)可。重點(diǎn)產(chǎn)品：零信任數(shù)據(jù)安全SASE平臺(tái)-億格云樞企業(yè)網(wǎng)站：http

s://www.eag

lecloud

.com企業(yè)雷達(dá)圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例小紅書基于零信任SASE辦公安全一體化解決方案案例背景：小紅書作為面向年輕人網(wǎng)絡(luò)購物和社交平臺(tái)的互聯(lián)網(wǎng)公司，員工近萬人，分布上海、北京、武漢等地，多地遠(yuǎn)程多設(shè)備成為常態(tài)，小紅書自身對數(shù)據(jù)分析和安全風(fēng)控有較好基礎(chǔ)，如何在混合辦公環(huán)境對核心數(shù)據(jù)防護(hù)同時(shí)實(shí)現(xiàn)高效靈活成為最大挑戰(zhàn)，例：①多身份角色，導(dǎo)致管控策略多樣化②多終端類型，導(dǎo)致技術(shù)方案無法復(fù)用③安全產(chǎn)品碎片化，不同環(huán)境使用差異性較大安全產(chǎn)品，無法統(tǒng)一管理，平臺(tái)兼容性差④運(yùn)維壓力大⑤多Agent導(dǎo)致用戶體驗(yàn)下降⑥混合辦公場景下遠(yuǎn)程辦公讓數(shù)據(jù)暴露面變大。03ISC2023數(shù)字安全創(chuàng)新性案例關(guān)鍵挑戰(zhàn)：01多身份角色，接入用戶多樣化導(dǎo)致訪問控制權(quán)限難管控：除了內(nèi)部員工，還有大量合作伙伴需要訪問內(nèi)網(wǎng)應(yīng)用。不同組織和人員的訪問權(quán)限劃分需要實(shí)時(shí)更新，耗費(fèi)大量精力。02多終端類型，云桌面和沙箱等方案無法適用于所有場景：如今辦公終端類型多樣化，除了常見的Windows、MacOS等PC設(shè)備，還有大量iOS、Android等移動(dòng)設(shè)備需要接入辦公，傳統(tǒng)的數(shù)據(jù)防泄漏方案無法滿足小紅書多樣化辦公設(shè)備場景。03安全產(chǎn)品碎片化：為了解決不同安全問題，需要部署多套產(chǎn)品。不同產(chǎn)品有不同的管理平臺(tái)，運(yùn)維人員需要適應(yīng)不同產(chǎn)品的設(shè)計(jì)邏輯和操作習(xí)慣，在不同產(chǎn)品控制臺(tái)之間頻繁切換，學(xué)習(xí)成本高且維護(hù)壓力大；此外，各個(gè)產(chǎn)品之間無法形成聯(lián)動(dòng)處置。04傳統(tǒng)安全產(chǎn)品開放性低：在OpenAPI和自定義分析能力方面無法靈活匹配小紅書業(yè)務(wù)，導(dǎo)致1+1＜2；且傳統(tǒng)的安全產(chǎn)品標(biāo)準(zhǔn)化交付模式，在一些細(xì)分場景下無法匹配小紅書業(yè)務(wù)，共創(chuàng)定制需求響應(yīng)慢，甚至無法完全滿足。050607終端安裝多個(gè)Agent默認(rèn)就占用大量資源，導(dǎo)致員工辦公體驗(yàn)差：傳統(tǒng)辦公安全解決方案，需要安裝VPN、EPP、EDR、DLP、UEM等多個(gè)Agent，會(huì)占用大量設(shè)備資源，影響員工辦公體驗(yàn)?；旌限k公場景下遠(yuǎn)程辦公讓數(shù)據(jù)暴露面變大：快速發(fā)展的小紅書，靈活辦公場景隨處可見?；旌限k公場景下各接入點(diǎn)的安全水位不一致，容易成為攻擊者的目標(biāo)。數(shù)據(jù)安全法律法規(guī)發(fā)布，企業(yè)敏感數(shù)據(jù)難管控：隨著《個(gè)人信息保護(hù)法》等法律法規(guī)發(fā)布，企業(yè)的敏感數(shù)據(jù)面臨監(jiān)管壓力，但如今敏感數(shù)據(jù)分布廣，獲取方式多樣，外發(fā)通道難以管控，給企業(yè)帶來了挑戰(zhàn)。解決方案：小紅書與億格云基于SASE共創(chuàng)零信任辦公與數(shù)據(jù)安全一體化解決方案：BeyondCorp與SASE能力的結(jié)合小紅書早期調(diào)研了以谷歌的BeyondCorp為代表的零信任方案，其無端的訪問方式確實(shí)帶來了極致的用戶體驗(yàn)。安全團(tuán)隊(duì)可以在網(wǎng)關(guān)上實(shí)現(xiàn)各種風(fēng)控能力，然而BeyondCorp也存在很大的缺陷：1、協(xié)議兼容性較差，只支持七層流量；2、需要對外暴露HTTP(S)服務(wù)，存在較大的攻擊面；3、缺少終端安全管控手段，無法覆蓋終端的安全問題；4、實(shí)現(xiàn)高可用需要投入大量時(shí)間、精力和成本。于是小紅書關(guān)注到近年來的零信任新趨勢，即SASE架構(gòu)，它天然彌補(bǔ)了上述幾個(gè)缺陷，分布式的POP點(diǎn)確保系統(tǒng)天然高可用，也補(bǔ)充了客戶端的安全管控能力。然而，直接使用SASE也存在弊端，無法利用小紅書自有業(yè)務(wù)網(wǎng)關(guān)優(yōu)勢，更要放棄小紅書在網(wǎng)關(guān)上積累的風(fēng)控能力，與企業(yè)內(nèi)部的數(shù)據(jù)管理脫節(jié)。04案例提供方：億格云綜合調(diào)研了各種方案后，小紅書根據(jù)自身網(wǎng)絡(luò)架構(gòu)特點(diǎn)，提出了一個(gè)創(chuàng)新的想法，將BeyondCorp與SASE能力結(jié)合，完美地滿足了終端、網(wǎng)絡(luò)和身份的安全需求。1、終端-DLP、殺毒、零信任訪問等功能AllinOne，并且支持終端安全與訪問控制策略聯(lián)動(dòng)；2、網(wǎng)絡(luò)-辦公網(wǎng)改造成非特權(quán)網(wǎng)；全球POP接入點(diǎn)實(shí)現(xiàn)高可用；3、身份-客戶端與身份綁定，并在網(wǎng)關(guān)處與請求身份匹配，解決身份盜用問題；網(wǎng)關(guān)與客戶端聯(lián)動(dòng)在以往依賴網(wǎng)關(guān)實(shí)現(xiàn)的風(fēng)控方案中，網(wǎng)關(guān)無法拿到終端的安全信息。小紅書創(chuàng)新地將網(wǎng)關(guān)風(fēng)控與客戶端聯(lián)動(dòng)，網(wǎng)關(guān)風(fēng)控能實(shí)時(shí)識(shí)別請求中是否包含客戶端信息并檢測客戶端狀態(tài)，確保終端的可信性。同時(shí)，還可在終端上實(shí)施各種安全合規(guī)策略。對于未安裝客戶端的訪問請求，網(wǎng)關(guān)風(fēng)控可將用戶跳轉(zhuǎn)到客戶端下載頁面，以低成本實(shí)現(xiàn)客戶端全員覆蓋。實(shí)時(shí)風(fēng)控和異常分析小紅書在風(fēng)控基建上持續(xù)投入了多年，建立了完善的數(shù)據(jù)安全和風(fēng)控體系。這套零信任訪問系統(tǒng)可以將4/7層日志和客戶端日志接入風(fēng)控系統(tǒng)，實(shí)現(xiàn)與風(fēng)控系統(tǒng)的無縫結(jié)合?？蛻舳瞬杉陌踩畔轱L(fēng)控系統(tǒng)添加了更多維度的數(shù)據(jù)，實(shí)現(xiàn)更加精準(zhǔn)和完善的異常分析。05ISC2023數(shù)字安全創(chuàng)新性案例紅線數(shù)據(jù)不落地小紅書從數(shù)據(jù)安全生命周期管理出發(fā)，以“不落地”實(shí)現(xiàn)紅線數(shù)據(jù)不泄露。在內(nèi)部，小紅書嚴(yán)格執(zhí)行數(shù)據(jù)分類分級/API安全/脫敏/權(quán)限管理等措施，以數(shù)據(jù)打標(biāo)和API打標(biāo)作為數(shù)據(jù)防泄露管理的起點(diǎn)。對于內(nèi)部生產(chǎn)類數(shù)據(jù)，將數(shù)據(jù)管控手段左移，通過在線轉(zhuǎn)換業(yè)務(wù)系統(tǒng)產(chǎn)生的文檔，使用在線文件取代文件下載。相比傳統(tǒng)沙箱隔離和文件加密方案，這種做法不僅安全性更高，而且員工有更好的使用體驗(yàn)。多級容災(zāi)機(jī)制整個(gè)訪問控制系統(tǒng)是串聯(lián)在訪問過程當(dāng)中，一旦出現(xiàn)故障將影響所有員工的正常辦公，所以系統(tǒng)的穩(wěn)定性是小紅書考慮的重中之重，為此小紅書與億格云創(chuàng)新性地打造了一個(gè)多級容災(zāi)方案。默認(rèn)情況下，流量通過小紅書自建的私有POP節(jié)點(diǎn)，確保流量和數(shù)據(jù)都在自己可控的網(wǎng)絡(luò)環(huán)境中。當(dāng)本地POP節(jié)點(diǎn)發(fā)生故障時(shí)，系統(tǒng)可自動(dòng)切換到億格云的公有云POP節(jié)點(diǎn)。這種容災(zāi)方案已經(jīng)可以保證超高的可用性，但是小紅書不滿足于此，在此基礎(chǔ)上還實(shí)施一層Wireguard方案，當(dāng)零信任防護(hù)模式失效時(shí)降級到VPN模式，以此實(shí)現(xiàn)更高的可用性。06案例提供方：億格云自研客戶端小紅書向員工展示自有品牌的辦公安全平臺(tái)，以增加員工對安全軟件的認(rèn)可度，同時(shí)還可以在客戶端上集成更多內(nèi)部常用的辦公功能。小紅書基于億格云的客戶端SDK，打造了一個(gè)匹配小紅書自身風(fēng)格的客戶端UI，加之便捷的辦公體驗(yàn)，實(shí)現(xiàn)其對員工的“種草”。創(chuàng)新性與優(yōu)勢：值得一提的是，這一輕量穩(wěn)定、簡潔高效的一體化“內(nèi)部安全辦公系統(tǒng)”為小紅書帶來的價(jià)值已得以顯現(xiàn)。在內(nèi)部調(diào)研中，該系統(tǒng)也獲得高達(dá)70%的NPS（口碑值）：能力一體化、管理更精細(xì)：一體化設(shè)計(jì)思路，即平臺(tái)/功能/管理一體化，大幅降低終端安全體系建設(shè)、運(yùn)行和擴(kuò)展的復(fù)雜性。管控力度更精細(xì)、權(quán)限可自動(dòng)梳理、運(yùn)維難度更低，對終端、身份、行為和數(shù)據(jù)等進(jìn)行全生命周期的精細(xì)化準(zhǔn)入管控，確保終端符合內(nèi)外部的相關(guān)準(zhǔn)入要求，做到合法合規(guī)，準(zhǔn)入可信。安全互相賦能：不僅實(shí)現(xiàn)產(chǎn)品平臺(tái)自身不同模塊之間的數(shù)據(jù)互通，更無縫銜接已有的安全能力。通過零信任平臺(tái)對接現(xiàn)有風(fēng)控系統(tǒng)，根據(jù)員工所在網(wǎng)絡(luò)環(huán)境、身份、設(shè)備歸屬（公司設(shè)備orBYOD）、設(shè)備安全性和訪問時(shí)間等維度實(shí)時(shí)動(dòng)態(tài)調(diào)整訪問控制策略。07ISC2023數(shù)字安全創(chuàng)新性案例全域數(shù)據(jù)安全管控：系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)以數(shù)據(jù)為中心、分類分級為基礎(chǔ)，為小紅書數(shù)據(jù)資產(chǎn)提供事前主動(dòng)防御、事中實(shí)時(shí)監(jiān)測、事后追蹤溯源和全程態(tài)勢感知?；跀?shù)據(jù)的全生命周期提供全方位、立體化防護(hù)。應(yīng)用效果：零信任SASE以身份為中心將原本不安全的廣域網(wǎng)和碎片化的安全能力融合，打破了企業(yè)需要部署10多個(gè)辦公安全產(chǎn)品且安全產(chǎn)品間煙囪化的現(xiàn)狀。對比單點(diǎn)采購買斷式安全產(chǎn)品堆疊的情況，采用一體化的辦公安全解決方案最大程度上實(shí)現(xiàn)了“降本增效”，無需配置單個(gè)專屬的IT工程師，為企業(yè)至少節(jié)約近40%的整體IT運(yùn)營成本?？蛻粼u價(jià)：“小紅書的安全是緊貼業(yè)務(wù)類型與發(fā)展階段演進(jìn)開展的，從內(nèi)容安全再到技術(shù)安全、網(wǎng)絡(luò)安全等方面不斷邁進(jìn)。區(qū)別于傳統(tǒng)圍繞防止黑客入侵的安全建設(shè)思路，保障數(shù)據(jù)安全以及管理訪問控制是小紅書高度關(guān)注的要點(diǎn)，防止紅線數(shù)據(jù)外泄是終態(tài)目標(biāo)。