工業(yè)互聯(lián)網(wǎng)安全解決方案案例匯編工互聯(lián)產(chǎn)業(yè)盟AI）20510月PAGEPAGEIII目錄1.工業(yè)互聯(lián)網(wǎng)安全概述 61.1.工業(yè)互聯(lián)網(wǎng)安全形勢(shì) 61.2.工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn) 82.2.典型安全解決方案 102.1.2.1案例一：某大型電力股份有限公司全網(wǎng)域網(wǎng)絡(luò)安全態(tài)勢(shì)感知項(xiàng)目——管理信息和生產(chǎn)控制區(qū)網(wǎng)絡(luò)安全態(tài)勢(shì)融合 102.1.1.2.1.1方案概述 102.1.2.2.1.2方案實(shí)施概況 112.2.3.安全數(shù)據(jù)采集調(diào)研 122.2.1.2.1.3下一步實(shí)施計(jì)劃 202.2.2.2.1.4方案創(chuàng)新點(diǎn)和實(shí)施效果 202.2.3.2.1.5單位基本信息 212.3.2.2案例二：基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng) 222.3.1.2.2.1方案概述 222.3.2.3.方案目標(biāo) 232.3.3.2.2.2方案實(shí)施概況 252.3.4.2.2.3下一步實(shí)施計(jì)劃 372.3.5.2.2.4方案創(chuàng)新點(diǎn)和實(shí)施效果 402.3.6.2.3.1方案概述 452.3.7.2.3.2方案實(shí)施概況 46下一步實(shí)施計(jì)劃 592.3.9.2.3.4方案創(chuàng)新點(diǎn)和實(shí)施效果 602.3.10.2.3.5單位基本信息 612.3.11.2.4.1方案概述 622.3.12.2.4.2方案實(shí)施概況 642.3.13.2.4.3下一步實(shí)施計(jì)劃 742.3.14.2.4.4方案創(chuàng)新點(diǎn)和實(shí)施效果 74單位基本信息 752.3.16.2.5.1方案概述 762.3.17.2.5.2方案實(shí)施概況 782.3.18.2.5.3下一步實(shí)施計(jì)劃 802.3.19.2.5.4方案創(chuàng)新點(diǎn)和實(shí)施效果 802.3.20.2.5.5單位基本信息 812.3.21.2.6.1方案概述 822.3.22.2.6.2方案實(shí)施概況 842.3.23.2.6.3下一步實(shí)施計(jì)劃 912.3.24.2.6.4方案創(chuàng)新點(diǎn)和實(shí)施效果 912.3.25.2.6.5單位基本信息 922.3.26.2.7.1方案概述 952.3.27.2.7.2方案實(shí)施概況 972.3.28.2.7.3下一步實(shí)施計(jì)劃 992.3.29.2.7.4方案創(chuàng)新點(diǎn)和實(shí)施效果 1002.3.30.2.7.5單位基本信息 1012.3.31.2.8.1方案概述 1032.3.32.2.8.2方案實(shí)施概況 1052.3.33.2.8.3下一步實(shí)施計(jì)劃 1092.3.34.2.8.4方案創(chuàng)新點(diǎn)和實(shí)施效果 109工業(yè)互聯(lián)網(wǎng)安全解決方案工業(yè)互聯(lián)網(wǎng)安全解決方案111前 言工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，通過對(duì)人、機(jī)、物的全面互聯(lián)，構(gòu)建起全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈全面連接的新型生產(chǎn)制造和服務(wù)體系，是數(shù)字化轉(zhuǎn)型的實(shí)現(xiàn)途徑，是實(shí)現(xiàn)新舊動(dòng)能轉(zhuǎn)換的關(guān)鍵力量。自2018年以來，工業(yè)互聯(lián)網(wǎng)連續(xù)8年寫入政府工作報(bào)告；其中2021年提出要發(fā)展工業(yè)互聯(lián)網(wǎng)，搭建更多共性技術(shù)研發(fā)平臺(tái)，提升中小微企業(yè)創(chuàng)新能力和專業(yè)化水平；2022年提出要加快發(fā)展工業(yè)互聯(lián)網(wǎng)，培育壯大集成電路、人工智能等數(shù)字產(chǎn)業(yè)，提升關(guān)鍵軟硬件技術(shù)創(chuàng)新和供給能力；2023年指出支持工業(yè)互聯(lián)網(wǎng)發(fā)展，有力促進(jìn)了制造業(yè)數(shù)字化智能化；2024年出臺(tái)穩(wěn)定工業(yè)經(jīng)濟(jì)運(yùn)行、支持先進(jìn)制造業(yè)舉措，提高重點(diǎn)行業(yè)企業(yè)研發(fā)費(fèi)用加計(jì)扣除比例，推動(dòng)重點(diǎn)產(chǎn)業(yè)鏈高質(zhì)量發(fā)展，工業(yè)企業(yè)利潤由降轉(zhuǎn)升；2025年指出加快工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的重要性。當(dāng)前我國工業(yè)互聯(lián)網(wǎng)核心產(chǎn)業(yè)規(guī)模超過1.5萬億元，帶動(dòng)經(jīng)濟(jì)增長近3.5萬億元，工業(yè)互聯(lián)網(wǎng)已拓展至49個(gè)國民經(jīng)濟(jì)大類，實(shí)現(xiàn)了41個(gè)工業(yè)大類全覆蓋，為發(fā)展新質(zhì)生產(chǎn)力、建設(shè)現(xiàn)代化產(chǎn)業(yè)體系提供了重要支撐。為了促進(jìn)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)安全的發(fā)展，近三年國家相關(guān)部門相繼出臺(tái)一系列政策，保障工業(yè)互聯(lián)網(wǎng)行業(yè)安全，但工業(yè)互聯(lián)網(wǎng)安全仍然面臨很多新挑戰(zhàn)和問題亟待解決。一方面，算力網(wǎng)絡(luò)、量子計(jì)算等新技術(shù)與工業(yè)互聯(lián)網(wǎng)融合導(dǎo)致攻擊面擴(kuò)大；另一方面，供應(yīng)鏈攻擊、AI生成式攻擊等新型威脅占比持續(xù)增長，傳統(tǒng)防護(hù)手段面臨失效風(fēng)險(xiǎn)。為使廣大工業(yè)互聯(lián)網(wǎng)從業(yè)者能了解工業(yè)互聯(lián)網(wǎng)安全的發(fā)展情況，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組啟動(dòng)了案例匯編工作，為工業(yè)互聯(lián)網(wǎng)的安全建設(shè)提供樣板與示范的優(yōu)秀案例。通過案例征集，組織專家評(píng)審，最終評(píng)選出8個(gè)優(yōu)秀案例匯編入《工業(yè)互聯(lián)網(wǎng)典型安全解決案案例匯編(2024)》。本報(bào)告匯編了有關(guān)5G專網(wǎng)、5G泛終端、物聯(lián)網(wǎng)等場景業(yè)內(nèi)優(yōu)秀的安全解決方案，希望為解決工業(yè)互聯(lián)網(wǎng)安全的新挑戰(zhàn)和突出問題提供有益參考，共同促進(jìn)工業(yè)互聯(lián)網(wǎng)安全工作的建設(shè)。工業(yè)互聯(lián)網(wǎng)安全概述工業(yè)互聯(lián)網(wǎng)安全形勢(shì)據(jù)工信部最新數(shù)據(jù)顯示，我國工業(yè)互聯(lián)網(wǎng)已拓展至49個(gè)國民經(jīng)濟(jì)大類，實(shí)現(xiàn)41個(gè)工業(yè)大類全覆蓋，標(biāo)識(shí)解析注冊(cè)量突破6500億個(gè)，連接工業(yè)設(shè)備超1億臺(tái)套，為發(fā)展新質(zhì)生產(chǎn)力、建設(shè)現(xiàn)代化產(chǎn)業(yè)體系提供了重要支撐。工業(yè)互聯(lián)網(wǎng)核心產(chǎn)業(yè)規(guī)模已突破1.5萬億元，帶動(dòng)經(jīng)濟(jì)增長近3.5萬億元，產(chǎn)業(yè)規(guī)模持續(xù)壯大，賦能轉(zhuǎn)型升級(jí)作用不斷顯現(xiàn)。近年來，國家持續(xù)重視工業(yè)互聯(lián)網(wǎng)安全，并發(fā)布多項(xiàng)政策文件，其中：2021年1月，工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)創(chuàng)新行動(dòng)發(fā)展計(jì)劃（2021-2023年）》提出到2023年底，工業(yè)互聯(lián)網(wǎng)與安全生產(chǎn)協(xié)同推進(jìn)發(fā)展格局基本形成，工業(yè)企業(yè)本質(zhì)安全水平顯著增強(qiáng)。6月，《中華人民共和國數(shù)據(jù)安全法》審議通過，明確了采用數(shù)據(jù)分類分級(jí)保護(hù)制度對(duì)數(shù)據(jù)進(jìn)行安全保護(hù)，有助于工業(yè)企業(yè)對(duì)重要數(shù)據(jù)的安全防護(hù)有的放矢，消除工業(yè)企業(yè)用戶對(duì)數(shù)據(jù)安全的顧慮。7月，工信部等十部門聯(lián)合印發(fā)《5G應(yīng)用“揚(yáng)帆”行動(dòng)計(jì)劃（2021-2023年）》，明確重點(diǎn)推進(jìn)5G在工業(yè)互聯(lián)網(wǎng)等領(lǐng)域的深度應(yīng)用。8月，國務(wù)院公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，明確關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。2022年5月，工信部發(fā)布《工業(yè)和信息化部辦公廳關(guān)于開展工業(yè)互聯(lián)網(wǎng)安全深度行活動(dòng)的通知》（工信廳網(wǎng)安函[2022]97號(hào)），涉及分類分級(jí)管理、政策標(biāo)準(zhǔn)宣貫、資源池建設(shè)、應(yīng)急演練、人才培訓(xùn)、賽事活動(dòng)等6項(xiàng)內(nèi)容。2022年7月，國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評(píng)估辦法》，自2022年9月1日起施行，旨在落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的規(guī)定，規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，切實(shí)以安全保發(fā)展、以發(fā)展促安全。2022年9月，工信部印發(fā)《5G全連接工廠建設(shè)指南》。其中，安全方面指出，結(jié)合生產(chǎn)安全需求，圍繞設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)和數(shù)據(jù)等關(guān)鍵要素，構(gòu)建多層級(jí)網(wǎng)絡(luò)安全防護(hù)體系;做好安全應(yīng)急預(yù)案，階段性開展安全檢測(cè)評(píng)估，提升網(wǎng)絡(luò)安全監(jiān)測(cè)水平，確保網(wǎng)絡(luò)運(yùn)行平穩(wěn)，提高安全威脅發(fā)現(xiàn)、快速處置和應(yīng)急響應(yīng)能力。2023年5月，由工業(yè)和信息化部、國家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合印發(fā)《工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南（2023版）》，旨在推動(dòng)工業(yè)領(lǐng)域數(shù)據(jù)安全的技術(shù)引領(lǐng)和規(guī)范指導(dǎo)，依據(jù)《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)和政策文件要求。2023年9月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求可編程邏輯控制器（PLC）》國家標(biāo)準(zhǔn)的征求意見稿，該文件明確了將可編程邏輯控制器（PLC）納入網(wǎng)絡(luò)關(guān)鍵設(shè)備范疇的相關(guān)規(guī)定，涵蓋了設(shè)備標(biāo)識(shí)安全、冗余、備份恢復(fù)與異常檢測(cè)、漏洞和惡意程序防范、預(yù)裝軟件啟動(dòng)及更新安全、用戶身份標(biāo)識(shí)與鑒別、訪問控制安全、日志審計(jì)安全、通信安全和數(shù)據(jù)安全等方面的安全功能要求，以及相應(yīng)的安全保障要求。11月，工業(yè)和信息化部發(fā)布《關(guān)于組織開展2023年工業(yè)互聯(lián)網(wǎng)試點(diǎn)示范項(xiàng)目申報(bào)工作的通知》（工信廳信管函〔2023〕319號(hào)），該通知提出了工業(yè)互聯(lián)網(wǎng)試點(diǎn)示范項(xiàng)目的申報(bào)工作，包括安全類項(xiàng)目。同月工業(yè)和信息化部發(fā)布《“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用先導(dǎo)區(qū)試點(diǎn)工作規(guī)則（暫行）》和《“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用先導(dǎo)區(qū)試點(diǎn)建設(shè)指南》，旨在指導(dǎo)各地積極有序開展“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用先導(dǎo)區(qū)試點(diǎn)建設(shè)，推動(dòng)“5G+工業(yè)互聯(lián)網(wǎng)”規(guī)?；l(fā)展，進(jìn)一步激發(fā)各類市場主體創(chuàng)新活力，打造具有全國、區(qū)域引領(lǐng)效應(yīng)的產(chǎn)業(yè)集群。2024年1月，由工業(yè)和信息化部發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》，指南是為適應(yīng)新時(shí)期工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（以下簡稱工控安全）形勢(shì)，進(jìn)一步指導(dǎo)企業(yè)提升工控安全防護(hù)水平，夯實(shí)新型工業(yè)化發(fā)展安全根基而制定。指南在安全管理、技術(shù)防護(hù)、安全運(yùn)營、責(zé)任落實(shí)四個(gè)方面提出了指導(dǎo)性建議，并明確指出“使用、運(yùn)營工業(yè)控制系統(tǒng)的企業(yè)適用本指南，防護(hù)對(duì)象包括工業(yè)控制系統(tǒng)以及被網(wǎng)絡(luò)攻擊后可直接或間接影響生產(chǎn)運(yùn)行的其他設(shè)備和系統(tǒng)”，指導(dǎo)工業(yè)企業(yè)提升工控網(wǎng)絡(luò)安全水平，為新型工業(yè)化的高質(zhì)量發(fā)展提供網(wǎng)絡(luò)安全保障。