ISC数字安全创新性案例报告

ISC2023ISC数字安全创新性案例报告ENTS聚能安全创新·服务数字安全 01ISC2023数字安全创新性案例”入选结果公布 02亿格云 03聚能安全创新·服务数字安全 01ISC2023数字安全创新性案例”入选结果公布 02亿格云 03薮猫科技 09360数字安全集团 13悬镜安全 17齐安科技 22众智维科技 27观成科技 36金睛云华 39未岚科技 45牧国科技 49结语 52聚能安全创新·服务数字安全ISC2023数字安全创新百强评选活动在这个信息化飞速发展的时代，数字安全已经成为了国家安全、社会稳定和经济发展的关键支柱。随着技术的持续进步和应用的广泛扩展，数字安全面临的挑战也日益严峻。在这样的背景下，ISC2023平台，推动数字安全领域的创新和发展。我们期待通过这个平台，激发更多创新思维、共享成功经验，让数字安全从挑战转变为全新的机遇。这是一个以服务数字安全为主旨的时代，我们迫切需要前瞻性的创新，以确保数字社会的安全和可持续发展。因此，“聚能安全创新，服务数字安全”不仅仅是一个主题，它是对当前数字安全领域的深入洞察，也是对未来发展方向的明确指引，更是我们面对新形势、新挑战时的行动号召。“聚能安全创新”意味着集结各方力量，汇聚创新思维，共同推动数字安全技术的发展。它强调的是一种集体的力量，一种跨界合作的精神，一种不断探索和前进的态度。在这个主题下，我们鼓励和支持各行各业的企业投身到数字安全的创新实践中，通过技术创新和模式创新，提升数字安全的整体水平。“服务数字安全”则是我们创新的最终目的，创新不是为了创新本身，而是要服务于社会，保障数字世界的安全运行。这需要我们不仅要关注技术的先进性，更要关乎技术的实用性和普及性，确保创新成果能够真正落地，服务于客户。本次ISC数字安全创新百强案例评选活动就是在这样的背景和主题下发起的，通过这次活动，我们将深入挖掘那些突破性的案例，深入剖析这些案例的背景、实施过程、创新点以及所带来的影响。这些案例承载着创新的火花，我们期望通过这些案例能够为读者提供一个全面、深入的数字安全创新视角，为未来的数字安全发展提供借鉴与启示。此外，ISC还为入选企业量身定制了独特的雷达图，这些雷达图涵盖了五个关键维度：技术创新能力、行业影响力、研发投入能力、经营能力以及市场拓展能力。ISC专家团队将依据企业提交的详尽数据和案例分析，进行综合评分，最终形成展现企业全方位实力的雷达图。这些雷达图不仅直观地展示了企业在数字安全领域的综合实力和特色，还为行业内外的观察者提供了一个评估和比较的工具。通过这种方式，企业可以清晰地识别自身的优势和潜在的改进领域，同时也为投资者和合作伙伴提供了决策参考。通过这种创新的评估，ISC数字安全创新百强评选活动旨在激励企业持续推动技术边界，加大研发投入，优化经营策略，并在全球市场中扩大影响力。这不仅是对入选企业的认可，更是激发整个行业追求卓越的动力。我们期待本次推出的雷达图能够成为企业成长的路标，引领数字安全行业向更高的目标迈进。“ISC2023数字安全创新性案例”入选结果公布序号案例提供方案例名称1亿格云小红书基于零信任SASE办公安全一体化解决方案2薮猫科技三一集团&薮猫科技-智能制造业数据安全建设案例3360数字安全集团某新零售集团股份有限公司安全运营服务项目4悬镜安全基于代码疫苗技术的某运营商SCA开源治理实践5齐安科技电力监控系统站端运维接入安全解决方案6众智维科技能源行业工业互联网安全智能应急响应平台建设7观成科技金融行业加密业务安全运营平台建设项目8金睛云华金睛云华助力某央企高级威胁检测能力建设9未岚科技某证券公司网络资产攻击面管理平台建设方案10牧联链基于区块链和人工智能技术的畜牧肉牛产业全流程服务平台建设亿格云企业定位：办公安全一体化解决方案领导厂商企业介绍：亿格云是SASE安全服务商，自主研发了SASE服务平台—亿格云枢，提供包括零信任网络访问（ZTNA）、数据防泄漏（XDLP）、威胁检测响应（XDR）、防病毒（EPP）、上网行为管理（SWG）和统一端点管理（UEM）等功能，解决企业数字化转型过程中遇到的混合分支办公安全、数据安全、终端安全等问题，亿格云已服务超200家上市公司和独角兽企业等在内的行业客户，包括吉利控股、海亮集团、零跑汽车、小红书、美图、奈雪控股等多领域头部企业，在多等行业得到客户认可。重点产品：零信任数据安全SASE平台-亿格云枢企业网站：https:wweaglecloudcom企业雷达图：技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例小红书基于零信任SASE办公安全一体化解决方案案例背景：小红书作为面向年轻人网络购物和社交平台的互联网公司，员工近万人，分布上海、北京、武汉等地，多地远程多设备成为常态，小红书自身对数据分析和安全风控有较好基础，如何在混合办公环境对核心数据防护同时实现高效灵活成为最大挑战，例：①多身份角色，导致管控策略多样化②多终端类型，导致技术方案无法复用③安全产品碎片化，不同环境使用差异性较大安全产品，无法统一管理，平台兼容性差④运维压力大⑤多Agent导致用户体验下降⑥混合办公场景下远程办公让数据暴露面变大。关键挑战：01多身份角色，接入用户多样化导致访问控制权限难管控：01除了内部员工，还有大量合作伙伴需要访问内网应用。不同组织和人员的访问权限划分需要实时更新，耗费大量精力。02多终端类型，云桌面和沙箱等方案无法适用于所有场景：02如今办公终端类型多样化，除了常见的Windows、MacOS等PC设备，还有大量iOS、Android等移动设备需要接入办公，传统的数据防泄漏方案无法满足小红书多样化办公设备场景。03安全产品碎片化：03为了解决不同安全问题，需要部署多套产品。不同产品有不同的管理平台，运维人员需要适应不同产品的设计逻辑和操作习惯，在不同产品控制台之间频繁切换，学习成本高且维护压力大；此外，各个产品之间无法形成联动处置。04传统安全产品开放性低：04在OpenAPI和自定义分析能力方面无法灵活匹配小红书业务，导致1+1＜2；且传统的安全产品标准化交付模式，在一些细分场景下无法匹配小红书业务，共创定制需求响应慢，甚至无法完全满足。05终端安装多个Agent默认就占用大量资源，导致员工办公体验差：05传统办公安全解决方案，需要安装VPN、EPP、EDR、DLP、UEM等多个Agent，会占用大量设备资源，影响员工办公体验。06混合办公场景下远程办公让数据暴露面变大：06快速发展的小红书，灵活办公场景随处可见。混合办公场景下各接入点的安全水位不一致，容易成为攻击者的目标。07数据安全法律法规发布，企业敏感数据难管控：07随着《个人信息保护法》等法律法规发布，企业的敏感数据面临监管压力，但如今敏感数据分布广，获取方式多样，外发通道难以管控，给企业带来了挑战。解决方案：小红书与亿格云基于SASE共创零信任办公与数据安全一体化解决方案：BeyondCorp与SASE能力的结合小红书早期调研了以谷歌的BeyondCorp为代表的零信任方案，其无端的访问方式确实带来了极致的用户体验。安全团队可以在网关上实现各种风控能力，然而BeyondCorp也存在很大的缺陷：1、协议兼容性较差，只支持七层流量；2、需要对外暴露HTTP(S)服务，存在较大的攻击面；3、缺少终端安全管控手段，无法覆盖终端的安全问题；4、实现高可用需要投入大量时间、精力和成本。于是小红书关注到近年来的零信任新趋势，即SASE架构，它天然弥补了上述几个缺陷，分布式的POP点确保系统天然高可用，也补充了客户端的安全管控能力。然而，直接使用SASE也存在弊端，无法利用小红书自有业务网关优势，更要放弃小红书在网关上积累的风控能力，与企业内部的数据管理脱节。综合调研了各种方案后，小红书根据自身网络架构特点，提出了一个创新的想法，将BeyondCorp与SASE能力结合，完美地满足了终端、网络和身份的安全需求。