數(shù)字安全創(chuàng)新性案例報(bào)告

ISC數(shù)字安全創(chuàng)新性案例報(bào)告目錄在這個(gè)信息化飛速發(fā)展的時(shí)代，數(shù)字安全已經(jīng)成為了國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的關(guān)鍵支柱。隨著技術(shù)的持續(xù)進(jìn)步和應(yīng)用的廣泛擴(kuò)展，數(shù)字安全面臨的挑戰(zhàn)也日益嚴(yán)峻。在這樣的背景下，平臺(tái)，推動(dòng)數(shù)字安全領(lǐng)域的創(chuàng)新和發(fā)展。我們期待通過(guò)這個(gè)平臺(tái)，激發(fā)更多創(chuàng)新思維、共享成功經(jīng)這是一個(gè)以服務(wù)數(shù)字安全為主旨的時(shí)代，我們迫切需要前瞻性的創(chuàng)新，以確保數(shù)字社會(huì)的安全和可持續(xù)發(fā)展。因此，“聚能安全創(chuàng)新，服務(wù)數(shù)字安全”域的深入洞察，也是對(duì)未來(lái)發(fā)展方向的明確指引，更是我們面對(duì)新形勢(shì)、新挑戰(zhàn)時(shí)的行動(dòng)號(hào)召?！熬勰馨踩珓?chuàng)新”意味著集結(jié)各方力量，匯聚創(chuàng)新思維，共同推動(dòng)數(shù)字安全技術(shù)的發(fā)展。它強(qiáng)調(diào)的是一種集體的力量，一種跨界合作的精神，一種不斷探索和前進(jìn)的態(tài)度。在這個(gè)主題下，我們鼓勵(lì)和支持各行各業(yè)的企業(yè)投身到數(shù)字安全的創(chuàng)新實(shí)踐中，通過(guò)技術(shù)創(chuàng)新和模式創(chuàng)新，提升數(shù)字安全“服務(wù)數(shù)字安全”則是我們創(chuàng)新的最終目的，創(chuàng)新不是為了創(chuàng)新本身，而是要服務(wù)于社會(huì)，保障數(shù)字世界的安全運(yùn)行。這需要我們不僅要關(guān)注技術(shù)的先進(jìn)性，更要關(guān)乎技術(shù)的實(shí)用性和普及性，確本次ISC數(shù)字安全創(chuàng)新百?gòu)?qiáng)案例評(píng)選活動(dòng)就是在這樣的背景和主題下發(fā)起的，通過(guò)這次活動(dòng)，我們將深入挖掘那些突破性的案例，深入剖析這些案例的背景、實(shí)施過(guò)程、創(chuàng)新點(diǎn)以及所帶來(lái)的影響。這些案例承載著創(chuàng)新的火花，我們期望通過(guò)這些案例能夠?yàn)樽x者提供一個(gè)全面、深入的數(shù)字安全創(chuàng)新視角，為未來(lái)的數(shù)字安全發(fā)展提供借鑒與啟示。此外，ISC還為入選企業(yè)量身定制了獨(dú)特的雷達(dá)圖，這些雷達(dá)圖涵蓋了五個(gè)關(guān)鍵維度：技術(shù)創(chuàng)新能力、行業(yè)影響力、研發(fā)投入能力、經(jīng)營(yíng)能力以及市場(chǎng)拓展能力。ISC專家團(tuán)隊(duì)將依據(jù)企業(yè)提交的詳盡數(shù)據(jù)和案例分析，進(jìn)行綜合評(píng)分，最終形成展現(xiàn)企業(yè)全方位實(shí)力的雷達(dá)圖。這些雷達(dá)圖不僅直觀地展示了企業(yè)在數(shù)字安全領(lǐng)域的綜合實(shí)力和特色，還為行業(yè)內(nèi)外的觀察者提供了一個(gè)評(píng)估和比較的工具。通過(guò)這種方式，企業(yè)可以清晰地識(shí)別自身的優(yōu)勢(shì)和潛在的改進(jìn)領(lǐng)域，同時(shí)也為投資者和合作伙伴提供了決策參考。通過(guò)這種創(chuàng)新的評(píng)估，ISC數(shù)字安全創(chuàng)新百?gòu)?qiáng)評(píng)選活動(dòng)旨在激勵(lì)企業(yè)持續(xù)推動(dòng)技術(shù)邊界，加大研發(fā)投入，優(yōu)化經(jīng)營(yíng)策略，并在全球市場(chǎng)中擴(kuò)大影響力。這不僅是對(duì)入選企業(yè)的認(rèn)可，更是激發(fā)整個(gè)行業(yè)追求卓越的動(dòng)力。我們期待本次推出的雷達(dá)圖能夠成為企業(yè)成長(zhǎng)的路標(biāo)，引領(lǐng)數(shù)字安全行業(yè)向1億格云2345678910牧聯(lián)鏈。企業(yè)介紹：億格云是SASE安全服務(wù)商，自主研發(fā)了SASE服務(wù)平臺(tái)—億格云樞，提供包括零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）、數(shù)據(jù)防泄漏（XDLP）、威脅檢測(cè)響應(yīng)（XDR）、防病毒（EPP）、上網(wǎng)行為管理（SWG）和統(tǒng)一端點(diǎn)管理（UEM）等功能，解決企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中遇到的混合分支辦公安全、數(shù)據(jù)安全、終端安全等問(wèn)題，億格云已服務(wù)超200家上市公司和獨(dú)角獸企業(yè)等在內(nèi)的行業(yè)客戶，包括吉經(jīng)營(yíng)能力經(jīng)營(yíng)能力研發(fā)投入能力小紅書作為面向年輕人網(wǎng)絡(luò)購(gòu)物和社交平臺(tái)的互聯(lián)網(wǎng)公司，員工近萬(wàn)人，分布上海、北京、武漢等地，多地遠(yuǎn)程多設(shè)備成為常態(tài)，小紅書自身對(duì)數(shù)據(jù)分析和安全風(fēng)控有較好基礎(chǔ)，如何在混合辦公環(huán)境對(duì)核心數(shù)據(jù)防護(hù)同時(shí)實(shí)現(xiàn)高效靈活成為最大挑戰(zhàn)，例：①多身份角色，導(dǎo)致管控策略多樣化②多終端類型，導(dǎo)致技術(shù)方案無(wú)法復(fù)用③安全產(chǎn)品碎片化，不同環(huán)境使用差異性較大安全產(chǎn)品，無(wú)法統(tǒng)一管理，平臺(tái)兼容性差④運(yùn)維壓除了內(nèi)部員工，還有大量合作伙伴需要訪問(wèn)內(nèi)網(wǎng)應(yīng)用。不同組織和人員的訪問(wèn)權(quán)限劃分需要實(shí)時(shí)為了解決不同安全問(wèn)題，需要部署多套產(chǎn)品。不同產(chǎn)品有不同的管理平臺(tái)，運(yùn)維人員需要適應(yīng)不同產(chǎn)品的設(shè)計(jì)邏輯和操作習(xí)慣，在不同產(chǎn)品控制臺(tái)之間頻繁切換，學(xué)習(xí)成本高且維護(hù)壓力大；此在OpenAPI和自定義分析能力方面無(wú)法靈活匹配小紅書業(yè)務(wù)，導(dǎo)致1+1＜2；且傳統(tǒng)的安全產(chǎn)品標(biāo)準(zhǔn)化交付模式，在一些細(xì)分場(chǎng)景下無(wú)法匹配小紅書業(yè)務(wù)，共創(chuàng)定制需求響應(yīng)慢，甚至無(wú)法完全傳統(tǒng)辦公安全解決方案，需要安裝VPN、EPP、EDR、DLP、UEM快速發(fā)展的小紅書，靈活辦公場(chǎng)景隨處可見。混合辦公場(chǎng)景下各接入點(diǎn)的安全水位不一致，容易隨著《個(gè)人信息保護(hù)法》等法律法規(guī)發(fā)布，企業(yè)的敏感數(shù)據(jù)面臨監(jiān)管壓力，但如今敏感數(shù)據(jù)分布確保系統(tǒng)天然高可用，也補(bǔ)充了客戶端的安全管控能力。然而，直接使用SASE也存在弊端，無(wú)法利用小紅書綜合調(diào)研了各種方案后，小紅書根據(jù)自身網(wǎng)絡(luò)架構(gòu)特點(diǎn)，提出了一個(gè)創(chuàng)新的想法，將BeyondCorp與在以往依賴網(wǎng)關(guān)實(shí)現(xiàn)的風(fēng)控方案中，網(wǎng)關(guān)無(wú)法拿到終端的安全信息。