4月，工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》旨在加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理，落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任，提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平，促進(jìn)工業(yè)互聯(lián)網(wǎng)深度融合應(yīng)用。2024年12月，工業(yè)和信息化部、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)、中華全國工商業(yè)聯(lián)合會(huì)印發(fā)《制造業(yè)企業(yè)數(shù)字化轉(zhuǎn)型實(shí)施指南》，指南鼓勵(lì)龍頭企業(yè)強(qiáng)化產(chǎn)業(yè)鏈供應(yīng)鏈安全預(yù)警分析，提升風(fēng)險(xiǎn)聯(lián)動(dòng)預(yù)測(cè)和協(xié)同處置能力，增強(qiáng)產(chǎn)業(yè)鏈供應(yīng)鏈韌性和風(fēng)險(xiǎn)防范能力，切實(shí)提升工業(yè)數(shù)據(jù)安全防護(hù)水平。同月工業(yè)和信息化部發(fā)布《打造“5G+工業(yè)互聯(lián)網(wǎng)”512工程升級(jí)版實(shí)施方案》，強(qiáng)調(diào)要加強(qiáng)“5G+工業(yè)互聯(lián)網(wǎng)”應(yīng)用安全技術(shù)產(chǎn)品研究，滿足不同場景下安全保障需求，建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)發(fā)現(xiàn)、預(yù)警通報(bào)、應(yīng)急處置技術(shù)體系。2025年4月，工業(yè)和信息化部組織開展2025年工業(yè)互聯(lián)網(wǎng)一體化進(jìn)園區(qū)“百城千園行”活動(dòng)，深入實(shí)施工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理，引導(dǎo)園區(qū)企業(yè)接入國家安全態(tài)勢(shì)感知平臺(tái)。此外，工業(yè)和信息化部辦公廳還印發(fā)了《2025年護(hù)航新型工業(yè)化網(wǎng)絡(luò)安全專項(xiàng)行動(dòng)方案》，提出建立完善工業(yè)領(lǐng)域網(wǎng)絡(luò)安全防護(hù)重點(diǎn)企業(yè)清單，面向不少于800家工業(yè)企業(yè)開展網(wǎng)絡(luò)安全貫標(biāo)達(dá)標(biāo)試點(diǎn)，有效提高重點(diǎn)企業(yè)綜合防護(hù)水平；深化工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全評(píng)估，探索開展工業(yè)控制產(chǎn)品安全檢測(cè)認(rèn)證；組織全國范圍新型工業(yè)化網(wǎng)絡(luò)安全政策標(biāo)準(zhǔn)宣貫，切實(shí)增強(qiáng)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全意識(shí)和保障能力，以高水平網(wǎng)絡(luò)安全護(hù)航制造業(yè)高質(zhì)量發(fā)展。工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)根據(jù)CNVD（國家信息安全漏洞共享平臺(tái)）數(shù)據(jù)顯示，近三年工控漏洞持續(xù)增長2022年新增漏洞33條，2023年新增漏洞92條，2024年新增漏洞84條；截止目前工控漏洞總數(shù)達(dá)3000+，其中高危漏洞1500+。工業(yè)互聯(lián)網(wǎng)安全整體呈現(xiàn)出高危漏洞多、風(fēng)險(xiǎn)持續(xù)存在的現(xiàn)狀，行業(yè)整體面臨著五大安全挑戰(zhàn)。一是信息域物理域深度融合，跨域攻擊危害大。隨著工業(yè)化與信息化融合的快速發(fā)展，信息空間和物理空間的邊界日益交疊，網(wǎng)絡(luò)安全威脅也從信息域滲透到物理域。一旦信息域遭到攻擊，造成敏感信息、重要數(shù)據(jù)、設(shè)計(jì)圖紙、試驗(yàn)方案被遠(yuǎn)程控制或篡改，就可能引發(fā)物理域工業(yè)控制系統(tǒng)故障，輕則造成生產(chǎn)停滯、裝備缺陷，重則造成基礎(chǔ)設(shè)施破壞、人員傷亡、環(huán)境災(zāi)難，甚至可能導(dǎo)致社會(huì)動(dòng)亂，危害國家安全。從2010年針對(duì)伊朗核電站控制系統(tǒng)的震網(wǎng)病毒事件，到2022年的烏克蘭電力系統(tǒng)安全事件，全球已經(jīng)發(fā)生大量由網(wǎng)絡(luò)攻擊造成的核電廠、水設(shè)施、電網(wǎng)、石油生產(chǎn)和軌道交通等關(guān)鍵基礎(chǔ)設(shè)施破壞的安全事件，工業(yè)互聯(lián)網(wǎng)面臨的安全威脅日益嚴(yán)峻。二是產(chǎn)品服務(wù)供應(yīng)鏈日益復(fù)雜，系統(tǒng)攻擊面不斷擴(kuò)大。工業(yè)供應(yīng)鏈由單一鏈條上企業(yè)的單線鏈接轉(zhuǎn)向網(wǎng)絡(luò)化、多層次的全方位鏈接，科研生產(chǎn)需要眾多供應(yīng)商參與，提供高度專業(yè)化的零部件和技術(shù)支持。供應(yīng)商的產(chǎn)品安全可影響大量上下游企業(yè)，直接威脅到工業(yè)網(wǎng)絡(luò)的安全。供應(yīng)商的軟硬件產(chǎn)品可能存在漏洞，亦或被惡意植入后門，一旦被黑客利用，就可能入侵企業(yè)工業(yè)網(wǎng)絡(luò)，獲取機(jī)密信息或破壞關(guān)鍵信息基礎(chǔ)設(shè)施。2022年日本豐田公司的主要供應(yīng)商之一的小島工業(yè)公司受到了勒索軟件的攻擊，導(dǎo)致豐田汽車不得不關(guān)閉部分的生產(chǎn)流程。我國的工業(yè)科研生產(chǎn)核心設(shè)備及工控系統(tǒng)主要依靠進(jìn)口，在短時(shí)間內(nèi)無法實(shí)現(xiàn)全部國產(chǎn)化替換的情況下，供應(yīng)鏈安全將對(duì)工業(yè)網(wǎng)絡(luò)安全形成持續(xù)威脅。三是工業(yè)領(lǐng)域各行業(yè)差異，網(wǎng)絡(luò)安全建設(shè)成本高。工業(yè)互聯(lián)網(wǎng)不僅涉及制造業(yè)、電力、交通等眾多行業(yè)，也涉及裝備、控制系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)、應(yīng)用等層面，針對(duì)不同行業(yè)的工業(yè)互聯(lián)網(wǎng)化需要開發(fā)不同的軟硬件產(chǎn)品，相對(duì)應(yīng)的，這些軟硬件產(chǎn)品都需要定制化進(jìn)行網(wǎng)絡(luò)安全防護(hù)，這種定制化的安全開發(fā)成本高。此外，工業(yè)互聯(lián)網(wǎng)涉及研發(fā)設(shè)計(jì)、生產(chǎn)制造、產(chǎn)品流通及售后服務(wù)等全產(chǎn)業(yè)鏈多個(gè)環(huán)節(jié)，運(yùn)營單位、工業(yè)互聯(lián)網(wǎng)平臺(tái)提供商等多方主體在保護(hù)工業(yè)互聯(lián)網(wǎng)安全方面的法律責(zé)任和義務(wù)劃分模糊，監(jiān)管職責(zé)分散于各個(gè)行業(yè)主管部門，建立責(zé)權(quán)清晰的監(jiān)管體系需要企業(yè)各部門及人力資源的支持。四是傳統(tǒng)工業(yè)領(lǐng)域行業(yè)局限性明顯，安全防護(hù)水平難以快速提升。工業(yè)領(lǐng)域有其自身的行業(yè)特點(diǎn)，相比于安全性，更注重實(shí)時(shí)性和可靠性，漏洞修復(fù)、系統(tǒng)防護(hù)軟件升級(jí)等安全措施難以快速更新迭代，導(dǎo)致工業(yè)系統(tǒng)維護(hù)能力不足。此外，工業(yè)設(shè)備升級(jí)換代周期長，生產(chǎn)裝備、操作系統(tǒng)滯后于時(shí)代發(fā)展，無法適配新型安全防護(hù)技術(shù)及機(jī)制等。從企業(yè)角度看，工業(yè)企業(yè)普遍存在重發(fā)展輕安全的情況，對(duì)工業(yè)互聯(lián)網(wǎng)安全缺乏足夠認(rèn)識(shí)，安全防護(hù)投入較低，安全產(chǎn)品、安全解決方案應(yīng)用水平不高，實(shí)力薄弱的中小企業(yè)更是缺乏配套資金及人力部署安全措施。五是運(yùn)維人員權(quán)限高，商業(yè)機(jī)密保護(hù)難度大。工業(yè)互聯(lián)網(wǎng)通常涉及智能制造、電子裝聯(lián)、測(cè)試試驗(yàn)等復(fù)雜業(yè)務(wù)，科研生產(chǎn)中需要使用大量專業(yè)化工業(yè)控制系統(tǒng)和仿真設(shè)計(jì)軟件。為了確保網(wǎng)絡(luò)的正常運(yùn)行，需要配置工作人員進(jìn)行設(shè)備維護(hù)、網(wǎng)絡(luò)運(yùn)維、監(jiān)督管理等。這些運(yùn)維人員往往被賦予了較高的訪問控制權(quán)限，以便進(jìn)行系統(tǒng)配置、監(jiān)控和維護(hù)。人是網(wǎng)絡(luò)安全工作的主體，也是網(wǎng)絡(luò)系統(tǒng)的脆弱點(diǎn)，內(nèi)部人員的惡意或過失行為可能造成重要機(jī)密信息的泄露，在設(shè)備調(diào)試、升級(jí)維護(hù)過程中信息安全保密隱患極大。2.典型安全解決方案2.1案例一：某大型電力股份有限公司全網(wǎng)域網(wǎng)絡(luò)安全態(tài)勢(shì)感知項(xiàng)目——管理信息和生產(chǎn)控制區(qū)網(wǎng)絡(luò)安全態(tài)勢(shì)融合引言：中國某電力股份有限公司是國內(nèi)領(lǐng)先的電力生產(chǎn)和運(yùn)營商，其業(yè)務(wù)范圍涵蓋電力生產(chǎn)、傳輸、配送等環(huán)節(jié)，是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。隨著電力系統(tǒng)信息化程度的不斷提高，網(wǎng)絡(luò)攻擊手段也日益復(fù)雜多樣，電力系統(tǒng)面臨著前所未有的安全挑戰(zhàn)。為貫徹落實(shí)國家關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的法律法規(guī)，并應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，該公司決定建設(shè)一套基于管理信息大區(qū)與生產(chǎn)控制大區(qū)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)。該系統(tǒng)旨在通過整合兩大安全區(qū)域的安全數(shù)據(jù)，實(shí)現(xiàn)對(duì)全網(wǎng)域網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)監(jiān)測(cè)和預(yù)警，并提升應(yīng)急處置能力，保障電力系統(tǒng)安全穩(wěn)定運(yùn)行。2.1.1方案概述1.方案背景近年來，電力系統(tǒng)面臨的網(wǎng)絡(luò)威脅日益增加，面臨的攻擊更加復(fù)雜、多樣、隱蔽、系統(tǒng)和持續(xù)，安全事件頻繁發(fā)生，國家層面高度重視網(wǎng)絡(luò)安全，特別是關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)。電力行業(yè)屬于國家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，涉及到國家安全、經(jīng)濟(jì)命脈和人民群眾的生產(chǎn)生活，一旦受到攻擊，可能引發(fā)人員傷亡、社會(huì)動(dòng)蕩等災(zāi)難性的后果。中國某電力股份有限公司（以下簡稱“公司”）作為國內(nèi)領(lǐng)先的電力生產(chǎn)和運(yùn)營商，肩負(fù)著保障國家關(guān)鍵基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行的重要使命。為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》、《國能安全〔2015〕36號(hào)文》、《電力信息系統(tǒng)安全檢查規(guī)范》（GB/T36047—2018）、《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、《國家能源局關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》（國能發(fā)安全〔2018〕72號(hào)）等國家和行業(yè)指導(dǎo)文件要求，提高電力業(yè)務(wù)系統(tǒng)的安全性和管理質(zhì)量，消除、降低當(dāng)前存在的安全風(fēng)險(xiǎn)，公司推動(dòng)建設(shè)基于管理信息大區(qū)與生產(chǎn)控制大區(qū)全網(wǎng)域網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)（以下簡稱“態(tài)勢(shì)感知系統(tǒng)”），樹立管理信息網(wǎng)和生產(chǎn)控制網(wǎng)網(wǎng)絡(luò)安全工作“一盤棋”思想，建立協(xié)同聯(lián)動(dòng)、及時(shí)快捷、高效運(yùn)轉(zhuǎn)的一體化網(wǎng)絡(luò)安全工作格局，實(shí)現(xiàn)管理信息大區(qū)與生產(chǎn)控制大區(qū)在安全監(jiān)測(cè)、預(yù)警、防護(hù)、通報(bào)、響應(yīng)和追溯工作的一體化、實(shí)時(shí)化，全面提高公司網(wǎng)絡(luò)安全防護(hù)水平，為網(wǎng)絡(luò)安全監(jiān)管工作提供決策依據(jù)和技術(shù)手段。2.方案簡介本項(xiàng)目由安恒信息專業(yè)團(tuán)隊(duì)建設(shè)，基于公司安全管理現(xiàn)狀和需求，結(jié)合電力行業(yè)特性及政策合規(guī)要求，構(gòu)建了一套集管理信息大區(qū)與生產(chǎn)控制大區(qū)安全數(shù)據(jù)統(tǒng)一匯聚、融合分析、監(jiān)測(cè)預(yù)警及響應(yīng)處置于一體的綜合監(jiān)測(cè)預(yù)警體系。