1、终端-DLP、杀毒、零信任访问等功能AllinOne，并且支持终端安全与访问控制策略联动；2、网络-办公网改造成非特权网；全球POP接入点实现高可用；3、身份-客户端与身份绑定，并在网关处与请求身份匹配，解决身份盗用问题；网关与客户端联动在以往依赖网关实现的风控方案中，网关无法拿到终端的安全信息。小红书创新地将网关风控与客户端联动，网关风控能实时识别请求中是否包含客户端信息并检测客户端状态，确保终端的可信性。同时，还可在终端上实施各种安全合规策略。对于未安装客户端的访问请求，网关风控可将用户跳转到客户端下载页面，以低成本实现客户端全员覆盖。实时风控和异常分析小红书在风控基建上持续投入了多年，建立了完善的数据安全和风控体系。这套零信任访问系统可以将4/7层日志和客户端日志接入风控系统，实现与风控系统的无缝结合。客户端采集的安全信息为风控系统添加了更多维度的数据，实现更加精准和完善的异常分析。红线数据不落地小红书从数据安全生命周期管理出发，以“不落地”实现红线数据不泄露。在内部，小红书严格执行数据分类分级/API安全/脱敏/权限管理等措施，以数据打标和API打标作为数据防泄露管理的起点。对于内部生产类数据，将数据管控手段左移，通过在线转换业务系统产生的文档，使用在线文件取代文件下载。相比传统沙箱隔离和文件加密方案，这种做法不仅安全性更高，而且员工有更好的使用体验。多级容灾机制整个访问控制系统是串联在访问过程当中，一旦出现故障将影响所有员工的正常办公，所以系统的稳定性是小红书考虑的重中之重，为此小红书与亿格云创新性地打造了一个多级容灾方案。默认情况下，流量通过小红书自建的私有POP节点，确保流量和数据都在自己可控的网络环境中。当本地POP节点发生故障时，系统可自动切换到亿格云的公有云POP节点。这种容灾方案已经可以保证超高的可用性，但是小红书不满足于此，在此基础上还实施一层Wireguard方案，当零信任防护模式失效时降级到VPN模式，以此实现更高的可用性。自研客户端小红书向员工展示自有品牌的办公安全平台，以增加员工对安全软件的认可度，同时还可以在客户端上集成更多内部常用的办公功能。小红书基于亿格云的客户端SDK，打造了一个匹配小红书自身风格的客户端UI，加之便捷的办公体验，实现其对员工的“种草”。创新性与优势：值得一提的是，这一轻量稳定、简洁高效的一体化“内部安全办公系统”为小红书带来的价值已得以显现。在内部调研中，该系统也获得高达70%NPS（口碑值）：能力一体化、管理更精细：一体化设计思路，即平台/功能/管理一体化，大幅降低终端安全体系建设、运行和扩展的复杂性。管控力度更精细、权限可自动梳理、运维难度更低，对终端、身份、行为和数据等进行全生命周期的精细化准入管控，确保终端符合内外部的相关准入要求，做到合法合规，准入可信。安全互相赋能：不仅实现产品平台自身不同模块之间的数据互通，更无缝衔接已有的安全能力。通过零信任平台对接现有风控系统，根据员工所在网络环境、身份、设备归属（公司设备or时动态调整访问控制策略。全域数据安全管控：系统实现数据安全防护以数据为中心、分类分级为基础，为小红书数据资产提供事前主动防御、事中实时监测、事后追踪溯源和全程态势感知。基于数据的全生命周期提供全方位、立体化防护。应用效果：零信任SASE以身份为中心将原本不安全的广域网和碎片化的安全能力融合，打破了企业需要部署10多个办公安全产品且安全产品间烟囱化的现状。对比单点采购买断式安全产品堆叠的情况，采用一体化的办公安全解决方案最大程度上实现了“降本增效”，无需配置单个专属的IT工程师，为企业至少节约近40%的整体IT运营成本。客户评价：“小红书的安全是紧贴业务类型与发展阶段演进开展的，从内容安全再到技术安全、网络安全等方面不断迈进。区别于传统围绕防止黑客入侵的安全建设思路，保障数据安全以及管理访问控制是小红书高度关注的要点，防止红线数据外泄是终态目标。当下，随着数据安全等政策法规的落地，数据安全成了备受关注的领域，在实现我们防护红线数据不外泄的核心目标，且保障员工工作效率及体验，我们选择性地舍去了传统云桌面、沙箱之类比较“重”的工具。基于此，共创落地零信任数据安全体系，集成至内部安全办公系统中，替代3、4效保护红线数据、又不影响员工效率与体验。”经验总结：零信任SASE一体化办公安全解决方案同样适用于拥有跨国业务、多分支架构。正在数字化转型的国央企大型集团公司、以数据为中心的数字化企业、关心敏感数据的外泄或强合规需求的企业、有信创终端的环境的企业、有远程办公需求的数字化企业等类型。其解决了传统网络安全架构所面临的许多挑战，传统安全架构主要关注网络边界的安全，而零信任SASE覆盖了网络安全、终端安全、应用程序安全和数据安全等多个层面。提供更全面的安全保障，防止各种安全威胁的发生。SASE对企业网络架构0入侵和现有应用0改造，可收敛互联网暴露面，快速落地零信任安全访问，用基于身份、持续验证的动态访问控制能力建立企业安全新边界；同时，SASE采用云原生技术，高度的灵活性和敏捷性能够统一管控办公网的网络和安全策略，无论分支总部，混合办公场景下都具备全场景一致的高安全水位；借助全球加速网络改善了网络质量，轻量化、稳定、安全功能合一的客户端以少量的资源占用实现对终端用户体无打扰的网络访问和安全防护体验。薮猫科技企业定位：数据安全创新者、下一代数据防泄漏、数据安全态势感知、终端一体化数据管理、全生命周期数据监测、AI大语言模型技术企业介绍：薮猫科技作为网络与数据安全领域的创新型企业，依托专业安全团队的硬核技术，通过创新威胁检测与响应系列产品，打造「终端x流量」全链路、纵深防护体系。同时，结合渗透测试、安全审计、数据咨询等专业服务，为企业提供下一代数据安全解决方案，让数据更安全。重点产品：DDR（DataDetection&Response）ADR（APItion&Response）API全攻防服务等。企业网站：企业雷达图：技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例三一集团&薮猫科技：智能制造业数据安全建设典型案例案例背景：三一集团有限公司始创于1989年，业务全面涉及混凝土机械、挖掘机械、起重机械、筑路机械、桩工机械、风电设备、港口机械、石油装备、煤炭装备、装配式建筑PC等。旗下拥有三一重工（SH，600031）、三一国际（HK，00631）、三一重能（SH，688349）三家上市公司，同时拥有三一筑工科技有限公司能等未上市资产。目前三一正在实施三大战略：数智化、电动化、国际化。三一集团在安全评估工作中发现暂无有效的非结构化识别工具，因此非结构化数据的分类分级工作还未开展，需要补充完善非结构化数据分类分级制度以及相关工具对非结构化数据进行分类分级。其次，三一集团虽然已经部署了云桌面，实现了数据不落地，同时采用了网络准入控制，但是由于数据传输量大且传输渠道多，目前仅依靠人工审计来识别和监控敏感数据的流转，缺乏有效的技术支持，存在数据泄漏风险，需要采取技术措施对终端数据进行监控。最后，当前三一集团数据安全运营管理工作，主要依赖桌面管理软件和上网行为审计设备，通过人工抽查各类日志来发现数据泄密行为，由于日志量大且通过人工审查几乎无法完成，不能覆盖全部数据外发行为，可能存在漏审情况，需要更新数据安全运营模式。关键挑战：01防护能力有待提高01三一集团期望在湖南省“HW”工作中取得更好的成绩，因此急需专业的团队提供整体安全防护能力，提升HW设提供参考依据。02分类分级补充完善02三一集团通过“HW”准备阶段的评估工作，发现目前已经开展了数据分类分级工作，建立了《研发保密制度》《三一集团数据资产管理标准》以及结构化数据资产分级分类管理流程。但是由于暂无有效的非结构化识别工具，因此非结构化数据的分类分级工作还未开展，需要补充完善非结构化数据分类分级制度以及相关工具对非结构化数据进行分类分级。03终端数据监控不足03三一集团已经部署了云桌面，实现了数据不落地，同时采用了网络准入控制，但是由于数据传输量大且传输渠道多，目前仅依靠人工审计来识别和监控敏感数据的流转，缺乏有效的技术支持，存在数据泄漏风险，因此需要采取技术措施对终端数据进行监控。