小紅書創(chuàng)新地將網(wǎng)關(guān)風(fēng)控與客戶端聯(lián)動(dòng)，網(wǎng)關(guān)風(fēng)控能實(shí)時(shí)識(shí)別請(qǐng)求中是否包含客戶端信息并檢測(cè)客戶端狀態(tài)，確保終端的可信性。同時(shí)，還可在終端上實(shí)施各種安全合規(guī)策略。對(duì)于未安裝客戶端的訪問(wèn)請(qǐng)求，網(wǎng)關(guān)風(fēng)控可將用戶跳轉(zhuǎn)到客戶端下載頁(yè)小紅書在風(fēng)控基建上持續(xù)投入了多年，建立了完善的數(shù)據(jù)安全和風(fēng)控體系。這套零信任訪問(wèn)系統(tǒng)可以將4/7層日志和客戶端日志接入風(fēng)控系統(tǒng)，實(shí)現(xiàn)與風(fēng)控系統(tǒng)的無(wú)縫結(jié)合?？蛻舳瞬杉陌踩〖t書從數(shù)據(jù)安全生命周期管理出全/脫敏/權(quán)限管理等措施，以數(shù)據(jù)打標(biāo)和API打標(biāo)作為數(shù)據(jù)防泄露管理的起點(diǎn)。對(duì)于內(nèi)部生產(chǎn)類數(shù)據(jù)，將數(shù)據(jù)管控手段左移，通過(guò)在線轉(zhuǎn)換業(yè)務(wù)系統(tǒng)產(chǎn)生的文檔，使用相比傳統(tǒng)沙箱隔離和文件加密方案，這種做法不僅安全性更高，而且員工有更整個(gè)訪問(wèn)控制系統(tǒng)是串聯(lián)在訪問(wèn)過(guò)程當(dāng)中，一旦出現(xiàn)故障將影響所有員工的正常辦公，所以系統(tǒng)的穩(wěn)定默認(rèn)情況下，流量通過(guò)小紅書自建的私有POP節(jié)點(diǎn)，確保流量和數(shù)據(jù)都在自己可控的網(wǎng)絡(luò)環(huán)境中。當(dāng)本地POP節(jié)點(diǎn)發(fā)生故障時(shí)，系統(tǒng)可自動(dòng)切換到億格云的公有云POP節(jié)點(diǎn)。這種容災(zāi)方案已經(jīng)可以保證超高的可用性，但是小紅書不滿足于此，在此基礎(chǔ)上還實(shí)施一層Wireguard方案，當(dāng)零信任防護(hù)模式失效時(shí)降級(jí)到小紅書向員工展示自有品牌的辦公安全平臺(tái)，以增加員工對(duì)安全軟件的認(rèn)可度，同時(shí)還可以在客戶端上集成更多內(nèi)部常用的辦公功能。小紅書基于億格云的客戶端SDK，打造了一個(gè)匹配小紅書自身風(fēng)格的客戶端值得一提的是，這一輕量穩(wěn)定、簡(jiǎn)潔高效的一體化“內(nèi)部安全辦公系統(tǒng)”為小紅書帶來(lái)的價(jià)值已得以顯）：一體化設(shè)計(jì)思路，即平臺(tái)/功能/管理一體化，大幅降低終端安全體系建設(shè)、運(yùn)行和擴(kuò)展的復(fù)雜性。管控力度更精細(xì)、權(quán)限可自動(dòng)梳理、運(yùn)維難度更低，對(duì)終端、身份、行為和數(shù)據(jù)等進(jìn)行全生命周期的精細(xì)化準(zhǔn)入管不僅實(shí)現(xiàn)產(chǎn)品平臺(tái)自身不同模塊之間的數(shù)據(jù)互通，更無(wú)縫銜接已有的安全能力。通過(guò)零信任平臺(tái)對(duì)接現(xiàn)有風(fēng)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)以數(shù)據(jù)為中心、分類分級(jí)為基礎(chǔ)，為小紅書數(shù)據(jù)資產(chǎn)提供事前主動(dòng)防御、事中實(shí)時(shí)監(jiān)個(gè)辦公安全產(chǎn)品且安全產(chǎn)品間煙囪化的現(xiàn)狀。對(duì)比單點(diǎn)采購(gòu)買斷式安全產(chǎn)品堆疊的情況，采用一體化的辦公等方面不斷邁進(jìn)。區(qū)別于傳統(tǒng)圍繞防止黑客入侵的安全建設(shè)思路，保障數(shù)據(jù)安全以及管理訪問(wèn)控制是小紅書高度關(guān)注的要點(diǎn)，防止紅線數(shù)據(jù)外泄是終態(tài)目標(biāo)。當(dāng)下，隨著數(shù)據(jù)安全等政策法規(guī)的落地，數(shù)據(jù)安全成了備受關(guān)注的領(lǐng)域，在實(shí)現(xiàn)我們防護(hù)紅線數(shù)據(jù)不外泄的核心目標(biāo)，且保障員工工作效率及體驗(yàn)，我們選擇性地舍系統(tǒng)中，替代3、4個(gè)安全軟件，實(shí)現(xiàn)最小權(quán)限訪問(wèn)以及數(shù)據(jù)分類分級(jí)、流轉(zhuǎn)、分發(fā)等全方位管控，這樣既有零信任SASE一體化辦公安全解決方案同樣適用于擁有跨國(guó)業(yè)務(wù)、多分支架構(gòu)。正在數(shù)字化轉(zhuǎn)型的國(guó)央企大型集團(tuán)公司、以數(shù)據(jù)為中心的數(shù)字化企業(yè)、關(guān)心敏感數(shù)據(jù)的外泄或強(qiáng)合規(guī)需求的企業(yè)、有信創(chuàng)終端的環(huán)境的企業(yè)、有遠(yuǎn)程辦公需求的數(shù)字化企業(yè)等類型。其解決了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)所面臨的許多挑戰(zhàn)，傳統(tǒng)安全架構(gòu)主要關(guān)注網(wǎng)絡(luò)邊界的安全，而零信任SASE覆蓋了網(wǎng)絡(luò)安全、終端安全、應(yīng)用程序安全和數(shù)據(jù)安全等多個(gè)層面。提供更全面的安全保障，防止各種安全威脅的發(fā)生。SASE對(duì)企業(yè)網(wǎng)絡(luò)架構(gòu)0入侵和現(xiàn)有斂互聯(lián)網(wǎng)暴露面，快速落地零信任安全訪問(wèn)，用基于身份、持續(xù)驗(yàn)證的動(dòng)態(tài)訪問(wèn)控制能力建立企業(yè)安全新邊界；同時(shí)，SASE采用云原生技術(shù)，高度的靈活性和總部，混合辦公場(chǎng)景下都具備全場(chǎng)景一致的高安全水位；借助全球加速網(wǎng)絡(luò)改善了網(wǎng)絡(luò)質(zhì)量，輕量化、穩(wěn)。企業(yè)定位：數(shù)據(jù)安全創(chuàng)新者、下一代數(shù)據(jù)防泄漏、數(shù)據(jù)安全態(tài)勢(shì)感知、終端一體化數(shù)據(jù)管理、全生命周期企業(yè)介紹：藪貓科技作為網(wǎng)絡(luò)與數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè)，依托專業(yè)安全團(tuán)隊(duì)的硬核技術(shù)，通過(guò)創(chuàng)新威脅檢測(cè)與響應(yīng)系列產(chǎn)品，打造「終端x流量」全鏈路、縱深防護(hù)體系。同時(shí)，結(jié)合滲透測(cè)試、安全審計(jì)、經(jīng)營(yíng)能力經(jīng)營(yíng)能力研發(fā)投入能力三一集團(tuán)有限公司始創(chuàng)于1989年，業(yè)務(wù)全面涉及混凝土機(jī)械、挖掘機(jī)械、起重機(jī)械、筑路機(jī)械、樁工機(jī)械、風(fēng)電設(shè)備、港口機(jī)械、石油裝備、煤炭裝備、裝配式建筑PC等。旗下?lián)碛腥恢毓ぃ⊿H，600031）、三一國(guó)際（HK，00631）、三一重能（SH，688349）三家上市公司，同時(shí)擁有三一筑工科技有限公司能等三一集團(tuán)在安全評(píng)估工作中發(fā)現(xiàn)暫無(wú)有效的非結(jié)構(gòu)化識(shí)別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級(jí)工作還未開展，需要補(bǔ)充完善非結(jié)構(gòu)化數(shù)據(jù)分類分級(jí)制度以及相關(guān)工具對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分類分級(jí)。