圖1-1網(wǎng)絡(luò)部署示意圖STYLEREF1\s2SEQ圖表\*ARABIC\s11態(tài)勢(shì)感知系統(tǒng)整合管理信息大區(qū)和生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)各類安全日志與全流量數(shù)據(jù)開展全網(wǎng)域安全監(jiān)測(cè)預(yù)警，實(shí)時(shí)掌握各區(qū)域關(guān)鍵信息基礎(chǔ)設(shè)施、重要工業(yè)系統(tǒng)、重要業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)；實(shí)現(xiàn)7*24小時(shí)全天候的安全監(jiān)測(cè)預(yù)警能力，精準(zhǔn)識(shí)別網(wǎng)絡(luò)威脅，利用態(tài)勢(shì)感知系統(tǒng)集成的安全分析工具，可發(fā)現(xiàn)更深層次的問題，及時(shí)通報(bào)預(yù)警重大網(wǎng)絡(luò)安全威脅，組織相關(guān)人員快速處置，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生的概率，實(shí)現(xiàn)“網(wǎng)絡(luò)看得見、攻擊防得住、網(wǎng)情控得住、敵手抓得住、危險(xiǎn)止得住”，為公司網(wǎng)絡(luò)安全管理工作提供有效的技術(shù)支撐，推動(dòng)公司網(wǎng)絡(luò)安全應(yīng)急協(xié)調(diào)工作向深層次發(fā)展，提升網(wǎng)絡(luò)安全防護(hù)水平，通過建立跨地域、跨部門的應(yīng)急指揮協(xié)同機(jī)制，構(gòu)建各方參與的網(wǎng)絡(luò)安全綜合防控體系，保障公司業(yè)務(wù)的安全運(yùn)行。2.1.2方案實(shí)施概況1.總體建設(shè)思路通過對(duì)各區(qū)域安全環(huán)境的安全設(shè)備數(shù)據(jù)、能力調(diào)研、梳理與評(píng)估，形成全局網(wǎng)絡(luò)安全運(yùn)營方案建設(shè)；構(gòu)建安全數(shù)據(jù)中臺(tái)，對(duì)安全數(shù)據(jù)資產(chǎn)進(jìn)行采集、處理、治理、分析等，形成安全數(shù)據(jù)服務(wù)目錄，形成安全數(shù)據(jù)服務(wù)總線，持續(xù)利用安全數(shù)據(jù)資源，賦能上層業(yè)務(wù)應(yīng)用；構(gòu)建安全能力中臺(tái)，對(duì)設(shè)備能力、服務(wù)能力等進(jìn)行全面梳理整合，形成安全能力服務(wù)目錄，供上層安全應(yīng)用進(jìn)行統(tǒng)一調(diào)度；建立安全應(yīng)用中心，形成資產(chǎn)管理、安全監(jiān)測(cè)、安全分析、響應(yīng)處置、態(tài)勢(shì)感知、運(yùn)營管理六大應(yīng)用中心，全面滿足客戶安全運(yùn)營建設(shè)需求。2.總體技術(shù)架構(gòu)本項(xiàng)目通過前期對(duì)各地域安全監(jiān)測(cè)數(shù)據(jù)的調(diào)研工作，掌握全面的數(shù)據(jù)采集方式、采集范圍、采集對(duì)象和采集內(nèi)容，以安全數(shù)據(jù)中臺(tái)為核心，以安全合規(guī)為前提，統(tǒng)一接入各地域管理信息大區(qū)與生產(chǎn)控制大區(qū)安全監(jiān)測(cè)數(shù)據(jù)，將各類異構(gòu)數(shù)據(jù)格式范示化，對(duì)數(shù)據(jù)進(jìn)行融合分析，開展對(duì)各地域安全大區(qū)的監(jiān)測(cè)預(yù)警與態(tài)勢(shì)感知工作。圖1-2總體技術(shù)架構(gòu)圖3.安全數(shù)據(jù)采集調(diào)研實(shí)現(xiàn)對(duì)管理信息大區(qū)與生產(chǎn)控制大區(qū)的統(tǒng)一監(jiān)測(cè)預(yù)警與態(tài)勢(shì)感知，需要全面掌握各地域兩個(gè)安全大區(qū)的數(shù)據(jù)采集現(xiàn)狀。兩大安全區(qū)域由于業(yè)務(wù)不同，在網(wǎng)絡(luò)架構(gòu)與協(xié)議、數(shù)據(jù)特性差異和安全需求上存在很大差異。通過本次調(diào)研，我們?cè)敿?xì)分析了兩大區(qū)域的差異與特點(diǎn)，并據(jù)此形成了全面的調(diào)研報(bào)告和數(shù)據(jù)接入評(píng)估方案，全面闡述了各地域的數(shù)據(jù)采集現(xiàn)狀、存在的問題以及相應(yīng)的優(yōu)化建議，為后續(xù)的系統(tǒng)建設(shè)和安全管理工作提供了重要依據(jù)。（1）差異與特點(diǎn)網(wǎng)絡(luò)架構(gòu)與協(xié)議差異網(wǎng)絡(luò)架構(gòu)不同：生產(chǎn)控制大區(qū)主要包括變電站自動(dòng)化系統(tǒng)、分布式能源接入系統(tǒng)等，其網(wǎng)絡(luò)架構(gòu)以工業(yè)控制系統(tǒng)為主。這些系統(tǒng)通常是封閉的、專用的網(wǎng)絡(luò)，對(duì)實(shí)時(shí)性和可靠性要求極高。例如，在變電站自動(dòng)化系統(tǒng)中，保護(hù)裝置與測(cè)控裝置之間的數(shù)據(jù)傳輸需要在幾毫秒內(nèi)完成，以確保故障時(shí)能快速切除故障線路。管理信息大區(qū)的網(wǎng)絡(luò)架構(gòu)則更類似于一般的企業(yè)信息網(wǎng)絡(luò)，包括辦公自動(dòng)化系統(tǒng)、電力營銷系統(tǒng)等，主要用于信息管理和業(yè)務(wù)流程處理，對(duì)實(shí)時(shí)性要求相對(duì)較低，但數(shù)據(jù)量較大且數(shù)據(jù)類型復(fù)雜。協(xié)議復(fù)雜多樣：生產(chǎn)控制大區(qū)采用大量的工業(yè)控制協(xié)議，如IEC61850（用于變電站通信）、DNP3（分布式網(wǎng)絡(luò)協(xié)議）等。這些協(xié)議設(shè)計(jì)初衷是為了滿足工業(yè)控制的高效性和穩(wěn)定性，通常沒有考慮網(wǎng)絡(luò)安全因素，而且協(xié)議的解析和理解需要專業(yè)的工業(yè)控制知識(shí)。管理信息大區(qū)主要采用常見的互聯(lián)網(wǎng)協(xié)議，如TCP/IP及其相關(guān)應(yīng)用層協(xié)議，如HTTP、SMTP等。這些協(xié)議雖然有較成熟的安全機(jī)制，但也容易受到各種網(wǎng)絡(luò)攻擊。統(tǒng)一監(jiān)測(cè)預(yù)警需要同時(shí)處理這兩類差異巨大的協(xié)議，難度較大。數(shù)據(jù)特性差異數(shù)據(jù)格式和內(nèi)容差異：生產(chǎn)控制大區(qū)的數(shù)據(jù)格式較為固定，主要是設(shè)備的狀態(tài)信息（如電壓、電流、開關(guān)狀態(tài)等）和控制指令（如斷路器的開合操作）。這些數(shù)據(jù)的變化通常具有一定的規(guī)律，并且與電力系統(tǒng)的物理過程緊密相關(guān)。管理信息大區(qū)的數(shù)據(jù)內(nèi)容則更加多樣化，包括結(jié)構(gòu)化數(shù)據(jù)（如用戶信息表、財(cái)務(wù)報(bào)表等）和非結(jié)構(gòu)化數(shù)據(jù)（如電子郵件、文檔等）。數(shù)據(jù)的格式和內(nèi)容因業(yè)務(wù)系統(tǒng)的不同而千差萬別。數(shù)據(jù)量和流速差異：生產(chǎn)控制大區(qū)的數(shù)據(jù)量相對(duì)較小，但數(shù)據(jù)流速要求高，需要實(shí)時(shí)處理和分析。例如，在電力監(jiān)控系統(tǒng)中，每隔幾秒鐘就需要采集一次實(shí)時(shí)運(yùn)行數(shù)據(jù)，并且要及時(shí)做出控制決策。管理信息大區(qū)的數(shù)據(jù)量可能非常大，尤其是在涉及大數(shù)據(jù)應(yīng)用的場景下，如電力客戶行為分析系統(tǒng)。但數(shù)據(jù)的流速相對(duì)較靈活，不需要像生產(chǎn)控制大區(qū)那樣嚴(yán)格的實(shí)時(shí)處理。安全需求差異安全目標(biāo)測(cè)重點(diǎn)：生產(chǎn)控制大區(qū)的安全重點(diǎn)是保障電力系統(tǒng)的物理設(shè)備安全和運(yùn)行穩(wěn)定性，防止因網(wǎng)絡(luò)攻擊導(dǎo)致電力系統(tǒng)故障，如電網(wǎng)停電事故。其安全需求主要圍繞電力生產(chǎn)的連續(xù)性、可靠性和實(shí)時(shí)性展開。管理信息大區(qū)更關(guān)注數(shù)據(jù)的保密性、完整性和可用性，重點(diǎn)防止數(shù)據(jù)泄露、篡改和非法訪問，以保護(hù)企業(yè)的商業(yè)機(jī)密和用戶隱私。風(fēng)險(xiǎn)容忍度差異：生產(chǎn)控制大區(qū)對(duì)風(fēng)險(xiǎn)的容忍度極低，因?yàn)槿魏挝⑿〉木W(wǎng)絡(luò)安全事件都可能引發(fā)嚴(yán)重的電力系統(tǒng)事故。管理信息大區(qū)雖然也重視網(wǎng)絡(luò)安全，但在一定程度上可以通過數(shù)據(jù)備份、恢復(fù)等措施來降低風(fēng)險(xiǎn)的影響，相對(duì)而言風(fēng)險(xiǎn)容忍度稍高。（2）調(diào)研報(bào)告開展對(duì)各區(qū)域管理信息大區(qū)和生產(chǎn)控制大區(qū)的調(diào)研工作，制定調(diào)研方案，從調(diào)研目的、對(duì)象、時(shí)間、方式、內(nèi)容進(jìn)行有序規(guī)劃，掌握各地域和各安全大區(qū)的業(yè)務(wù)資產(chǎn)情況、重點(diǎn)監(jiān)測(cè)對(duì)象、監(jiān)測(cè)范圍，以及各安全設(shè)備、監(jiān)測(cè)裝置/平臺(tái)的監(jiān)測(cè)內(nèi)容，數(shù)據(jù)規(guī)范格式等內(nèi)容，以便為輸出數(shù)據(jù)接入評(píng)估方案提供數(shù)據(jù)支撐。（3）數(shù)據(jù)接入評(píng)估根據(jù)調(diào)研結(jié)果，開展數(shù)據(jù)接入評(píng)估工作，輸出數(shù)據(jù)接入評(píng)估方案，主要包括如下內(nèi)容：數(shù)據(jù)上報(bào)對(duì)象、數(shù)據(jù)接入范圍、數(shù)據(jù)接入內(nèi)容、數(shù)據(jù)接入方式、總體數(shù)據(jù)接入評(píng)估方案。4.安全數(shù)據(jù)中臺(tái)安全數(shù)據(jù)中臺(tái)實(shí)現(xiàn)對(duì)接入的所有安全監(jiān)測(cè)數(shù)據(jù)、威脅情報(bào)庫數(shù)據(jù)的整合、歸檔、應(yīng)用并對(duì)上層提供數(shù)據(jù)的服務(wù)能力。主要提供安全數(shù)據(jù)集成、安全數(shù)據(jù)處理治理、安全數(shù)據(jù)計(jì)算等，形成安全數(shù)據(jù)服務(wù)資源目錄，統(tǒng)一為上層提供數(shù)據(jù)服務(wù)。5.應(yīng)用系統(tǒng)設(shè)計(jì)應(yīng)用系統(tǒng)是以安全數(shù)據(jù)中臺(tái)提供的數(shù)據(jù)服務(wù)為核心，為用戶提供資產(chǎn)管理、安全監(jiān)測(cè)、安全分析、響應(yīng)處置、安全運(yùn)營和態(tài)勢(shì)感知等應(yīng)用。（1）資產(chǎn)管理作為態(tài)勢(shì)感知的最基礎(chǔ)功能，確定了安全管理的對(duì)象和目標(biāo)，將所有業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)備、工控設(shè)備、安全設(shè)備、服務(wù)器及其之上承載的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、接口方式、硬件屬性、使用維護(hù)人員等信息均作為資產(chǎn)管理的內(nèi)容，提供資產(chǎn)錄入、管理、變更等管理功能?？赏ㄟ^流量監(jiān)控開放端口、主動(dòng)外連行為等。（2）安全監(jiān)測(cè)安全告警感知事件監(jiān)測(cè)以豐富的工業(yè)威脅模型識(shí)別、全面的檢測(cè)策略、智能機(jī)器學(xué)習(xí)、高效的沙箱動(dòng)態(tài)分析，以及云端威脅情報(bào)匹配能力為基礎(chǔ)，以安全事件為切入點(diǎn)，以威脅對(duì)象為聚合條件，動(dòng)態(tài)梳理當(dāng)前熱點(diǎn)安全場景，將海量告警轉(zhuǎn)化為幾十條甚至十幾條事件，無需關(guān)注搜索、過濾、聚合之間的邏輯差異，通過點(diǎn)擊數(shù)據(jù)得到期待的分析結(jié)果，幫助用戶聚焦熱點(diǎn)安全問題，并對(duì)熱點(diǎn)場景類型進(jìn)行重點(diǎn)監(jiān)測(cè)，大大減輕用戶分析負(fù)擔(dān)。事件監(jiān)測(cè)具備豐富的IT和OT威脅監(jiān)測(cè)能力，完整覆蓋整個(gè)APT攻擊鏈，能有效發(fā)現(xiàn)APT攻擊及各種常見攻擊。管理信息大區(qū)事件監(jiān)測(cè)通過對(duì)管理大區(qū)的全流量、日志數(shù)據(jù)監(jiān)測(cè)，分析提取網(wǎng)絡(luò)交互關(guān)鍵信息，包括時(shí)間、源/目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、連接或斷開狀態(tài)、上下行報(bào)文數(shù)和流量、告警數(shù)、數(shù)據(jù)來源等。能夠針對(duì)http、dns、FTP、郵件、Telnet、數(shù)據(jù)庫操作、登錄、文件、SSL/TLS、社會(huì)賬號(hào)、ICMP、接口流量進(jìn)行細(xì)粒度深度解析，掌握安全管理對(duì)象的實(shí)時(shí)狀態(tài)和資源使用信息，能夠及時(shí)監(jiān)測(cè)web攻擊、郵件攻擊、文件攻擊、DNS異常攻擊、漏洞攻擊、可疑行為、基線告警行為等進(jìn)行實(shí)時(shí)監(jiān)測(cè)。生產(chǎn)控制大區(qū)事件監(jiān)測(cè)通過對(duì)生產(chǎn)控制大區(qū)的全流量、日志數(shù)據(jù)監(jiān)測(cè)，對(duì)S7、Modbus/TCP，Profinet，Ethernet/IP、IEC104，DNP3、OPC、GE-SRTP、GE-EGD、BACnet、Fox、FINS、MELSEC、MMS、HartIP、Goose、SV等十多種工控協(xié)議的深度解析，分析提取網(wǎng)絡(luò)交互關(guān)鍵信息，包括時(shí)間、源/目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、請(qǐng)求指令、請(qǐng)求服務(wù)、響應(yīng)狀態(tài)、響應(yīng)指令、數(shù)據(jù)來源等。掌握安全管理對(duì)象的實(shí)時(shí)狀態(tài)和資源使用信息，能夠及時(shí)監(jiān)測(cè)工控異常報(bào)文、工控關(guān)鍵事件、工控基線行為事件和工控漏洞攻擊等進(jìn)行實(shí)時(shí)監(jiān)測(cè)。資產(chǎn)感知以資產(chǎn)為核心視角，直觀了解自身網(wǎng)絡(luò)環(huán)境中存在的風(fēng)險(xiǎn)資產(chǎn)。資產(chǎn)感知通過攻擊鏈形式展示，剖析從掃描探查階段到資產(chǎn)破壞階段資產(chǎn)失陷過程。感知失陷、異常資產(chǎn)，從海量的日志中提取有價(jià)值的資產(chǎn)溯源路線。公司系統(tǒng)簡單易用，支持一鍵全方面鉆取，降低運(yùn)維成本，提高運(yùn)維效率。（3）安全分析模型管理威脅模型展示了基于IT、OT場景下各類內(nèi)置模型管理功能，模型支持自定義。