04安全运营模式创新04当前三一集团数据安全运营管理工作，主要依赖桌面管理软件和上网行为审计设备，通过人工抽查各类日志来发现数据泄密行为，由于日志量大且通过人工审查几乎无法完成，不能覆盖全部数据外发行为，可能存在漏审情况，因此需要更新数据安全运营模式。解决方案：身在数据安全领域的认知和经验，提供数据安全咨询服务+数据安全产品的整体解决方案。数据安全产品为薮猫科技的青骓（DDR）数据风险检测及响应系统（以下简称：青骓DDR系统）是基于智能内容识别引擎、驱动级终端应用事件监控、数据外传风险检测等核心自研技术所打造的终端数据防泄密产品。系统通过对敏感数据识别算法的革新和对终端软件的深度hook，智能识别终端敏感数据内容，全面监控数据转移行为，针对已发生的数据泄露事件进行及时响应，追踪泄密源头，防止事件影响进一步扩大。同时，青骓DDR系统亦可帮助管理者监控企业敏感数据使用情况，确保企业内部敏感数据的合规合理使用，助力企业数字化转型，保障企业知识产权与核心数据资产。青骓DDR系统采用B/S加C/S架构，服务端管理采用web方式进行访问管理，更加灵活便捷；终端泄露防护采用轻客户端方式进行管控，终端负担更小；系统主要通过终端程序来完成用户活动捕获和用户操作日志摘要，系统管理端来完成日志和用户活动的集成、过滤和内容分析，管理员可以直观看到所有数据，也可对数据进行关联分析、数据统计等，从而确保企业核心数据资产的合理使用。青骓DDR系统主要功能包括桌面管理、网络管理和数据安全三个方面，不仅专注终端数据资产本身安全，同时也注重终端数据所处终端环境的安全。数据安全咨询服务主要以数据分类分级咨询服务为主，包含数据资产梳理服务、数据分类分级规范编制、数据分类分级策略制定和数据分类分级实施等内容。首先，利用青骓DDR系统扫描和业务流程人工调研相结合的方式，形成数据清单。其次，结合客户单位实际情况，明确分类分级管理过程中各方责任、操作过程、原则和方法，形成可持续的数据分类分级指导方法论。最后，利用数据分类分级指导方法进行实践，设计数据资产的分类分级策略，指导数据分类分级标记工作的展开，最终形成数据分类分级清单。三一集团数据安全建设项目中，整体方案分为四个建设步骤：发现、梳理、监控、运营。发现：青骓DDR系统作为数据资产发现的基础，通过桌面管理软件推送静默安装3200台DDR系统客户端。此外，青骓DDR系统服务端与三一飞书对接实现组织架构信息，并自动将用户账号绑定终端。梳理：薮猫科技数据安全咨询服务对9大业务进行了调研分析，并结合集团内部的数据分类分级制度，对数据进行分类分级。最后，将收集整理的数据分类分级规则配置到青骓DDR服务端，通过青骓DDR客户端对终端用户的文件进行扫描，形成集团数据资产地图。监控：三一集团希望了解内部员工终端数据的使用情况，因此使用青骓DDR客户端对终端所有外发渠道进行监控，全方位感知敏感文件流动态势，覆盖终端敏感数据产生、传输、存储、使用、销毁等数据生命周期各个阶段。运营：利用青骓DDR系统的运营功能更新数据安全运营模式，通过定期对异常行为进行研判分析，结合深度数据挖掘、事件关联等功能，发现“有意”或“无意”的数据泄漏行为，同时，对在研判过程中发现的误报事件进行优化改进闭环，精准保护集团数据资产安全。创新性与优势：在资产发现、识别与梳理工作中，薮猫科技提出了数据分类分级咨询服务与数据安全产品资产扫描相结合的方式，两者互为补充，即有效地提高了数据分类分级咨询服务实施效率，也极大地减少了单纯的利用工具识别资产的误报情况，快速形成了资产地图。青骓DDR系统产品融合了LSTM、NER机器学习算法，对终端上识别和用户主动上传的文档进行分词。为O（n）升了分词的效率。DDR网络流量、动态库与内核扩展的加载与卸载等行为数据。这些接口可具体分为操作系统内建方案（利用操作系统提供给第三方的各类接口信息）和非操作系统内建方案（利用内核内联挂钩机制（KernelInlineHookingMechanism）挂接目标函数）两种。利用此项技术系统可深度捕获应用软件的操作行为、网络流量，从而实现数据的防泄密监测。DDR为任意内核或用户态目标添加“前操作回调处理程序”（Pre-operationCallbackHandler）处理程序”（Post-operationCallbackHandler）Windows、macOS、LinuxIntel、AppleSilicon青骓DDR融合了多种识别浏览器上的数据动态传输（Data-in-Motion）技术，通过精准数据匹配（IDM、OCR技术等），高维度聚合，实现SSL加密流量检测，解密流量，识别流量内容；对文件上传、下载、URLs进行访问控制，有效地对终端DLP基于浏览器防护中的敏感数据进行拦截，实现多终端、多网络访问的统一数据防护策略。应用效果：数据安全咨询服务为三一集团建立非结构化数据资产分类分级标准，共形成273个文件分类，并结合集团内部的数据分类分级制度，将数据分为公开数据、一般商秘、重要商秘、核心商秘4个安全等级，明确了重点保护对象，避免数据泄露和滥用，提高数据的安全性和可靠性，更好地满足法律、监管和合规要求，减少违规风险。在咨询服务形成的分类分级规则的基础上，青骓DDR系统通过资产扫描、分类分级和泄露管控等功能，完成终端数据测绘，并通过监控和识别敏感数据外发行为，及时发现和阻止员工将敏感数据泄露给外部人员，保护企业的商业秘密。青骓DDR系统提供的包含渠道管控、邮件管控、代码管控、数据行为等多维度可视化仪表盘，便于安全人员全面掌握企业内网数据安全风险全状况，提升安全可见性。为安全决策提供数据支撑，便于安全人员全面掌握企业数据风险状况，满足日常安全运营的需求。在HW防守准备阶段梳理分析发现非结构化数据使用存在安全风险，针对发现的风险借助数据安全咨询服务制定了解决方案，方案落地分为管理和技术两方面，管理方面通过调研梳理完善非结构化数据识别规则，技术方面采取数据防泄漏工具对非结构化数据进行识别、监控、告警，确保非结构化数据安全，提高发现解决问题的综合能力。数据分类分级服务和青骓DDR系统的建设有效保护客户提供的数据资产，使得客户更加信任企业，从而提高企业的竞争力。360数字安全集团企业定位：上山下海助小微，以安全+AI服务国家数字化战略企业介绍：360数字安全集团是数字安全的领导者，秉持“上山下海助小微”的企业使命，确立安全和AI发展双主线。在安全领域，形成以“看见”为核心的数字安全中国方案，基于安全即服务理念，将这套方案通过360安全云赋能城市、大型企业、中小微企业。在人工智能领域，推出360安全大模型，率先实现AI实战应用，解决传统安全和大模型安全问题。重点产品：360安全云、360安全大模型、360本地安全大脑、360终端安全管理系统企业网站：https://360.net/企业雷达图：