當(dāng)下，隨著數(shù)據(jù)安全等政策法規(guī)的落地，數(shù)據(jù)安全成了備受關(guān)注的領(lǐng)域，在實(shí)現(xiàn)我們防護(hù)紅線數(shù)據(jù)不外泄的核心目標(biāo)，且保障員工工作效率及體驗(yàn)，我們選擇性地舍去了傳統(tǒng)云桌面、沙箱之類比較“重”的工具?；诖?，共創(chuàng)落地零信任數(shù)據(jù)安全體系，集成至內(nèi)部安全辦公系統(tǒng)中，替代3、4個(gè)安全軟件，實(shí)現(xiàn)最小權(quán)限訪問以及數(shù)據(jù)分類分級、流轉(zhuǎn)、分發(fā)等全方位管控，這樣既有效保護(hù)紅線數(shù)據(jù)、又不影響員工效率與體驗(yàn)?！苯?jīng)驗(yàn)總結(jié)：零信任SASE一體化辦公安全解決方案同樣適用于擁有跨國業(yè)務(wù)、多分支架構(gòu)。正在數(shù)字化轉(zhuǎn)型的國央企大型集團(tuán)公司、以數(shù)據(jù)為中心的數(shù)字化企業(yè)、關(guān)心敏感數(shù)據(jù)的外泄或強(qiáng)合規(guī)需求的企業(yè)、有信創(chuàng)終端的環(huán)境的企業(yè)、有遠(yuǎn)程辦公需求的數(shù)字化企業(yè)等類型。其解決了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)所面臨的許多挑戰(zhàn)，傳統(tǒng)安全架構(gòu)主要關(guān)注網(wǎng)絡(luò)邊界的安全，而零信任SASE覆蓋了網(wǎng)絡(luò)安全、終端安全、應(yīng)用程序安全和數(shù)據(jù)安全等多個(gè)層面。提供更全面的安全保障，防止各種安全威脅的發(fā)生。SASE對企業(yè)網(wǎng)絡(luò)架構(gòu)0入侵和現(xiàn)有應(yīng)用0改造，可收斂互聯(lián)網(wǎng)暴露面，快速落地零信任安全訪問，用基于身份、持續(xù)驗(yàn)證的動(dòng)態(tài)訪問控制能力建立企業(yè)安全新邊界；同時(shí)，SASE采用云原生技術(shù)，高度的靈活性和敏捷性能夠統(tǒng)一管控辦公網(wǎng)的網(wǎng)絡(luò)和安全策略，無論分支總部，混合辦公場景下都具備全場景一致的高安全水位；借助全球加速網(wǎng)絡(luò)改善了網(wǎng)絡(luò)質(zhì)量，輕量化、穩(wěn)定、安全功能合一的客戶端以少量的資源占用實(shí)現(xiàn)對終端用戶體無打擾的網(wǎng)絡(luò)訪問和安全防護(hù)體驗(yàn)。08案例提供方：藪貓科技藪貓科技企業(yè)定位：數(shù)據(jù)安全創(chuàng)新者、下一代數(shù)據(jù)防泄漏、數(shù)據(jù)安全態(tài)勢感知、終端一體化數(shù)據(jù)管理、全生命周期數(shù)據(jù)監(jiān)測、AI大語言模型技術(shù)企業(yè)介紹：藪貓科技作為網(wǎng)絡(luò)與數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè)，依托專業(yè)安全團(tuán)隊(duì)的硬核技術(shù)，通過創(chuàng)新威脅檢測與響應(yīng)系列產(chǎn)品，打造「終端x流量」全鏈路、縱深防護(hù)體系。同時(shí)，結(jié)合滲透測試、安全審計(jì)、數(shù)據(jù)咨詢等專業(yè)服務(wù)，為企業(yè)提供下一代數(shù)據(jù)安全解決方案，讓數(shù)據(jù)更安全。重點(diǎn)產(chǎn)品：青騅DDR（DataDetection&Response）數(shù)據(jù)風(fēng)險(xiǎn)檢測與響應(yīng)產(chǎn)品、颯露紫ADR（APIDetec-tion&Response）API安全檢測與響應(yīng)產(chǎn)品、赤兔數(shù)據(jù)資產(chǎn)測繪及合規(guī)平臺(tái)、數(shù)據(jù)安全咨詢服務(wù)、數(shù)據(jù)安全攻防服務(wù)等。企業(yè)網(wǎng)站：www.cyberse?企業(yè)雷達(dá)圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例三一集團(tuán)&藪貓科技：智能制造業(yè)數(shù)據(jù)安全建設(shè)典型案例案例背景：三一集團(tuán)有限公司始創(chuàng)于1989年，業(yè)務(wù)全面涉及混凝土機(jī)械、挖掘機(jī)械、起重機(jī)械、筑路機(jī)械、樁工機(jī)械、風(fēng)電設(shè)備、港口機(jī)械、石油裝備、煤炭裝備、裝配式建筑PC等。旗下?lián)碛腥恢毓ぃ⊿H，600031）、三一國際（HK，00631）、三一重能（SH，688349）三家上市公司，同時(shí)擁有三一筑工科技有限公司能等未上市資產(chǎn)。目前三一正在實(shí)施三大戰(zhàn)略：數(shù)智化、電動(dòng)化、國際化。09ISC2023數(shù)字安全創(chuàng)新性案例三一集團(tuán)在安全評估工作中發(fā)現(xiàn)暫無有效的非結(jié)構(gòu)化識(shí)別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級工作還未開展，需要補(bǔ)充完善非結(jié)構(gòu)化數(shù)據(jù)分類分級制度以及相關(guān)工具對非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分類分級。其次，三一集團(tuán)雖然已經(jīng)部署了云桌面，實(shí)現(xiàn)了數(shù)據(jù)不落地，同時(shí)采用了網(wǎng)絡(luò)準(zhǔn)入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計(jì)來識(shí)別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)，需要采取技術(shù)措施對終端數(shù)據(jù)進(jìn)行監(jiān)控。最后，當(dāng)前三一集團(tuán)數(shù)據(jù)安全運(yùn)營管理工作，主要依賴桌面管理軟件和上網(wǎng)行為審計(jì)設(shè)備，通過人工抽查各類日志來發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過人工審查幾乎無法完成，不能覆蓋全部數(shù)據(jù)外發(fā)行為，可能存在漏審情況，需要更新數(shù)據(jù)安全運(yùn)營模式。關(guān)鍵挑戰(zhàn)：01防護(hù)能力有待提高三一集團(tuán)期望在湖南省“HW”工作中取得更好的成績，因此急需專業(yè)的團(tuán)隊(duì)提供整體安全防護(hù)能力，提升HW防守成績。同時(shí)，通過前期防護(hù)準(zhǔn)備發(fā)現(xiàn)企業(yè)存在的安全風(fēng)險(xiǎn)，為后期整體安全建設(shè)提供參考依據(jù)。02分類分級補(bǔ)充完善三一集團(tuán)通過“HW”準(zhǔn)備階段的評估工作，發(fā)現(xiàn)目前已經(jīng)開展了數(shù)據(jù)分類分級工作，建立了《研發(fā)保密制度》《三一集團(tuán)數(shù)據(jù)資產(chǎn)管理標(biāo)準(zhǔn)》以及結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分級分類管理流程。但是由于暫無有效的非結(jié)構(gòu)化識(shí)別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級工作還未開展，需要補(bǔ)充完善非結(jié)構(gòu)化數(shù)據(jù)分類分級制度以及相關(guān)工具對非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分類分級。0304終端數(shù)據(jù)監(jiān)控不足三一集團(tuán)已經(jīng)部署了云桌面，實(shí)現(xiàn)了數(shù)據(jù)不落地，同時(shí)采用了網(wǎng)絡(luò)準(zhǔn)入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計(jì)來識(shí)別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)，因此需要采取技術(shù)措施對終端數(shù)據(jù)進(jìn)行監(jiān)控。安全運(yùn)營模式創(chuàng)新當(dāng)前三一集團(tuán)數(shù)據(jù)安全運(yùn)營管理工作，主要依賴桌面管理軟件和上網(wǎng)行為審計(jì)設(shè)備，通過人工抽查各類日志來發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過人工審查幾乎無法完成，不能覆蓋全部數(shù)據(jù)外發(fā)行為，可能存在漏審情況，因此需要更新數(shù)據(jù)安全運(yùn)營模式。解決方案：基于三一集團(tuán)在“HW”防護(hù)過程中發(fā)現(xiàn)的問題，結(jié)合三一集團(tuán)對數(shù)據(jù)安全保護(hù)需求，藪貓科技公司根據(jù)自身在數(shù)據(jù)安全領(lǐng)域的認(rèn)知和經(jīng)驗(yàn)，提供數(shù)據(jù)安全咨詢服務(wù)+數(shù)據(jù)安全產(chǎn)品的整體解決方案。數(shù)據(jù)安全產(chǎn)品為藪貓科技的青騅（DDR）數(shù)據(jù)風(fēng)險(xiǎn)檢測及響應(yīng)系統(tǒng)（以下簡稱：青騅DDR系統(tǒng)）是基于智能內(nèi)容識(shí)別引擎、驅(qū)動(dòng)級終端應(yīng)用事件監(jiān)控、數(shù)據(jù)外傳風(fēng)險(xiǎn)檢測等核心自研技術(shù)所打造的終端數(shù)據(jù)防泄密產(chǎn)品。系統(tǒng)通過對敏感數(shù)據(jù)識(shí)別算法的革新和對終端軟件的深度hook，智能識(shí)別終端敏感數(shù)據(jù)內(nèi)容，全面監(jiān)控?cái)?shù)據(jù)轉(zhuǎn)移行為，針對已發(fā)生的數(shù)據(jù)泄露事件進(jìn)行及時(shí)響應(yīng)，追蹤泄密源頭，防止事件影響進(jìn)一步擴(kuò)大。同時(shí)，青騅DDR系統(tǒng)亦可幫助管理者監(jiān)控企業(yè)敏感數(shù)據(jù)使用情況，確保企業(yè)內(nèi)部敏感數(shù)據(jù)的合規(guī)合理使用，助力企業(yè)數(shù)字化轉(zhuǎn)型，保障企業(yè)知識(shí)產(chǎn)權(quán)與核心數(shù)據(jù)資產(chǎn)。青騅DDR系統(tǒng)采用B/S加C/S架構(gòu)，服務(wù)端管理采用web方式進(jìn)行訪問管理，更加靈活便捷；終端泄露防10案例提供方：藪貓科技護(hù)采用輕客戶端方式進(jìn)行管控，終端負(fù)擔(dān)更小；系統(tǒng)主要通過終端程序來完成用戶活動(dòng)捕獲和用戶操作日志摘要，系統(tǒng)管理端來完成日志和用戶活動(dòng)的集成、過濾和內(nèi)容分析，管理員可以直觀看到所有數(shù)據(jù)，也可對數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析、數(shù)據(jù)統(tǒng)計(jì)等，從而確保企業(yè)核心數(shù)據(jù)資產(chǎn)的合理使用。青騅DDR系統(tǒng)主要功能包括桌面管理、網(wǎng)絡(luò)管理和數(shù)據(jù)安全三個(gè)方面，不僅專注終端數(shù)據(jù)資產(chǎn)本身安全，同時(shí)也注重終端數(shù)據(jù)所處終端環(huán)境的安全。數(shù)據(jù)安全咨詢服務(wù)主要以數(shù)據(jù)分類分級咨詢服務(wù)為主，包含數(shù)據(jù)資產(chǎn)梳理服務(wù)、數(shù)據(jù)分類分級規(guī)范編制、數(shù)據(jù)分類分級策略制定和數(shù)據(jù)分類分級實(shí)施等內(nèi)容。首先，利用青騅DDR系統(tǒng)掃描和業(yè)務(wù)流程人工調(diào)研相結(jié)合的方式，形成數(shù)據(jù)清單。