同時(shí)為了方便用戶快速上手，提供了五大建模管理方式，主要包括規(guī)則建模、安全事件關(guān)聯(lián)建模、安全事件統(tǒng)計(jì)建模、威脅情報(bào)建模和AI學(xué)習(xí)建模，利用分析引擎進(jìn)行數(shù)據(jù)深入分析，提升安全威脅檢測(cè)準(zhǔn)確率。基線分析支持網(wǎng)絡(luò)行為基線分析能力，可識(shí)別新資產(chǎn)上線、新網(wǎng)絡(luò)行為、新網(wǎng)絡(luò)連接通信等。以機(jī)器學(xué)習(xí)的方法建立工控網(wǎng)絡(luò)的通信基線模型，對(duì)工控系統(tǒng)網(wǎng)絡(luò)環(huán)境建立四類安全基線：資產(chǎn)基線、訪問關(guān)系基線、流量基線、行為基線。通過基線學(xué)習(xí)、異常檢測(cè)的方式，可以對(duì)異常情況進(jìn)行發(fā)現(xiàn)和預(yù)警，提前發(fā)現(xiàn)APT攻擊的痕跡。文件分析通過將上傳文件，來對(duì)文件的威脅進(jìn)行沙箱檢測(cè)，支持木馬病毒掃描、靜態(tài)分析、動(dòng)態(tài)模擬分析，展示文件名稱、源文件類型、MD5、評(píng)級(jí)、監(jiān)測(cè)結(jié)果、評(píng)分、處理狀態(tài)、文件上傳時(shí)間、監(jiān)測(cè)完成時(shí)間、操作（預(yù)覽、下載報(bào)告、刪除）等內(nèi)容。智能檢索智能檢索分析用于對(duì)工控安全日志的檢索分析功能，具體支持如下功能： 支持檢索語句的中文、英文、拼音智能聯(lián)想； 支持邏輯運(yùn)算符與字段值的自動(dòng)提示補(bǔ)全； 支持檢索語句快速保存，保留檢索語句歷史記錄； 支持檢索語句可直接發(fā)布成統(tǒng)計(jì)指標(biāo)、規(guī)則模型、關(guān)聯(lián)模型、情報(bào)模型，對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行分析與告警； 支持關(guān)鍵字組合輸入功能，實(shí)現(xiàn)日志快速檢索，包含原始日志搜索、標(biāo)準(zhǔn)化日志搜索、自定義搜索模板和歷史搜索快照； 支持任意關(guān)鍵字、參數(shù)、和正則表達(dá)式進(jìn)行過濾查詢；并提供檢索關(guān)鍵字排除功能； 支持可指定多個(gè)查詢條件進(jìn)行組合查詢；可通過關(guān)鍵字、條件表達(dá)式、時(shí)間范圍對(duì)事件及數(shù)據(jù)進(jìn)行快速檢索，快速定位到安全分析人員關(guān)注的威脅和上下文數(shù)據(jù)，并支持檢索趨勢(shì)統(tǒng)計(jì)； 支持以時(shí)間軸的方式展示檢索結(jié)果，并支持時(shí)間軸鉆取和追加搜索； 支持對(duì)檢索結(jié)果追加檢索，支持點(diǎn)擊檢索結(jié)果字段快速加入到檢索條件； 支持對(duì)展示字段靈活定義，允許用戶選擇特定的字段顯示； 支持將查詢的條件存儲(chǔ)為查詢模版，方便再次使用； 支持檢索結(jié)果導(dǎo)出（不少于10000條），至少支持excel或CSV格式。具備如下日志分類檢索功能，智能檢索滿足基本要求外，還提供以下特定功能：原始日志檢索：支持選擇日志源進(jìn)行檢索；安全告警檢索：支持根據(jù)安全事件的處置狀態(tài)、威脅等級(jí)、攻擊意圖、所處攻擊鏈階段等多個(gè)維度進(jìn)行檢索；支持檢索結(jié)果進(jìn)行處理，處理狀態(tài)標(biāo)簽包括：未處理、處理中、處理完成、誤報(bào)等；安全事件檢索：支持根據(jù)安全事件威脅等級(jí)、攻擊意圖、所處攻擊鏈階段等多個(gè)維度進(jìn)行檢索。追蹤溯源追蹤溯源旨在確定攻擊事件后，回溯所有攻擊相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)公司系統(tǒng)近期的所有行為進(jìn)行串聯(lián)，確定攻擊事件的整個(gè)事件周期，展示整個(gè)攻擊事件的所有攻擊路徑。以互訪流量關(guān)系為紐帶，將攻擊者的所有攻擊動(dòng)作列舉出來。公司系統(tǒng)簡單易用，支持一鍵全方面鉆取，降低運(yùn)維成本，提高運(yùn)維效率。根據(jù)資產(chǎn)安全告警分析所處安全狀態(tài)，公司系統(tǒng)會(huì)對(duì)資產(chǎn)進(jìn)行狀態(tài)標(biāo)記，幫助用戶清晰了解全局資產(chǎn)狀態(tài)。情報(bào)查詢支持對(duì)IP、域名、文件HASH(MD5/SHA1/SHA256)、郵箱進(jìn)行情報(bào)查詢，展示相關(guān)情報(bào)標(biāo)簽、地理位置、置信度、情報(bào)類型、更新時(shí)間、運(yùn)營商、危險(xiǎn)等級(jí)、情報(bào)子類、創(chuàng)建時(shí)間、標(biāo)記、情報(bào)源、組織名稱及事件信息。支持第三方情況鏈接，情報(bào)查詢結(jié)果支持跳轉(zhuǎn)第三方鏈接：安恒情報(bào)分析、Whios、VirusTotal，補(bǔ)充相關(guān)情報(bào)信息。（4）響應(yīng)處置響應(yīng)處置為用戶提供了各類半自動(dòng)化、自動(dòng)化處置工具，能夠幫助用戶快速處置相關(guān)的工作，可通過白名單、關(guān)閉規(guī)則開展日常告警降噪處理；可通過安全策略管理開展安全設(shè)備聯(lián)動(dòng)處置工作；可通過自動(dòng)化編排與響應(yīng)處置開展自動(dòng)化處置的條件編排，進(jìn)行自動(dòng)化處置工作。安全設(shè)備聯(lián)動(dòng)管理安全設(shè)備聯(lián)動(dòng)管理是將安全設(shè)備聯(lián)動(dòng)能力封裝成APP，提供靈活的設(shè)備聯(lián)動(dòng)配置管理，包括安全聯(lián)動(dòng)設(shè)備APP在線下載、導(dǎo)入、更新、卸載等操作；并展示平臺(tái)聯(lián)動(dòng)設(shè)備應(yīng)用APP，顯示APP資產(chǎn)廠商、APP版本號(hào)、開發(fā)語言、支持設(shè)備型號(hào)、開發(fā)者、更新時(shí)間、描述、資產(chǎn)聯(lián)動(dòng)數(shù)。安全設(shè)備集中管控具備對(duì)工業(yè)安全設(shè)備統(tǒng)一管理，包括設(shè)備信息管理、在線狀態(tài)監(jiān)控、資源使用狀態(tài)監(jiān)控、數(shù)據(jù)接入狀態(tài)監(jiān)控、遠(yuǎn)程設(shè)備管理（時(shí)間設(shè)置、升級(jí)維護(hù)、設(shè)備重啟/關(guān)閉/恢復(fù)出廠和SNMP監(jiān)控管理）、遠(yuǎn)程設(shè)備訪問、查看設(shè)備原始日志和一鍵在線狀態(tài)檢測(cè)等。具備對(duì)流量監(jiān)測(cè)類、安全審計(jì)類、安全防護(hù)類等設(shè)備策略進(jìn)行集中管控，包括對(duì)設(shè)備的策略下發(fā)、對(duì)象管理等。創(chuàng)建策略任務(wù)后聯(lián)動(dòng)的設(shè)備能夠即刻生效。同時(shí)，基于聯(lián)動(dòng)設(shè)備APP管理技術(shù)，支持開放的工業(yè)安全設(shè)備策略API，使平臺(tái)能夠支持第三方工業(yè)安全設(shè)備的策略管控，極大提升在響應(yīng)處置過程中的工作效率。自動(dòng)化編排與響應(yīng)處置基于安全分析能力和應(yīng)用能力，通過劇本編排，對(duì)復(fù)雜的分析、處置流程進(jìn)行集成整合，實(shí)現(xiàn)從靜態(tài)事件響應(yīng)到動(dòng)態(tài)工作流跟蹤的轉(zhuǎn)變，提升整體的協(xié)調(diào)及決策能力。告警處置通過白名單、關(guān)閉規(guī)則、告警級(jí)別管理、告警延遲處置和風(fēng)險(xiǎn)訂閱管理等功能，為用戶提供半自動(dòng)化、自動(dòng)化告警響應(yīng)處置能力，提高用戶對(duì)告警處置的響應(yīng)處置效率以及告警降噪效率。（5）運(yùn)營管理安全工作臺(tái)為公司網(wǎng)絡(luò)安全運(yùn)維人員提供安全事件處置工作界面，包括工單管理、通報(bào)情況、最新安全動(dòng)態(tài)等視圖，并為用戶提供代辦工單狀態(tài)工作臺(tái)，方便用戶快速處理安全工單。安全儀表管理為用戶提供可編輯的安全可視化功能，為用戶展示度量安全信息和關(guān)聯(lián)安全業(yè)務(wù)指標(biāo)現(xiàn)狀的工具。儀表盤根據(jù)用戶的實(shí)際需求定義其展示內(nèi)容，平臺(tái)內(nèi)置豐富儀表盤組件，提供十種以上的可視化圖像，包括一維時(shí)序圖、一維分布圖、二維時(shí)序圖、二維分布圖、大字報(bào)等圖標(biāo)類型。安全報(bào)告管理通過對(duì)安全態(tài)勢(shì)數(shù)據(jù)進(jìn)行周期性歸納總結(jié)、統(tǒng)計(jì)分析，形成全網(wǎng)安全態(tài)勢(shì)分析報(bào)告，幫助用戶管理全網(wǎng)安全態(tài)勢(shì)變化。平臺(tái)目前支持導(dǎo)出深度威脅分析報(bào)告，并提供自定義編輯能力，WORD、PDF或HTML多格式導(dǎo)出能力，報(bào)告導(dǎo)出后，支持訂閱與推送，平臺(tái)可選擇向指定郵箱定時(shí)推送訂閱報(bào)告，報(bào)告內(nèi)容、報(bào)告形式、推送時(shí)間、推送周期等支持自定義選擇。工單管理提供工單管理視圖，可以通過工單管理界面新增工單、通報(bào)詳情頁面新增工單、安全告警頁面新增工單，并將工單指派給相應(yīng)的處理人，經(jīng)過各個(gè)環(huán)節(jié)的處理，工單記錄狀態(tài)未處理/處理中/已解決/已關(guān)閉，便于監(jiān)督工單是否及時(shí)處理以及閉環(huán)。提供包括工單查詢、工單新增、工單處置、工單刪除、工單跟著以及工單批量操作等功能。通報(bào)預(yù)警為用戶提供預(yù)警和通報(bào)功能，用戶對(duì)平臺(tái)產(chǎn)生的安全告警進(jìn)行新增預(yù)警，提示平臺(tái)用戶該告警可能存在一定風(fēng)險(xiǎn)隱患。級(jí)聯(lián)管理基于組織架構(gòu)為企業(yè)建立上下級(jí)級(jí)聯(lián)體系，平臺(tái)可通過級(jí)聯(lián)體系實(shí)現(xiàn)上下級(jí)之間的管理監(jiān)控體系。上級(jí)平臺(tái)可對(duì)下級(jí)平臺(tái)的風(fēng)險(xiǎn)情況實(shí)現(xiàn)整體分析后進(jìn)行對(duì)比，上級(jí)平臺(tái)可單獨(dú)查看某一下級(jí)組織的風(fēng)險(xiǎn)情況。同時(shí)基于級(jí)聯(lián)架構(gòu)，實(shí)現(xiàn)上下級(jí)之間的通報(bào)預(yù)警、工單管理、績效考核等能力。（6）安全態(tài)勢(shì)感知安全可視化能夠?qū)緫B(tài)勢(shì)進(jìn)行展示，支持自定義的可視化設(shè)計(jì)與展示，主要在全局監(jiān)測(cè)數(shù)據(jù)、檢測(cè)數(shù)據(jù)、智能分析數(shù)據(jù)等多維數(shù)據(jù)的態(tài)勢(shì)分析之上，形成綜合態(tài)勢(shì)、攻擊態(tài)勢(shì)、威脅態(tài)勢(shì)、預(yù)警態(tài)勢(shì)等多種態(tài)勢(shì)感知能力。從整體視角展示公司總體的安全情況，包括網(wǎng)絡(luò)安全情況、系統(tǒng)安全情況、資產(chǎn)安全情況、安全威脅情況等。2.1.3下一步實(shí)施計(jì)劃增強(qiáng)式數(shù)據(jù)過濾，在現(xiàn)有安全數(shù)據(jù)中臺(tái)基礎(chǔ)上，迭代開發(fā)增強(qiáng)式數(shù)據(jù)過濾技術(shù)，升級(jí)數(shù)據(jù)過濾引擎，對(duì)告警日志數(shù)據(jù)字段逐個(gè)解析，將不符合接入規(guī)范要求的數(shù)據(jù)打標(biāo)簽，并記錄不符合原因，通過標(biāo)簽過濾方式過濾這些不符合要求的數(shù)據(jù)，以進(jìn)一步增強(qiáng)可讀性。建設(shè)安全垂域大模型，建設(shè)安全垂域大模型，并與現(xiàn)有態(tài)勢(shì)感知系統(tǒng)協(xié)同，并輔助網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)，構(gòu)建全面的脆弱性評(píng)估能力、提升受保護(hù)目標(biāo)的安全韌性、提升安全事件研判與分析能力，全面實(shí)現(xiàn)安全運(yùn)營新目標(biāo)。IT/OT告警事件智能研判，通過安全垂域大模型，將安全大區(qū)告警信息進(jìn)行智能解讀，將單個(gè)告警聚合組的攻擊者IP、受害者IP、告警類型、告警名稱、告警時(shí)間等字段作為輸入，通過模板的方式對(duì)上下文進(jìn)行解讀，實(shí)現(xiàn)告警時(shí)間智能研判，大大提高威脅事件的處理效率和準(zhǔn)確率。智能運(yùn)營駕駛，運(yùn)維人員可通過自然語言的方式進(jìn)行安全指令下發(fā)、數(shù)據(jù)查閱等功能，能夠更快地獲取到本地安全運(yùn)營的態(tài)勢(shì)情況，并通過更加便捷、簡單的方式進(jìn)行安全指令下發(fā)，極大提升用戶體驗(yàn)。2.1.4方案創(chuàng)新點(diǎn)和實(shí)施效果1.項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)（1）基于智能機(jī)器學(xué)習(xí)的威脅感知技術(shù)創(chuàng)新本項(xiàng)目中涉及的安全監(jiān)測(cè)數(shù)據(jù)量大，通過基于智能機(jī)器學(xué)習(xí)的威脅感知，可自動(dòng)收集、分析和學(xué)習(xí)系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為，在此基礎(chǔ)上智能提取用戶節(jié)點(diǎn)的行為特征，并自動(dòng)生成容易理解的操作規(guī)則、白名單、配置規(guī)則等，實(shí)現(xiàn)自動(dòng)化特征規(guī)則的提取和生成，對(duì)異常數(shù)據(jù)、操作行為、安全事件、安全隱患等進(jìn)行告警及綜合管理。（2）管理信息大區(qū)與生產(chǎn)控制大區(qū)數(shù)據(jù)深度融合分析技術(shù)創(chuàng)新基于大數(shù)據(jù)分析技術(shù)和人工智能算法，將工業(yè)安全技術(shù)指標(biāo)與安全生產(chǎn)指標(biāo)進(jìn)行分析挖掘，實(shí)現(xiàn)對(duì)多維度的信息和多源數(shù)據(jù)整合、關(guān)聯(lián)、智能分析和預(yù)測(cè)，海量安全告警分析基于攻擊意圖、攻擊策略、攻擊方法、攻擊次數(shù)、攻擊時(shí)間、處置狀態(tài)等影響因子構(gòu)建資產(chǎn)評(píng)級(jí)模型，有效識(shí)別失陷資產(chǎn)，快速定位威脅源頭。