技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例某新零售集团股份有限公司安全运营服务项目案例背景：随着数字化转型加速，零售行业的经营模式正在发生着巨大的变化，越来越多的零售企业将业务转向了线上，通过大数据和互联网重构“人、货、场”等商业要素形成新的商业业态，形成线上线下相结合的新零售模式。作为大型、综合、创新型家居零售商，某新零售集团股份有限公司已搭建全国线下零售网络，并率先在家具行业内开展数字化转型，以场景化、客户体验感、线上线下融合带来全新消费方式变革，打造实体店第二增长曲线。随着新零售从线下走到线上，从终端、网站走向APP、小程序等多渠道，面对日渐复杂的网络环境和不断增多的数字资产，针对新零售业务的攻击手段变得更加多样化、复杂化，企业面临的安全风险也呈几何倍数增长，一旦被攻破将带来极大的损失。如何保障全渠道的业务安全，也成为新零售企业的难题。关键挑战：户希望建设一套安全运营防护体系，保障全国终端门店、线上平台以及业务系统安全。 云端服务团队 360安全云 云端服务团队 360安全云本地服务团队 客户侧 360安全云：本地服务团队 客户侧 服务团队保障和持续的服务质量监督机制，为客户提供不同安全场景下的安全即服务。用户侧：图中下半部分主要由360安全云服务所依赖的各类安全工具以及本地服务团队组成。其中各类安全工具，用于支撑不同安全即服务的服务内容，各项服务所产生的安全运营数据将上报到360安全云的安全运营数字化协作平台，然后由云端服务团队按照标准服务流程开展安全运营。关于本地服务团队，主要针对客户侧有自有安全技术人员和项目管理人员的情况，通过360安全云体系化培训赋能，经360安全云考核认证的人员，作为用户侧的本地服务人员与云端服务团队开展云地协同，解决最后一公里的安全事件闭环的问题，共同为客户提供高质量的安全运营服务。本项目所提供的安全即服务内容：为保证客户全国数百家门店安全，360安全云提供终端安全托管服务和网络威胁监测服务，由360安全专家对终端系统和网络流量的告警进行研判分析，通过识别有效告警并将潜在威胁事件升级为工单及时通知客户；数字资泄露监测服务则通过自动化持续监测预警该公司的风险事件，帮助客户掌握自身数据泄露情况和受影响面。提及客户的线上业务，360安全云的网站威胁监测服务通过对其网站的漏洞威胁、网页篡改、网站可用性等进行实时监测，配合安全专家的分析研判，及时将造成影响的安全事件报告给客户，进而阻断威胁。互联网暴露面监测服务持续跟进互联网风险暴露情况，主动开展外部攻击面管理，避免被攻击者非法利用。此外，考虑到零售行业易遭受勒索攻击，360安全云为客户提供了勒索攻击安全托管服务，使用专项勒索攻击监测工具，帮助客户验证和提升现有防护体系应对勒索攻击的防护能力。同时，赠送防勒索险服务，覆盖投保前、投保期间和出险期间，全方位为客户提供风险管理服务。创新性与优势：创新性提出“管家式”端到端的服务新模式，高效构建安全体系，低成本获得安全能力360安全云采用先进的安全云技术，把服务于国家的高位安全能力赋能给广大政企，开创“软、硬件免费，服务收费”的网络安全商业模式先河，以7×24小时的远程运营服务形式，帮助客户实现全天候、全方位的威胁监测。通过实时发现和处置安全风险，为广大政企单位构建了一道坚实的数字安全屏障。这种创新性的服务模式能够为用户提供持续的安全保障，确保业务系统的安全平稳运行。解决了安全运营工作协同难、处置慢难题，实现了全网资源“超链接”业界当前的托管安全运营多是通过安全运营分析平台进行研判分析，IM通信通知事件，邮箱推送报告，三者相互独立、信息割裂，事件通知缺少上下文，报告存储混乱易流失，导致运营工作协同难、处置慢。360基于业内独有的统一运营协作平台-推推，创新性实现了以一套安全协同平台打通全网安全数据，连接多方人员与资源，包含企业管理领导、企业技术人员、360实战化安全团队、用户资产、生态渠道等，实现安全运营流程流转互通、多方人员沟通、安全工作协同。此外，通过智能的告警处置机制、强大的脚本知识库、交互式的用户运营体验，可追溯的安全运营过程，可视化的安全运营成果，保姆式的专家集梯队为客户提供7×24小时常态化安全运营服务，真正实现一套平台解决用户90%以上的安全问题。基于全球领先的海量安全大数据支撑，首创“云查杀”技术，解决了本地安全视野局限、安全能力上限低的问题在360全网数字安全大脑的赋能下，360安全云以2EB海量安全大数据（其中包括总量180亿+恶意网址、5万亿+存活网址、样本文件300亿+、700亿+DNS解析记录等）为基础，依托360端、威胁情报能力、云查杀能力、漏洞、测绘、沙箱、安全DNS、APT、移动端等多维度、多场景的数据聚合分析，形成了全面的、完整的威胁认知和情报数据体系，为用户提供了高位视角主动防护与监测，帮助客户构筑持续、主动、闭环的安全运营能力。AI赋能数字安全防护体系，极大提升了网络安全运营的自动化、实战化能力面对海量的数据及安全告警，360安全云依托领先的人工智能技术优化降噪模型，筛选出高价值安全事件，全面提高用户的安全运营效率；此外，360安全云还在平台上内置安全运营百事通AI功能，为用户及运营服务人员提供人机协作服务模式（例如：智能统计报表、智能生成报告、智能分析、智能处置、智能问答等），不断提升运营服务人员的服务能力，保障运营服务高质量交付。关键挑战：实际应用效果1、终端安全托管服务：截至目前，360安全云查杀病毒攻击数量30多个，监测高危漏洞数量9000多个；2、网络威胁监测服务：截至目前，360安全云分析网络攻击事件14000余件，其中严重级别的网络攻击19017083、数字资产泄露监测服务：截至目前，360安全云共发现542个数据泄漏点。发现54个敏感信息泄露点，其中25个存在非法获利现象；4、网站威胁监测服务：截至目前，360安全云共发现2个网站安全漏洞；5、互联网暴露面监测服务：截至目前，360安全云帮助客户梳理互联网资产800多个，涉及网站、域名、IP、端口、应用组件、公众号、小程序等资产类型，通过与客户沟通，及时收敛不必要对外开放的资产266、勒索攻击安全托管服务：截至目前，在360安全云保护下的终端未发生成功勒索攻击事件，相关防勒索保险暂未触发赔付。客户评价客户负责人表示：“360安全云所提供的数字安全托管运营服务可以自动监测我们全国各门店和线上业务系统，定期输出报告，大大减轻了我们的运维压力，赠送的防勒索保险也进一步为我们的业务兜底，做到了花了钱，就看得到效果，真正为效果买单！”经济效益通过减少安全事件、提高业务流转效率和降低运营成本，该项目为客户带来显著的经济效益，实现降本增效。360安全云服务开创了新的商业模式：软硬件免费、为服务买单。在这一新的商业模式下，一般规模企业每年费用在十几万到几十万之间，是传统集成建设模式的1/3-1/4，安全投资大幅下降。通过实际应用，满足用户相同需求的前提下，只需要传统安全投入的30%，企业仅需要为数字安全最有价值的：人、数据、运营能力买单。经验总结：沟通的频次和形式仍需加强，针对服务过程发现的紧急情况，除安全运营平台本身的预警机制外，采取电话或者邮件形式的沟通。主动服务的频次和形式仍需要加强，定期主动询问客户是否需要技术支持或其他事项协助。增加服务工具，包括不仅限于公司自有产品、产品以及自研、开源的工具，更好地提升服务效果。悬镜安全企业定位：数字供应链安全开拓者、DevSecOps敏捷安全领导者开拓者和DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。重点产品：源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台、灵脉SAST白盒代码审计平台、云鲨RASP自适应云防御平台、灵脉PTE自动化渗透测试平台、云脉XSBOM供应链安全情报预警服务、夫子SCS数字供应链安全管理平台、OpenSCA社区企业网站：https:ww.xmirocn/企业雷达图：技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例基于代码疫苗技术的某运营商SCA开源治理实践案例背景：全球范围内有关软件供应链安全的攻击事件层出不断治理工作，让行业乃至国家认识到了问题的严重性。理支撑系统、前瞻性IT研究等集团重点任务。为进一步深入落实集团“1+9+3”战略规划、筑牢数字化发展防SCA开源威胁管控平台，同时制定企业内部开源组件基线规则、保证开源组件引入的规范，建立内部开源治理建设体系。关键挑战：开源组件大规模使用，安全风险加剧该用户过去在长期的业务系统建设中引入了大量开源软件，如K8S、Ceph、Contiv、Istio、Redis、Kafka等，这些软件的引入虽然解决了IT系统建设难题、节省了开发成本，自身却往往存在着大量安全漏洞，且开源软件大部分情况下缺少相应的付费服务和运维支持，而用户本身的技术人员数量及能力都有一定限制，导致开源软件相关漏洞问题解决困难。