其次，結(jié)合客戶單位實(shí)際情況，明確分類分級管理過程中各方責(zé)任、操作過程、原則和方法，形成可持續(xù)的數(shù)據(jù)分類分級指導(dǎo)方法論。最后，利用數(shù)據(jù)分類分級指導(dǎo)方法進(jìn)行實(shí)踐，設(shè)計(jì)數(shù)據(jù)資產(chǎn)的分類分級策略，指導(dǎo)數(shù)據(jù)分類分級標(biāo)記工作的展開，最終形成數(shù)據(jù)分類分級清單。三一集團(tuán)數(shù)據(jù)安全建設(shè)項(xiàng)目中，整體方案分為四個(gè)建設(shè)步驟：發(fā)現(xiàn)、梳理、監(jiān)控、運(yùn)營。發(fā)現(xiàn)：青騅DDR系統(tǒng)作為數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)的基礎(chǔ)，通過桌面管理軟件推送靜默安裝3200臺(tái)DDR系統(tǒng)客戶端。此外，青騅DDR系統(tǒng)服務(wù)端與三一飛書對接實(shí)現(xiàn)組織架構(gòu)信息，并自動(dòng)將用戶賬號綁定終端。梳理：藪貓科技數(shù)據(jù)安全咨詢服務(wù)對9大業(yè)務(wù)進(jìn)行了調(diào)研分析，并結(jié)合集團(tuán)內(nèi)部的數(shù)據(jù)分類分級制度，對數(shù)據(jù)進(jìn)行分類分級。最后，將收集整理的數(shù)據(jù)分類分級規(guī)則配置到青騅DDR服務(wù)端，通過青騅DDR客戶端對終端用戶的文件進(jìn)行掃描，形成集團(tuán)數(shù)據(jù)資產(chǎn)地圖。監(jiān)控：三一集團(tuán)希望了解內(nèi)部員工終端數(shù)據(jù)的使用情況，因此使用青騅DDR客戶端對終端所有外發(fā)渠道進(jìn)行監(jiān)控，全方位感知敏感文件流動(dòng)態(tài)勢，覆蓋終端敏感數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、使用、銷毀等數(shù)據(jù)生命周期各個(gè)階段。運(yùn)營：利用青騅DDR系統(tǒng)的運(yùn)營功能更新數(shù)據(jù)安全運(yùn)營模式，通過定期對異常行為進(jìn)行研判分析，結(jié)合深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等功能，發(fā)現(xiàn)“有意”或“無意”的數(shù)據(jù)泄漏行為，同時(shí)，對在研判過程中發(fā)現(xiàn)的誤報(bào)事件進(jìn)行優(yōu)化改進(jìn)閉環(huán)，精準(zhǔn)保護(hù)集團(tuán)數(shù)據(jù)資產(chǎn)安全。創(chuàng)新性與優(yōu)勢：在資產(chǎn)發(fā)現(xiàn)、識(shí)別與梳理工作中，藪貓科技提出了數(shù)據(jù)分類分級咨詢服務(wù)與數(shù)據(jù)安全產(chǎn)品資產(chǎn)掃描相結(jié)合的方式，兩者互為補(bǔ)充，即有效地提高了數(shù)據(jù)分類分級咨詢服務(wù)實(shí)施效率，也極大地減少了單純的利用工具識(shí)別資產(chǎn)的誤報(bào)情況，快速形成了資產(chǎn)地圖。青騅DDR系統(tǒng)產(chǎn)品融合了LSTM、NER機(jī)器學(xué)習(xí)算法，對終端上識(shí)別和用戶主動(dòng)上傳的文檔進(jìn)行分詞。為滿足海量文檔的分詞工作，基于構(gòu)建詞圖的方式構(gòu)建自動(dòng)機(jī)，實(shí)現(xiàn)了O（n）時(shí)間內(nèi)完成了多模匹配，極大提升了分詞的效率。青騅DDR系統(tǒng)終端的操作系統(tǒng)事件采集模塊可通過各類接口采集目標(biāo)操作系統(tǒng)的文件、進(jìn)程、注冊表、網(wǎng)絡(luò)流量、動(dòng)態(tài)庫與內(nèi)核擴(kuò)展的加載與卸載等行為數(shù)據(jù)。這些接口可具體分為操作系統(tǒng)內(nèi)建方案（利用操作系統(tǒng)提供給第三方的各類接口信息）和非操作系統(tǒng)內(nèi)建方案（利用內(nèi)核內(nèi)聯(lián)掛鉤機(jī)制（KernelInlineHooking11ISC2023數(shù)字安全創(chuàng)新性案例Mechanism）掛接目標(biāo)函數(shù)）兩種。利用此項(xiàng)技術(shù)系統(tǒng)可深度捕獲應(yīng)用軟件的操作行為、網(wǎng)絡(luò)流量，從而實(shí)現(xiàn)數(shù)據(jù)的防泄密監(jiān)測。青騅DDR系統(tǒng)的內(nèi)核內(nèi)聯(lián)掛鉤機(jī)制具有獨(dú)家專利技術(shù)，它結(jié)合了回調(diào)架構(gòu)與內(nèi)聯(lián)掛接方案的優(yōu)點(diǎn)，可以為任意內(nèi)核或用戶態(tài)目標(biāo)添加“前操作回調(diào)處理程序”（Pre-operationCallbackHandler）以及“后操作回調(diào)處理程序”（Post-operationCallbackHandler）。前、后操作回調(diào)處理程序既可以單獨(dú)生效，也可以組合使用。該方案支持跨Windows、macOS、Linux等主流操作系統(tǒng)平臺(tái)以及Intel、AppleSilicon等硬件平臺(tái)。青騅DDR融合了多種識(shí)別瀏覽器上的數(shù)據(jù)動(dòng)態(tài)傳輸（Data-in-Motion）技術(shù)，通過精準(zhǔn)數(shù)據(jù)匹配（IDM、OCR技術(shù)等），高維度聚合，實(shí)現(xiàn)SSL加密流量檢測，解密流量，識(shí)別流量內(nèi)容；對文件上傳、下載、URLs進(jìn)行訪問控制，有效地對終端DLP基于瀏覽器防護(hù)中的敏感數(shù)據(jù)進(jìn)行攔截，實(shí)現(xiàn)多終端、多網(wǎng)絡(luò)訪問的統(tǒng)一數(shù)據(jù)防護(hù)策略。應(yīng)用效果：數(shù)據(jù)安全咨詢服務(wù)為三一集團(tuán)建立非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分類分級標(biāo)準(zhǔn)，共形成273個(gè)文件分類，并結(jié)合集團(tuán)內(nèi)部的數(shù)據(jù)分類分級制度，將數(shù)據(jù)分為公開數(shù)據(jù)、一般商秘、重要商秘、核心商秘4個(gè)安全等級，明確了重點(diǎn)保護(hù)對象，避免數(shù)據(jù)泄露和濫用，提高數(shù)據(jù)的安全性和可靠性，更好地滿足法律、監(jiān)管和合規(guī)要求，減少違規(guī)風(fēng)險(xiǎn)。在咨詢服務(wù)形成的分類分級規(guī)則的基礎(chǔ)上，青騅DDR系統(tǒng)通過資產(chǎn)掃描、分類分級和泄露管控等功能，完成終端數(shù)據(jù)測繪，并通過監(jiān)控和識(shí)別敏感數(shù)據(jù)外發(fā)行為，及時(shí)發(fā)現(xiàn)和阻止員工將敏感數(shù)據(jù)泄露給外部人員，保護(hù)企業(yè)的商業(yè)秘密。青騅DDR系統(tǒng)提供的包含渠道管控、郵件管控、代碼管控、數(shù)據(jù)行為等多維度可視化儀表盤，便于安全人員全面掌握企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)全狀況，提升安全可見性。為安全決策提供數(shù)據(jù)支撐，便于安全人員全面掌握企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)狀況，滿足日常安全運(yùn)營的需求。在HW防守準(zhǔn)備階段梳理分析發(fā)現(xiàn)非結(jié)構(gòu)化數(shù)據(jù)使用存在安全風(fēng)險(xiǎn)，針對發(fā)現(xiàn)的風(fēng)險(xiǎn)借助數(shù)據(jù)安全咨詢服務(wù)制定了解決方案，方案落地分為管理和技術(shù)兩方面，管理方面通過調(diào)研梳理完善非結(jié)構(gòu)化數(shù)據(jù)識(shí)別規(guī)則，技術(shù)方面采取數(shù)據(jù)防泄漏工具對非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行識(shí)別、監(jiān)控、告警，確保非結(jié)構(gòu)化數(shù)據(jù)安全，提高發(fā)現(xiàn)解決問題的綜合能力。數(shù)據(jù)分類分級服務(wù)和青騅DDR系統(tǒng)的建設(shè)有效保護(hù)客戶提供的數(shù)據(jù)資產(chǎn)，使得客戶更加信任企業(yè)，從而提高企業(yè)的競爭力。12案例提供方：360數(shù)字安全集團(tuán)360數(shù)字安全集團(tuán)企業(yè)定位：上山下海助小微，以安全+AI服務(wù)國家數(shù)字化戰(zhàn)略企業(yè)介紹：360數(shù)字安全集團(tuán)是數(shù)字安全的領(lǐng)導(dǎo)者，秉持“上山下海助小微”的企業(yè)使命，確立安全和AI發(fā)展雙主線。在安全領(lǐng)域，形成以“看見”為核心的數(shù)字安全中國方案，基于安全即服務(wù)理念，將這套方案通過360安全云賦能城市、大型企業(yè)、中小微企業(yè)。在人工智能領(lǐng)域，推出360安全大模型，率先實(shí)現(xiàn)AI實(shí)戰(zhàn)應(yīng)用，解決傳統(tǒng)安全和大模型安全問題。重點(diǎn)產(chǎn)品：360安全云、360安全大模型、360本地安全大腦、360終端安全管理系統(tǒng)企業(yè)網(wǎng)站：https://360.net/企業(yè)雷達(dá)圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例某新零售集團(tuán)股份有限公司安全運(yùn)營服務(wù)項(xiàng)目案例背景：隨著數(shù)字化轉(zhuǎn)型加速，零售行業(yè)的經(jīng)營模式正在發(fā)生著巨大的變化，越來越多的零售企業(yè)將業(yè)務(wù)轉(zhuǎn)向了線上，通過大數(shù)據(jù)和互聯(lián)網(wǎng)重構(gòu)“人、貨、場”等商業(yè)要素形成新的商業(yè)業(yè)態(tài)，形成線上線下相結(jié)合的新零售模式。作為大型、綜合、創(chuàng)新型家居零售商，某新零售集團(tuán)股份有限公司已搭建全國線下零售網(wǎng)絡(luò)，并率先在家具行業(yè)內(nèi)開展數(shù)字化轉(zhuǎn)型，以場景化、客戶體驗(yàn)感、線上線下融合帶來全新消費(fèi)方式變革，打造實(shí)體店第二增長曲線。隨著新零售從線下走到線上，從終端、網(wǎng)站走向APP、小程序等多渠道，面對日漸復(fù)雜的網(wǎng)絡(luò)環(huán)境和不斷增多的數(shù)字資產(chǎn)，針對新零售業(yè)務(wù)的攻擊手段變得更加多樣化、復(fù)雜化，企業(yè)面臨的安全風(fēng)險(xiǎn)也呈幾何倍數(shù)增長，一旦被攻破將帶來極大的損失。如何保障全渠道的業(yè)務(wù)安全，也成為新零售企業(yè)的難題。13ISC2023數(shù)字安全創(chuàng)新性案例關(guān)鍵挑戰(zhàn)：客戶在擁抱數(shù)字化的過程中，初步建立安全防御機(jī)制，已具備一定的風(fēng)險(xiǎn)防范能力，能夠抵御一定的黑客攻擊。但是缺乏全網(wǎng)安全監(jiān)測手段，缺乏針對勒索攻擊的專項(xiàng)安全防護(hù)，難以掌握全局安全狀況。基于此，客戶希望建設(shè)一套安全運(yùn)營防護(hù)體系，保障全國終端門店、線上平臺(tái)以及業(yè)務(wù)系統(tǒng)安全。解決方案：云端服務(wù)團(tuán)隊(duì)360