（3）基于電力行業(yè)的網(wǎng)絡(luò)安全場景化分析技術(shù)創(chuàng)新在數(shù)據(jù)融合的基礎(chǔ)上，本項(xiàng)目通過構(gòu)建一整套以電力行業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)標(biāo)準(zhǔn)的場景化分析模型，并結(jié)合當(dāng)前的組織結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)流量、攻擊鏈等數(shù)據(jù)進(jìn)行自定義威脅模型與關(guān)聯(lián)，提供全網(wǎng)域、全場景、全時(shí)空的安全事件監(jiān)測(cè)分析與還原能力，提高監(jiān)測(cè)精度、響應(yīng)運(yùn)營效率。（4）基于閉環(huán)安全管理機(jī)制的多級(jí)協(xié)同響應(yīng)處置技術(shù)創(chuàng)新態(tài)勢(shì)感知系統(tǒng)可針對(duì)安全事件和風(fēng)險(xiǎn)隱患進(jìn)行實(shí)時(shí)發(fā)現(xiàn)，并提供了多元數(shù)據(jù)安全分析研判工具，為安全分析人員提供詳細(xì)的調(diào)查取證工具，為安全預(yù)警與信息通報(bào)提供了有效支撐。當(dāng)發(fā)現(xiàn)不同安全級(jí)別的事件或風(fēng)險(xiǎn)隱患時(shí)，可啟動(dòng)不同的響應(yīng)流程，協(xié)同響應(yīng)公司各級(jí)單位或部門相關(guān)負(fù)責(zé)人員，有效提升了應(yīng)急響應(yīng)與處置效率。2.實(shí)施效果通過建立態(tài)勢(shì)感知系統(tǒng)，實(shí)現(xiàn)公司全域網(wǎng)絡(luò)安全監(jiān)測(cè)無死角，大大提高了企業(yè)安全監(jiān)測(cè)水平，保護(hù)了公司重要資產(chǎn)，減少了因網(wǎng)絡(luò)安全事故造成大的經(jīng)濟(jì)損失。主要實(shí)施效果如下：（1）建立統(tǒng)一數(shù)據(jù)共享機(jī)制建立了公司本部與各區(qū)域的數(shù)據(jù)安全共享機(jī)制，形成監(jiān)測(cè)數(shù)據(jù)上報(bào)、風(fēng)險(xiǎn)信息及時(shí)通報(bào)機(jī)制，縱向與各級(jí)單位系統(tǒng)的數(shù)據(jù)貫通和業(yè)務(wù)協(xié)同，實(shí)現(xiàn)網(wǎng)絡(luò)安全數(shù)據(jù)的高效上報(bào)，并且能夠接收上級(jí)指派的任務(wù)與工作指令。（2）提升跨地域、跨部門多方協(xié)同管理能力依托大數(shù)據(jù)技術(shù)建立公司全網(wǎng)域網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警與態(tài)勢(shì)感知能力，實(shí)現(xiàn)了公司三級(jí)長效協(xié)同工作機(jī)制，進(jìn)一步完善監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急處置等相關(guān)機(jī)制的建設(shè)。（3）促進(jìn)網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)持續(xù)創(chuàng)新全面提升了公司各區(qū)域網(wǎng)絡(luò)安全監(jiān)測(cè)水平，加強(qiáng)了關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力。同時(shí)可結(jié)合行業(yè)需求，對(duì)安全技術(shù)和方案進(jìn)行改進(jìn)和大范圍推廣，通過開發(fā)新產(chǎn)品、新技術(shù)、新服務(wù)等方式2.1.5單位基本信息安恒信息技術(shù)股份有限公司（簡稱：安恒信息）成立于2007年，自成立以來，安恒信息秉承“構(gòu)建安全可信的數(shù)字世界”的企業(yè)使命，以“數(shù)字經(jīng)濟(jì)的安全基石”為企業(yè)定位，以“誠信正直、成就客戶、責(zé)任至上、開放創(chuàng)新、以人為本、共同成長”為企業(yè)核心價(jià)值觀，致力于成為全球領(lǐng)先的數(shù)字安全企業(yè)。自2008年首次為北京奧運(yùn)會(huì)提供網(wǎng)絡(luò)安保服務(wù)開始，安恒信息先后為上海世博會(huì)、廣州亞運(yùn)會(huì)、歷屆世界互聯(lián)網(wǎng)大會(huì)、G20杭州峰會(huì)、廈門金磚會(huì)議、世界游泳錦標(biāo)賽、武漢軍運(yùn)會(huì)、成都大運(yùn)會(huì)、杭州亞運(yùn)會(huì)、世界人工智能大會(huì)等上百場大型國際賽事、活動(dòng)提供網(wǎng)絡(luò)安保服務(wù)，實(shí)現(xiàn)16年重保零事故的成績。一直以來，安恒信息堅(jiān)持把營收的近30%投入到研發(fā)當(dāng)中。截至2024年6月，公司共申請(qǐng)專利2932項(xiàng)，參與制訂信息安全類國家標(biāo)準(zhǔn)41項(xiàng)。未來，安恒信息將繼續(xù)以助力網(wǎng)絡(luò)強(qiáng)國和數(shù)字中國為己任，為數(shù)據(jù)要素價(jià)值釋放、數(shù)字經(jīng)濟(jì)發(fā)展筑牢數(shù)字安全屏障，以AI能力賦能數(shù)字安全產(chǎn)品和服務(wù)，并進(jìn)一步推動(dòng)產(chǎn)業(yè)生態(tài)合作，與合作伙伴一道，攜手構(gòu)建安全可信的數(shù)字世界。2.2案例二：基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)——新型工業(yè)化安全賦能引言：在“車路云一體化”多網(wǎng)融合、多主體交互、多種復(fù)雜場景并存的背景下，來自車端、路側(cè)、云端的威脅呈爆發(fā)式增長，安全風(fēng)險(xiǎn)進(jìn)一步加大，影響用戶隱私，影響車輛安全，影響企業(yè)運(yùn)營，威脅國家安全。基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)方案推向市場以來，一方面獲得了產(chǎn)業(yè)界的充分肯定，如獲得了中國信通院“2024年智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)和數(shù)據(jù)安全典型案例”；另一方面，也通過向車企提供車聯(lián)網(wǎng)安全保障服務(wù)，獲得用戶得充分認(rèn)可，如獲得廣汽乘用車、廣州云百科技的肯定和感謝。同時(shí)，基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)推向市場后，也取得了很好的經(jīng)濟(jì)效益。目前與廣汽埃安、廣汽本田、廣州云百科技等相關(guān)企業(yè)進(jìn)行車聯(lián)網(wǎng)安全相關(guān)合作的合同金額已達(dá)2.4億元，累計(jì)開通鏈接數(shù)達(dá)到百萬級(jí)。2.2.1方案概述本案例將“端安全”（輕量化安全防護(hù)技術(shù)）、“網(wǎng)安全”（車聯(lián)網(wǎng)專有安全大模型）、“云安全”（端到端的車聯(lián)網(wǎng)數(shù)字孿生體）三個(gè)方向的創(chuàng)新技術(shù)相結(jié)合，與車聯(lián)網(wǎng)的云、網(wǎng)、車三個(gè)層級(jí)有機(jī)融合，在“端”提供防護(hù)、檢測(cè)、響應(yīng)能力，在“網(wǎng)”提供網(wǎng)絡(luò)攻擊、車聯(lián)網(wǎng)場景、協(xié)議檢測(cè)能力，在“云”提供綜合的安全分析、安全運(yùn)營、策略管理下發(fā)能力，構(gòu)建了“云-網(wǎng)-端”協(xié)同聯(lián)動(dòng)的安全防護(hù)體系，為車企、示范區(qū)提供了具備自適應(yīng)閉環(huán)安全防護(hù)能力的建設(shè)與運(yùn)營服務(wù)，為國家監(jiān)管提供了涵蓋從車輛到網(wǎng)絡(luò)的全面的安全數(shù)據(jù)支撐。1.方案背景為了綜合因?qū)嚶?lián)網(wǎng)產(chǎn)業(yè)發(fā)展伴生的網(wǎng)絡(luò)安全問題，解決智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)的信息安全合規(guī)、提升產(chǎn)品競爭力，滿足車聯(lián)網(wǎng)行業(yè)監(jiān)管的訴求，城市示范區(qū)對(duì)“車路云一體化”建設(shè)中對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的監(jiān)測(cè)運(yùn)營的需求，以及基礎(chǔ)電信運(yùn)營企業(yè)對(duì)車聯(lián)網(wǎng)流量數(shù)據(jù)分析，支撐國家車聯(lián)網(wǎng)信息安全監(jiān)測(cè)的要求，廣東移動(dòng)牽頭，充分利用輕量化的車載安全組件技術(shù)、物聯(lián)網(wǎng)僵木蠕安全大模型檢測(cè)技術(shù)以及數(shù)字孿生、機(jī)器學(xué)習(xí)技術(shù)建設(shè)了本項(xiàng)目的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)。2.方案簡介面對(duì)在我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)快速發(fā)展的同時(shí)，網(wǎng)絡(luò)信息安全問題日益蔓生的嚴(yán)峻問題，積極支撐國家監(jiān)管要求。本項(xiàng)目通過基于物聯(lián)網(wǎng)僵木蠕安全大模型、智能網(wǎng)聯(lián)汽車場景的數(shù)字孿生技術(shù)，車端輕量化的安全防護(hù)技術(shù)，構(gòu)建了完整涵蓋“端”、“網(wǎng)”、“云”的立體安全防護(hù)服務(wù)。面向智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)，通過智能網(wǎng)聯(lián)汽車整車級(jí)安全防護(hù)與監(jiān)測(cè)服務(wù)，滿足了其對(duì)車輛產(chǎn)品自身的安全合規(guī)需求，以及持續(xù)的安全運(yùn)營監(jiān)測(cè)需求。面向城市車路云一體化的建設(shè)者、運(yùn)營者，通過車聯(lián)網(wǎng)流量異常檢測(cè)分析服務(wù)、車聯(lián)網(wǎng)綜合安全運(yùn)營監(jiān)測(cè)服務(wù)，滿足了其對(duì)車輛、網(wǎng)絡(luò)、云端的一體化安全監(jiān)測(cè)、運(yùn)營的需求。面向行業(yè)監(jiān)管，為國家車聯(lián)網(wǎng)安全監(jiān)測(cè)與公共服務(wù)平臺(tái)提供“智能網(wǎng)聯(lián)汽車+車聯(lián)網(wǎng)大網(wǎng)”兩方面的安全事件數(shù)據(jù)，支撐行業(yè)健康有序發(fā)展。3.方案目標(biāo)（1）總體目標(biāo)a.服務(wù)對(duì)象 智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)滿足企業(yè)安全合規(guī)剛需，持續(xù)安全運(yùn)營的需求。 “車路云一體化”城市示范區(qū)滿足云管端一體化安全監(jiān)測(cè)、運(yùn)營的需求，并滿足對(duì)車聯(lián)網(wǎng)流量異常分析、安全預(yù)警的需求。 行業(yè)監(jiān)管機(jī)構(gòu)為國家車聯(lián)網(wǎng)安全監(jiān)測(cè)與公共服務(wù)平臺(tái)提供“智能網(wǎng)聯(lián)汽車+車聯(lián)網(wǎng)大網(wǎng)”兩方面的安全事件數(shù)據(jù)，支撐行業(yè)健康有序發(fā)展。b.服務(wù)內(nèi)容在服務(wù)內(nèi)容方面，本案例方案提供了： 智能網(wǎng)聯(lián)汽車整車級(jí)安全防護(hù)與監(jiān)測(cè)服務(wù)解決車企智能網(wǎng)聯(lián)汽車產(chǎn)品的安全合規(guī)的需求，以及對(duì)車輛的持續(xù)安全運(yùn)營監(jiān)測(cè)需求，提升其產(chǎn)品的核心競爭力。 車聯(lián)網(wǎng)異常流量、加密流量分析檢測(cè)服務(wù)解決在車聯(lián)網(wǎng)方面的僵木蠕網(wǎng)絡(luò)攻擊、惡意程序、數(shù)據(jù)違規(guī)流轉(zhuǎn)等安全風(fēng)險(xiǎn)檢測(cè)需求，提供對(duì)重點(diǎn)業(yè)務(wù)保障手段的需求，滿足國家在車聯(lián)網(wǎng)流量監(jiān)測(cè)上對(duì)網(wǎng)絡(luò)安全威脅分析，安全事件上報(bào)支撐的要求。 車聯(lián)網(wǎng)綜合安全運(yùn)營監(jiān)測(cè)服務(wù)一是為車企提供持續(xù)的安全監(jiān)測(cè)、態(tài)勢(shì)感知、應(yīng)急響應(yīng)等安全運(yùn)營服務(wù)，應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；二是解決城市進(jìn)行“車路云一體化”應(yīng)用試點(diǎn)建設(shè)對(duì)“云-網(wǎng)-端”一體化安全監(jiān)測(cè)運(yùn)營的需求，滿足智能網(wǎng)聯(lián)汽車上路試點(diǎn)對(duì)示范區(qū)的安全防護(hù)、監(jiān)測(cè)與運(yùn)營的能力要求。 國家車聯(lián)網(wǎng)安全監(jiān)測(cè)數(shù)據(jù)上報(bào)支撐服務(wù)通過車聯(lián)網(wǎng)流量檢測(cè)和分析服務(wù)提供車聯(lián)網(wǎng)流量層面的安全事件上報(bào)支撐，通過智能網(wǎng)聯(lián)汽車整車級(jí)安全防護(hù)與檢測(cè)、綜合安全運(yùn)營服務(wù)提供對(duì)車輛層面的安全事件上報(bào)支撐。完成了和國家車聯(lián)網(wǎng)產(chǎn)品安全漏洞專業(yè)庫(CAVD)對(duì)接，上報(bào)車聯(lián)網(wǎng)漏洞數(shù)據(jù)；完成和國家車聯(lián)網(wǎng)安全監(jiān)測(cè)與公共服務(wù)平臺(tái)的對(duì)接，上報(bào)網(wǎng)絡(luò)安全事件數(shù)據(jù)，數(shù)據(jù)接口符合國標(biāo)《車聯(lián)網(wǎng)安全管理接口規(guī)范》要求。c.創(chuàng)新性總體來看，本案例將“端安全”（輕量化安全防護(hù)技術(shù)）、“網(wǎng)安全”（車聯(lián)網(wǎng)專有安全大模型）、“云安全”（端到端的車聯(lián)網(wǎng)數(shù)字孿生體）三個(gè)方向的創(chuàng)新技術(shù)相結(jié)合，與車聯(lián)網(wǎng)的云、網(wǎng)、車三個(gè)層級(jí)有機(jī)融合，在“端”提供防護(hù)、檢測(cè)、響應(yīng)能力，在“網(wǎng)”提供網(wǎng)絡(luò)攻擊、車聯(lián)網(wǎng)場景、協(xié)議檢測(cè)能力，在“云”提供綜合的安全分析、安全運(yùn)營、策略管理下發(fā)能力，構(gòu)建了“云-網(wǎng)-端”協(xié)同聯(lián)動(dòng)的安全防護(hù)體系，為車企、示范區(qū)提供了具備自適應(yīng)閉環(huán)安全防護(hù)能力的建設(shè)與運(yùn)營服務(wù)，為國家監(jiān)管提供了涵蓋從車輛到網(wǎng)絡(luò)的全面的安全數(shù)據(jù)支撐。