其次，三一集團(tuán)雖然已經(jīng)部署了云桌面，實(shí)現(xiàn)了數(shù)據(jù)不落地，同時(shí)采用了網(wǎng)絡(luò)準(zhǔn)入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計(jì)來(lái)識(shí)別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，存在數(shù)據(jù)泄漏風(fēng)險(xiǎn)，需要采取技術(shù)措施對(duì)終端數(shù)據(jù)進(jìn)行監(jiān)控。最后，當(dāng)前三一集團(tuán)數(shù)據(jù)安全運(yùn)營(yíng)管理工作，主要依賴桌面管理軟件和上網(wǎng)行為審計(jì)設(shè)備，通過(guò)人工抽查各類日志來(lái)發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過(guò)人工審查幾乎無(wú)法完力，提升HW防守成績(jī)。同時(shí)，通過(guò)前期防護(hù)準(zhǔn)備發(fā)現(xiàn)企業(yè)存在的安發(fā)保密制度》《三一集團(tuán)數(shù)據(jù)資產(chǎn)管理標(biāo)準(zhǔn)》以及結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分級(jí)分類管理流程。但是由于暫無(wú)有效的非結(jié)構(gòu)化識(shí)別工具，因此非結(jié)構(gòu)化數(shù)據(jù)的分類分級(jí)工作還未開展，需要補(bǔ)充完善非結(jié)三一集團(tuán)已經(jīng)部署了云桌面，實(shí)現(xiàn)了數(shù)據(jù)不落地，同時(shí)采用了網(wǎng)絡(luò)準(zhǔn)入控制，但是由于數(shù)據(jù)傳輸量大且傳輸渠道多，目前僅依靠人工審計(jì)來(lái)識(shí)別和監(jiān)控敏感數(shù)據(jù)的流轉(zhuǎn)，缺乏有效的技術(shù)支持，當(dāng)前三一集團(tuán)數(shù)據(jù)安全運(yùn)營(yíng)管理工作，主要依賴桌面管理查各類日志來(lái)發(fā)現(xiàn)數(shù)據(jù)泄密行為，由于日志量大且通過(guò)人工審查幾乎無(wú)法完成數(shù)據(jù)安全產(chǎn)品為藪貓科技的青騅（DDR）數(shù)據(jù)風(fēng)險(xiǎn)檢測(cè)及響應(yīng)系統(tǒng)（以下簡(jiǎn)稱：青騅DDR系統(tǒng)）是基于智能內(nèi)容識(shí)別引擎、驅(qū)動(dòng)級(jí)終端應(yīng)用事件監(jiān)控、數(shù)據(jù)外傳風(fēng)險(xiǎn)檢測(cè)等核心自研技術(shù)所打造的終端數(shù)據(jù)防泄密產(chǎn)品。系統(tǒng)通過(guò)對(duì)敏感數(shù)據(jù)識(shí)別算法的革新和對(duì)終端軟件的深度hook，智能識(shí)別終端敏感數(shù)據(jù)內(nèi)容，全面監(jiān)控?cái)?shù)據(jù)轉(zhuǎn)移行為，針對(duì)已發(fā)生的數(shù)據(jù)泄露事件進(jìn)行及時(shí)響應(yīng)，追蹤泄密源頭，防止事件影響進(jìn)一步擴(kuò)大。同時(shí)，青騅DDR系統(tǒng)亦可幫助管理者監(jiān)控企業(yè)敏感數(shù)據(jù)使用情況，確保企業(yè)內(nèi)部敏感數(shù)據(jù)的合規(guī)合理使用，助青騅DDR系統(tǒng)采用B/S加C/S架構(gòu)，服務(wù)端管理采用web方式進(jìn)行訪問(wèn)管理，更加靈活便捷；終端泄露防護(hù)采用輕客戶端方式進(jìn)行管控，終端負(fù)擔(dān)更??；系統(tǒng)主要通過(guò)終端程序來(lái)完成用戶活動(dòng)捕獲和用戶操作日志摘要，系統(tǒng)管理端來(lái)完成日志和用戶活動(dòng)的集成、過(guò)濾和內(nèi)容分析，管理員可以直觀看到所有數(shù)據(jù)，也可對(duì)青騅DDR系統(tǒng)主要功能包括桌面管理、網(wǎng)絡(luò)管理和數(shù)據(jù)安全三個(gè)方面，不僅專注終端數(shù)據(jù)資產(chǎn)本身安數(shù)據(jù)安全咨詢服務(wù)主要以數(shù)據(jù)分類分級(jí)咨詢服務(wù)為主，包含數(shù)據(jù)資產(chǎn)梳理服務(wù)、數(shù)據(jù)分類分級(jí)規(guī)范編制、數(shù)據(jù)分類分級(jí)策略制定和數(shù)據(jù)分類分級(jí)實(shí)施等內(nèi)容。首先，利用青騅DDR系統(tǒng)掃描和業(yè)務(wù)流程人工調(diào)研相結(jié)合的方式，形成數(shù)據(jù)清單。其次，結(jié)合客戶單位實(shí)際情況，明確分類分級(jí)管理過(guò)程中各方責(zé)任、操作過(guò)程、原則和方法，形成可持續(xù)的數(shù)據(jù)分類分級(jí)指導(dǎo)方法論。最后，利用數(shù)據(jù)分類分級(jí)指導(dǎo)方法進(jìn)行實(shí)踐，設(shè)發(fā)現(xiàn)：青騅DDR系統(tǒng)作為數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)的基礎(chǔ)，通過(guò)桌面管理軟件推送靜默安裝3200臺(tái)DDR系統(tǒng)客戶梳理：藪貓科技數(shù)據(jù)安全咨詢服務(wù)對(duì)9大業(yè)務(wù)進(jìn)行了調(diào)研分析，并結(jié)合集團(tuán)內(nèi)數(shù)據(jù)進(jìn)行分類分級(jí)。最后，將收集整理的數(shù)據(jù)分類分級(jí)規(guī)則配置到青騅DDR服務(wù)端，通過(guò)青騅DDR客戶端對(duì)監(jiān)控：三一集團(tuán)希望了解內(nèi)部員工終端數(shù)據(jù)的使用情況，因此使用青騅DDR客戶端對(duì)終端所有外發(fā)渠道進(jìn)行監(jiān)控，全方位感知敏感文件流動(dòng)態(tài)勢(shì)，覆蓋終端敏感數(shù)據(jù)產(chǎn)生、傳輸、存儲(chǔ)、使用、銷毀等數(shù)據(jù)生命周運(yùn)營(yíng)：利用青騅DDR系統(tǒng)的運(yùn)營(yíng)功能更新數(shù)據(jù)安全運(yùn)營(yíng)模式，通過(guò)定期對(duì)異常行為進(jìn)行研判分析，結(jié)合在資產(chǎn)發(fā)現(xiàn)、識(shí)別與梳理工作中，藪貓科技提出了數(shù)據(jù)分類分級(jí)咨詢服務(wù)與數(shù)據(jù)安全產(chǎn)品資產(chǎn)掃描相結(jié)合的方式，兩者互為補(bǔ)充，即有效地提高了數(shù)據(jù)分類分級(jí)咨詢服務(wù)實(shí)施效率，也極大地減少了單純的利用工網(wǎng)絡(luò)流量、動(dòng)態(tài)庫(kù)與內(nèi)核擴(kuò)展的加載與卸載等行為數(shù)據(jù)。這些接口可具體分為操作系統(tǒng)內(nèi)建方案（利用操作Mechanism）掛接目標(biāo)函數(shù)）兩種。利用此項(xiàng)技術(shù)系統(tǒng)可深度捕獲應(yīng)用軟件的操作行為、網(wǎng)絡(luò)流量，從而實(shí)青騅DDR融合了多種識(shí)別瀏覽器上的數(shù)據(jù)動(dòng)態(tài)傳輸（Data-in-Motion）技術(shù)，通過(guò)精準(zhǔn)數(shù)據(jù)匹配數(shù)據(jù)安全咨詢服務(wù)為三一集團(tuán)建立非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)分類分級(jí)標(biāo)準(zhǔn)，共形成273個(gè)文件分類，并結(jié)合集團(tuán)內(nèi)部的數(shù)據(jù)分類分級(jí)制度，將數(shù)據(jù)分為公開數(shù)據(jù)、一般商秘、重要商點(diǎn)保護(hù)對(duì)象，避免數(shù)據(jù)泄露和濫用，提高數(shù)據(jù)的安全性和可靠性，更好地滿足法律、監(jiān)管和合規(guī)要求，減少在咨詢服務(wù)形成的分類分級(jí)規(guī)則的基礎(chǔ)上，青騅DDR系統(tǒng)通過(guò)資產(chǎn)掃描、分類分級(jí)和泄露管控等功能，完成終端數(shù)據(jù)測(cè)繪，并通過(guò)監(jiān)控和識(shí)別敏感數(shù)據(jù)外發(fā)行為，及時(shí)發(fā)現(xiàn)和阻止員工將敏感數(shù)據(jù)泄露給外部人青騅DDR系統(tǒng)提供的包含渠道管控、郵件管控、代碼管控、數(shù)據(jù)行為等多維度可視化儀表盤，便于安全人員全面掌握企業(yè)內(nèi)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)全狀況，提升安全可見性。