安全云本客戶側(cè)360安全云：圖中上半部分由360安全云產(chǎn)品和云端安全運(yùn)營服務(wù)團(tuán)隊(duì)組成，360安全云團(tuán)隊(duì)為本項(xiàng)目客戶所提供的安全運(yùn)營服務(wù)是在360安全云賦能下，基于360安全運(yùn)營數(shù)字化協(xié)作平臺(tái)和云端多層級專業(yè)化運(yùn)營服務(wù)團(tuán)隊(duì)保障和持續(xù)的服務(wù)質(zhì)量監(jiān)督機(jī)制，為客戶提供不同安全場景下的安全即服務(wù)。用戶側(cè)：圖中下半部分主要由360安全云服務(wù)所依賴的各類安全工具以及本地服務(wù)團(tuán)隊(duì)組成。其中各類安全工具，用于支撐不同安全即服務(wù)的服務(wù)內(nèi)容，各項(xiàng)服務(wù)所產(chǎn)生的安全運(yùn)營數(shù)據(jù)將上報(bào)到360安全云的安全運(yùn)營數(shù)字化協(xié)作平臺(tái)，然后由云端服務(wù)團(tuán)隊(duì)按照標(biāo)準(zhǔn)服務(wù)流程開展安全運(yùn)營。關(guān)于本地服務(wù)團(tuán)隊(duì)，主要針對客戶側(cè)有自有安全技術(shù)人員和項(xiàng)目管理人員的情況，通過360安全云體系化培訓(xùn)賦能，經(jīng)360安全云考核認(rèn)證的人員，作為用戶側(cè)的本地服務(wù)人員與云端服務(wù)團(tuán)隊(duì)開展云地協(xié)同，解決最后一公里的安全事件閉環(huán)的問題，共同為客戶提供高質(zhì)量的安全運(yùn)營服務(wù)。本項(xiàng)目所提供的安全即服務(wù)內(nèi)容：為保證客戶全國數(shù)百家門店安全，360安全云提供終端安全托管服務(wù)和網(wǎng)絡(luò)威脅監(jiān)測服務(wù)，由360安全專家對終端系統(tǒng)和網(wǎng)絡(luò)流量的告警進(jìn)行研判分析，通過識(shí)別有效告警并將潛在威脅事件升級為工單及時(shí)通知客戶；數(shù)字資泄露監(jiān)測服務(wù)則通過自動(dòng)化持續(xù)監(jiān)測預(yù)警該公司的風(fēng)險(xiǎn)事件，幫助客戶掌握自身數(shù)據(jù)泄露情況和受影響面。提及客戶的線上業(yè)務(wù)，360安全云的網(wǎng)站威脅監(jiān)測服務(wù)通過對其網(wǎng)站的漏洞威脅、網(wǎng)頁篡改、網(wǎng)站可用性等進(jìn)行實(shí)時(shí)監(jiān)測，配合安全專家的分析研判，及時(shí)將造成影響的安全事件報(bào)告給客戶，進(jìn)而阻斷威脅。互聯(lián)網(wǎng)暴露面監(jiān)測服務(wù)持續(xù)跟進(jìn)互聯(lián)網(wǎng)風(fēng)險(xiǎn)暴露情況，主動(dòng)開展外部攻擊面管理，避免被攻擊者非法利用。14案例提供方：360數(shù)字安全集團(tuán)此外，考慮到零售行業(yè)易遭受勒索攻擊，360安全云為客戶提供了勒索攻擊安全托管服務(wù)，使用專項(xiàng)勒索攻擊監(jiān)測工具，幫助客戶驗(yàn)證和提升現(xiàn)有防護(hù)體系應(yīng)對勒索攻擊的防護(hù)能力。同時(shí)，贈(zèng)送防勒索險(xiǎn)服務(wù)，覆蓋投保前、投保期間和出險(xiǎn)期間，全方位為客戶提供風(fēng)險(xiǎn)管理服務(wù)。創(chuàng)新性與優(yōu)勢：創(chuàng)新性提出“管家式”端到端的服務(wù)新模式，高效構(gòu)建安全體系，低成本獲得安全能力360安全云采用先進(jìn)的安全云技術(shù)，把服務(wù)于國家的高位安全能力賦能給廣大政企，開創(chuàng)“軟、硬件免費(fèi)，服務(wù)收費(fèi)”的網(wǎng)絡(luò)安全商業(yè)模式先河，以7×24小時(shí)的遠(yuǎn)程運(yùn)營服務(wù)形式，幫助客戶實(shí)現(xiàn)全天候、全方位的威脅監(jiān)測。通過實(shí)時(shí)發(fā)現(xiàn)和處置安全風(fēng)險(xiǎn)，為廣大政企單位構(gòu)建了一道堅(jiān)實(shí)的數(shù)字安全屏障。這種創(chuàng)新性的服務(wù)模式能夠?yàn)橛脩籼峁┏掷m(xù)的安全保障，確保業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運(yùn)行。解決了安全運(yùn)營工作協(xié)同難、處置慢難題，實(shí)現(xiàn)了全網(wǎng)資源“超鏈接”業(yè)界當(dāng)前的托管安全運(yùn)營多是通過安全運(yùn)營分析平臺(tái)進(jìn)行研判分析，IM通信通知事件，郵箱推送報(bào)告，三者相互獨(dú)立、信息割裂，事件通知缺少上下文，報(bào)告存儲(chǔ)混亂易流失，導(dǎo)致運(yùn)營工作協(xié)同難、處置慢。360基于業(yè)內(nèi)獨(dú)有的統(tǒng)一運(yùn)營協(xié)作平臺(tái)-推推，創(chuàng)新性實(shí)現(xiàn)了以一套安全協(xié)同平臺(tái)打通全網(wǎng)安全數(shù)據(jù)，連接多方人員與資源，包含企業(yè)管理領(lǐng)導(dǎo)、企業(yè)技術(shù)人員、360實(shí)戰(zhàn)化安全團(tuán)隊(duì)、用戶資產(chǎn)、生態(tài)渠道等，實(shí)現(xiàn)安全運(yùn)營流程流轉(zhuǎn)互通、多方人員溝通、安全工作協(xié)同。此外，通過智能的告警處置機(jī)制、強(qiáng)大的腳本知識(shí)庫、交互式的用戶運(yùn)營體驗(yàn)，可追溯的安全運(yùn)營過程，可視化的安全運(yùn)營成果，保姆式的專家集梯隊(duì)為客戶提供7×24小時(shí)常態(tài)化安全運(yùn)營服務(wù)，真正實(shí)現(xiàn)一套平臺(tái)解決用戶90%以上的安全問題?；谌蝾I(lǐng)先的海量安全大數(shù)據(jù)支撐，首創(chuàng)“云查殺”技術(shù)，解決了本地安全視野局限、安全能力上限低的問題在360全網(wǎng)數(shù)字安全大腦的賦能下，360安全云以2EB海量安全大數(shù)據(jù)（其中包括總量180億+惡意網(wǎng)址、5萬億+存活網(wǎng)址、樣本文件300億+、700億+DNS解析記錄等）為基礎(chǔ)，依托360在終端、流量、網(wǎng)站、云端、威脅情報(bào)能力、云查殺能力、漏洞、測繪、沙箱、安全DNS、APT、移動(dòng)端等多維度、多場景的數(shù)據(jù)聚合分析，形成了全面的、完整的威脅認(rèn)知和情報(bào)數(shù)據(jù)體系，為用戶提供了高位視角主動(dòng)防護(hù)與監(jiān)測，幫助客戶構(gòu)筑持續(xù)、主動(dòng)、閉環(huán)的安全運(yùn)營能力。AI賦能數(shù)字安全防護(hù)體系，極大提升了網(wǎng)絡(luò)安全運(yùn)營的自動(dòng)化、實(shí)戰(zhàn)化能力面對海量的數(shù)據(jù)及安全告警，360安全云依托領(lǐng)先的人工智能技術(shù)優(yōu)化降噪模型，篩選出高價(jià)值安全事件，全面提高用戶的安全運(yùn)營效率；此外，360安全云還在平臺(tái)上內(nèi)置安全運(yùn)營百事通AI功能，為用戶及運(yùn)營服務(wù)人員提供人機(jī)協(xié)作服務(wù)模式（例如：智能統(tǒng)計(jì)報(bào)表、智能生成報(bào)告、智能分析、智能處置、智能問答等），不斷提升運(yùn)營服務(wù)人員的服務(wù)能力，保障運(yùn)營服務(wù)高質(zhì)量交付。關(guān)鍵挑戰(zhàn)：實(shí)際應(yīng)用效果15ISC2023數(shù)字安全創(chuàng)新性案例1、終端安全托管服務(wù)：截至目前，360安全云查殺病毒攻擊數(shù)量30多個(gè)，監(jiān)測高危漏洞數(shù)量9000多個(gè)；2、網(wǎng)絡(luò)威脅監(jiān)測服務(wù)：截至目前，360安全云分析網(wǎng)絡(luò)攻擊事件14000余件，其中嚴(yán)重級別的網(wǎng)絡(luò)攻擊事件190余件，涉及弱口令安全事件170余個(gè)，調(diào)優(yōu)設(shè)備規(guī)則8條；3、數(shù)字資產(chǎn)泄露監(jiān)測服務(wù)：截至目前，360安全云共發(fā)現(xiàn)542個(gè)數(shù)據(jù)泄漏點(diǎn)。發(fā)現(xiàn)54個(gè)敏感信息泄露點(diǎn)，其中25個(gè)存在非法獲利現(xiàn)象；4、網(wǎng)站威脅監(jiān)測服務(wù)：截至目前，360安全云共發(fā)現(xiàn)2個(gè)網(wǎng)站安全漏洞；5、互聯(lián)網(wǎng)暴露面監(jiān)測服務(wù)：截至目前，360安全云幫助客戶梳理互聯(lián)網(wǎng)資產(chǎn)800多個(gè)，涉及網(wǎng)站、域名、IP、端口、應(yīng)用組件、公眾號、小程序等資產(chǎn)類型，通過與客戶溝通，及時(shí)收斂不必要對外開放的資產(chǎn)26個(gè)；6、勒索攻擊安全托管服務(wù)：截至目前，在360安全云保護(hù)下的終端未發(fā)生成功勒索攻擊事件，相關(guān)防勒索保險(xiǎn)暫未觸發(fā)賠付。客戶評價(jià)客戶負(fù)責(zé)人表示：“360安全云所提供的數(shù)字安全托管運(yùn)營服務(wù)可以自動(dòng)監(jiān)測我們?nèi)珖鏖T店和線上業(yè)務(wù)系統(tǒng)，定期輸出報(bào)告，大大減輕了我們的運(yùn)維壓力，贈(zèng)送的防勒索保險(xiǎn)也進(jìn)一步為我們的業(yè)務(wù)兜底，做到了花了錢，就看得到效果，真正為效果買單！”經(jīng)濟(jì)效益通過減少安全事件、提高業(yè)務(wù)流轉(zhuǎn)效率和降低運(yùn)營成本，該項(xiàng)目為客戶帶來顯著的經(jīng)濟(jì)效益，實(shí)現(xiàn)降本增效。360安全云服務(wù)開創(chuàng)了新的商業(yè)模式：軟硬件免費(fèi)、為服務(wù)買單。在這一新的商業(yè)模式下，一般規(guī)模企業(yè)每年費(fèi)用在十幾萬到幾十萬之間，是傳統(tǒng)集成建設(shè)模式的1/3-1/4，安全投資大幅下降。通過實(shí)際應(yīng)用，滿足用戶相同需求的前提下，只需要傳統(tǒng)安全投入的30%，企業(yè)僅需要為數(shù)字安全最有價(jià)值的：人、數(shù)據(jù)、運(yùn)營能力買單。經(jīng)驗(yàn)總結(jié)：溝通的頻次和形式仍需加強(qiáng)，針對服務(wù)過程發(fā)現(xiàn)的緊急情況，除安全運(yùn)營平臺(tái)本身的預(yù)警機(jī)制外，采取電話或者郵件形式的溝通。主動(dòng)服務(wù)的頻次和形式仍需要加強(qiáng)，定期主動(dòng)詢問客戶是否需要技術(shù)支持或其他事項(xiàng)協(xié)助。增加服務(wù)工具，包括不僅限于公司自有產(chǎn)品、產(chǎn)品以及自研、開源的工具，更好地提升服務(wù)效果。16案例提供方：懸鏡安全懸鏡安全企業(yè)定位：數(shù)字供應(yīng)鏈安全開拓者、DevSecOps敏捷安全領(lǐng)導(dǎo)者企業(yè)介紹：懸鏡安全，起源于子芽創(chuàng)立的北京大學(xué)網(wǎng)絡(luò)安全技術(shù)研究團(tuán)隊(duì)”XMIRROR”，作為數(shù)字供應(yīng)鏈安全開拓者和DevSecOps敏捷安全領(lǐng)導(dǎo)者，始終專注于以“代碼疫苗”技術(shù)為內(nèi)核，憑借原創(chuàng)專利級”全流程數(shù)字供應(yīng)鏈安全賦能平臺(tái)+敏捷安全工具鏈+供應(yīng)鏈安全情報(bào)預(yù)警服務(wù)”的第三代DevSecOps數(shù)字供應(yīng)鏈安全管理體系，創(chuàng)新賦能金融、車聯(lián)網(wǎng)、通信、能源、政企、智能制造和泛互聯(lián)網(wǎng)等行業(yè)用戶，構(gòu)筑起適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來架構(gòu)演進(jìn)的共生積極防御體系，持續(xù)守護(hù)中國數(shù)字供應(yīng)鏈安全。