圖2-1形成“云網(wǎng)端”協(xié)同安全防護(hù)和檢測(cè)能力的創(chuàng)新2.2.2方案實(shí)施概況面對(duì)在我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)快速發(fā)展的同時(shí)，網(wǎng)絡(luò)信息安全問題日益蔓生的嚴(yán)峻問題，積極支撐國家監(jiān)管要求。本項(xiàng)目通過基于物聯(lián)網(wǎng)僵木蠕安全大模型、智能網(wǎng)聯(lián)汽車場景的數(shù)字孿生技術(shù)，車端輕量化的安全防護(hù)技術(shù)，構(gòu)建了完整涵蓋“端”、“網(wǎng)”、“云”的立體安全防護(hù)服務(wù)。1.項(xiàng)目總體技術(shù)架構(gòu)和主要內(nèi)容（1）方案綜述端側(cè)實(shí)現(xiàn)了對(duì)智能網(wǎng)聯(lián)汽車的安全防護(hù)與檢測(cè)能力，網(wǎng)側(cè)實(shí)現(xiàn)了對(duì)車聯(lián)網(wǎng)流量的深度分析和檢測(cè)能力，云端實(shí)現(xiàn)了對(duì)車聯(lián)網(wǎng)綜合的安全運(yùn)營服務(wù)能力，形成覆蓋“云-管-端”一體化的安全監(jiān)測(cè)方案。（2）服務(wù)整體框架圖2-2基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)的技術(shù)架構(gòu)如上圖所示，廣東移動(dòng)建立的基于物聯(lián)網(wǎng)僵木蠕安全大模型的智能網(wǎng)聯(lián)汽車安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)的技術(shù)架構(gòu)包括四個(gè)層級(jí)：基礎(chǔ)數(shù)據(jù)層、數(shù)據(jù)匯聚層、數(shù)據(jù)計(jì)算層和數(shù)據(jù)應(yīng)用層，以下分別展開描述：基礎(chǔ)數(shù)據(jù)層實(shí)現(xiàn)對(duì)智能網(wǎng)聯(lián)汽車的安全檢測(cè)、防護(hù)能力，對(duì)車聯(lián)網(wǎng)數(shù)據(jù)的監(jiān)測(cè)、采集能力。依托當(dāng)前已經(jīng)建設(shè)的物聯(lián)網(wǎng)DPI系統(tǒng)和物聯(lián)網(wǎng)僵木蠕檢測(cè)系統(tǒng)，采集全量的車聯(lián)網(wǎng)上網(wǎng)日志以及網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)受控、隱蔽隧道、敏感數(shù)據(jù)、惡意程序等網(wǎng)絡(luò)安全事件。通過對(duì)流量的檢測(cè)和采集，為上層的深度分析、安全事件發(fā)現(xiàn)提供基礎(chǔ)的數(shù)據(jù)支撐。此外，本層通過自研的輕量化車載安全組件在車端的集成部署，為智能網(wǎng)聯(lián)汽車提供了滿足安全準(zhǔn)入要求的檢測(cè)與防護(hù)能力。數(shù)據(jù)匯聚層：實(shí)現(xiàn)對(duì)車聯(lián)網(wǎng)多源異構(gòu)數(shù)據(jù)的統(tǒng)一匯聚管理，統(tǒng)一調(diào)度處理的能力，以及對(duì)重要數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)的安全治理能力。數(shù)據(jù)匯入系統(tǒng)包括日志數(shù)據(jù)采集和全流量數(shù)據(jù)采集兩部分，準(zhǔn)實(shí)時(shí)完成數(shù)據(jù)的采集上傳，并進(jìn)一步完成數(shù)據(jù)解析操作。并同時(shí)支持資產(chǎn)數(shù)據(jù)、系統(tǒng)日志等數(shù)據(jù)的同步導(dǎo)入。數(shù)據(jù)包括但不限于面向硬件設(shè)備、支撐層（軟件信息、開發(fā)信息等）、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用數(shù)據(jù)層等信息數(shù)據(jù)。對(duì)接的數(shù)據(jù)源包括：與車輛信息系統(tǒng)相關(guān)的元數(shù)據(jù)信息、資產(chǎn)信息，漏洞信息，日志信息，安全設(shè)備配置信息，策略信息，威脅情報(bào)信息，異常流量信息，已知事件庫信息，未知行為檢測(cè)信息等。數(shù)據(jù)計(jì)算層：為本案例的核心技術(shù)層，主要提供的功能包括：車聯(lián)網(wǎng)知識(shí)庫，為車聯(lián)網(wǎng)大數(shù)據(jù)分析、應(yīng)用層的安全運(yùn)營，提供了豐富的知識(shí)圖譜。車聯(lián)網(wǎng)安全大模型、大數(shù)據(jù)分析引擎，基于數(shù)字孿生、機(jī)器學(xué)習(xí)、人工智能等先進(jìn)技術(shù)，提供核心的智能網(wǎng)聯(lián)汽車安全風(fēng)險(xiǎn)識(shí)別發(fā)現(xiàn)能力。當(dāng)前廣東移動(dòng)物聯(lián)網(wǎng)專網(wǎng)安全監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中全量車聯(lián)網(wǎng)流量的監(jiān)測(cè)，并能夠提取全量的車聯(lián)網(wǎng)卡用戶流量。本項(xiàng)目當(dāng)前網(wǎng)絡(luò)覆蓋了包括廣汽、比亞迪、小鵬、蔚來、大眾、通用等知名車企在內(nèi)的超過50個(gè)車型；共監(jiān)測(cè)車聯(lián)網(wǎng)卡用戶日活超過500萬。針對(duì)智聯(lián)網(wǎng)聯(lián)汽車的場景特征，建立了多種安全場景分析模型，主要包括：用于各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)的僵木蠕檢測(cè)模型；用于實(shí)時(shí)網(wǎng)絡(luò)攻擊檢測(cè)的基于規(guī)則的攻擊關(guān)聯(lián)檢測(cè)模型；結(jié)合車聯(lián)網(wǎng)專有協(xié)議，用于各種場景的未知安全風(fēng)險(xiǎn)的檢測(cè)模型，如遠(yuǎn)控業(yè)務(wù)安全檢測(cè)模型，OTA場景安全檢測(cè)模型，網(wǎng)約車安全風(fēng)險(xiǎn)檢測(cè)模型，新能源汽車安全檢測(cè)模型，物流運(yùn)輸車隊(duì)安全檢測(cè)模型等等?；贖adoop集群、數(shù)據(jù)湖等技術(shù)構(gòu)建了可承載海量車聯(lián)網(wǎng)數(shù)據(jù)的數(shù)據(jù)庫，基于分布式文件系統(tǒng)，實(shí)現(xiàn)了動(dòng)態(tài)擴(kuò)容能力。為上層的智能網(wǎng)聯(lián)汽車安全運(yùn)營中心、車聯(lián)網(wǎng)異常行為分析系統(tǒng)提供了可靠的基礎(chǔ)的數(shù)據(jù)存儲(chǔ)計(jì)算服務(wù)。數(shù)據(jù)應(yīng)用層：基于數(shù)據(jù)計(jì)算層的分析結(jié)果，實(shí)現(xiàn)場景化的功能應(yīng)用，包括面向車企、示范區(qū)安全監(jiān)測(cè)運(yùn)營需求的智能網(wǎng)聯(lián)汽車安全運(yùn)營中心，面向運(yùn)營商、監(jiān)管支撐的車聯(lián)網(wǎng)異常行為分析系統(tǒng)。（3）服務(wù)方案介紹智能網(wǎng)聯(lián)汽車安全防護(hù)與檢測(cè)：部署于車輛端的輕量化安全防護(hù)與檢測(cè)組件的主要功能提供網(wǎng)聯(lián)防護(hù)和監(jiān)測(cè)能力、提供車內(nèi)網(wǎng)絡(luò)的防護(hù)和監(jiān)測(cè)能力、提供ECU系統(tǒng)的防護(hù)和監(jiān)測(cè)能力。車聯(lián)網(wǎng)流量安全檢測(cè)與分析：車聯(lián)網(wǎng)流量安全監(jiān)測(cè)分析系統(tǒng)，可提供如下的安全分析業(yè)務(wù)包括，網(wǎng)絡(luò)攻擊檢測(cè)管理、車聯(lián)網(wǎng)協(xié)議檢測(cè)管理、異常行為監(jiān)測(cè)管理、流量分析監(jiān)測(cè)管理、數(shù)據(jù)出境監(jiān)測(cè)、攻擊溯源分析。車聯(lián)網(wǎng)綜合安全監(jiān)測(cè)運(yùn)營：智能網(wǎng)聯(lián)汽車安全運(yùn)營中心，可提供如下的安全運(yùn)營業(yè)務(wù)：態(tài)勢(shì)感知：全局的車輛、網(wǎng)絡(luò)、IT設(shè)備的運(yùn)營狀態(tài)態(tài)勢(shì)分析、統(tǒng)計(jì)能力攻擊監(jiān)測(cè)：基于規(guī)則的網(wǎng)絡(luò)攻擊事件監(jiān)測(cè)能力異常行為監(jiān)測(cè)：基于數(shù)字孿生、機(jī)器學(xué)習(xí)技術(shù)的車輛運(yùn)行安全、異常行為發(fā)現(xiàn)能力資產(chǎn)管理：提供對(duì)“車路云網(wǎng)圖”各類資產(chǎn)統(tǒng)一納管，安全風(fēng)險(xiǎn)分析能力漏洞管理：提供對(duì)車輛、云端系統(tǒng)漏洞的全生命周期（發(fā)現(xiàn)、評(píng)估、修復(fù)、驗(yàn)證）管理能力應(yīng)急響應(yīng)：提供可自定義的安全事件管理能力，自定義的工單管理功能圖2-3車聯(lián)網(wǎng)綜合安全運(yùn)營中心截圖2.具體應(yīng)用場景和安全應(yīng)用模式圖2-4車聯(lián)網(wǎng)場景圖本案例面向車聯(lián)網(wǎng)的車端、網(wǎng)絡(luò)、云端三個(gè)關(guān)鍵要素，提供了三個(gè)方面的關(guān)鍵服務(wù)場景：面向智能網(wǎng)聯(lián)汽車安全防護(hù)的場景：基于“輕量化的車端縱深防護(hù)技術(shù)”為智能網(wǎng)聯(lián)汽車提供網(wǎng)聯(lián)、車內(nèi)、ECU系統(tǒng)三層級(jí)的縱深檢測(cè)、防護(hù)、事件采集能力，滿足車企降本增效、安全合規(guī)的雙重需求，已助力多家車企多款車型通過國際R155、國內(nèi)L3/L4準(zhǔn)入安全合規(guī)認(rèn)證，并與云端安全運(yùn)營平臺(tái)形成聯(lián)動(dòng)，提供了持續(xù)的安全監(jiān)測(cè)、分析、響應(yīng)處置等運(yùn)營服務(wù)面向車聯(lián)網(wǎng)流量安全分析與檢測(cè)的場景：基于“車聯(lián)網(wǎng)安全大模型”打造的“自適應(yīng)閉環(huán)檢測(cè)”能力，為提聯(lián)網(wǎng)提供了全流量的安全檢測(cè)、分析、預(yù)警能力，滿足車企、城市示范區(qū)、電信運(yùn)營商的安全運(yùn)營監(jiān)測(cè)需求，國家對(duì)車聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全的監(jiān)管數(shù)據(jù)對(duì)接要求面向車聯(lián)網(wǎng)安全運(yùn)營監(jiān)測(cè)的場景：基于“端到端的車聯(lián)網(wǎng)數(shù)字孿生體”結(jié)合機(jī)器學(xué)習(xí)技術(shù)，面向車聯(lián)網(wǎng)各類資產(chǎn)打造了網(wǎng)絡(luò)安全+運(yùn)行安全的安全運(yùn)場景一：智能網(wǎng)聯(lián)汽車安全檢測(cè)與防護(hù)-5智能網(wǎng)聯(lián)汽車面臨有外及內(nèi)的安全威脅場景（1）場景描述智能網(wǎng)聯(lián)汽車在對(duì)外網(wǎng)聯(lián)、車內(nèi)網(wǎng)絡(luò)、零部件系統(tǒng)面臨的網(wǎng)絡(luò)攻擊、總線重放攻擊、主機(jī)入侵、個(gè)人隱私泄漏等全方面的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，以及遠(yuǎn)程控車、OTA、數(shù)字鑰匙等具體業(yè)務(wù)場景下的安全風(fēng)險(xiǎn)。需要針對(duì)網(wǎng)聯(lián)、車內(nèi)網(wǎng)、ECU系統(tǒng)的特征和安全目標(biāo)，建立合理的安全防護(hù)能力。本案例，基于“輕量化的車端縱深防護(hù)技術(shù)”的創(chuàng)新思路為智能網(wǎng)聯(lián)汽車提供網(wǎng)聯(lián)、車內(nèi)、ECU系統(tǒng)三層級(jí)的縱深檢測(cè)、防護(hù)、事件采集能力，滿足車企降本增效、安全合規(guī)的雙重需求，已助力多家車企多款車型通過國際R155、國內(nèi)L3/L4準(zhǔn)入安全合規(guī)認(rèn)證，并與云端安全運(yùn)營平臺(tái)形成聯(lián)動(dòng)，提供了持續(xù)的安全監(jiān)測(cè)、分析、響應(yīng)處置等運(yùn)營服務(wù)（2）關(guān)鍵技術(shù)依據(jù)國際R155法規(guī)、《GB44495汽車整車信息安全技術(shù)要求》中對(duì)”外部連接-通信通道-數(shù)據(jù)代碼-軟件升級(jí)“的安全要求，由車輛從外至內(nèi)的網(wǎng)絡(luò)空間維度出發(fā)，通過不同安全技術(shù)的互補(bǔ)、從外到內(nèi)分層次部署安全防線，滿足車輛信息安全防護(hù)的縱深性、均衡性、完整性的要求。車輛網(wǎng)聯(lián)層：依托車載網(wǎng)聯(lián)入侵檢測(cè)、防火墻、身份認(rèn)證技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)聯(lián)網(wǎng)絡(luò)攻擊檢測(cè)、防御能力，傳輸數(shù)據(jù)的加密保護(hù)能力，車云連接的身份認(rèn)證能力車內(nèi)網(wǎng)絡(luò)層：基于總線入侵檢測(cè)、SecOC、域隔離技術(shù)，實(shí)現(xiàn)車內(nèi)網(wǎng)絡(luò)通信數(shù)據(jù)保護(hù)能力，防重放攻擊能力ECU系統(tǒng)層：通過安全啟動(dòng)、安全存儲(chǔ)、應(yīng)用權(quán)限管控技術(shù)，實(shí)現(xiàn)零部件系統(tǒng)的運(yùn)行狀態(tài)檢測(cè)能力、關(guān)鍵數(shù)據(jù)\隱私數(shù)據(jù)的異常檢測(cè)能力（3）成果成效通過在智能網(wǎng)聯(lián)汽車車端分布式部署輕量化的安全防護(hù)與監(jiān)測(cè)組件，實(shí)現(xiàn)對(duì)車輛網(wǎng)絡(luò)安全、數(shù)據(jù)安全風(fēng)險(xiǎn)的有效監(jiān)測(cè)與防護(hù)，并通過車端進(jìn)行安全檢測(cè)，安全日志上報(bào)云端安全運(yùn)營平臺(tái)，云端接收安全日志進(jìn)行安全風(fēng)險(xiǎn)的分析、預(yù)警，生成安全防護(hù)策略下發(fā)車端的“車-云”聯(lián)動(dòng)的方式，實(shí)現(xiàn)安全事件的實(shí)時(shí)上報(bào)預(yù)警，安全規(guī)則的實(shí)時(shí)下發(fā)生效的能力。