為安全決策提供數(shù)據(jù)支撐，便于安全人員全在HW防守準(zhǔn)備階段梳理分析發(fā)現(xiàn)非結(jié)構(gòu)化數(shù)據(jù)使用存在安全風(fēng)險(xiǎn)，針對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)借助數(shù)據(jù)安全咨詢服務(wù)制定了解決方案，方案落地分為管理和技術(shù)兩方面，管理方面通過(guò)調(diào)研梳理完善非結(jié)構(gòu)化數(shù)據(jù)識(shí)別規(guī)則，技術(shù)方面采取數(shù)據(jù)防泄漏工具對(duì)非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行識(shí)別、監(jiān)控、告警，確保非結(jié)構(gòu)化數(shù)據(jù)安全，提高發(fā)數(shù)據(jù)分類分級(jí)服務(wù)和青騅DDR系統(tǒng)的建設(shè)有效保護(hù)客戶提供的數(shù)據(jù)資產(chǎn)，使得客戶更加信任企業(yè)，從而360安全云賦能城市、大型企業(yè)、中小微企業(yè)。在人工智能領(lǐng)域，推出360安全大模型，率先實(shí)現(xiàn)AI實(shí)戰(zhàn)應(yīng)。企業(yè)雷達(dá)圖： 經(jīng)營(yíng)能力研發(fā)投入能力隨著數(shù)字化轉(zhuǎn)型加速，零售行業(yè)的經(jīng)營(yíng)模式正在發(fā)生著巨大的變化，越來(lái)越多的零售企業(yè)將業(yè)務(wù)轉(zhuǎn)向了作為大型、綜合、創(chuàng)新型家居零售商，某新零售集團(tuán)股份有限公司已搭建全國(guó)線下零售網(wǎng)絡(luò)，并率先在家具行業(yè)內(nèi)開展數(shù)字化轉(zhuǎn)型，以場(chǎng)景化、客戶體驗(yàn)感、線上線下融合帶來(lái)全新消費(fèi)方式變革，打造實(shí)體店第隨著新零售從線下走到線上，從終端、網(wǎng)站走向APP、小程序等多渠道，面對(duì)日漸復(fù)雜的網(wǎng)絡(luò)環(huán)境和不斷增多的數(shù)字資產(chǎn)，針對(duì)新零售業(yè)務(wù)的攻擊手段變得更加多樣化、復(fù)雜化，企業(yè)面臨的安全風(fēng)險(xiǎn)也呈幾何倍本地服務(wù)團(tuán)隊(duì)本地服務(wù)團(tuán)隊(duì)360安全云客戶側(cè)360安全云：圖中上半部分由360安全云產(chǎn)品和云端安全運(yùn)營(yíng)服務(wù)團(tuán)隊(duì)組成，360安全云團(tuán)隊(duì)為本項(xiàng)目客戶所提供的安全運(yùn)營(yíng)服務(wù)是在360安全云賦能下，基于360安全運(yùn)營(yíng)數(shù)字化協(xié)作平臺(tái)和云端多層級(jí)專業(yè)化運(yùn)營(yíng)用戶側(cè)：圖中下半部分主要由360安全云服務(wù)所依賴的各類安全工具以及本地服務(wù)團(tuán)隊(duì)組成。其中各類安全工具，用于支撐不同安全即服務(wù)的服務(wù)內(nèi)容，各項(xiàng)服務(wù)所產(chǎn)生的安全運(yùn)營(yíng)數(shù)據(jù)將上報(bào)到360安全云的安全運(yùn)營(yíng)數(shù)字化協(xié)作平臺(tái)，然后由云端服務(wù)團(tuán)隊(duì)按照標(biāo)準(zhǔn)服務(wù)流程開展安全運(yùn)營(yíng)。關(guān)于本地服務(wù)團(tuán)隊(duì)，主要針對(duì)客戶側(cè)有自有安全技術(shù)人員和項(xiàng)目管理人員的情況，通過(guò)360安全云體系化培訓(xùn)賦能，經(jīng)360安全云考核認(rèn)證的人員，作為用戶側(cè)的本地服務(wù)人員與云端服務(wù)團(tuán)隊(duì)開展云地協(xié)同，解決最后一公里的安全事件閉環(huán)的問(wèn)本項(xiàng)目所提供的安全即服務(wù)內(nèi)容：為保證客戶全國(guó)數(shù)百家門店安全，360安全云提供終端安全托管服務(wù)和網(wǎng)絡(luò)威脅監(jiān)測(cè)服務(wù)，由360安全專家對(duì)終端系統(tǒng)和網(wǎng)絡(luò)流量的告警進(jìn)行研判分析，通過(guò)識(shí)別有效告警并將潛在威脅事件升級(jí)為工單及時(shí)通知客戶；數(shù)字資泄露監(jiān)測(cè)服務(wù)則通過(guò)自動(dòng)化持續(xù)監(jiān)測(cè)預(yù)警該公司的風(fēng)險(xiǎn)事提及客戶的線上業(yè)務(wù)，360安全云的網(wǎng)站威脅監(jiān)測(cè)服務(wù)通過(guò)對(duì)其網(wǎng)站的漏洞威脅、網(wǎng)頁(yè)篡改、網(wǎng)站可用性等進(jìn)行實(shí)時(shí)監(jiān)測(cè)，配合安全專家的分析研判，及時(shí)將造成影響的安全事件報(bào)告給客戶，進(jìn)而阻斷此外，考慮到零售行業(yè)易遭受勒索攻擊，360安全云為客戶提供了勒索攻擊安全托管服務(wù)，使用專項(xiàng)勒索攻擊監(jiān)測(cè)工具，幫助客戶驗(yàn)證和提升現(xiàn)有防護(hù)體系應(yīng)對(duì)勒索攻擊的防護(hù)能力。同時(shí)，贈(zèng)送防勒索險(xiǎn)360安全云采用先進(jìn)的安全云技術(shù)，把服務(wù)于國(guó)家的高位安全能力賦能給廣大政企，開創(chuàng)“軟、硬件免費(fèi)，服務(wù)收費(fèi)”的網(wǎng)絡(luò)安全商業(yè)模式先河，以7×24小時(shí)的遠(yuǎn)程運(yùn)營(yíng)服務(wù)形式，幫助客戶實(shí)現(xiàn)全天候、全方位的威脅監(jiān)測(cè)。通過(guò)實(shí)時(shí)發(fā)現(xiàn)和處置安全風(fēng)險(xiǎn)，為廣大政企單位構(gòu)建了一道堅(jiān)實(shí)的數(shù)字安全屏障。這種創(chuàng)新性業(yè)界當(dāng)前的托管安全運(yùn)營(yíng)多是通過(guò)安全運(yùn)營(yíng)分析平臺(tái)進(jìn)行研判分析，IM通信通知事件，郵箱推送報(bào)告，三者相互獨(dú)立、信息割裂，事件通知缺少上下文，報(bào)告存儲(chǔ)混亂易流失，導(dǎo)致運(yùn)營(yíng)工作協(xié)同難、處置慢。360基于業(yè)內(nèi)獨(dú)有的統(tǒng)一運(yùn)營(yíng)協(xié)作平臺(tái)-推推，創(chuàng)新性實(shí)現(xiàn)了以一套安全協(xié)同平臺(tái)打通全網(wǎng)安全數(shù)據(jù)，連接多方人員與資源，包含企業(yè)管理領(lǐng)導(dǎo)、企業(yè)技術(shù)人員、360實(shí)戰(zhàn)化安全團(tuán)隊(duì)、用戶資產(chǎn)、生態(tài)渠道等，實(shí)現(xiàn)安全運(yùn)營(yíng)流程流轉(zhuǎn)互通、多方人員溝通、安全工作協(xié)同。