重點(diǎn)產(chǎn)品：源鑒SCA開源威脅管控平臺(tái)、靈脈IAST灰盒安全測試平臺(tái)、靈脈SAST白盒代碼審計(jì)平臺(tái)、云鯊RASP自適應(yīng)云防御平臺(tái)、靈脈PTE自動(dòng)化滲透測試平臺(tái)、云脈XSBOM供應(yīng)鏈安全情報(bào)預(yù)警服務(wù)、夫子SCS數(shù)字供應(yīng)鏈安全管理平臺(tái)、OpenSCA社區(qū)企業(yè)網(wǎng)站：/企業(yè)雷達(dá)圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例基于代碼疫苗技術(shù)的某運(yùn)營商SCA開源治理實(shí)踐案例背景：隨著數(shù)字應(yīng)用的高速發(fā)展，開源軟件已被各行各業(yè)廣泛應(yīng)用。然而開源軟件同樣引入了安全風(fēng)險(xiǎn)，近年來全球范圍內(nèi)有關(guān)軟件供應(yīng)鏈安全的攻擊事件層出不斷，Apachelog4j2漏洞的爆發(fā)更進(jìn)一步推動(dòng)開源領(lǐng)域風(fēng)險(xiǎn)治理工作，讓行業(yè)乃至國家認(rèn)識(shí)到了問題的嚴(yán)重性。17ISC2023數(shù)字安全創(chuàng)新性案例某運(yùn)營商軟件研究院（以下簡稱用戶）是集團(tuán)提升自主研發(fā)能力的重要戰(zhàn)略部署，負(fù)責(zé)集團(tuán)業(yè)務(wù)支撐系統(tǒng)、管理支撐系統(tǒng)、前瞻性IT研究等集團(tuán)重點(diǎn)任務(wù)。為進(jìn)一步深入落實(shí)集團(tuán)“1+9+3”戰(zhàn)略規(guī)劃、筑牢數(shù)字化發(fā)展防線，結(jié)合現(xiàn)有軟件項(xiàng)目使用開源代碼的比例逐步提高的現(xiàn)狀，該用戶引入懸鏡源鑒SCA開源威脅管控平臺(tái)，同時(shí)制定企業(yè)內(nèi)部開源組件基線規(guī)則、保證開源組件引入的規(guī)范，建立內(nèi)部開源治理建設(shè)體系。關(guān)鍵挑戰(zhàn)：開源組件大規(guī)模使用，安全風(fēng)險(xiǎn)加劇該用戶過去在長期的業(yè)務(wù)系統(tǒng)建設(shè)中引入了大量開源軟件，如K8S、Ceph、Contiv、Istio、Redis、Ka?a等，這些軟件的引入雖然解決了IT系統(tǒng)建設(shè)難題、節(jié)省了開發(fā)成本，自身卻往往存在著大量安全漏洞，且開源軟件大部分情況下缺少相應(yīng)的付費(fèi)服務(wù)和運(yùn)維支持，而用戶本身的技術(shù)人員數(shù)量及能力都有一定限制，導(dǎo)致開源軟件相關(guān)漏洞問題解決困難。此外，由于該用戶過往未制定相應(yīng)的開源組件使用規(guī)范，各個(gè)系統(tǒng)引入的開源軟件復(fù)雜多樣，存在大量老舊、廢棄版本等情況，開發(fā)人員在開發(fā)過程中未能關(guān)注開源組件的漏洞情況，導(dǎo)致已有的開源組件安全漏洞反復(fù)出現(xiàn)，由開源軟件直接或間接引發(fā)的故障占比較高。開源組件資產(chǎn)難以統(tǒng)計(jì)第三方軟件供應(yīng)商一般不會(huì)說明其產(chǎn)品中是否涉及開源代碼，甚至對用戶號稱完全自主研發(fā)，用戶很可能被動(dòng)引入開源軟件。此外，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發(fā)過程中，如果企業(yè)并未對源代碼進(jìn)行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過程中使用了開源代碼片段。同時(shí)，對運(yùn)營商而言，存量軟件及代碼的規(guī)模相對更加龐大，因此，用戶想要完全準(zhǔn)確統(tǒng)計(jì)企業(yè)內(nèi)引入開源軟件的數(shù)目及真實(shí)情況在操作層面存在一定困難。開源許可證隱含的法律風(fēng)險(xiǎn)較為顯著每一個(gè)開源軟件都會(huì)通過開源許可證規(guī)定其使用范圍和權(quán)利義務(wù)，用戶在很多情況并不能明確得知該軟件是否遵守了開源許可證的要求。一旦違反開源許可證規(guī)定，極有可能面臨法律制裁和知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)。解決方案：根據(jù)用戶在開源軟件漏洞檢測、軟件成分分析、軟件許可管理、軟件物料管理等各方面的要求，結(jié)合現(xiàn)有軟件項(xiàng)目使用開源代碼的比例逐步提高的現(xiàn)狀，該用戶通過源鑒SCA重點(diǎn)建設(shè)了內(nèi)部開源組件版本基線使用規(guī)則，對開源組件的漏洞、許可證信息等進(jìn)行掃描，實(shí)現(xiàn)內(nèi)部體系化治理：1、首先建立完善的組件選型機(jī)制，參考社區(qū)活躍程度、組件更新間隔時(shí)間、組件更新頻率、是否仍持續(xù)更新以及開源許可證等多個(gè)維度輔助考量開源組件的版本基線范圍設(shè)置；2、其次，建立企業(yè)內(nèi)部私服組件庫，設(shè)置私服庫入庫和出庫規(guī)則，通過開源安全工具掃描后方可出入庫；3、最后，結(jié)合在流水線構(gòu)建階段的基線阻斷配置，通過在流水線構(gòu)建過程中實(shí)時(shí)進(jìn)行開源組件安全檢測，若檢測應(yīng)用不符合開源組件基線使用規(guī)則，則阻斷流水線的構(gòu)建過程。18案例提供方：懸鏡安全圖1源鑒SCA架構(gòu)圖圖2源鑒SCA部署圖19ISC2023數(shù)字安全創(chuàng)新性案例創(chuàng)新性與優(yōu)勢：采用首創(chuàng)代碼疫苗技術(shù)：本解決方案采用的核心技術(shù)為代碼疫苗技術(shù)，代碼疫苗技術(shù)旨將智能風(fēng)險(xiǎn)檢測和積極防御邏輯注入到運(yùn)行時(shí)的數(shù)字應(yīng)用中，如同疫苗一般與應(yīng)用載體融為一體，突破性地使其實(shí)現(xiàn)對潛在風(fēng)險(xiǎn)的自發(fā)現(xiàn)和對未知威脅的自免疫。代碼疫苗技術(shù)基于插樁技術(shù)實(shí)現(xiàn)，創(chuàng)新性地統(tǒng)一融合了IAST（交互式應(yīng)用安全測試）、SCA（軟件成分分析）、RASP（運(yùn)行時(shí)應(yīng)用自保護(hù)）、DRA（數(shù)據(jù)風(fēng)險(xiǎn)評估）、API分析、APM監(jiān)控等能力，即一個(gè)探針插樁即可在數(shù)字供應(yīng)鏈的不同階段中實(shí)現(xiàn)不同能力與效果的安全檢測并防御多種攻擊風(fēng)險(xiǎn)，做到了數(shù)字供應(yīng)鏈全生命周期的安全保障，且可輕松適配多業(yè)務(wù)場景，輕量級地實(shí)現(xiàn)了數(shù)字供應(yīng)鏈的安全檢測與防御。作為代碼疫苗技術(shù)的核心，函數(shù)級單探針以插樁實(shí)現(xiàn)植入在應(yīng)用內(nèi)存上下文之中，既能夠在軟件開發(fā)測試環(huán)節(jié)里通過IAST對軟件安全風(fēng)險(xiǎn)進(jìn)行智能檢測，精準(zhǔn)定位API安全風(fēng)險(xiǎn)和缺陷，有效解決運(yùn)行時(shí)API中敏感數(shù)據(jù)流動(dòng)的追蹤問題，又能夠在軟件部署和運(yùn)營環(huán)節(jié)通過RASP實(shí)現(xiàn)軟件風(fēng)險(xiǎn)自免疫，提供閉環(huán)的數(shù)字供應(yīng)鏈安全檢測與防御能力。國內(nèi)首款多引擎SCA產(chǎn)品：源鑒SCA是國內(nèi)首款集源碼級組件依賴檢測引擎、源代碼同源檢測引擎、二進(jìn)制成分分析引擎、容器鏡像檢測引擎及運(yùn)行態(tài)組件檢測的多核心引擎驅(qū)動(dòng)的SCA產(chǎn)品。相比于傳統(tǒng)的SCA檢測平臺(tái)，源鑒SCA基于運(yùn)行態(tài)的代碼級開源軟件成分檢測，可以在應(yīng)用運(yùn)行過程中基于請求、代碼、數(shù)據(jù)流、控制流綜合分析判斷漏洞，漏洞測試準(zhǔn)確性高；安全漏洞既可定位到代碼行，還可以得到完整的請求和響應(yīng)信息、完整的數(shù)據(jù)流和堆棧信息，便于定位、修復(fù)和驗(yàn)證安全漏洞。深度流程融合DevOps，加速安全開發(fā)：源鑒SCA支持與DevOps流程無縫結(jié)合，在流水線的相應(yīng)階段自動(dòng)發(fā)現(xiàn)應(yīng)用程序中的開源組件，提供關(guān)鍵的版本控制和使用信息，并在DevOps的任何階段檢測到漏洞風(fēng)險(xiǎn)和策略風(fēng)險(xiǎn)時(shí)觸發(fā)警報(bào)。所有信息通過安全和開發(fā)團(tuán)隊(duì)所使用的平臺(tái)工具實(shí)時(shí)推送，整個(gè)過程無需安全專家介入，全程不改變原有開發(fā)流程、無需額外安全測試時(shí)間投入，滿足敏捷開發(fā)和DevOps模式下軟件產(chǎn)品快速迭代、快速交付的需求。智能大數(shù)據(jù)實(shí)時(shí)推送供應(yīng)鏈安全情報(bào)預(yù)警：源鑒SCA的漏洞信息兼容OWASPTOP10、國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平臺(tái)（CNVD）及CWE標(biāo)準(zhǔn)，基于精確、全面的軟件物料清單梳理和AI大數(shù)據(jù)分析引擎，實(shí)現(xiàn)7*24全網(wǎng)數(shù)字供應(yīng)鏈安全動(dòng)態(tài)監(jiān)測與溯源分析，智能推送數(shù)字供應(yīng)鏈投毒攻擊、組件缺陷與失效和開源許可證風(fēng)險(xiǎn)，讓用戶及時(shí)獲取影響其安全的最新開源組件漏洞和許可證風(fēng)險(xiǎn)情報(bào)。應(yīng)用效果：全面降低開源組件引入風(fēng)險(xiǎn)：20案例提供方：懸鏡安全方案建設(shè)落地后，該用戶建立了內(nèi)部的開源組件使用規(guī)范，研發(fā)人員在開源組件的引入及使用過程中即可確定組件的安全版本范圍，在研發(fā)早期階段規(guī)避了開源組件漏洞的引入，大大降低了開源組件漏洞修復(fù)成本，有效減少了業(yè)務(wù)上線時(shí)開源組件引入的風(fēng)險(xiǎn)。組件級資產(chǎn)測繪及臺(tái)賬可視化：源鑒SCA開源威脅管控平臺(tái)自動(dòng)化梳理軟研院業(yè)務(wù)系統(tǒng)的組件資產(chǎn)，從企業(yè)、部門、項(xiàng)目及任務(wù)等多角度分析組件的影響范圍和依賴關(guān)系，通過可視化拓?fù)鋱D多維度展示DSDXSBOM清單，實(shí)現(xiàn)對軟件物料清單的透明化管理，同時(shí)在安全事件發(fā)生時(shí)也能及時(shí)回溯風(fēng)險(xiǎn)組件的位置及影響范圍，為解決組件風(fēng)險(xiǎn)快速提供依據(jù)。構(gòu)筑開源風(fēng)險(xiǎn)治理體系：該用戶基于源鑒SCA的開源治理能力建立了企業(yè)級平臺(tái)，可對各類型采購、自研、軟件資產(chǎn)進(jìn)行梳理和安全審查，進(jìn)一步在內(nèi)部建立開源治理組織架構(gòu)，制定配套的開源治理管理制度和規(guī)范，逐步構(gòu)筑起比較完備的開源風(fēng)險(xiǎn)治理體系，規(guī)范開源軟件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，進(jìn)而提升開源治理能力。經(jīng)驗(yàn)總結(jié)：該項(xiàng)目的實(shí)施幫助用戶構(gòu)建了企業(yè)級的開源治理平臺(tái)、院級的軟件物料清單，引入了證書以及安全的檢測能力等，完成了開源治理底座能力的建設(shè)，助力治理工作的有效實(shí)施落地。開源治理并非一蹴而就，除了技術(shù)工具的使用外，用戶還應(yīng)當(dāng)在組織架構(gòu)、管理制度、人員意識(shí)等方面持續(xù)完善，打造常態(tài)化的系統(tǒng)工程。21ISC2023數(shù)字安全創(chuàng)新性案例齊安科技企業(yè)定位：工業(yè)互聯(lián)網(wǎng)接入安全體系倡導(dǎo)者企業(yè)介紹：浙江齊安信息科技有限公司（齊安科技）致力于工業(yè)互聯(lián)網(wǎng)接入安全體系與技術(shù)的持續(xù)創(chuàng)新，為用戶提供全方位接入安全管理與防護(hù)解決方案。