支撐車企可同時(shí)滿足海外R155、中國GB44495標(biāo)準(zhǔn)、智能網(wǎng)聯(lián)汽車安全準(zhǔn)入的合規(guī)需求。圖2-6車端安全防護(hù)與檢測(cè)組件的部署架安全防護(hù)與監(jiān)測(cè)組件已在多家車企（廣汽、比亞迪、小鵬、蔚來、金龍、大眾…）的智能網(wǎng)聯(lián)汽車上進(jìn)行了部署應(yīng)用，支撐車企通過了嚴(yán)苛的國際R155VTA安全認(rèn)證，檢測(cè)并防護(hù)了上千條車端網(wǎng)絡(luò)攻擊事件。通過上述業(yè)界領(lǐng)先的車規(guī)級(jí)車端輕量化安全防護(hù)技術(shù)，車端計(jì)算資源占用較傳統(tǒng)手段節(jié)約60%，安全檢測(cè)時(shí)延＜200ms，防護(hù)效果滿足國際R155汽車信息安全法規(guī)、中國GB44495整車安全強(qiáng)制性標(biāo)準(zhǔn)。場景二：車聯(lián)網(wǎng)流量安全分析與檢測(cè)（1）場景描述圖2-7車聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全威脅場景由“車、路、云、網(wǎng)、圖”組成的車聯(lián)網(wǎng)車路云一體化系統(tǒng)，安全隱患與威脅到處存在，是運(yùn)營方必須面對(duì)的核心問題。面向車聯(lián)網(wǎng)井噴式的數(shù)據(jù)流量，網(wǎng)絡(luò)指標(biāo)已不能反映業(yè)務(wù)質(zhì)量，車聯(lián)網(wǎng)業(yè)務(wù)的保障手段出現(xiàn)不足，部分車聯(lián)網(wǎng)通道安全性較低，面臨著僵木蠕網(wǎng)絡(luò)攻擊、數(shù)據(jù)違規(guī)出境等安全風(fēng)險(xiǎn)，缺乏靈活的流量運(yùn)營分析手段的現(xiàn)實(shí)問題。本案例，基于“車聯(lián)網(wǎng)安全大模型”打造的“自適應(yīng)閉環(huán)檢測(cè)”能力的創(chuàng)新思路，為提聯(lián)網(wǎng)提供了全流量的安全檢測(cè)、分析、預(yù)警能力，滿足車企、城市示范區(qū)、電信運(yùn)營商的安全運(yùn)營監(jiān)測(cè)需求，國家對(duì)車聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全的監(jiān)管數(shù)據(jù)對(duì)接要求（2）關(guān)鍵技術(shù)基于物聯(lián)網(wǎng)僵木蠕安全大模型，并結(jié)合車聯(lián)網(wǎng)的業(yè)務(wù)特征，車聯(lián)網(wǎng)專有協(xié)議，通過與海量車聯(lián)網(wǎng)數(shù)據(jù)的識(shí)別訓(xùn)練，建立了車聯(lián)網(wǎng)僵木蠕安全大模型、車聯(lián)網(wǎng)占有協(xié)議檢測(cè)模型、車聯(lián)網(wǎng)異常數(shù)據(jù)/加密流量的檢測(cè)技術(shù)。僵木蠕網(wǎng)絡(luò)攻擊、惡意程序安全大模型車聯(lián)網(wǎng)專有協(xié)議分析檢測(cè)車聯(lián)網(wǎng)異常數(shù)據(jù)/加密流量識(shí)別分析檢測(cè)（3）成果成效通過借用物聯(lián)網(wǎng)成熟可靠的僵木蠕安全大模型檢測(cè)技術(shù)，結(jié)合對(duì)車聯(lián)網(wǎng)的數(shù)據(jù)特征進(jìn)行持續(xù)的識(shí)別訓(xùn)練，實(shí)現(xiàn)了對(duì)車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的有效識(shí)別，建立了車聯(lián)網(wǎng)質(zhì)量監(jiān)測(cè)模型，開展車聯(lián)網(wǎng)業(yè)務(wù)質(zhì)量預(yù)警。具備核心業(yè)務(wù)實(shí)時(shí)預(yù)警，投訴問題多域溯源的能力。依托基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)，廣東移動(dòng)已成功處置10億/天規(guī)模的安全事件3次，通用網(wǎng)絡(luò)攻擊3000多次，通報(bào)出境交互6次，有效保護(hù)了用戶隱私、車企業(yè)務(wù)和國家安全。經(jīng)過將物聯(lián)網(wǎng)僵木蠕安全大模型技術(shù)應(yīng)用到車聯(lián)網(wǎng)安全檢測(cè)上，可支持車聯(lián)網(wǎng)業(yè)務(wù)場景＞6大類，流量采集完整率和準(zhǔn)確率100%，車聯(lián)網(wǎng)協(xié)議識(shí)別準(zhǔn)確率＞95%，特征庫規(guī)則＞3萬條，隱蔽通道漏判總量＜10%。場景三：車聯(lián)網(wǎng)綜合安全運(yùn)營監(jiān)測(cè)（1）場景描述圖2-8汽車綜合安全運(yùn)營場景無論車企還是城市，面對(duì)“車、路、云、網(wǎng)”都需要建立“安全作戰(zhàn)地圖”，提供持續(xù)的安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)警能力，具備對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的統(tǒng)一管理能力，安全事件、漏洞的全生命周期管控能力，以及應(yīng)對(duì)未知的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力。本案例，基于“端到端的車聯(lián)網(wǎng)數(shù)字孿生體”結(jié)合機(jī)器學(xué)習(xí)技術(shù)的創(chuàng)新思路，面向車聯(lián)網(wǎng)各類資產(chǎn)打造了網(wǎng)絡(luò)安全+運(yùn)行安全監(jiān)測(cè)、預(yù)警和響應(yīng)的安全運(yùn)營服務(wù)。（2）關(guān)鍵技術(shù)利用數(shù)字孿生、機(jī)器學(xué)習(xí)技術(shù)，建立智能網(wǎng)聯(lián)汽車的數(shù)字孿生模型，結(jié)合車輛運(yùn)行數(shù)據(jù)、TSP數(shù)據(jù)、車主APP數(shù)據(jù)、車聯(lián)網(wǎng)流量檢測(cè)數(shù)據(jù)等，實(shí)現(xiàn)對(duì)車輛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測(cè)與分析功能，并針對(duì)安全事件處置管理的實(shí)際需求，基于SOAR自動(dòng)化編排理念實(shí)現(xiàn)了自動(dòng)化的應(yīng)急響應(yīng)管理功能。針對(duì)智能網(wǎng)聯(lián)汽車的數(shù)字孿生、機(jī)器學(xué)習(xí)技術(shù)自動(dòng)化的應(yīng)急響應(yīng)（SOAR）技術(shù)態(tài)勢(shì)感知、安全風(fēng)險(xiǎn)分析監(jiān)測(cè)技術(shù)（3）成果成效圖2-9車聯(lián)網(wǎng)綜合安全運(yùn)營的技術(shù)架構(gòu)通過建立的智能網(wǎng)聯(lián)汽車的數(shù)字孿生模型，結(jié)合實(shí)際的車輛運(yùn)行數(shù)據(jù)、車輛網(wǎng)絡(luò)安全告警數(shù)據(jù)、車聯(lián)網(wǎng)流量數(shù)據(jù)、車企TSP平臺(tái)數(shù)據(jù)，可有效識(shí)別發(fā)現(xiàn)未知的網(wǎng)絡(luò)安全事件（例如車輛在高速行駛狀態(tài)下車窗突然開啟，則可能是一次網(wǎng)絡(luò)攻擊問題）。目前通過建立車輛控制域，車載娛樂域質(zhì)量監(jiān)控閉環(huán)體系，已預(yù)警或溯源疑難問題50多起，建立核心業(yè)務(wù)保障方案20多套。通過建立智能網(wǎng)聯(lián)汽車的數(shù)字孿生模型，提供了業(yè)界領(lǐng)先的安全運(yùn)營監(jiān)測(cè)能力，較傳統(tǒng)SOC提供預(yù)測(cè)潛在威脅的能力，威脅場景覆蓋＞20種，分析算法＞10種，自動(dòng)化應(yīng)急響應(yīng)處置流程＞50個(gè)。3.安全及可靠性本案例充分利用物聯(lián)網(wǎng)已有的入侵檢測(cè)、僵木蠕安全大模型、數(shù)字孿生等技術(shù)，與車聯(lián)網(wǎng)行業(yè)具體場景（車輛OTA升級(jí)、遠(yuǎn)程控車、遠(yuǎn)程診斷、網(wǎng)約車運(yùn)營、物流車隊(duì)管理等等）、車聯(lián)網(wǎng)專有協(xié)議、流量特征結(jié)合，構(gòu)建了基礎(chǔ)數(shù)據(jù)支撐、安全檢測(cè)能力、應(yīng)用運(yùn)營服務(wù)三個(gè)層級(jí)的業(yè)內(nèi)領(lǐng)先的車聯(lián)網(wǎng)安全技術(shù)。（1）基礎(chǔ)層面，形成首個(gè)車聯(lián)網(wǎng)行業(yè)車聯(lián)網(wǎng)安全資產(chǎn)庫：建設(shè)了覆蓋度廣、內(nèi)容全面的車聯(lián)網(wǎng)安全資產(chǎn)庫，涵蓋知識(shí)、模型、技術(shù)三個(gè)維度，為車聯(lián)網(wǎng)安全檢測(cè)、防護(hù)、運(yùn)營提供了完備的數(shù)據(jù)和技術(shù)支撐。車聯(lián)網(wǎng)知識(shí)庫方面形成的能力：1)漏洞及威脅情報(bào)：完成和CNVD、CNNVD、CAVD、CVE的漏洞平臺(tái)對(duì)接，車聯(lián)網(wǎng)漏洞數(shù)據(jù)＞2萬條；2)資產(chǎn)數(shù)據(jù)：完成和50余車企的車輛、零部件資產(chǎn)對(duì)接，車聯(lián)網(wǎng)車輛資產(chǎn)數(shù)據(jù)＞50個(gè)，零部件資產(chǎn)數(shù)據(jù)＞1000個(gè)，IT/網(wǎng)絡(luò)設(shè)施資產(chǎn)數(shù)據(jù)上千個(gè)。3)其他數(shù)據(jù)：可實(shí)時(shí)對(duì)接地理信息、天氣、路況等數(shù)據(jù)。安全模型庫方面：1)智能網(wǎng)聯(lián)汽車威脅場景模型，已涵蓋：遠(yuǎn)程控車、OTA升級(jí)、遠(yuǎn)程診斷、數(shù)字鑰匙、智能座艙、網(wǎng)約車、物流車隊(duì)＞20個(gè)場景。2)車聯(lián)網(wǎng)威脅場景模型，覆蓋：僵木蠕、數(shù)據(jù)出境、隱蔽隧道、加密數(shù)據(jù)等檢測(cè)方向＞6大類3)基于數(shù)字孿生技術(shù)，建立了針對(duì)智能網(wǎng)聯(lián)汽車的場景，覆蓋車型100余款。安全監(jiān)測(cè)能力方面：1)具備面向智能網(wǎng)聯(lián)汽車的車聯(lián)網(wǎng)、車內(nèi)網(wǎng)、零部件三個(gè)層級(jí)，10余種分類的車端監(jiān)測(cè)能力。2)具備面向車聯(lián)網(wǎng)網(wǎng)絡(luò)側(cè)的僵木蠕檢測(cè)、違規(guī)數(shù)據(jù)檢測(cè)、加密數(shù)據(jù)檢測(cè)、車聯(lián)網(wǎng)協(xié)議檢測(cè)、隱蔽隧道檢測(cè)等＞4大類型分類的監(jiān)測(cè)能力，特征庫＞3萬3)安全運(yùn)營方面，具備安全監(jiān)測(cè)分析算法＞10種，自動(dòng)化響應(yīng)處置流程＞100個(gè)，完整覆蓋對(duì)云管端的安全運(yùn)營管理能力。通過上述構(gòu)建的業(yè)內(nèi)領(lǐng)先的車聯(lián)網(wǎng)安全資產(chǎn)，對(duì)車聯(lián)網(wǎng)行業(yè)上安全監(jiān)測(cè)、檢測(cè)、預(yù)警、應(yīng)急處置提供了完備的技術(shù)和數(shù)據(jù)支撐。（2）能力層面，打造了業(yè)內(nèi)首個(gè)車聯(lián)網(wǎng)專用安全大模型：以通義千問安全大模型基座為基礎(chǔ)，依托車聯(lián)網(wǎng)安全知識(shí)庫打造了車聯(lián)網(wǎng)安全大模型，具備每日PB級(jí)的數(shù)據(jù)處理能力，流量采集完整率和準(zhǔn)確率達(dá)100%，車聯(lián)網(wǎng)風(fēng)險(xiǎn)識(shí)別準(zhǔn)確率＞95%，覆蓋車聯(lián)網(wǎng)業(yè)務(wù)場景＞12大類，形成安全資產(chǎn)、安全檢測(cè)流程的雙閉環(huán)能力。圖2-10車聯(lián)網(wǎng)安全大模型，形成安全資產(chǎn)、安全流程雙閉環(huán)能力（3）服務(wù)層面，提供了從端到云完整的“檢測(cè)、監(jiān)測(cè)、預(yù)警、防御、響應(yīng)”自適應(yīng)安全服務(wù)閉環(huán)：面向智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)“車路云一體化城市示范區(qū)基礎(chǔ)電信運(yùn)營商以及行業(yè)監(jiān)管機(jī)構(gòu)提供了從端到云完整的“檢測(cè)、監(jiān)測(cè)、預(yù)警、防御、響應(yīng)”自適應(yīng)安全服務(wù)閉環(huán)。一是自主研發(fā)了車端輕量化的縱深防護(hù)產(chǎn)品采用先進(jìn)的SOA架構(gòu)實(shí)現(xiàn)對(duì)車端資源占用消耗較傳統(tǒng)方案降低60%，再不增加車企額外的硬件成本前提下，完整提供了端側(cè)“網(wǎng)聯(lián)->內(nèi)網(wǎng)->系統(tǒng)”多層級(jí)的防護(hù)能力，同時(shí)滿足國內(nèi)、國際L3/L4準(zhǔn)入對(duì)信息安全的防護(hù)需求。圖2-11車端輕量化縱深防護(hù)矩陣二是構(gòu)建了“云-網(wǎng)-端”一體化、協(xié)同聯(lián)動(dòng)的安全監(jiān)測(cè)服務(wù)體系，形成車聯(lián)網(wǎng)自適應(yīng)安全閉環(huán)管理支撐服務(wù)，目前可監(jiān)測(cè)車輛日活數(shù)據(jù)超過500萬輛，威脅場景覆蓋＞20種，車聯(lián)網(wǎng)安全分析算法＞10種，響應(yīng)處置流程＞100種。圖2-12基于數(shù)字孿生、機(jī)器學(xué)習(xí)技術(shù)的車聯(lián)網(wǎng)安全運(yùn)營服務(wù)2.2.3下一步實(shí)施計(jì)劃1.技術(shù)迭代優(yōu)化（一）安全模型持續(xù)升級(jí)基于車聯(lián)網(wǎng)安全大模型，不斷擴(kuò)充其訓(xùn)練數(shù)據(jù)集。持續(xù)收集車聯(lián)網(wǎng)各類安全事件數(shù)據(jù)，包括但不限于新型網(wǎng)絡(luò)攻擊手段、車聯(lián)網(wǎng)協(xié)議變種引發(fā)的安全問題等，每月新增數(shù)據(jù)量不低于100萬條，以提升模型對(duì)復(fù)雜、多變安全風(fēng)險(xiǎn)的識(shí)別能力。每季度對(duì)車聯(lián)網(wǎng)安全大模型進(jìn)行一次全面優(yōu)化升級(jí)。