此外，由于该用户过往未制定相应的开源组件使用规范，各个系统引入的开源软件复杂多样，存在大量老旧、废弃版本等情况，开发人员在开发过程中未能关注开源组件的漏洞情况，导致已有的开源组件安全漏洞反复出现，由开源软件直接或间接引发的故障占比较高。开源组件资产难以统计第三方软件供应商一般不会说明其产品中是否涉及开源代码，甚至对用户号称完全自主研发，用户很可能被动引入开源软件。此外，除了开源软件和组件，代码层级的开源使用问题也十分突出。在软件开发过程中，如果企业并未对源代码进行扫描，则很难从管理角度统一把控企业开发者是否在开发软件的过程中使用了开源代码片段。同时，对运营商而言，存量软件及代码的规模相对更加庞大，因此，用户想要完全准确统计企业内引入开源软件的数目及真实情况在操作层面存在一定困难。开源许可证隐含的法律风险较为显著每一个开源软件都会通过开源许可证规定其使用范围和权利义务，用户在很多情况并不能明确得知该软件是否遵守了开源许可证的要求。一旦违反开源许可证规定，极有可能面临法律制裁和知识产权风险。解决方案：根据用户在开源软件漏洞检测、软件成分分析、软件许可管理、软件物料管理等各方面的要求，结合现有软件项目使用开源代码的比例逐步提高的现状，该用户通过源鉴SCA重点建设了内部开源组件版本基线使用规则，对开源组件的漏洞、许可证信息等进行扫描，实现内部体系化治理：1、首先建立完善的组件选型机制，参考社区活跃程度、组件更新间隔时间、组件更新频率、是否仍持续更新以及开源许可证等多个维度辅助考量开源组件的版本基线范围设置；2、其次，建立企业内部私服组件库，设置私服库入库和出库规则，通过开源安全工具扫描后方可出入库；3、最后，结合在流水线构建阶段的基线阻断配置，通过在流水线构建过程中实时进行开源组件安全检测，若检测应用不符合开源组件基线使用规则，则阻断流水线的构建过程。图1源鉴SCA架构图2SCA部署图创新性与优势：采用首创代码疫苗技术：本解决方案采用的核心技术为代码疫苗技术，代码疫苗技术旨将智能风险检测和积极防御逻辑注入到运行时的数字应用中，如同疫苗一般与应用载体融为一体，突破性地使其实现对潜在风险的自发现和对未知威胁的自免疫。代码疫苗技术基于插桩技术实现，创新性地统一融合了IAST（交互式应用安全测试）SCA（软件成分分析）、RASP（运行时应用自保护）、DRA（数据风险评估）、API分析、APM监控等能力，即一个探针插桩即可在数字供应链的不同阶段中实现不同能力与效果的安全检测并防御多种攻击风险，做到了数字供应链全生命周期的安全保障，且可轻松适配多业务场景，轻量级地实现了数字供应链的安全检测与防御。作为代码疫苗技术的核心，函数级单探针以插桩实现植入在应用内存上下文之中，既能够在软件开发测试环节里通过IAST对软件安全风险进行智能检测，精准定位API安全风险和缺陷，有效解决运行时API中敏感数据流动的追踪问题，又能够在软件部署和运营环节通过RASP实现软件风险自免疫，提供闭环的数字供应链安全检测与防御能力。国内首款多引擎SCA产品：源鉴SCA是国内首款集源码级组件依赖检测引擎、源代码同源检测引擎、二进制成分分析引擎、容器镜像检测引擎及运行态组件检测的多核心引擎驱动的SCA产品。相比于传统的SCA检测平台，源鉴SCA基于运行态的代码级开源软件成分检测，可以在应用运行过程中基于请求、代码、数据流、控制流综合分析判断漏洞，漏洞测试准确性高；安全漏洞既可定位到代码行，还可以得到完整的请求和响应信息、完整的数据流和堆栈信息，便于定位、修复和验证安全漏洞。深度流程融合DevOps，加速安全开发：源鉴SCA支持与DevOps的版本控制和使用信息，并在DevOps的任何阶段检测到漏洞风险和策略风险时触发警报。所有信息通过安全和开发团队所使用的平台工具实时推送，整个过程无需安全专家介入，全程不改变原有开发流程、无需额外安全测试时间投入，满足敏捷开发和DevOps模式下软件产品快速迭代、快速交付的需求。智能大数据实时推送供应链安全情报预警：源鉴SCA的漏洞信息兼容TOP10、国家信息安全漏洞库（CNNVD）台（CNVD）及CWE标准，基于精确、全面的软件物料清单梳理和AI大数据分析引擎，实现7*24全网数字供应链安全动态监测与溯源分析，智能推送数字供应链投毒攻击、组件缺陷与失效和开源许可证风险，让用户及时获取影响其安全的最新开源组件漏洞和许可证风险情报。应用效果：全面降低开源组件引入风险：方案建设落地后，该用户建立了内部的开源组件使用规范，研发人员在开源组件的引入及使用过程中即可确定组件的安全版本范围，在研发早期阶段规避了开源组件漏洞的引入，大大降低了开源组件漏洞修复成本，有效减少了业务上线时开源组件引入的风险。组件级资产测绘及台账可视化：分析组件的影响范围和依赖关系，通过可视化拓扑图多维度展示SBOM构筑开源风险治理体系：该用户基于源鉴SCA的开源治理能力建立了企业级平台，可对各类型采购、自研、软件资产进行梳理和安全审查，进一步在内部建立开源治理组织架构，制定配套的开源治理管理制度和规范，逐步构筑起比较完备的开源风险治理体系，规范开源软件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，进而提升开源治理能力。经验总结：该项目的实施帮助用户构建了企业级的开源治理平台、院级的软件物料清单，引入了证书以及安全的检测能力等，完成了开源治理底座能力的建设，助力治理工作的有效实施落地。开源治理并非一蹴而就，除了技术工具的使用外，用户还应当在组织架构、管理制度、人员意识等方面持续完善，打造常态化的系统工程。齐安科技企业定位：工业互联网接入安全体系倡导者企业介绍：浙江齐安信息科技有限公司（齐安科技）致力于工业互联网接入安全体系与技术的持续创新，为用户提供全方位接入安全管理与防护解决方案。依托核心技术和丰富工控行业知识，开发了涵盖检测、运维、防护、平台等多个领域的工控行业接入安全产品与解决方案。产品与服务广泛应用于电力、煤矿、军工、轨道交通、石油石化、智能制造等领域，保障关键信息基础设施与重要工业领域的安全，维护工业信息安全。重点产品：便携式运维网关、USB安全隔离保护系统、安全配置核查系统、一体化远程运维系统、工业网络安全审计系统、企业流量在线监测系统、物联网加密网关系统、日志审计与分析系统企业网站：wwqaicsom企业雷达图：

技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例电力监控系统站端运维接入安全解决方案案例背景：目前，电力监控系统面临以下风险：人员风险一些电力监控系统运维人员（包括二次班人员、外单位运维人员、检查人员）缺乏网络安全意识，组织员工定期接受网络安全培训的工作落实不到位，使得很多重要的电力监控系统在日常工作中缺乏有效的安全防护措施。很多员工对密码管理缺少必要的认识，例如采用默认密码、长期不修改使用密码、密码存放在互联网或云平台等公开环境中，极易导致核心电力控制系统的用户名和密码泄露，被恶意攻击者掌握。勒索病毒、蠕虫和木马随着移动互联网、云计算、物联网等新技术在电力系统中的广泛使用，移动终端和App等平台为电网调度指挥提供了更为方便、高效的管理方式，但同时也面临勒索病毒及其他网络攻击的风险。勒索病毒等网络攻击手段具有隐蔽性、破坏性、传染性等特性，一旦进入调度数据网络，将严重影响电力系统数据资料安全性，甚至导致整个生产网络瘫痪，造成巨大损失。近年频繁发生的勒索病毒袭击国内外关键基础设施事件充分暴露了这种风险的严重性。系统性风险当前，电力监控系统主要面临的系统性风险：一是缺乏针对新兴技术广泛应用带来的网络安全威胁进行有效安全管控措施；二是攻击威胁监测预警与安全防护分离脱节；三是已有网络安全防护机制在电力监控系统中的“简单堆叠”，造成防护资源浪费且对新型攻击手段防护能力较弱。安全威胁与建设实践的脱节风险目前，在电力监控系统的网络安全防护建设实践中，符合国家、行业及公司级的电力监控系统安全防护规定，以及防火墙、隔离网关、电力网闸等访问控制设备的大规模部署成为电网公司重点关注的建设内容。