依托核心技術(shù)和豐富工控行業(yè)知識(shí)，開發(fā)了涵蓋檢測、運(yùn)維、防護(hù)、平臺(tái)等多個(gè)領(lǐng)域的工控行業(yè)接入安全產(chǎn)品與解決方案。產(chǎn)品與服務(wù)廣泛應(yīng)用于電力、煤礦、軍工、軌道交通、石油石化、智能制造等領(lǐng)域，保障關(guān)鍵信息基礎(chǔ)設(shè)施與重要工業(yè)領(lǐng)域的安全，維護(hù)工業(yè)信息安全。重點(diǎn)產(chǎn)品：便攜式運(yùn)維網(wǎng)關(guān)、USB安全隔離保護(hù)系統(tǒng)、安全配置核查系統(tǒng)、一體化遠(yuǎn)程運(yùn)維系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、企業(yè)流量在線監(jiān)測系統(tǒng)、物聯(lián)網(wǎng)加密網(wǎng)關(guān)系統(tǒng)、日志審計(jì)與分析系統(tǒng)企業(yè)網(wǎng)站：企業(yè)雷達(dá)圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例電力監(jiān)控系統(tǒng)站端運(yùn)維接入安全解決方案案例背景：目前，電力監(jiān)控系統(tǒng)面臨以下風(fēng)險(xiǎn)：人員風(fēng)險(xiǎn)一些電力監(jiān)控系統(tǒng)運(yùn)維人員（包括二次班人員、外單位運(yùn)維人員、檢查人員）缺乏網(wǎng)絡(luò)安全意識(shí)，組織員工定期接受網(wǎng)絡(luò)安全培訓(xùn)的工作落實(shí)不到位，使得很多重要的電力監(jiān)控系統(tǒng)在日常工作中缺乏有效的安全防護(hù)措施。很多員工對密碼管理缺少必要的認(rèn)識(shí)，例如采用默認(rèn)密碼、長期不修改使用密碼、密碼存放在互聯(lián)網(wǎng)或云平臺(tái)等公開環(huán)境中，極易導(dǎo)致核心電力控制系統(tǒng)的用戶名和密碼泄露，被惡意攻擊者掌握。22案例提供方：齊安科技勒索病毒、蠕蟲和木馬隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)在電力系統(tǒng)中的廣泛使用，移動(dòng)終端和App等平臺(tái)為電網(wǎng)調(diào)度指揮提供了更為方便、高效的管理方式，但同時(shí)也面臨勒索病毒及其他網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。勒索病毒等網(wǎng)絡(luò)攻擊手段具有隱蔽性、破壞性、傳染性等特性，一旦進(jìn)入調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，將嚴(yán)重影響電力系統(tǒng)數(shù)據(jù)資料安全性，甚至導(dǎo)致整個(gè)生產(chǎn)網(wǎng)絡(luò)癱瘓，造成巨大損失。近年頻繁發(fā)生的勒索病毒襲擊國內(nèi)外關(guān)鍵基礎(chǔ)設(shè)施事件充分暴露了這種風(fēng)險(xiǎn)的嚴(yán)重性。系統(tǒng)性風(fēng)險(xiǎn)當(dāng)前，電力監(jiān)控系統(tǒng)主要面臨的系統(tǒng)性風(fēng)險(xiǎn)：一是缺乏針對新興技術(shù)廣泛應(yīng)用帶來的網(wǎng)絡(luò)安全威脅進(jìn)行有效安全管控措施；二是攻擊威脅監(jiān)測預(yù)警與安全防護(hù)分離脫節(jié)；三是已有網(wǎng)絡(luò)安全防護(hù)機(jī)制在電力監(jiān)控系統(tǒng)中的“簡單堆疊”，造成防護(hù)資源浪費(fèi)且對新型攻擊手段防護(hù)能力較弱。安全威脅與建設(shè)實(shí)踐的脫節(jié)風(fēng)險(xiǎn)目前，在電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)建設(shè)實(shí)踐中，符合國家、行業(yè)及公司級的電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定，以及防火墻、隔離網(wǎng)關(guān)、電力網(wǎng)閘等訪問控制設(shè)備的大規(guī)模部署成為電網(wǎng)公司重點(diǎn)關(guān)注的建設(shè)內(nèi)容。而生產(chǎn)控制信息網(wǎng)絡(luò)和管理信息網(wǎng)絡(luò)實(shí)際面臨的攻擊威脅情況卻并未引起足夠關(guān)注。這是由于電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理與建設(shè)實(shí)踐很大程度由合規(guī)性驅(qū)動(dòng)，而合規(guī)性驅(qū)動(dòng)的安全防護(hù)建設(shè)思路存在的弊端非常明顯：一方面，合規(guī)性防護(hù)策略只是安全防護(hù)的一個(gè)重要方面，無法保證動(dòng)態(tài)變化的電力監(jiān)控系統(tǒng)是安全可靠的，反而會(huì)給相關(guān)各方造成看似安全的假象，以偏概全；另一方面，由合規(guī)性驅(qū)動(dòng)的電力監(jiān)控系統(tǒng)建設(shè)，容易出現(xiàn)安全防護(hù)設(shè)備簡單堆疊、資源浪費(fèi)，面對跨網(wǎng)跨域的高級持續(xù)性攻擊威脅防護(hù)能力弱等問題?，F(xiàn)場運(yùn)維安全性電力監(jiān)控系統(tǒng)在現(xiàn)場檢修運(yùn)維層面仍存在著安全隱患，檢修運(yùn)維人員進(jìn)入了變電站現(xiàn)場后，跳過了層層設(shè)防的網(wǎng)絡(luò)安全設(shè)備直接將筆記本電腦、移動(dòng)存儲(chǔ)設(shè)備等通過網(wǎng)絡(luò)接口、串行接口和USB接口接入現(xiàn)場系統(tǒng)，對設(shè)備進(jìn)行檢修運(yùn)維操作。這種檢修運(yùn)維方式會(huì)產(chǎn)生如下一系列管控問題：1、檢修運(yùn)維過程中，由于缺少物理隔離和擺渡，不同網(wǎng)絡(luò)交叉使用的移動(dòng)存儲(chǔ)介質(zhì)和運(yùn)維設(shè)備（如U盤，筆記本電腦）容易將惡意代碼帶入到電力監(jiān)控系統(tǒng)之中，導(dǎo)致核心生產(chǎn)數(shù)據(jù)和配置信息被泄露；2、由于缺少安全審計(jì)手段，在檢修運(yùn)維人員出現(xiàn)誤操作甚至惡意操作的情況下，存在發(fā)生安全事故的隱患，而在安全事故發(fā)生之后又難以追蹤溯源并定責(zé)；3、在檢修運(yùn)維過程中，檢修運(yùn)維人員通過上傳非法的配置數(shù)據(jù)，導(dǎo)致現(xiàn)場設(shè)備運(yùn)行異常，也會(huì)引發(fā)相應(yīng)的安全事故。世界各國高度重視維護(hù)電力系統(tǒng)安全，紛紛采取立法保護(hù)、技術(shù)防范、分散風(fēng)險(xiǎn)等方法，提高本國電網(wǎng)的抗毀傷能力。尤其是我國，在電網(wǎng)二次安防領(lǐng)域走在世界前面。中華人民共和國國務(wù)院、國家發(fā)展與改革委員會(huì)、中華人民共和國工業(yè)和信息化部、國家能源局、中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國國家標(biāo)準(zhǔn)化管理委員會(huì)等國家主管單位，近年來對工業(yè)控制系統(tǒng)信息安全工作做出了一系列的指導(dǎo)意見和規(guī)范要求，其中，2022年4月，國調(diào)中心關(guān)于印發(fā)《電力監(jiān)控系統(tǒng)便攜式運(yùn)維網(wǎng)關(guān)技術(shù)規(guī)范（試行）》的通知，加強(qiáng)變電站（換流站）監(jiān)控系統(tǒng)運(yùn)維安全管控，防范違規(guī)外聯(lián)、惡意代碼感染、非法操作等安全風(fēng)險(xiǎn)，23ISC2023數(shù)字安全創(chuàng)新性案例提升對現(xiàn)場作業(yè)人員、調(diào)試工具和調(diào)試行為的管控能力?；诖?，齊安科技研制了檢修作業(yè)安全運(yùn)維系統(tǒng)，即運(yùn)維移動(dòng)堡壘機(jī)(便攜式運(yùn)維網(wǎng)關(guān))，用以規(guī)范電力監(jiān)控系統(tǒng)的運(yùn)維操作行為，保護(hù)站端設(shè)備網(wǎng)絡(luò)安全，降低電力監(jiān)控系統(tǒng)現(xiàn)場檢修運(yùn)維的風(fēng)險(xiǎn)，保障設(shè)備資產(chǎn)穩(wěn)定運(yùn)行。關(guān)鍵挑戰(zhàn)：當(dāng)前，變電站運(yùn)維工作中缺少必要的安全防護(hù)及審計(jì)措施，具體來說，存在運(yùn)維人員使用自帶筆記本電腦及U盤等運(yùn)維工具直接接入變電站監(jiān)控系統(tǒng)的情況，容易引起違規(guī)外聯(lián)、誤操作、惡意代碼、網(wǎng)絡(luò)攻擊等安全風(fēng)險(xiǎn)。國網(wǎng)安監(jiān)部曾多次通報(bào)關(guān)于電力監(jiān)控系統(tǒng)感染惡意代碼、違規(guī)外聯(lián)等安全事件。變電站的外聯(lián)風(fēng)險(xiǎn)、違規(guī)操作、惡意代碼感染問題屢禁不止。簡單來說，變電站運(yùn)維工作的痛點(diǎn)在于“事前無認(rèn)證、事中無監(jiān)控、事后難溯源”。解決方案：便攜式運(yùn)維網(wǎng)關(guān)（檢修作業(yè)安全運(yùn)維系統(tǒng)）可以作為運(yùn)維工具和被運(yùn)維對象之間的“門閘”，通過將運(yùn)維工具連接到便攜式運(yùn)維網(wǎng)關(guān)，再將便攜式運(yùn)維網(wǎng)關(guān)連接到被運(yùn)維對象上，即可對檢修作業(yè)全程進(jìn)行安全管控。24案例提供方：齊安科技項(xiàng)目實(shí)施過程中，通過將便攜式運(yùn)維網(wǎng)關(guān)部署在站控層交換機(jī)上，實(shí)現(xiàn)對整個(gè)運(yùn)維過程進(jìn)行全程實(shí)時(shí)安全管控。在運(yùn)維過程中，便攜式運(yùn)維網(wǎng)關(guān)（檢修作業(yè)安全運(yùn)維系統(tǒng)）主要實(shí)現(xiàn)以下功能：1、對運(yùn)維電腦的網(wǎng)絡(luò)連接和外設(shè)接口狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測，避免運(yùn)維電腦違規(guī)外聯(lián)或泄露內(nèi)部數(shù)據(jù)；2、對運(yùn)維過程傳輸?shù)奈募M(jìn)行惡意代碼查殺，避免未安裝防病毒軟件或未及時(shí)更新病毒庫的電力監(jiān)控系統(tǒng)被病毒入侵；3、實(shí)時(shí)監(jiān)測運(yùn)維過程的網(wǎng)絡(luò)通訊，避免運(yùn)維電腦向站控層網(wǎng)絡(luò)和設(shè)備發(fā)起多種類型的掃描和網(wǎng)絡(luò)攻擊，禁止高危端口通信；4、對運(yùn)維過程的高風(fēng)險(xiǎn)指令和控制類指令進(jìn)行精準(zhǔn)識(shí)別，避免誤操作；5、對運(yùn)維操作過程進(jìn)行授權(quán)管理和二次確認(rèn)，并通過視頻、文件、通訊數(shù)據(jù)包、日志等多種方式對運(yùn)維過程進(jìn)行記錄，解決因缺少訪問控制措施（如防火墻）及運(yùn)維審計(jì)所帶來的問題。創(chuàng)新性與優(yōu)勢：1、便攜的形態(tài)設(shè)計(jì)：產(chǎn)品在形態(tài)上摒棄了傳統(tǒng)的固定式旁路部署，只適用于網(wǎng)絡(luò)接入方式的運(yùn)維管控模式。取而代之的是采用便攜式設(shè)計(jì)方案，能夠適應(yīng)工業(yè)現(xiàn)場多樣化的布局，并且在保持靈活部署的同時(shí)，有效降低了用戶的安全建設(shè)成本。2、緊貼業(yè)務(wù)的功能設(shè)計(jì)：系統(tǒng)在功能上針對工控系統(tǒng)臨時(shí)接入作業(yè)場景中的事前無認(rèn)證、事中無防護(hù)、事后無審計(jì)等問題，緊密結(jié)合能源行業(yè)的業(yè)務(wù)特性，通過一系列安全防護(hù)手段，有效提升了系統(tǒng)的安全性水平。