引入最新的人工智能算法，如基于Transformer架構(gòu)的改進(jìn)算法，提升模型對(duì)海量車聯(lián)網(wǎng)數(shù)據(jù)的處理效率和分析準(zhǔn)確性，將車聯(lián)網(wǎng)風(fēng)險(xiǎn)識(shí)別準(zhǔn)確率在現(xiàn)有基礎(chǔ)上再提升5%。針對(duì)車聯(lián)網(wǎng)業(yè)務(wù)場景不斷細(xì)化小模型。結(jié)合網(wǎng)約車、物流運(yùn)輸?shù)忍囟▓鼍暗臉I(yè)務(wù)數(shù)據(jù)和安全需求，每半年新增至少2個(gè)專用小模型，實(shí)現(xiàn)對(duì)不同場景下安全風(fēng)險(xiǎn)的精準(zhǔn)檢測(cè)。（二）數(shù)據(jù)處理能力提升對(duì)分布式數(shù)據(jù)存儲(chǔ)系統(tǒng)進(jìn)行擴(kuò)容和性能優(yōu)化。在接下來的一年內(nèi)，增加20%的存儲(chǔ)節(jié)點(diǎn)，提升系統(tǒng)的存儲(chǔ)容量和讀寫速度，確保能夠應(yīng)對(duì)車聯(lián)網(wǎng)數(shù)據(jù)量的快速增長，保障數(shù)據(jù)存儲(chǔ)的穩(wěn)定性和高效性。優(yōu)化數(shù)據(jù)匯聚和計(jì)算流程。采用更先進(jìn)的數(shù)據(jù)調(diào)度算法，減少數(shù)據(jù)處理時(shí)延，將數(shù)據(jù)從采集到分析完成的時(shí)間縮短30%。同時(shí)，引入數(shù)據(jù)預(yù)處理技術(shù)，在數(shù)據(jù)采集階段對(duì)數(shù)據(jù)進(jìn)行清洗和初步分析，減輕后續(xù)計(jì)算層的壓力。加強(qiáng)對(duì)加密數(shù)據(jù)和異常數(shù)據(jù)的分析能力。投入專項(xiàng)研發(fā)資源，研究針對(duì)加密流量的破解和分析技術(shù)，以及對(duì)異常數(shù)據(jù)特征的深度挖掘技術(shù)，每季度更新一次相關(guān)的檢測(cè)規(guī)則庫，提高對(duì)隱蔽安全威脅的發(fā)現(xiàn)能力。（三）車端技術(shù)改進(jìn)持續(xù)優(yōu)化車端輕量化安全防護(hù)組件。進(jìn)一步降低組件對(duì)車端計(jì)算資源的占用，在現(xiàn)有基礎(chǔ)上再減少10%的CPU和內(nèi)存占用，同時(shí)提升安全檢測(cè)的速度和準(zhǔn)確性，將安全檢測(cè)時(shí)延降低至80ms以內(nèi)。加強(qiáng)車端與云端的聯(lián)動(dòng)響應(yīng)機(jī)制。通過優(yōu)化通信協(xié)議和數(shù)據(jù)交互流程，實(shí)現(xiàn)車端安全事件的快速上報(bào)和云端防護(hù)策略的及時(shí)下發(fā)，將從車端發(fā)現(xiàn)安全事件到云端下發(fā)防護(hù)策略的時(shí)間縮短至1分鐘以內(nèi)。結(jié)合車聯(lián)網(wǎng)新業(yè)務(wù)需求，如智能駕駛輔助系統(tǒng)的升級(jí)、車路協(xié)同業(yè)務(wù)的拓展等，對(duì)車端安全防護(hù)技術(shù)進(jìn)行針對(duì)性改進(jìn)，每半年推出一次適配新業(yè)務(wù)的車端安全防護(hù)升級(jí)版本。2.市場落地推廣（一）拓展客戶群體針對(duì)車企市場，組建專業(yè)的銷售團(tuán)隊(duì)，深入調(diào)研國內(nèi)前20強(qiáng)車企的安全需求，制定個(gè)性化的車聯(lián)網(wǎng)安全解決方案。在未來一年內(nèi)，與至少5家尚未合作的車企建立合作關(guān)系，將車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)推廣至其智能網(wǎng)聯(lián)汽車產(chǎn)品中。積極開拓城市示范區(qū)市場。與國內(nèi)多家正在推進(jìn)“車路云一體化”建設(shè)的城市示范區(qū)進(jìn)行對(duì)接，展示項(xiàng)目在車聯(lián)網(wǎng)綜合安全運(yùn)營監(jiān)測(cè)方面的能力和成果，爭取在半年內(nèi)與3個(gè)城市示范區(qū)達(dá)成合作意向，為其提供安全監(jiān)測(cè)和運(yùn)營服務(wù)。面向基礎(chǔ)電信運(yùn)營商，開展技術(shù)交流和合作推廣活動(dòng)。組織行業(yè)研討會(huì)，分享廣東移動(dòng)在車聯(lián)網(wǎng)安全領(lǐng)域的技術(shù)經(jīng)驗(yàn)和實(shí)踐成果，吸引其他運(yùn)營商采用本項(xiàng)目的車聯(lián)網(wǎng)流量安全檢測(cè)與分析服務(wù)，在一年內(nèi)與至少3家省級(jí)電信運(yùn)營商建立合作。（二）提升品牌影響力參加國內(nèi)外知名的車聯(lián)網(wǎng)行業(yè)展會(huì)和安全技術(shù)峰會(huì)，如世界智能網(wǎng)聯(lián)汽車大會(huì)、全球網(wǎng)絡(luò)安全大會(huì)等，設(shè)立專門的展位展示項(xiàng)目的技術(shù)成果和應(yīng)用案例，每年參加不少于5次此類活動(dòng)。與行業(yè)內(nèi)權(quán)威媒體建立合作關(guān)系，發(fā)布項(xiàng)目的最新進(jìn)展、技術(shù)創(chuàng)新和應(yīng)用成果等新聞稿件，每月發(fā)布新聞稿件不少于2篇。同時(shí)，利用社交媒體平臺(tái)，如微信公眾號(hào)、微博等，定期推送車聯(lián)網(wǎng)安全知識(shí)和項(xiàng)目動(dòng)態(tài)，吸引行業(yè)關(guān)注，提升品牌知名度。積極參與車聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)的制定和修訂工作。聯(lián)合行業(yè)內(nèi)其他企業(yè)和機(jī)構(gòu)，推動(dòng)車聯(lián)網(wǎng)安全行業(yè)標(biāo)準(zhǔn)的完善，增強(qiáng)項(xiàng)目在行業(yè)內(nèi)的話語權(quán)和影響力，在未來兩年內(nèi)主導(dǎo)或參與制定至少3項(xiàng)車聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)。（三）加強(qiáng)客戶服務(wù)與合作建立完善的客戶服務(wù)體系。為客戶提供7×24小時(shí)的技術(shù)支持和咨詢服務(wù)，設(shè)立專門的客戶服務(wù)熱線和在線客服平臺(tái)，確?？蛻粼谑褂密嚶?lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)過程中遇到的問題能夠得到及時(shí)解決，客戶滿意度達(dá)到95%以上。與客戶建立長期合作機(jī)制。定期對(duì)客戶進(jìn)行回訪，收集客戶的反饋意見和建議，根據(jù)客戶需求對(duì)服務(wù)進(jìn)行優(yōu)化和改進(jìn)。每季度組織一次客戶座談會(huì)，邀請(qǐng)重點(diǎn)客戶參與，共同探討車聯(lián)網(wǎng)安全領(lǐng)域的發(fā)展趨勢(shì)和合作方向。開展客戶培訓(xùn)活動(dòng)。針對(duì)不同類型的客戶，如車企、城市示范區(qū)運(yùn)營方、電信運(yùn)營商等，制定個(gè)性化的培訓(xùn)方案，為客戶提供車聯(lián)網(wǎng)安全技術(shù)培訓(xùn)和服務(wù)使用培訓(xùn)，提升客戶對(duì)車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)的認(rèn)知和應(yīng)用能力，每年開展培訓(xùn)活動(dòng)不少于5次。2.2.4方案創(chuàng)新點(diǎn)和實(shí)施效果1.項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)（1）構(gòu)建了完整覆蓋“云、網(wǎng)、端”的自適應(yīng)安全閉環(huán)總體來看，本案例將“端安全”（輕量化安全防護(hù)技術(shù)）、“網(wǎng)安全”（車聯(lián)網(wǎng)專有安全大模型）、“云安全”（端到端的車聯(lián)網(wǎng)數(shù)字孿生體）三個(gè)方向的創(chuàng)新技術(shù)相結(jié)合，與車聯(lián)網(wǎng)的云、網(wǎng)、車三個(gè)層級(jí)有機(jī)融合，在“端”提供防護(hù)、檢測(cè)、響應(yīng)能力，在“網(wǎng)”提供網(wǎng)絡(luò)攻擊、車聯(lián)網(wǎng)場景、協(xié)議檢測(cè)能力，在“云”提供綜合的安全分析、安全運(yùn)營、策略管理下發(fā)能力，構(gòu)建了“云-網(wǎng)-端”協(xié)同聯(lián)動(dòng)的安全防護(hù)體系，為車企、示范區(qū)提供了具備自適應(yīng)閉環(huán)安全防護(hù)能力的建設(shè)與運(yùn)營服務(wù)，為國家監(jiān)管提供了涵蓋從車輛到網(wǎng)絡(luò)的全面的安全數(shù)據(jù)支撐。（2）“端”安全創(chuàng)新：面向智能網(wǎng)聯(lián)汽車的輕量化安全防護(hù)與檢測(cè)技術(shù)建立的業(yè)界領(lǐng)先的車規(guī)級(jí)車端輕量化縱深安全防護(hù)技術(shù)，車端計(jì)算資源占用較傳統(tǒng)手段節(jié)約60%，安全檢測(cè)時(shí)延＜100ms，攻擊檢出率＞99%，誤檢率≈0。防護(hù)效果滿足國際R155汽車信息安全法規(guī)、中國GB44495整車安全強(qiáng)制性標(biāo)準(zhǔn)。服務(wù)場景：車企在不增加智能網(wǎng)聯(lián)汽車硬件改造成本的情況下，滿足其網(wǎng)絡(luò)信息安全合規(guī)準(zhǔn)入的要求。創(chuàng)新性亮點(diǎn)：基于ICT行業(yè)傳統(tǒng)的入侵檢測(cè)技術(shù)，通過對(duì)其檢測(cè)規(guī)則、內(nèi)部邏輯的優(yōu)化裁剪、適配車端計(jì)算資源不足的現(xiàn)狀，做到了資源占用輕量化（CPU占用率從20%降低到5%，內(nèi)存占用從50MB降低到15MB）的優(yōu)勢(shì)，滿足在車端零部件資源匱乏的情況下仍可部署的要求。通過本技術(shù)的落地實(shí)施，可以在滿足車企的智能網(wǎng)聯(lián)汽車產(chǎn)品在最大限度不增加硬件成本投入的情況下符合安全準(zhǔn)入合規(guī)的訴求。提供完整滿足R155、國家GB44495強(qiáng)制性安全標(biāo)準(zhǔn)要求的車輛網(wǎng)聯(lián)信息安全防護(hù)、檢測(cè)的需求。（3）“網(wǎng)”安全創(chuàng)新：基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全監(jiān)測(cè)分析技術(shù)構(gòu)建了業(yè)內(nèi)首個(gè)車聯(lián)網(wǎng)安全大模型，可提供日PB級(jí)的車聯(lián)網(wǎng)流量實(shí)時(shí)檢測(cè)能力，記錄數(shù)據(jù)以超過5千億條，流量采集完整率和準(zhǔn)確率達(dá)100%，車聯(lián)網(wǎng)協(xié)議識(shí)別準(zhǔn)確率＞95%，累計(jì)特征庫規(guī)則＞3萬條，覆蓋車聯(lián)網(wǎng)業(yè)務(wù)場景12大類+，隱蔽通道漏判總量＜10%。服務(wù)場景：針對(duì)車聯(lián)網(wǎng)全流量的深度分析和監(jiān)測(cè)，車聯(lián)網(wǎng)專有協(xié)議的分析和監(jiān)測(cè)，以及數(shù)據(jù)出境和隱蔽隧道數(shù)據(jù)的風(fēng)險(xiǎn)監(jiān)測(cè)的場景。創(chuàng)新性亮點(diǎn)：將基于物聯(lián)網(wǎng)僵木蠕安全大模型的數(shù)據(jù)分析檢測(cè)技術(shù)經(jīng)過適配升級(jí)，應(yīng)用到車聯(lián)網(wǎng)流量數(shù)據(jù)的分析和檢測(cè)場景上，針對(duì)車聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)、協(xié)議特征進(jìn)行識(shí)別訓(xùn)練，檢測(cè)發(fā)現(xiàn)和車聯(lián)網(wǎng)相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。（4）云”安全創(chuàng)新：基于數(shù)字孿生、機(jī)器學(xué)習(xí)的異常行為檢測(cè)分析技術(shù)建立了端到端的車聯(lián)網(wǎng)數(shù)字孿生體，與車聯(lián)網(wǎng)流量、車輛運(yùn)行、TSP等數(shù)據(jù)融合，提供業(yè)界領(lǐng)先的安全運(yùn)營監(jiān)測(cè)能力。構(gòu)建了“車-云”聯(lián)動(dòng)防護(hù)體系，有效應(yīng)對(duì)未知安全風(fēng)險(xiǎn)，監(jiān)測(cè)車輛日活數(shù)據(jù)超過500萬，汽車威脅場景覆蓋＞20種，車聯(lián)網(wǎng)分析算法＞10種，自動(dòng)化應(yīng)急響應(yīng)處置流程＞100種。服務(wù)場景：為車企、城市示范區(qū)運(yùn)營商提供應(yīng)對(duì)復(fù)雜、難以預(yù)知的高等級(jí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的安全監(jiān)測(cè)、分析和應(yīng)急響應(yīng)等運(yùn)營服務(wù)。創(chuàng)新性亮點(diǎn)：將數(shù)字孿生、機(jī)器學(xué)習(xí)技術(shù)應(yīng)用到具體的智能網(wǎng)聯(lián)汽車業(yè)務(wù)，為智能網(wǎng)聯(lián)汽車建立車輛的數(shù)字孿生模型，結(jié)合車輛的歷史數(shù)據(jù)、實(shí)時(shí)上報(bào)的安全數(shù)據(jù)、車聯(lián)網(wǎng)流量數(shù)據(jù)，TSP平臺(tái)數(shù)據(jù)，綜合分析后，可提供對(duì)潛在的未知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的告警檢測(cè)能力，并通過和車端安全防護(hù)與檢測(cè)組件的聯(lián)動(dòng)，形成有效的安全防護(hù)閉環(huán)。2.實(shí)施效果基于物聯(lián)網(wǎng)僵木蠕安全大模型的車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)監(jiān)測(cè)方案推向市場以來，一方面獲得了產(chǎn)業(yè)界的充分肯定，另一方面也取得了很好的經(jīng)濟(jì)效益，相關(guān)合同金額已達(dá)2.4億元，車聯(lián)網(wǎng)安全服務(wù)獲得用戶充分認(rèn)可，具有良好的經(jīng)濟(jì)效益和社會(huì)效益。首先，依托本項(xiàng)目構(gòu)建和積累的車聯(lián)網(wǎng)知識(shí)庫、安全模型庫、以及建設(shè)的安全監(jiān)測(cè)能力，形成了車聯(lián)網(wǎng)行業(yè)有深度、廣度的車聯(lián)網(wǎng)安全資產(chǎn)。車聯(lián)網(wǎng)知識(shí)庫方