而生产控制信息网络和管理信息网络实际面临的攻击威胁情况却并未引起足够关注。这是由于电力监控系统的网络安全管理与建设实践很大程度由合规性驱动，而合规性驱动的安全防护建设思路存在的弊端非常明显：一方面，合规性防护策略只是安全防护的一个重要方面，无法保证动态变化的电力监控系统是安全可靠的，反而会给相关各方造成看似安全的假象，以偏概全；另一方面，由合规性驱动的电力监控系统建设，容易出现安全防护设备简单堆叠、资源浪费，面对跨网跨域的高级持续性攻击威胁防护能力弱等问题。现场运维安全性电力监控系统在现场检修运维层面仍存在着安全隐患，检修运维人员进入了变电站现场后，跳过了层层设防的网络安全设备直接将笔记本电脑、移动存储设备等通过网络接口、串行接口和USB接口接入现场系统，对设备进行检修运维操作。这种检修运维方式会产生如下一系列管控问题：1、检修运维过程中，由于缺少物理隔离和摆渡，不同网络交叉使用的移动存储介质和运维设备（如U盘，笔记本电脑）容易将恶意代码带入到电力监控系统之中，导致核心生产数据和配置信息被泄露；2、由于缺少安全审计手段，在检修运维人员出现误操作甚至恶意操作的情况下，存在发生安全事故的隐患，而在安全事故发生之后又难以追踪溯源并定责；3、在检修运维过程中，检修运维人员通过上传非法的配置数据，导致现场设备运行异常，也会引发相应的安全事故。世界各国高度重视维护电力系统安全，纷纷采取立法保护、技术防范、分散风险等方法，提高本国电网的抗毁伤能力。尤其是我国，在电网二次安防领域走在世界前面。中华人民共和国国务院、国家发展与改革委员会、中华人民共和国工业和信息化部、国家能源局、中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会等国家主管单位，近年来对工业控制系统信息安全工作做出了一系列的指导意见和规范要求，其中，2022年4月，国调中心关于印发《电力监控系统便携式运维网关技术规范（试行）》的通知，加强变电站（换流站）监控系统运维安全管控，防范违规外联、恶意代码感染、非法操作等安全风险，提升对现场作业人员、调试工具和调试行为的管控能力。基于此，齐安科技研制了检修作业安全运维系统，即运维移动堡垒机(便携式运维网关)，用以规范电力监控系统的运维操作行为，保护站端设备网络安全，降低电力监控系统现场检修运维的风险，保障设备资产稳定运行。关键挑战：当前，变电站运维工作中缺少必要的安全防护及审计措施，具体来说，存在运维人员使用自带笔记本电脑及U盘等运维工具直接接入变电站监控系统的情况，容易引起违规外联、误操作、恶意代码、网络攻击等安全风险。国网安监部曾多次通报关于电力监控系统感染恶意代码、违规外联等安全事件。变电站的外联风险、违规操作、恶意代码感染问题屡禁不止。简单来说，变电站运维工作的痛点在于“事前无认证、事中无监控、事后难溯源”。解决方案：项目实施过程中，通过将便携式运维网关部署在站控层交换机上，实现对整个运维过程进行全程实时安全管控。在运维过程中，便携式运维网关（检修作业安全运维系统）主要实现以下功能：12、对运维过程传输的文件进行恶意代码查杀，避免未安装防病毒软件或未及时更新病毒库的电力监控系统被病毒入侵；3、实时监测运维过程的网络通讯，避免运维电脑向站控层网络和设备发起多种类型的扫描和网络攻击，禁止高危端口通信；4、对运维过程的高风险指令和控制类指令进行精准识别，避免误操作；5、对运维操作过程进行授权管理和二次确认，并通过视频、文件、通讯数据包、日志等多种方式对运维过程进行记录，解决因缺少访问控制措施（如防火墙）及运维审计所带来的问题。创新性与优势：1、便携的形态设计：产品在形态上摒弃了传统的固定式旁路部署，只适用于网络接入方式的运维管控模式。取而代之的是采用便携式设计方案，能够适应工业现场多样化的布局，并且在保持灵活部署的同时，有效降低了用户的安全建设成本。2、紧贴业务的功能设计：①实施“双因子”身份验证，解决了人员身份认证问题；②限制运维接入电脑与被检修设备之间的访问规则，解决了检修人员操作权限管控问题；③全程监控和录制操作视频，解决了因缺乏访问控制和审计导致的问题；⑥实时监测运维电脑外设接口和网络连接状态，确保安全运维环境，解决了违规操作带来的安全隐患。3、技术积累：为了提升用户现场作业的效率，通常做法是采用EXCEL模板编辑任务内容后导入系统，但这会增加导入、导出和编辑工作量，并引入额外的安全风险。齐安科技的系统集成了OCR识别技术，能够拍照识别纸质工作票的关键信息并自动生成检修任务。用户可以根据需求定制检修任务模板并生成任务，只需增加拍照步骤，节省大量数据导入和编辑时间，显著提升了使用体验。此外，由于各地工作票模板存在差异，齐安科技积累了大量模板。4、安全可靠：基于国产化操作系统和国产CPU研发，安全自主可控；采用国密算法保证鉴别信息和重要业务数据等敏感信息存储的保密性。5、成本优势：在设计开发初期便采用了软硬件自研的技术路线。随着产品出货量的增加，研发成本逐步摊薄，对硬件供应链的管控能力有保证，从而确保产品的利润最大化。应用效果：性能提升、成本节省：本项目通过在5座变电站上部署便携式运维网关，至今共计拦截违规外联及高风险指令数十次，避免产生安全事故避免运维过程中产生的风险与威胁。经济效益：工作效率提升：无需固定部署，适用于离散型网络环境，有效降低用户重复建设的成本；技术成本降低：检修作业安全运维系统整体设计简单易用，支持一键生成检修任务、OCR快速识别工作票信息生成检修任务，业务流程做到即插即用，不做多余设置，简单便捷，方便现场运维人员快速开展工作，减少现场运维人员的技术成本。资源最大化：运维人员可以更好地规划和利用其时间和技能，从而更有效地管理多个设备和网络。安全效益：增强安全管理能力：规范现场操作人员行为，减少潜在的威胁和风险、减少事故风险。溯源定责：事后追踪溯源时提供有效依据，确定责任人。提供风险监管能力：通过技术手段为用户提供了监测和处理风险的能力。溯源定责：事后追踪溯源时提供有效依据，确定责任人。提供风险监管能力：通过技术手段为用户提供了监测和处理风险的能力。提升运维效率与精准度：通过集中管理不同区域、不同站点的同类设备运维记录，实现了数据驱动的运维决策。不仅提升运维效率，同事提高预防性维护的精准度，降低了潜在风险。与此同时，对单个站点历史运维记录的纵向追踪，有利于事后的责任追溯和运维还原工作，进一步提升了企业的运维管理水平。经验总结：不断升级硬件、优化算法等，实时更新病毒库及升级网关设备；为用户提供更好的技术服务以及培训、安装指导，保障产品售后服务，进一步提高用户满意度。众智维科技企业定位：AI安全大模型赋能智能安全运营体系、安全协同、暴露面管理企业介绍：众智维科技总部与研发中心设立于南京，在北京、上海、山东、深圳、河南、苏州设立子公司或办事处。公司始终坚持“众智创新重塑安全生态、AI运营赋能网信安全”的创业理念，作为新一代人工智能+机器学习驱动的网络安全运营协同解决方案商，长期聚焦网络安全攻防实战，多维度构建了红蓝紫三方高频压力下的安全运营协同作战体系，主营方向为网络安全、大数据＋及信息技术应用创新。重点产品：RedOps红鲸智能安全运营平台、天巢SkyNest安全风险运营平台、红色卫士RedGuard安全大模型、重明MSS网络安全自动化托管平台企业网站：wwopenogom企业雷达图：