此外，通過(guò)智能的告警處置機(jī)制、強(qiáng)大的腳本知識(shí)庫(kù)、交互式的用戶運(yùn)營(yíng)體驗(yàn)，可追溯的安全運(yùn)營(yíng)過(guò)程，可視化的安全運(yùn)營(yíng)成果，保姆式的專家集梯隊(duì)為客戶端、威脅情報(bào)能力、云查殺能力、漏洞、測(cè)繪、沙箱、安全DNS、APT、移動(dòng)端等多維度、多場(chǎng)景的數(shù)據(jù)聚合分析，形成了全面的、完整的威脅認(rèn)知和情報(bào)數(shù)據(jù)體系，為用戶提供了高位視角主動(dòng)防護(hù)與監(jiān)測(cè)，幫助客eAI賦能數(shù)字安全防護(hù)體系，極大提升了網(wǎng)絡(luò)面對(duì)海量的數(shù)據(jù)及安全告警，360安全云依托領(lǐng)先的人工智能技術(shù)優(yōu)化降噪模型，篩選出高價(jià)值安全事營(yíng)服務(wù)人員提供人機(jī)協(xié)作服務(wù)模式（例如：智能統(tǒng)計(jì)報(bào)表、智能生成報(bào)告、智能分析、智能處置、智能問(wèn)答2、網(wǎng)絡(luò)威脅監(jiān)測(cè)服務(wù)：截至目前，360安全云分析網(wǎng)絡(luò)攻擊事件14000余件，其中嚴(yán)重級(jí)別的網(wǎng)絡(luò)攻擊3、數(shù)字資產(chǎn)泄露監(jiān)測(cè)服務(wù)：截至目前，360安全云共發(fā)現(xiàn)542個(gè)數(shù)據(jù)泄漏點(diǎn)。發(fā)現(xiàn)54個(gè)敏感信息泄露5、互聯(lián)網(wǎng)暴露面監(jiān)測(cè)服務(wù)：截至目前，360安全云幫助客戶梳理互聯(lián)網(wǎng)資產(chǎn)800多個(gè)，涉及網(wǎng)站、域名、IP、端口、應(yīng)用組件、公眾號(hào)、小程序等資產(chǎn)類型，通過(guò)與客戶溝通，及時(shí)收斂不必要對(duì)外開放的資產(chǎn)6、勒索攻擊安全托管服務(wù)：截至目前，在360安全云保護(hù)下的終端未發(fā)生成功勒索攻擊事件，相關(guān)防勒系統(tǒng)，定期輸出報(bào)告，大大減輕了我們的運(yùn)維壓力，贈(zèng)送的防勒索保險(xiǎn)也進(jìn)一步為我們的業(yè)務(wù)兜底，做到了通過(guò)減少安全事件、提高業(yè)務(wù)流轉(zhuǎn)效率和降低運(yùn)營(yíng)成本，該項(xiàng)目為客戶帶來(lái)顯著的經(jīng)濟(jì)效益，實(shí)現(xiàn)降本增效。360安全云服務(wù)開創(chuàng)了新的商業(yè)模式：軟硬件免費(fèi)、為服務(wù)買單。在這一新的商業(yè)模式下，一般規(guī)模企業(yè)每年費(fèi)用在十幾萬(wàn)到幾十萬(wàn)之間，是傳統(tǒng)集成建設(shè)模式的1/3-1/4，安全投資大幅下降。通過(guò)滿足用戶相同需求的前提下，只需要傳統(tǒng)安全投入的30%，企業(yè)僅需要為數(shù)字安全最有價(jià)值的：人、數(shù)據(jù)、溝通的頻次和形式仍需加強(qiáng)，針對(duì)服務(wù)過(guò)程發(fā)現(xiàn)的緊急情況，除安全運(yùn)營(yíng)平臺(tái)本身的預(yù)警機(jī)制外，采取。重點(diǎn)產(chǎn)品：源鑒SCA開源威脅管控平臺(tái)、靈脈IAST灰盒安全測(cè)試平臺(tái)、靈脈SAST白盒代碼審計(jì)平臺(tái)、云鯊RASP自適應(yīng)云防御平臺(tái)、靈脈PTE自動(dòng)化滲透測(cè)試平臺(tái)、云脈XSBOM供應(yīng)鏈安全情報(bào)預(yù)警經(jīng)營(yíng)能力經(jīng)營(yíng)能力研發(fā)投入能力該用戶過(guò)去在長(zhǎng)期的業(yè)務(wù)系統(tǒng)建設(shè)中引入了大量開源軟件，如K8S、Ceph、Contiv、Istio、Redis、且開源軟件大部分情況下缺少相應(yīng)的付費(fèi)服務(wù)和運(yùn)維支持，而用戶本身的技術(shù)人員數(shù)量及能力都有一定限此外，由于該用戶過(guò)往未制定相應(yīng)的開源組件使用規(guī)范，各個(gè)系統(tǒng)引入的開源軟件復(fù)雜多樣，存在大量老舊、廢棄版本等情況，開發(fā)人員在開發(fā)過(guò)程中未能關(guān)注開源組件的漏洞情況，導(dǎo)致已有的開源組件安全漏第三方軟件供應(yīng)商一般不會(huì)說(shuō)明其產(chǎn)品中是否涉及開源代碼，甚至對(duì)用戶號(hào)稱完全自主研發(fā)，用戶很可能被動(dòng)引入開源軟件。此外，除了開源軟件和組件，代碼層級(jí)的開源使用問(wèn)題也十分突出。在軟件開發(fā)過(guò)程中，如果企業(yè)并未對(duì)源代碼進(jìn)行掃描，則很難從管理角度統(tǒng)一把控企業(yè)開發(fā)者是否在開發(fā)軟件的過(guò)程中使用了開源代碼片段。同時(shí)，對(duì)運(yùn)營(yíng)商而言，存量軟件及代碼的規(guī)模相對(duì)更加龐大，因此，用戶想要完全準(zhǔn)確統(tǒng)。開源許可證隱含的法律風(fēng)險(xiǎn)較為顯著每一個(gè)開源軟件都會(huì)通過(guò)開源許可證規(guī)定其使用范圍和權(quán)利義務(wù)，用戶在很多情況并不能明確得知該軟根據(jù)用戶在開源軟件漏洞檢測(cè)、軟件成分分析、軟件許可管理、軟件物料管理等各方面的要求，結(jié)合現(xiàn)有軟件項(xiàng)目使用開源代碼的比例逐步提高的現(xiàn)狀，該用戶通過(guò)源鑒SCA重點(diǎn)建設(shè)了內(nèi)部開源組件版本基線使3、最后，結(jié)合在流水線構(gòu)建階段的基線阻斷配置，通過(guò)在流水線構(gòu)建過(guò)程中實(shí)時(shí)進(jìn)行開源組件安全檢本解決方案采用的核心技術(shù)為代碼疫苗技術(shù)，代碼疫苗技術(shù)旨將智能風(fēng)險(xiǎn)檢測(cè)和積極防御邏輯注入到運(yùn)行時(shí)的數(shù)字應(yīng)用中，如同疫苗一般與應(yīng)用載體融為一體，突破性地使其實(shí)現(xiàn)對(duì)潛在風(fēng)險(xiǎn)的自發(fā)現(xiàn)和對(duì)未知威脅的自免疫。代碼疫苗技術(shù)基于插樁技術(shù)實(shí)現(xiàn)，創(chuàng)新性地統(tǒng)一融合了IAST（交互式應(yīng)用安全測(cè)試）、SCA（軟件成分分析）、RASP（運(yùn)行時(shí)應(yīng)用自保護(hù)）、DRA（數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估）、API分析、APM監(jiān)控等能力，即一個(gè)探針插樁即可在數(shù)字供應(yīng)鏈的不同階段中實(shí)現(xiàn)不同能力與效果的安全檢測(cè)并防御多種攻擊風(fēng)險(xiǎn)，做到了數(shù)字供應(yīng)鏈全生命周期的安全保障，且可輕松適配多業(yè)務(wù)場(chǎng)景，輕量級(jí)地實(shí)現(xiàn)了數(shù)字供應(yīng)鏈的作為代碼疫苗技術(shù)的核心，函數(shù)級(jí)單探針以插樁實(shí)現(xiàn)植入在應(yīng)用內(nèi)存上下文之中，既能夠在軟件開發(fā)測(cè)試環(huán)節(jié)里通過(guò)IAST對(duì)軟件安全風(fēng)險(xiǎn)進(jìn)行智能檢測(cè)，精準(zhǔn)定位API安全風(fēng)險(xiǎn)和缺陷，有效解決運(yùn)行時(shí)API中敏感數(shù)據(jù)流動(dòng)的追蹤問(wèn)題，又能夠在軟件部署和運(yùn)營(yíng)環(huán)節(jié)通過(guò)RASP實(shí)現(xiàn)軟件風(fēng)險(xiǎn)自免疫，提供閉環(huán)的數(shù)字供應(yīng)鏈源鑒SCA是國(guó)內(nèi)首款集源碼級(jí)組件依賴檢測(cè)引擎、源代碼同源檢測(cè)引擎、二進(jìn)制成分分析引擎、容器鏡態(tài)的代碼級(jí)開源軟件成分檢測(cè)，可以在應(yīng)用運(yùn)行過(guò)程中基于請(qǐng)求、代碼、數(shù)據(jù)流、控制流綜合分析判斷漏洞，漏洞測(cè)試準(zhǔn)確性高；安全漏洞既