①實(shí)施“雙因子”身份驗(yàn)證，解決了人員身份認(rèn)證問題；②限制運(yùn)維接入電腦與被檢修設(shè)備之間的訪問規(guī)則，解決了檢修人員操作權(quán)限管控問題；③全程監(jiān)控和錄制操作視頻，解決了因缺乏訪問控制和審計(jì)導(dǎo)致的問題；25ISC2023數(shù)字安全創(chuàng)新性案例④實(shí)時(shí)檢查傳輸文件中的惡意代碼，解決了工控主機(jī)未安裝防病毒軟件的病毒查殺問題；⑤管控和取證檢修過程中運(yùn)維人員上傳和下載的配置文件，解決了數(shù)據(jù)泄露和取證問題；⑥實(shí)時(shí)監(jiān)測運(yùn)維電腦外設(shè)接口和網(wǎng)絡(luò)連接狀態(tài)，確保安全運(yùn)維環(huán)境，解決了違規(guī)操作帶來的安全隱患。3、技術(shù)積累：為了提升用戶現(xiàn)場作業(yè)的效率，通常做法是采用EXCEL模板編輯任務(wù)內(nèi)容后導(dǎo)入系統(tǒng)，但這會(huì)增加導(dǎo)入、導(dǎo)出和編輯工作量，并引入額外的安全風(fēng)險(xiǎn)。齊安科技的系統(tǒng)集成了OCR識(shí)別技術(shù)，能夠拍照識(shí)別紙質(zhì)工作票的關(guān)鍵信息并自動(dòng)生成檢修任務(wù)。用戶可以根據(jù)需求定制檢修任務(wù)模板并生成任務(wù)，只需增加拍照步驟，節(jié)省大量數(shù)據(jù)導(dǎo)入和編輯時(shí)間，顯著提升了使用體驗(yàn)。此外，由于各地工作票模板存在差異，齊安科技積累了大量模板。4、安全可靠：基于國產(chǎn)化操作系統(tǒng)和國產(chǎn)CPU研發(fā)，安全自主可控；采用國密算法保證鑒別信息和重要業(yè)務(wù)數(shù)據(jù)等敏感信息存儲(chǔ)的保密性。5、成本優(yōu)勢：在設(shè)計(jì)開發(fā)初期便采用了軟硬件自研的技術(shù)路線。隨著產(chǎn)品出貨量的增加，研發(fā)成本逐步攤薄，對硬件供應(yīng)鏈的管控能力有保證，從而確保產(chǎn)品的利潤最大化。應(yīng)用效果：性能提升、成本節(jié)?。罕卷?xiàng)目通過在5座變電站上部署便攜式運(yùn)維網(wǎng)關(guān)，至今共計(jì)攔截違規(guī)外聯(lián)及高風(fēng)險(xiǎn)指令數(shù)十次，避免產(chǎn)生安全事故避免運(yùn)維過程中產(chǎn)生的風(fēng)險(xiǎn)與威脅。經(jīng)濟(jì)效益：工作效率提升：無需固定部署，適用于離散型網(wǎng)絡(luò)環(huán)境，有效降低用戶重復(fù)建設(shè)的成本；技術(shù)成本降低：檢修作業(yè)安全運(yùn)維系統(tǒng)整體設(shè)計(jì)簡單易用，支持一鍵生成檢修任務(wù)、OCR快速識(shí)別工作票信息生成檢修任務(wù)，業(yè)務(wù)流程做到即插即用，不做多余設(shè)置，簡單便捷，方便現(xiàn)場運(yùn)維人員快速開展工作，減少現(xiàn)場運(yùn)維人員的技術(shù)成本。資源最大化：運(yùn)維人員可以更好地規(guī)劃和利用其時(shí)間和技能，從而更有效地管理多個(gè)設(shè)備和網(wǎng)絡(luò)。安全效益：增強(qiáng)安全管理能力：規(guī)范現(xiàn)場操作人員行為，減少潛在的威脅和風(fēng)險(xiǎn)、減少事故風(fēng)險(xiǎn)。溯源定責(zé)：事后追蹤溯源時(shí)提供有效依據(jù)，確定責(zé)任人。提供風(fēng)險(xiǎn)監(jiān)管能力：通過技術(shù)手段為用戶提供了監(jiān)測和處理風(fēng)險(xiǎn)的能力。溯源定責(zé)：事后追蹤溯源時(shí)提供有效依據(jù)，確定責(zé)任人。提供風(fēng)險(xiǎn)監(jiān)管能力：通過技術(shù)手段為用戶提供了監(jiān)測和處理風(fēng)險(xiǎn)的能力。提升運(yùn)維效率與精準(zhǔn)度：通過集中管理不同區(qū)域、不同站點(diǎn)的同類設(shè)備運(yùn)維記錄，實(shí)現(xiàn)了數(shù)據(jù)驅(qū)動(dòng)的運(yùn)維決策。不僅提升運(yùn)維效率，同事提高預(yù)防性維護(hù)的精準(zhǔn)度，降低了潛在風(fēng)險(xiǎn)。與此同時(shí)，對單個(gè)站點(diǎn)歷史運(yùn)維記錄的縱向追蹤，有利于事后的責(zé)任追溯和運(yùn)維還原工作，進(jìn)一步提升了企業(yè)的運(yùn)維管理水平。經(jīng)驗(yàn)總結(jié)：不斷升級硬件、優(yōu)化算法等，實(shí)時(shí)更新病毒庫及升級網(wǎng)關(guān)設(shè)備；為用戶提供更好的技術(shù)服務(wù)以及培訓(xùn)、安裝指導(dǎo)，保障產(chǎn)品售后服務(wù)，進(jìn)一步提高用戶滿意度。26案例提供方：眾智維科技眾智維科技企業(yè)定位：AI安全大模型賦能智能安全運(yùn)營體系、安全協(xié)同、暴露面管理企業(yè)介紹：眾智維科技總部與研發(fā)中心設(shè)立于南京，在北京、上海、山東、深圳、河南、蘇州設(shè)立子公司或辦事處。公司始終堅(jiān)持“眾智創(chuàng)新重塑安全生態(tài)、AI運(yùn)營賦能網(wǎng)信安全”的創(chuàng)業(yè)理念，作為新一代人工智能+機(jī)器學(xué)習(xí)驅(qū)動(dòng)的網(wǎng)絡(luò)安全運(yùn)營協(xié)同解決方案商，長期聚焦網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)，多維度構(gòu)建了紅藍(lán)紫三方高頻壓力下的安全運(yùn)營協(xié)同作戰(zhàn)體系，主營方向?yàn)榫W(wǎng)絡(luò)安全、大數(shù)據(jù)＋及信息技術(shù)應(yīng)用創(chuàng)新。重點(diǎn)產(chǎn)品：RedOps紅鯨智能安全運(yùn)營平臺(tái)、天巢SkyNest安全風(fēng)險(xiǎn)運(yùn)營平臺(tái)、紅色衛(wèi)士RedGuard安全大模型、重明MSS網(wǎng)絡(luò)安全自動(dòng)化托管平臺(tái)企業(yè)網(wǎng)站：企業(yè)雷達(dá)圖：技術(shù)創(chuàng)新能力市場拓展能力行業(yè)影響力經(jīng)營能力研發(fā)投入能力企業(yè)案例能源行業(yè)工業(yè)互聯(lián)網(wǎng)安全智能應(yīng)急響應(yīng)平臺(tái)建設(shè)案例背景：項(xiàng)目背景工業(yè)互聯(lián)網(wǎng)的快速發(fā)展加速了OT/IT網(wǎng)絡(luò)和物聯(lián)網(wǎng)融合互聯(lián)，更多的工控系統(tǒng)連接到互聯(lián)網(wǎng)，同時(shí)，工業(yè)信息安全事件頻繁發(fā)生且發(fā)生行業(yè)呈多元化趨勢，工控系統(tǒng)高危漏洞層出不窮。工業(yè)安全已得到政府監(jiān)管部門和工業(yè)企業(yè)高度重視，國家出臺(tái)了一系列政策法規(guī)，提升工業(yè)安全保障能力。在國家政策引導(dǎo)下，某能源企業(yè)公司作為大型電站、光伏發(fā)電及運(yùn)維服務(wù)于一體的電力能源企業(yè)，以創(chuàng)新引領(lǐng)作為第一發(fā)展戰(zhàn)略和核心驅(qū)動(dòng)力量，迫切需要在公司搭建全面領(lǐng)先的電力監(jiān)測工業(yè)互聯(lián)網(wǎng)平臺(tái)科創(chuàng)體系。27ISC2023數(shù)字安全創(chuàng)新性案例關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。某能源企業(yè)信息化建設(shè)較早，其業(yè)務(wù)安全系統(tǒng)在長期的各類專項(xiàng)安全建設(shè)中實(shí)現(xiàn)了安全設(shè)備的廣覆蓋，并在態(tài)勢感知的建設(shè)過程中，在態(tài)勢要素收集、態(tài)勢分析、態(tài)勢呈現(xiàn)等領(lǐng)域已經(jīng)取得初步成果，但是在關(guān)鍵的態(tài)勢處置方面，仍然處于相對初級的階段，同時(shí)缺乏能夠?qū)I(yè)控制系統(tǒng)進(jìn)行全面監(jiān)控，及時(shí)預(yù)警，快速響應(yīng)的監(jiān)控一體化平臺(tái)。痛點(diǎn)需求1、態(tài)勢感知能力需加強(qiáng)：能源互聯(lián)網(wǎng)環(huán)境下，企業(yè)電力調(diào)度與監(jiān)控系統(tǒng)實(shí)際接入運(yùn)行過程中普遍存在攻擊種類、方式多且頻繁，在防御過程中各類靜態(tài)和動(dòng)態(tài)的實(shí)時(shí)數(shù)據(jù)監(jiān)測難以落實(shí)；同時(shí)由于該企業(yè)體量龐大，各類安全設(shè)備難以規(guī)范化，設(shè)備于設(shè)備之間難以協(xié)調(diào)，導(dǎo)致物理設(shè)備數(shù)字化水平較弱。2、安全威脅響應(yīng)不夠及時(shí)：針對關(guān)鍵性基礎(chǔ)設(shè)施的定向攻擊事件發(fā)生不斷增多，網(wǎng)絡(luò)攻擊形式日趨復(fù)雜，響應(yīng)難度也日趨增加；目前開展監(jiān)測預(yù)警、應(yīng)急處置、分析報(bào)告等工作主要采取人工方式，大量的安全設(shè)備數(shù)據(jù)之間相互獨(dú)立，運(yùn)營人員需同時(shí)協(xié)調(diào)多個(gè)設(shè)備，存在響應(yīng)不及時(shí)的情況。關(guān)鍵挑戰(zhàn)：該能源企業(yè)依靠各種各類安全設(shè)備，實(shí)現(xiàn)安全告警和要素獲取，可快速發(fā)現(xiàn)安全事件和行為異常；但判斷與決策能力相對較弱，判斷階段在電力監(jiān)控系統(tǒng)中，對應(yīng)態(tài)勢分析和呈現(xiàn)，實(shí)現(xiàn)告警的基礎(chǔ)分析和聚類，初步轉(zhuǎn)換成安全事件并加以分類；決策階段在電力監(jiān)控系統(tǒng)中，需要針對安全事件的類型和影響范圍進(jìn)行判斷，確定使用怎樣的流程，驅(qū)動(dòng)哪些人員，調(diào)用哪些工具和設(shè)備進(jìn)行處置，這些處置會(huì)否產(chǎn)生額外的安全風(fēng)險(xiǎn)；執(zhí)行階段在電力監(jiān)控系統(tǒng)中，即根據(jù)決策的結(jié)果調(diào)用對應(yīng)的安全設(shè)備和安全工具，執(zhí)行具體操作完成安全事件處置。目前仍缺少有機(jī)統(tǒng)一平臺(tái)來實(shí)現(xiàn)整體指揮。因此，某能源企業(yè)需要通過自動(dòng)化手段替代現(xiàn)有的人工決策和手動(dòng)執(zhí)行手段，降低平均事件響應(yīng)時(shí)間MTTR，提升安全處置效率，使企業(yè)在攻防角力過程中不再處于被動(dòng)狀態(tài)。解決高級、新型威脅帶來的影響，降低風(fēng)險(xiǎn)造成的損失，從而簡化統(tǒng)一協(xié)同響應(yīng)流程，節(jié)省手動(dòng)分析時(shí)間，真正達(dá)到主動(dòng)監(jiān)測，自動(dòng)化快速響應(yīng)的目標(biāo)。解決方案：南京眾智維科技信息有限公司深耕工業(yè)信息安全多年，具備深厚的安全經(jīng)驗(yàn)與技術(shù)能力，形成了完善的產(chǎn)品體系，并在電力電網(wǎng)、石油石化、先進(jìn)制造等多個(gè)領(lǐng)域建立工控安全實(shí)踐案例?