技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例能源行业工业互联网安全智能应急响应平台建设案例背景：项目背景工业互联网的快速发展加速了OT/IT网络和物联网融合互联，更多的工控系统连接到互联网，同时，工业信息安全事件频繁发生且发生行业呈多元化趋势，工控系统高危漏洞层出不穷。工业安全已得到政府监管部门和工业企业高度重视，国家出台了一系列政策法规，提升工业安全保障能力。在国家政策引导下，某能源企业公司作为大型电站、光伏发电及运维服务于一体的电力能源企业，以创新引领作为第一发展战略和核心驱动力量，迫切需要在公司搭建全面领先的电力监测工业互联网平台科创体系。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。某能源企业信息化建设较早，其业务安全系统在长期的各类专项安全建设中实现了安全设备的广覆盖，并在态势感知的建设过程中，在态势要素收集、态势分析、态势呈现等领域已经取得初步成果，但是在关键的态势处置方面，仍然处于相对初级的阶段，同时缺乏能够对工业控制系统进行全面监控，及时预警，快速响应的监控一体化平台。痛点需求1、态势感知能力需加强：能源互联网环境下，企业电力调度与监控系统实际接入运行过程中普遍存在攻击种类、方式多且频繁，在防御过程中各类静态和动态的实时数据监测难以落实；同时由于该企业体量庞大，各类安全设备难以规范化，设备于设备之间难以协调，导致物理设备数字化水平较弱。2、安全威胁响应不够及时：针对关键性基础设施的定向攻击事件发生不断增多，网络攻击形式日趋复杂，响应难度也日趋增加；目前开展监测预警、应急处置、分析报告等工作主要采取人工方式，大量的安全设备数据之间相互独立，运营人员需同时协调多个设备，存在响应不及时的情况。关键挑战：该能源企业依靠各种各类安全设备，实现安全告警和要素获取，可快速发现安全事件和行为异常；但判断与决策能力相对较弱，判断阶段在电力监控系统中，对应态势分析和呈现，实现告警的基础分析和聚类，初步转换成安全事件并加以分类；决策阶段在电力监控系统中，需要针对安全事件的类型和影响范围进行判断，确定使用怎样的流程，驱动哪些人员，调用哪些工具和设备进行处置，这些处置会否产生额外的安全风险；执行阶段在电力监控系统中，即根据决策的结果调用对应的安全设备和安全工具，执行具体操作完成安全事件处置。目前仍缺少有机统一平台来实现整体指挥。因此，某能源企业需要通过自动化手段替代现有的人工决策和手动执行手段，降低平均事件响应时间MTTR，提升安全处置效率，使企业在攻防角力过程中不再处于被动状态。解决高级、新型威胁带来的影响，降低风险造成的损失，从而简化统一协同响应流程，节省手动分析时间，真正达到主动监测，自动化快速响应的目标。解决方案：南京众智维科技信息有限公司深耕工业信息安全多年，具备深厚的安全经验与技术能力，形成了完善的产品体系，并在电力电网、石油石化、先进制造等多个领域建立工控安全实践案例。现根据某能源企业安全业务流程的应用特征，我司通过定制化安全运营平台建设，以安全编排与自动化响应（SOAR）+AI技术赋能，为用户提供该项目总体解决方案设计框架，如下图所示:

图1-1：态势呈现架构自动化响应系统保护级阻断远后备保护级阻斯近后备保护级阻断就地保护级阻断安全业务流程自动化功能层剧本工具动作管理剧本管理事件协作剧本解析事件管理策略管理运营报告引擎层动作执行引肇 剧本引擎 工作流引擎存储层剧本动作策略案例事件情报交换层SOAR数据交换态势处置图1-2：态势处置架构态势处置该能源企业使用SOAR技术构建自己的自动化态势处置平台，SOAR（SecurityOrchestration，Automa-tionandResponse，安全编排自动化与响应）理、仪表板和报告，以及跨功能分析。构建适用于企业电力监控系统的安全情景策略库，用于不同保障场景和防护目标的处理“套路”。根据不同安全场景和不同安全保障等级，可以编排组合对应的策略。自动化响应平台集中指令来源、设备通道、预设脚本、结合自动下发与人工干预功能，以最快的速度定位策略执行点，选用适合的策略预案，生成脚本，通过人工流转或自动向安全防护设备下发执行指令，最终实现安全事件响应的自动化处置。解决方案分成业务流程自动化和自动化响应两个部分。业务流程自动化实现“Decision决策”步骤功能，从电力监控系统的态势感知平台获取安全事件、威胁情报，并且通过自身的工作引擎进行分析和案例推演，依照安全策略，驱动流程、剧本、动作，实现协同作战和自动化决策；自动化响应实现ction执行”步骤功能，依照剧本和动作的步骤，通过响应模块驱动各类网络设备或者安全设备，实现自动化响应和多种级别的自动化阻断行为。处置流程可以按照发电企业需求定制为：所有事件需要人工确认，所有事件自动化执行，以及前置事件分级判断步骤并根据安全事件等级设定不同的处置方案。方案可以为不同安全级别的事件制定不同的确认流程、处置方法、通告方式等。图1-3：平台工作原理本方案通过在发电网络内部署众智维红鲸安全协同响应平台（以下简称RedOps）的方式实现态势处置能机结合的方法进行事件分析与分类，根据标准流程辅助定义、排序和驱动标准化事件响应行为，并应用到防护、检测与响应的每个环节，实现简化的统一协同响应，节省手动分析时间，最终实现自动化安全运营。图1-3：平台工作原理部署方式系统是软硬件一体化安全设备，设备为2U标准机架式设备，旁路接入企业区网络，通过B/S方式进行管理。由于设备是态势处置流程的核心，部署期间需要和现有的态势感知平台以及各类安全设备实现应用对接；需要按照业务需求和处置预案编写符合电力监控系统需求的剧本。主要功能1、SOAR安全编排自动化编排和自动化是整个系统的核心功能，实现了运营过程和流程的剧本化，安全应用的编排化，将安全产品以及安全流程链接整合起来，通过预定义的工作流（Workflow）和工作剧本（Playbook）来标准化事故的调查处置流程，提升威胁响应的自动化程度和执行效率。图1-4：事件响应剧本平台具备完善的剧本管理功能，安全运营人员通过剧本库对所有剧本进行统一管理，内置通用漏洞或零日预警响应、攻击事件响应、钓鱼邮件处置、主机异常登录场景、病毒告警事件、WebShell检测告警、异常日志、重大安全事件告警等通用剧本模板，且在维保期间可根据用户需求定制化开发新剧本，剧本容量不设上限；内置工作流引擎，以及由该工作流引擎驱动的编排器。编排器是系统的心脏，启动后会自动从剧本库中加载所有激活的剧本，并依照不同的触发条件执行相应的剧本实例。工作流引擎会根据剧本的预设逻辑执行每个活动，例如人机交互活动则调用人机接口，应用活动则调用自动化应用执行引擎，自动激活相关应用动作的执行过程。2、AI协同作战室系统支持创建或关闭作战室用于协同作战，可以通过作战列表查看已存在（包含处理中、已解决、已关闭等各状态）的作战室，并进入作战室查看历史信息。针对作战室中的每个事件，事件负责人可以快速创建一个针对该事件的沟通群（也叫作战室）。事件负责人可以添加需要加入此沟通群的人员，快速形成一个作战团队，通常包括监测组、研判组、处置组的成员。支持设置各个成员在作战室中的角色。图1-5：协同作战室沟通系统采用网络安全作战室语义算法技术，构建AI智能机器人，提高结果的准确性，调度剧本引擎实现对网络安全事件触发，当后续类似攻击发生时，实现精准推送，充分利用自动化技术手段，将人、技术和流程高度协同。并支持基于安全事件的特点和行业已有的成熟解决剧本方案，使用协同过滤算法，在行业级的知识库中进行事件关联度特征匹配，实现另一个维度的协同工作。当安全事件触发后，网络安全作战室依据安全日志等进行数据分析，生成分析报告，作战室的相关人员，如总指挥、作战参谋和事件处置人员等做出指令决策。根据这些信息，将数据进行标准化处理，为NLP模型读取数据打好基础。相关数据读入推荐算法模型后，参考网络安全事件的知识库，推荐出一个或多个可施行的剧本来完成相应的工作流程。协同作战模块支持与事件模块关联，在生成特定事件时自动创建作战室并拉入相关人员，且支持在作战室中手动发起应用、任务或剧本模块。每个作战室内置一个聊天机器人，作战团队成员都可以与之进行沟通，给它派发指令，快速执行一些基本的工作。“安全策略剧本”将安全专家的经验沉淀，套路化自动化，每当有同类安全事件发生时，AI智能机器人可以根据自定义的安全策略库自动启动智能策略开展应急响应，加速工程师处置速率，为安全防护争取时间。图1-6：AI机器人智能对话3、智能告警管理系统能够接收来自第三方SIEM/SOC产品发出的告警信息；能够接收其它第三方系统/设备通过syslog发出的告警信息；能够通过Kafka消息系统接收第三方的告警信息。