可定位到代碼行，還可以得到完整的請(qǐng)求和響應(yīng)信息、完整的數(shù)據(jù)流和源鑒SCA支持與DevOps流程無(wú)縫結(jié)和開發(fā)團(tuán)隊(duì)所使用的平臺(tái)工具實(shí)時(shí)推送，整個(gè)過(guò)程無(wú)需安全專家介入，全程不改變?cè)虚_發(fā)流程、無(wú)需額外臺(tái)（CNVD）及CWE標(biāo)準(zhǔn)，基于精確、全面的軟件物料清單梳理和AI大數(shù)據(jù)分析引擎，實(shí)現(xiàn)7*24全網(wǎng)數(shù)字供應(yīng)鏈安全動(dòng)態(tài)監(jiān)測(cè)與溯源分析，智能推送數(shù)字供應(yīng)鏈投毒攻擊、組件缺陷與失效和開源許可證風(fēng)險(xiǎn)，讓用戶方案建設(shè)落地后，該用戶建立了內(nèi)部的開源組件使用規(guī)范，研發(fā)人員在開源組件的引入及使用過(guò)程中即可確定組件的安全版本范圍，在研發(fā)早期階段規(guī)避了開源組件漏洞的引入，大大降低了開源組件漏洞修復(fù)成該用戶基于源鑒SCA的開源治理能力建立了企業(yè)級(jí)平臺(tái)，可對(duì)各類型采購(gòu)、自研、軟件資產(chǎn)進(jìn)行梳理和安全審查，進(jìn)一步在內(nèi)部建立開源治理組織架構(gòu)，制定配套的開源治理管理制度和規(guī)范，逐步構(gòu)筑起比較完備的開源風(fēng)險(xiǎn)治理體系，規(guī)范開源軟件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可該項(xiàng)目的實(shí)施幫助用戶構(gòu)建了企業(yè)級(jí)的開源治理平臺(tái)、院級(jí)的軟件物料清單，引入了證書以及安全的檢開源治理并非一蹴而就，除了技術(shù)工具的使用外，用戶還應(yīng)當(dāng)在組織架構(gòu)、管理制度、人員意識(shí)等方面e企業(yè)介紹：浙江齊安信息科技有限公司（齊安科技）致力于工業(yè)互聯(lián)網(wǎng)接入安全體系與技術(shù)的持續(xù)創(chuàng)新，為用戶提供全方位接入安全管理與防護(hù)解決方案。依托核心技術(shù)和豐富工控行業(yè)知識(shí)，開發(fā)了涵蓋檢測(cè)、運(yùn)維、防護(hù)、平臺(tái)等多個(gè)領(lǐng)域的工控行業(yè)接入安全產(chǎn)品與解決方案。產(chǎn)品與服務(wù)廣泛應(yīng)用于電力、煤礦、軍工、軌道交通、石油石化、智能制造等領(lǐng)域，保障關(guān)鍵信息基礎(chǔ)設(shè)施與重要工業(yè)領(lǐng)域的安全，維護(hù)工業(yè)。重點(diǎn)產(chǎn)品：便攜式運(yùn)維網(wǎng)關(guān)、USB安全隔離保護(hù)系統(tǒng)、安全配置核查系統(tǒng)、一體化遠(yuǎn)程運(yùn)維系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、企業(yè)流量在線監(jiān)測(cè)系統(tǒng)、物聯(lián)網(wǎng)加。企業(yè)雷達(dá)圖：● ● 經(jīng)營(yíng)能力經(jīng)營(yíng)能力研發(fā)投入能力一些電力監(jiān)控系統(tǒng)運(yùn)維人員（包括二次班人員、外單位運(yùn)維人員、檢查人員）缺乏網(wǎng)絡(luò)安全意識(shí)，組織員工定期接受網(wǎng)絡(luò)安全培訓(xùn)的工作落實(shí)不到位，使得很多重要的電力監(jiān)控系統(tǒng)在日常工作中缺乏有效的安全防護(hù)措施。很多員工對(duì)密碼管理缺少必要的認(rèn)識(shí)，例如采用默認(rèn)密碼、長(zhǎng)期不修改使用密碼、密碼存放在互度指揮提供了更為方便、高效的管理方式，但同時(shí)也面臨勒索病毒及其他網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。勒索病毒等網(wǎng)絡(luò)攻擊手段具有隱蔽性、破壞性、傳染性等特性，一旦進(jìn)入調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，將嚴(yán)重影響電力系統(tǒng)數(shù)據(jù)資料安全性，甚至導(dǎo)致整個(gè)生產(chǎn)網(wǎng)絡(luò)癱瘓，造成巨大損失。近年頻繁發(fā)生的勒索病毒襲擊國(guó)內(nèi)外關(guān)鍵基礎(chǔ)設(shè)施事件充當(dāng)前，電力監(jiān)控系統(tǒng)主要面臨的系統(tǒng)性風(fēng)險(xiǎn)：一是缺乏針對(duì)新興技術(shù)廣泛應(yīng)用帶來(lái)的網(wǎng)絡(luò)安全威脅進(jìn)行有效安全管控措施；二是攻擊威脅監(jiān)測(cè)預(yù)警與安全防護(hù)分離脫節(jié)；三是已有網(wǎng)絡(luò)安全防護(hù)機(jī)制在電力監(jiān)控系目前，在電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)建設(shè)實(shí)踐中，符合國(guó)家、行業(yè)及公司級(jí)的電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定，以及防火墻、隔離網(wǎng)關(guān)、電力網(wǎng)閘等訪問(wèn)控制設(shè)備的大規(guī)模部署成為電網(wǎng)公司重點(diǎn)關(guān)注的建設(shè)內(nèi)容。而生產(chǎn)控制信息網(wǎng)絡(luò)和管理信息網(wǎng)絡(luò)實(shí)際面臨的攻擊威脅情況卻并未引起足夠關(guān)注。這是由于電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理與建設(shè)實(shí)踐很大程度由合規(guī)性驅(qū)動(dòng)，而合規(guī)性驅(qū)動(dòng)的安全防護(hù)建設(shè)思路存在的弊端非常明顯：一方面，合規(guī)性防護(hù)策略只是安全防護(hù)的一個(gè)重要方面，無(wú)法保證動(dòng)態(tài)變化的電力監(jiān)控系統(tǒng)是安全可靠的，反而會(huì)給相關(guān)各方造成看似安全的假象，以偏概全；另一方面，由合規(guī)性驅(qū)動(dòng)的電力監(jiān)控系統(tǒng)建設(shè)，容電力監(jiān)控系統(tǒng)在現(xiàn)場(chǎng)檢修運(yùn)維層面仍存在著安全隱患，檢修運(yùn)維人員進(jìn)入了變電站現(xiàn)場(chǎng)后，跳過(guò)了層層設(shè)防的網(wǎng)絡(luò)安全設(shè)備直接將筆記本電腦、移動(dòng)存儲(chǔ)設(shè)備等通過(guò)網(wǎng)絡(luò)接口、串行接口和USB接口接入現(xiàn)場(chǎng)系1、檢修運(yùn)維過(guò)程中，由于缺少物理隔離和擺渡，不同網(wǎng)絡(luò)交叉使用的移動(dòng)存儲(chǔ)介質(zhì)和運(yùn)維設(shè)備（如U2、由于缺少安全審計(jì)手段，在檢修運(yùn)維人員出現(xiàn)誤操作甚至惡意操作的情況下，存在發(fā)生安全事故的隱3、在檢修運(yùn)維過(guò)程中，檢修運(yùn)維人員通過(guò)上傳非法的配置數(shù)據(jù)，導(dǎo)致現(xiàn)場(chǎng)設(shè)備運(yùn)行異常，也會(huì)引發(fā)相應(yīng)世界各國(guó)高度重視維護(hù)電力系統(tǒng)安全，紛紛采取立法保護(hù)、技術(shù)防范、分散風(fēng)險(xiǎn)等方法，提高本國(guó)電網(wǎng)的抗毀傷能力。尤其是我國(guó)，在電網(wǎng)二次安防領(lǐng)域走在世界前面。