，F(xiàn)根據(jù)某能源企業(yè)安全業(yè)務(wù)流程的應(yīng)用特征，我司通過定制化安全運(yùn)營平臺(tái)建設(shè)，以安全編排與自動(dòng)化響應(yīng)（SOAR）+AI技術(shù)賦能，為用戶提供該項(xiàng)目總體解決方案設(shè)計(jì)框架，如下圖所示:圖1-1：態(tài)勢呈現(xiàn)架構(gòu)28案例提供方：眾智維科技態(tài)勢處置遠(yuǎn)后備保護(hù)級阻斯自動(dòng)化響應(yīng)系統(tǒng)保護(hù)級阻斷近后備保護(hù)級阻斷就地保護(hù)級阻斷安全業(yè)務(wù)流程自動(dòng)化功能層引擎層存儲(chǔ)層交換層劇本工具動(dòng)作執(zhí)行引肇劇本動(dòng)作動(dòng)作管理劇本管理事件協(xié)作劇本解析事件管理策略管理工作流引擎運(yùn)營報(bào)告劇本引擎策略案例SOAR數(shù)據(jù)交換事件情報(bào)圖1-2：態(tài)勢處置架構(gòu)該能源企業(yè)使用SOAR技術(shù)構(gòu)建自己的自動(dòng)化態(tài)勢處置平臺(tái)，SOAR（SecurityOrchestration，Automa-tionandResponse，安全編排自動(dòng)化與響應(yīng)）。以安全編排與自動(dòng)化為核心，并具備事件管理、威脅情報(bào)管理、儀表板和報(bào)告，以及跨功能分析。構(gòu)建適用于企業(yè)電力監(jiān)控系統(tǒng)的安全情景策略庫，用于不同保障場景和防護(hù)目標(biāo)的處理“套路”。根據(jù)不同安全場景和不同安全保障等級，可以編排組合對應(yīng)的策略。自動(dòng)化響應(yīng)平臺(tái)集中指令來源、設(shè)備通道、預(yù)設(shè)腳本、結(jié)合自動(dòng)下發(fā)與人工干預(yù)功能，以最快的速度定位策略執(zhí)行點(diǎn)，選用適合的策略預(yù)案，生成腳本，通過人工流轉(zhuǎn)或自動(dòng)向安全防護(hù)設(shè)備下發(fā)執(zhí)行指令，最終實(shí)現(xiàn)安全事件響應(yīng)的自動(dòng)化處置。解決方案分成業(yè)務(wù)流程自動(dòng)化和自動(dòng)化響應(yīng)兩個(gè)部分。業(yè)務(wù)流程自動(dòng)化實(shí)現(xiàn)“Decision決策”步驟功能，從電力監(jiān)控系統(tǒng)的態(tài)勢感知平臺(tái)獲取安全事件、威脅情報(bào)，并且通過自身的工作引擎進(jìn)行分析和案例推演，依照安全策略，驅(qū)動(dòng)流程、劇本、動(dòng)作，實(shí)現(xiàn)協(xié)同作戰(zhàn)和自動(dòng)化決策；自動(dòng)化響應(yīng)實(shí)現(xiàn)“Action執(zhí)行”步驟功能，依照劇本和動(dòng)作的步驟，通過響應(yīng)模塊驅(qū)動(dòng)各類網(wǎng)絡(luò)設(shè)備或者安全設(shè)備，實(shí)現(xiàn)自動(dòng)化響應(yīng)和多種級別的自動(dòng)化阻斷行為。處置流程可以按照發(fā)電企業(yè)需求定制為：所有事件需要人工確認(rèn)，所有事件自動(dòng)化執(zhí)行，以及前置事件分級判斷步驟并根據(jù)安全事件等級設(shè)定不同的處置方案。方案可以為不同安全級別的事件制定不同的確認(rèn)流程、處置方法、通告方式等。本方案通過在發(fā)電網(wǎng)絡(luò)內(nèi)部署眾智維紅鯨安全協(xié)同響應(yīng)平臺(tái)（以下簡稱RedOps）的方式實(shí)現(xiàn)態(tài)勢處置能力。RedOps通過SOAR技術(shù)，以自動(dòng)化編排為核心，充分使用自動(dòng)化技術(shù)手段，將人、技術(shù)和流程高度協(xié)同起來，幫助企業(yè)將繁雜的安全運(yùn)行（尤其是安全響應(yīng)）過程梳理為任務(wù)和劇本，提供定制化的流程和控制，整合并加速有效網(wǎng)絡(luò)威助的調(diào)查與緩解，可快速編排響應(yīng)策略，在收集不同來源的安全威脅數(shù)據(jù)和警報(bào)時(shí)，運(yùn)用人機(jī)結(jié)合的方法進(jìn)行事件分析與分類，根據(jù)標(biāo)準(zhǔn)流程輔助定義、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化事件響應(yīng)行為，并應(yīng)用到防護(hù)、檢測與響應(yīng)的每個(gè)環(huán)節(jié)，實(shí)現(xiàn)簡化的統(tǒng)一協(xié)同響應(yīng)，節(jié)省手動(dòng)分析時(shí)間，最終實(shí)現(xiàn)自動(dòng)化安全運(yùn)營。圖1-3：平臺(tái)工作原理29ISC2023數(shù)字安全創(chuàng)新性案例部署方式系統(tǒng)是軟硬件一體化安全設(shè)備，設(shè)備為2U標(biāo)準(zhǔn)機(jī)架式設(shè)備，旁路接入企業(yè)區(qū)網(wǎng)絡(luò)，通過B/S方式進(jìn)行管理。由于設(shè)備是態(tài)勢處置流程的核心，部署期間需要和現(xiàn)有的態(tài)勢感知平臺(tái)以及各類安全設(shè)備實(shí)現(xiàn)應(yīng)用對接；需要按照業(yè)務(wù)需求和處置預(yù)案編寫符合電力監(jiān)控系統(tǒng)需求的劇本。主要功能1、SOAR安全編排自動(dòng)化編排和自動(dòng)化是整個(gè)系統(tǒng)的核心功能，實(shí)現(xiàn)了運(yùn)營過程和流程的劇本化，安全應(yīng)用的編排化，將安全產(chǎn)品以及安全流程鏈接整合起來，通過預(yù)定義的工作流（Work?ow）和工作劇本（Playbook）來標(biāo)準(zhǔn)化事故的調(diào)查處置流程，提升威脅響應(yīng)的自動(dòng)化程度和執(zhí)行效率。圖1-4：事件響應(yīng)劇本平臺(tái)具備完善的劇本管理功能，安全運(yùn)營人員通過劇本庫對所有劇本進(jìn)行統(tǒng)一管理，內(nèi)置通用漏洞或零日預(yù)警響應(yīng)、攻擊事件響應(yīng)、釣魚郵件處置、主機(jī)異常登錄場景、病毒告警事件、WebShell檢測告警、DNS異常日志、重大安全事件告警等通用劇本模板，且在維保期間可根據(jù)用戶需求定制化開發(fā)新劇本，劇本容量不設(shè)上限；內(nèi)置工作流引擎，以及由該工作流引擎驅(qū)動(dòng)的編排器。編排器是系統(tǒng)的心臟，啟動(dòng)后會(huì)自動(dòng)從劇本庫中加載所有激活的劇本，并依照不同的觸發(fā)條件執(zhí)行相應(yīng)的劇本實(shí)例。工作流引擎會(huì)根據(jù)劇本的預(yù)設(shè)邏輯執(zhí)行每個(gè)活動(dòng)，例如人機(jī)交互活動(dòng)則調(diào)用人機(jī)接口，應(yīng)用活動(dòng)則調(diào)用自動(dòng)化應(yīng)用執(zhí)行引擎，自動(dòng)激活相關(guān)應(yīng)用動(dòng)作的執(zhí)行過程。2、AI協(xié)同作戰(zhàn)室系統(tǒng)支持創(chuàng)建或關(guān)閉作戰(zhàn)室用于協(xié)同作戰(zhàn)，可以通過作戰(zhàn)列表查看已存在（包含處理中、已解決、已關(guān)閉等各狀態(tài)）的作戰(zhàn)室，并進(jìn)入作戰(zhàn)室查看歷史信息。針對作戰(zhàn)室中的每個(gè)事件，事件負(fù)責(zé)人可以快速創(chuàng)建一個(gè)針對該事件的溝通群（也叫作戰(zhàn)室）。事件負(fù)責(zé)人可以添加需要加入此溝通群的人員，快速形成一個(gè)作戰(zhàn)團(tuán)隊(duì)，通常包括監(jiān)測組、研判組、處置組的成員。支持設(shè)置各個(gè)成員在作戰(zhàn)室中的角色。30案例提供方：眾智維科技圖1-5：協(xié)同作戰(zhàn)室溝通系統(tǒng)采用網(wǎng)絡(luò)安全作戰(zhàn)室語義算法技術(shù)，構(gòu)建AI智能機(jī)器人，提高結(jié)果的準(zhǔn)確性，調(diào)度劇本引擎實(shí)現(xiàn)對網(wǎng)絡(luò)安全事件觸發(fā)，當(dāng)后續(xù)類似攻擊發(fā)生時(shí)，實(shí)現(xiàn)精準(zhǔn)推送，充分利用自動(dòng)化技術(shù)手段，將人、技術(shù)和流程高度協(xié)同。并支持基于安全事件的特點(diǎn)和行業(yè)已有的成熟解決劇本方案，使用協(xié)同過濾算法，在行業(yè)級的知識(shí)庫中進(jìn)行事件關(guān)聯(lián)度特征匹配，實(shí)現(xiàn)另一個(gè)維度的協(xié)同工作。當(dāng)安全事件觸發(fā)后，網(wǎng)絡(luò)安全作戰(zhàn)室依據(jù)安全日志等進(jìn)行數(shù)據(jù)分析，生成分析報(bào)告，作戰(zhàn)室的相關(guān)人員，如總指揮、作戰(zhàn)參謀和事件處置人員等做出指令決策。根據(jù)這些信息，將數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，為NLP模型讀取數(shù)據(jù)打好基礎(chǔ)。相關(guān)數(shù)據(jù)讀入推薦算法模型后，參考網(wǎng)絡(luò)安全事件的知識(shí)庫，推薦出一個(gè)或多個(gè)可施行的劇本來完成相應(yīng)的工作流程。協(xié)同作戰(zhàn)模塊支持與事件模塊關(guān)聯(lián)，在生成特定事件時(shí)自動(dòng)創(chuàng)建作戰(zhàn)室并拉入相關(guān)人員，且支持在作戰(zhàn)室中手動(dòng)發(fā)起應(yīng)用、任務(wù)或劇本模塊。每個(gè)作戰(zhàn)室內(nèi)置一個(gè)聊天機(jī)器人，作戰(zhàn)團(tuán)隊(duì)成員都可以與之進(jìn)行溝通，給它派發(fā)指令，快速執(zhí)行一些基本的工作?！鞍踩呗詣”尽睂踩珜＜业慕?jīng)驗(yàn)沉淀，套路化自動(dòng)化，每當(dāng)有同類安全事件發(fā)生時(shí)，AI智能機(jī)器人可以根據(jù)自定義的安全策略庫自動(dòng)啟動(dòng)智能策略開展應(yīng)急響應(yīng)，加速工程師處置速率，為安全防護(hù)爭取時(shí)間。圖1-6：AI機(jī)器人智能對話31ISC2023數(shù)字安全創(chuàng)新性案例3、智能告警管理系統(tǒng)能夠接收來自第三方SIEM/SOC產(chǎn)品發(fā)出的告警信息；能夠接收其它第三方系統(tǒng)/設(shè)備通過syslog發(fā)出的告警信息；能夠通過Ka?a消息系統(tǒng)接收第三方的告警信息。系統(tǒng)自帶RestfulAPI接口，允許通過該接口接受第三方的告警信息；支持人工錄入或者導(dǎo)入告警信息?？梢苑浅７奖愕暮碗娏ΡO(jiān)控系統(tǒng)現(xiàn)有態(tài)勢感知平臺(tái)打通，實(shí)現(xiàn)告警信息的采集。圖1-7：告警列表界面支持對告警采集、告警展示、告警關(guān)聯(lián)劇本、告警處置、告警關(guān)聯(lián)作戰(zhàn)室，內(nèi)置100+告警類型，能夠?qū)Σ煌瑏碓吹母婢畔⑦M(jìn)行進(jìn)行分析匹配，自動(dòng)關(guān)聯(lián)任務(wù)、劇本進(jìn)行處置，無需人工介入，針對較高等級安全事件支持升級到作戰(zhàn)室進(jìn)行協(xié)同處置，實(shí)現(xiàn)業(yè)務(wù)運(yùn)行過程中的負(fù)載信息以及監(jiān)控指標(biāo)的實(shí)時(shí)監(jiān)控與記錄，當(dāng)監(jiān)控到異常信息時(shí)，第一時(shí)間對管理人員發(fā)送告警信息，觸發(fā)告警動(dòng)作后，管理人員將收到一條告警信息來提醒相關(guān)人員注意，也可以是執(zhí)行一個(gè)遠(yuǎn)程命令或腳本來達(dá)到常見故障自動(dòng)修復(fù)的目的。4、自動(dòng)化事件處置事件管理能夠幫助安全運(yùn)營人員對一組相關(guān)的告警按照既定的應(yīng)對措施進(jìn)行流程化、持續(xù)化、協(xié)作化、全周期的調(diào)查分析與響應(yīng)處置，以及應(yīng)對措施自身的持續(xù)改進(jìn)。①事件列表：系統(tǒng)能夠以列表的形式展示所有事件清單，依次展示每個(gè)事件概況，包括事件名稱、概述、類型、責(zé)任人、事件等級、發(fā)生時(shí)間、結(jié)束時(shí)間、詳細(xì)、級別、狀態(tài)、調(diào)用的劇本、動(dòng)作和任務(wù)等。安全運(yùn)營人員可以方便的進(jìn)行事件手動(dòng)添加、處置和查看事件詳情。事件處置狀態(tài)包括未處理、進(jìn)行中、已完成、忽略