系统自带RestfulAPI接口，允许通过该接口接受第三方的告警信息；支持人工录入或者导入告警信息。可以非常方便的和电力监控系统现有态势感知平台打通，实现告警信息的采集。图1-7：告警列表界面支持对告警采集、告警展示、告警关联剧本、告警处置、告警关联作战室，内置100+告警类型，能够对不同来源的告警信息进行进行分析匹配，自动关联任务、剧本进行处置，无需人工介入，针对较高等级安全事件支持升级到作战室进行协同处置，实现业务运行过程中的负载信息以及监控指标的实时监控与记录，当监控到异常信息时，第一时间对管理人员发送告警信息，触发告警动作后，管理人员将收到一条告警信息来提醒相关人员注意，也可以是执行一个远程命令或脚本来达到常见故障自动修复的目的。4、自动化事件处置事件管理能够帮助安全运营人员对一组相关的告警按照既定的应对措施进行流程化、持续化、协作化、全周期的调查分析与响应处置，以及应对措施自身的持续改进。①事件列表：系统能够以列表的形式展示所有事件清单，依次展示每个事件概况，包括事件名称、概述、类型、责任人、事件等级、发生时间、结束时间、详细、级别、状态、调用的剧本、动作和任务等。安全运营人员可以方便的进行事件手动添加、处置和查看事件详情。事件处置状态包括未处理、进行中、已完成、忽略等。②事件关联剧本：系统事件模块内置基于规则的关联分析引擎，能够对不同来源的海量告警信息进行分析，协助安全运营人员自动从海量告警信息中识别真正需要自动处置的类型。③事件处理：事件处理是事件管理的核心功能。安全运营人员可以持续地对事件信息进行处理，不断丰富事件信息，并最终完成处理，积累知识和经验。安全运营人员可以查看事件相关的告警详情。系统可以为一个事件附带应对措施，以任务的形式下发给相关的责任人。各责任人可以依照任务执行，提高事件处理的效率。任务在执行中支持痕迹管理、标注管理和附件管理功能，相关安全运营人员可以往事件里面添加痕迹信息，譬如IP、URL、域名、文件哈希值等关键信息；可以对事件进行标注，添加各类文字信息；可以上传相关的附件，譬如图片、文档、声音、视频等。借助这些功能，系统可以不断积累该事件相关的关键痕迹物证和攻击者的战技规程指标信息。系统提供关系图等可视化调查分析的手段，以帮助用户拓展相关事件的痕迹信息。对于事件中的每个痕迹，可以触发预置的响应动作，所有动作的执行操作及其结果都会自动记录，作为该事件的处置记录。安全运营人员也可以针对事件触发预置的编排剧本，并将相关操作和结果记录到处置记录中。所有事件相关的处置记录都可以被查阅和审计。事件负责人可以随时查看事件处理的活动记录，并以时间线的方式进行形象展示，便于其了解事件处理的进展。事件处置完成后，事件责任人在编写报告时，系统能提供编写报告的素材，包括事件处置过程中的痕迹物证和调用剧本、动作的执行结果等信息。④事件关联作战室：对于等级较高或新型的告警事件，支持升级到作战室进行协同处置。事件响应中的各方以聊天的方式进行实时沟通与响应处置，支持添加、移除成员，以及设置成员在各事件作战室中的角色。系统自动记录协作处理中剧本、应用和任务的执行结果，以及整个事件处置过程的聊天记录、证据、结论和星标信息，便于实时查看和复盘。处置完成的事件，能在线编辑报告，系统提供编辑报告的素材，如事件处置过程中的调用的剧本/应用，证据和结论等。事件通知支持自定义通知对象、创建通知、解决通知、手动@通知等。⑤报告管理：RedOps红鲸平台内置报告编辑器，提供编辑报告的素材，包括事件或任务基本信息，事件或任务处置过程中的调用的剧本、应用和处置模型等处置信息，以及证据和结论等痕迹信息，方便用户进行报告的在线编写。根据报告汇报对象，可导入报告模板进行编辑。报告编写完成后，支持报告的提交和审核操作，同时报告的审批路径支持自定义配置审核流程和审核人，审核时可以驳回到任意一级。通过报告列表中查看各报告的发生时间、报告概述、报告附件、报告结果等信息。图1-8：报告管理界面创新性与优势：一是以技术先进、功能完备、面向实战化安全运营的安全编排自动化与响应系统（SOAR）和AI心，构建适用于电力行业多场景的网络安全剧本库、工作流、知识库，融合行程网络安全知识情报体系，帮助某能源企业将电力业务监控系统态势感知中繁杂低效的态势处置（安全响应）过程梳理为任务和剧本，将分散的安全工具与功能转化为可编程的应用和动作，将团队、工具和流程的高度协同起来。二是基于众智维科技自研的AI大模型“红色卫士RedGuard”具备丰富的安全运营处置经验，AI智能机器人可构建全面的知识图谱安全事件、降低安全运营的数据使用门槛，通过自助式服务体验来确保安全运营流程的流畅运行，大幅减少某能源企业的人员成本于处置效率，以提高安全运营的自动化程度。应用效果：大幅提升安全事件响应效率RedOps系统的应用提升了企业的安全生产业务流程综合防护体系，对系统的正常稳定运行起到了保障作用。在面对已知/“实时管控、纵深防御”转变，整体响应效率提高80%。多台防火墙可同时操作，根据执行指令的复杂性、设备数量不同，执行效率可以提升5倍~20倍，MTTR降低50%~95%。平均效率提升8倍，平均MTTR降低80%新技术的运用显著增加了企业电力监控系统网络安全可靠性，监控系统综合防护措施得到了有效改善。安全合规，业务保障能力稳步提升通过部署网络安全监控运营平台，使以前需要人工逐台设备查看分析日志和报警信息，辨识可能存在的异常和风险，转变为由安全监测平台自动采集汇聚系统内各设备的安全信息，进行专业的分析处理，从而确保业务生产监控系统安全稳定运行。安全工具集中管控，实现行业内外赋能系统可以纳管该能源企业的安全设备，同时系统自带的APP应用超市可调用超过500种安全工具，可以为该企业提供开箱即用的安全能力与服务，包含资产管理、安全评估、安全加固、威胁监控、研判分析、溯源处置、运营管理优化等安全运营场景，将其安全能力及建设模式推广及其他能源企业，行业赋能，可带来客观经济效益。应用效果：遇见的问题：1、API接口打通比较花费时间，2、调研客户处置的工作流并且绘制剧本；3、协调客户及第三方人员，将平台嵌入日常安全流程中使用；4、实施中发现不同数据源的告警接入字段非标准化，平台识别比较繁琐。后面平台通过整合，形成了针对不同设备及语义的一套告警映射规则。可优化方面1、增加CIC和ATD检测系统接入日志目前只接入SIEM的日志，不够全，且解析不对，可以增加接入生产环境设备CIC和ATD，增加可分析告警和增加Redops可操作性，附加针对性的剧本和工作流。2、增加每日安全态势和安全报告生成功能安全报告建议根据每日安全态势自动生成，类似告警事件TOP10，告警类型TOP10，白名单数，封禁IP数，最高IP攻击数等。3、优化建议:实时增加1day漏洞检测剧本和工作流，由驻场人员导入，增加产品存在感和实用性以及增强用户使用频率和印象感。4、优化建议:建议了解其他驻场厂商负责工作，加入工作流转换成应急处置流程5、优化建议:建议作战室进行条件区分，折叠功能观成科技企业定位：加密流量安全检测与防御企业介绍：北京观成科技有限公司是一家以“守护加密网络空间安全”为使命的创新型网络安全公司，荣获国家高新和中关村高新技术企业、北京市"专精特新"企业称号，入选第十届CNCERT网络安全应急服务支撑单位，经过几年发展，陆续推出了观成瞰云-加密威胁智能检测系统（ENS）、观成雾瞰-加密威胁情报平台（ETI）、观成瞰峰-加密业务态势感知平台（ESA）三款核心产品。其中，观成瞰云（ENS）荣获CCIA2021创新产品冠军。客户覆盖军工、金融、能源、政企等行业。重点产品：观成瞰云-加密威胁智能检测系统（ENS）、观成雾瞰-加密威胁情报平台（ETI）、观成瞰峰-加密业务态势感知平台（ESA）企业网站：wwviewinechom企业雷达图：

技术创新能力行业影经营能力行业影经营能力研发投入能力企业案例企业案例金融行业加密业务安全运营平台建设项目案例背景：经过多年的网络安全建设，金融行业已具备较完善的网络安全防护与运