中華人民共和國(guó)國(guó)務(wù)院、國(guó)家發(fā)展與改革委員會(huì)、中華人民共和國(guó)工業(yè)和信息化部、國(guó)家能源局、中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等國(guó)家主管單位，近年來(lái)對(duì)工業(yè)控制系統(tǒng)信息安全工作做出了一系列的指導(dǎo)意見和規(guī)范要求，其中，2022年4月，國(guó)調(diào)中心關(guān)于印發(fā)《電力監(jiān)控系統(tǒng)便攜式運(yùn)維網(wǎng)關(guān)技術(shù)規(guī)范（試行）》的通知，加強(qiáng)變電站（換流站）監(jiān)控系統(tǒng)運(yùn)維安全管控，防范違規(guī)外聯(lián)、惡意代碼感染、非法操作等安全風(fēng)險(xiǎn)，基于此，齊安科技研制了檢修作業(yè)安全運(yùn)維系統(tǒng)，即運(yùn)維移動(dòng)堡壘機(jī)(便攜式運(yùn)維網(wǎng)關(guān))，用以規(guī)范電力監(jiān)控系統(tǒng)的運(yùn)維操作行為，保護(hù)站端設(shè)備網(wǎng)絡(luò)安全，降低電力監(jiān)控系統(tǒng)現(xiàn)場(chǎng)檢修運(yùn)維的風(fēng)險(xiǎn)，保障設(shè)備資產(chǎn)當(dāng)前，變電站運(yùn)維工作中缺少必要的安全防護(hù)及審計(jì)措施，具體來(lái)說(shuō)，存在運(yùn)維人員使用自帶筆記本電腦及U盤等運(yùn)維工具直接接入變電站監(jiān)控系統(tǒng)的情況，容易引起違規(guī)外聯(lián)、誤操作、惡意代碼、網(wǎng)絡(luò)攻擊等安全風(fēng)險(xiǎn)。國(guó)網(wǎng)安監(jiān)部曾多次通報(bào)關(guān)于電力監(jiān)控系統(tǒng)感染惡意代碼、違規(guī)外聯(lián)等安全事件。變電站的外聯(lián)風(fēng)險(xiǎn)、違規(guī)操作、惡意代碼感染問(wèn)題屢禁不止。簡(jiǎn)項(xiàng)目實(shí)施過(guò)程中，通過(guò)將便攜式運(yùn)維網(wǎng)關(guān)部署在站控層交換機(jī)上，實(shí)現(xiàn)對(duì)整個(gè)運(yùn)維過(guò)程進(jìn)行全程實(shí)時(shí)安2、對(duì)運(yùn)維過(guò)程傳輸?shù)奈募M(jìn)行惡意代碼查殺，避免未安裝防病毒軟件或未及時(shí)更新病毒庫(kù)的電力監(jiān)控系5、對(duì)運(yùn)維操作過(guò)程進(jìn)行授權(quán)管理和二次確認(rèn)，并通過(guò)視頻、文件、通訊數(shù)據(jù)包、日志等多種方1、便攜的形態(tài)設(shè)計(jì)：產(chǎn)品在形態(tài)上摒棄了傳統(tǒng)的固定式。取而代之的是采用便攜式設(shè)計(jì)方案，能夠適應(yīng)工業(yè)現(xiàn)場(chǎng)多樣化的布局，并且在保持靈活部署的同時(shí)，有3、技術(shù)積累：為了提升用戶現(xiàn)場(chǎng)作業(yè)的效率，通常做法是采用EXCEL模板編這會(huì)增加導(dǎo)入、導(dǎo)出和編輯工作量，并引入額外的安全風(fēng)險(xiǎn)。齊安科技的系統(tǒng)集成了OCR識(shí)別技術(shù)，能夠拍照識(shí)別紙質(zhì)工作票的關(guān)鍵信息并自動(dòng)生成檢修任務(wù)。用戶可以根據(jù)需求定制檢修任務(wù)模板并生成任務(wù)，只需增加拍照步驟，節(jié)省大量數(shù)據(jù)導(dǎo)入和編輯時(shí)間，顯著提升了使用體驗(yàn)。此外，由于各地工作票模板存在差5、成本優(yōu)勢(shì)：在設(shè)計(jì)開發(fā)初期便采用了軟硬件自研的技術(shù)路線本項(xiàng)目通過(guò)在5座變電站上部署便攜式運(yùn)維網(wǎng)關(guān)，至今共計(jì)攔截違規(guī)外聯(lián)及高風(fēng)險(xiǎn)指令數(shù)十次，避免產(chǎn)生技術(shù)成本降低：檢修作業(yè)安全運(yùn)維系統(tǒng)整體設(shè)計(jì)簡(jiǎn)單易用，支持一鍵生成檢修任務(wù)、OCR快速識(shí)別工作票信息生成檢修任務(wù)，業(yè)務(wù)流程做到即插即用，不做多余設(shè)置，簡(jiǎn)單便捷，方便現(xiàn)場(chǎng)運(yùn)維人員快速開展工增強(qiáng)安全管理能力：規(guī)范現(xiàn)場(chǎng)操作人員行為，減少潛在的追蹤溯源時(shí)提供有效依據(jù)，確定責(zé)任人。提供風(fēng)險(xiǎn)監(jiān)管能力：通過(guò)技術(shù)手段為用戶提供了監(jiān)測(cè)和處理風(fēng)提升運(yùn)維效率與精準(zhǔn)度：通過(guò)集中管理不同區(qū)域、不同站點(diǎn)的同類設(shè)備運(yùn)維記錄，實(shí)現(xiàn)了數(shù)據(jù)驅(qū)動(dòng)的運(yùn)維決策。不僅提升運(yùn)維效率，同事提高預(yù)防性維護(hù)的精準(zhǔn)度，降低了潛在風(fēng)險(xiǎn)。與此同時(shí)，對(duì)單個(gè)站點(diǎn)歷史。企業(yè)介紹：眾智維科技總部與研發(fā)中心設(shè)立于南京，在北京、上海、山東、深圳、河南、蘇州設(shè)立子公司+機(jī)器學(xué)習(xí)驅(qū)動(dòng)的網(wǎng)絡(luò)安全運(yùn)營(yíng)協(xié)同解決方案商，長(zhǎng)期聚焦網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)，多維。企業(yè)雷達(dá)圖：. . 經(jīng)營(yíng)能力經(jīng)營(yíng)能力研發(fā)投入能力工業(yè)互聯(lián)網(wǎng)的快速發(fā)展加速了OT/IT網(wǎng)絡(luò)和物聯(lián)網(wǎng)融合信息安全事件頻繁發(fā)生且發(fā)生行業(yè)呈多元化趨勢(shì)，工控系統(tǒng)高危漏洞層出不窮。工業(yè)安全已得到政府監(jiān)管部門和工業(yè)企業(yè)高度重視，國(guó)家出臺(tái)了一系列政策法規(guī)，提升工業(yè)安全保障能力。在國(guó)家政策引導(dǎo)下，某能源企業(yè)公司作為大型電站、光伏發(fā)電及運(yùn)維服務(wù)于一體的電力能源企業(yè)，以創(chuàng)新引領(lǐng)作為第一發(fā)展戰(zhàn)略和核心關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。某能源企業(yè)信息化建設(shè)較早，其業(yè)務(wù)安全系統(tǒng)在長(zhǎng)期的各類專項(xiàng)安全建設(shè)中實(shí)現(xiàn)了安全設(shè)備的廣覆蓋，并在態(tài)勢(shì)感知的建設(shè)過(guò)程中，在態(tài)勢(shì)要素收集、態(tài)勢(shì)分析、態(tài)勢(shì)呈現(xiàn)等領(lǐng)域已經(jīng)取得初步成果，但是在關(guān)鍵的態(tài)勢(shì)處置方面，仍然處于相對(duì)初1、態(tài)勢(shì)感知能力需加強(qiáng)：能源互聯(lián)網(wǎng)環(huán)境下，企業(yè)電力調(diào)度與監(jiān)控系統(tǒng)實(shí)際接擊種類、方式多且頻繁，在防御過(guò)程中各類靜態(tài)和動(dòng)態(tài)的實(shí)時(shí)數(shù)據(jù)監(jiān)測(cè)難以落實(shí)；同時(shí)由于該企業(yè)體量龐2、安全威脅響應(yīng)不夠及時(shí)：針對(duì)關(guān)鍵性基礎(chǔ)設(shè)施的定向攻擊事件發(fā)生不斷增多，網(wǎng)絡(luò)攻擊形式日趨復(fù)雜，響應(yīng)難度也日趨增加；目前開展監(jiān)測(cè)預(yù)警、應(yīng)急處置、分析報(bào)告等工作主要采取人工方式，大量的安全該能源企業(yè)依靠各種各類安全設(shè)備，實(shí)現(xiàn)安全告警和要素獲取，可快速發(fā)現(xiàn)安全事件和行為異常；但判斷與決策能力相對(duì)較弱，判斷階段在電力監(jiān)控系統(tǒng)中，對(duì)應(yīng)態(tài)勢(shì)分析和呈現(xiàn)，實(shí)現(xiàn)告警的基礎(chǔ)分析和聚類，初步轉(zhuǎn)換成安全事件并加以分類；決策階段在電力監(jiān)控系統(tǒng)中，需要針對(duì)安全事件的類型和影響范圍進(jìn)行判斷，確定使用怎樣的流程，驅(qū)動(dòng)哪些人員，調(diào)用哪些工具和設(shè)備進(jìn)行處置，這些處置會(huì)否產(chǎn)生額外的安全風(fēng)險(xiǎn)；執(zhí)行階段在電力監(jiān)控系統(tǒng)中，即根據(jù)決策的結(jié)果調(diào)用對(duì)應(yīng)的安全設(shè)備和安全工具，執(zhí)行具體操作完成安因此，某能源企業(yè)需要通過(guò)自動(dòng)化手段替代現(xiàn)有的人工決策和手動(dòng)執(zhí)行手段，降低平均事件響應(yīng)時(shí)間降低風(fēng)險(xiǎn)造成的損失，從而簡(jiǎn)化統(tǒng)一協(xié)同響應(yīng)流程，節(jié)省手動(dòng)分析時(shí)間，真正達(dá)到主動(dòng)監(jiān)測(cè)，自動(dòng)化快速響南京眾智維科技信息有限公司深耕工業(yè)信息安全多年，具備深厚的安全經(jīng)驗(yàn)與技術(shù)能力，形成了完善的產(chǎn)品體系，并在電力電網(wǎng)、石油石化、先進(jìn)制造等多個(gè)領(lǐng)域建立工控安全實(shí)踐案例?，F(xiàn)根據(jù)某能源企業(yè)安全業(yè)務(wù)流程的應(yīng)用特征，我司通過(guò)定制化安全運(yùn)營(yíng)平臺(tái)建設(shè)，以安全編排與自動(dòng)化響應(yīng)（SOAR）+AI技術(shù)賦能，為用戶提供該項(xiàng)目總體解自動(dòng)化響應(yīng)系統(tǒng)保護(hù)級(jí)阻斷功能層劇本工具動(dòng)作管理劇本管理事件協(xié)作引擎層動(dòng)作執(zhí)行引肇理、儀表板和報(bào)告，以及跨功能分析。構(gòu)建適用于企業(yè)電力監(jiān)控系統(tǒng)的安全情景策略庫(kù)，用于不同保障場(chǎng)景平臺(tái)集中指令來(lái)源、設(shè)備通道、預(yù)設(shè)腳本、結(jié)合自動(dòng)下發(fā)與人工干預(yù)功能，以最快的速度定位策略執(zhí)行點(diǎn)，選用適合的策略預(yù)案，生成腳本，通過(guò)人工流轉(zhuǎn)或自動(dòng)向安全防護(hù)設(shè)備下發(fā)執(zhí)行指令，最終實(shí)現(xiàn)安全事件響電力監(jiān)控系統(tǒng)的態(tài)勢(shì)感知平臺(tái)獲取安全事件、威脅情報(bào)，并且通過(guò)自身的工作引擎進(jìn)行分析和案例推演，依依照劇本和動(dòng)作的步驟，通過(guò)響應(yīng)模塊驅(qū)動(dòng)各類網(wǎng)絡(luò)設(shè)備或者安全設(shè)備，實(shí)現(xiàn)自動(dòng)化響應(yīng)和多種級(jí)別的自動(dòng)化阻斷行為。處置流程可以按照發(fā)電企業(yè)需求定制為：所有事件需要人工確認(rèn)，所有事件自動(dòng)化執(zhí)行，以及前置事件分級(jí)判斷步驟并根據(jù)安全事件等級(jí)設(shè)定不同的處置方案。方案可以為不同安全級(jí)別的事件制定不同機(jī)結(jié)合的方法進(jìn)行事件分析與分類，根據(jù)標(biāo)準(zhǔn)流程輔助定義、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化事件響應(yīng)行為，并應(yīng)用到防系統(tǒng)是軟硬件一體化安全設(shè)備，設(shè)備為2U標(biāo)準(zhǔn)機(jī)架式設(shè)備，旁路接入企業(yè)區(qū)網(wǎng)絡(luò)，通過(guò)B/S方式進(jìn)行管理。由于設(shè)備是態(tài)勢(shì)處置流程的核心，部署期間需要和現(xiàn)有的態(tài)勢(shì)感知平臺(tái)以及各類安全設(shè)備實(shí)現(xiàn)應(yīng)用對(duì)編排和自動(dòng)化是整個(gè)系統(tǒng)的核心功能，實(shí)現(xiàn)了運(yùn)營(yíng)過(guò)程和流程的劇本化，安全應(yīng)用的編排化，將安全產(chǎn)平臺(tái)具備完善的劇本管理功能，安全運(yùn)營(yíng)人員通過(guò)劇本庫(kù)對(duì)所有劇本進(jìn)行統(tǒng)一管理，內(nèi)置通用漏洞或零日預(yù)警響應(yīng)、攻擊事件響應(yīng)、釣魚郵件處置、主機(jī)異常登錄場(chǎng)景、病毒告警事件、We異常日志、重大安全事件告警等通用劇本模板，且在維保期間可根據(jù)用戶需求定制化開發(fā)新劇本，劇本容量不設(shè)上限；內(nèi)置工作流引擎，以及由該工作流引擎驅(qū)動(dòng)的編排器。編排器是系統(tǒng)的心臟，啟動(dòng)后會(huì)自動(dòng)從劇本庫(kù)中加載所有激活的劇本，并依照不同的觸發(fā)條件執(zhí)行相應(yīng)的劇本實(shí)例。工作流引擎會(huì)根據(jù)劇本的預(yù)設(shè)邏輯執(zhí)行每個(gè)活動(dòng)，例如人機(jī)交互活動(dòng)則調(diào)用人機(jī)接口，應(yīng)用活動(dòng)則調(diào)用自動(dòng)化應(yīng)用執(zhí)行引擎，自動(dòng)激活相關(guān)系統(tǒng)支持創(chuàng)建或關(guān)閉作戰(zhàn)室用于協(xié)同作戰(zhàn)，可以通過(guò)作戰(zhàn)列表查看已存在（包含處理中、已解決、已關(guān)閉等各狀態(tài)）的作戰(zhàn)室，并進(jìn)入作戰(zhàn)室查看歷史信息。針對(duì)作戰(zhàn)室中的每個(gè)事件，事件負(fù)責(zé)人可以快速創(chuàng)建一個(gè)針對(duì)該事件的溝通群（也叫作戰(zhàn)室）。事件負(fù)責(zé)人可以添加需要加入此溝通群的人員，快速形成一個(gè)作系統(tǒng)采用網(wǎng)絡(luò)安全作戰(zhàn)室語(yǔ)義算法技術(shù)，構(gòu)建AI智能機(jī)器人，提高結(jié)果的準(zhǔn)確性，調(diào)度劇本引擎實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件觸發(fā)，當(dāng)后續(xù)類似攻擊發(fā)生時(shí)，實(shí)現(xiàn)精準(zhǔn)推送，充分利用自動(dòng)化技術(shù)手段，將人、技術(shù)和流程高度協(xié)同。并支持基于安全事件的特點(diǎn)和行業(yè)已有的成熟解決劇本方案，使用協(xié)同過(guò)濾算法，在行業(yè)級(jí)的知當(dāng)安全事件觸發(fā)后，網(wǎng)絡(luò)安全作戰(zhàn)室依據(jù)安全日志等進(jìn)行數(shù)據(jù)分析，生成分析報(bào)告，作戰(zhàn)室的相關(guān)人員，如總指揮、作戰(zhàn)參謀和事件處置人員等做出指令決策。根據(jù)這些信息，將數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，為NLP模型讀取數(shù)據(jù)打好基礎(chǔ)。相關(guān)數(shù)據(jù)讀入推薦算法模型后，參考網(wǎng)絡(luò)安全事件的知識(shí)庫(kù)，推薦出一個(gè)或多個(gè)可施行的劇本來(lái)完成相應(yīng)的工作流程。協(xié)同作戰(zhàn)模塊支持與事件模塊關(guān)聯(lián)，在生成特定事件時(shí)自動(dòng)創(chuàng)建作戰(zhàn)室并拉入相關(guān)人員，且支持在作戰(zhàn)室中手動(dòng)發(fā)起應(yīng)用、任務(wù)或劇本模塊。每個(gè)作戰(zhàn)室內(nèi)置一個(gè)聊天機(jī)器人，作經(jīng)驗(yàn)沉淀，套路化自動(dòng)化，每當(dāng)有同類安全事件發(fā)生時(shí)，AI智能機(jī)器人可以根據(jù)自定義的安全策略庫(kù)自動(dòng)啟系統(tǒng)能夠接收來(lái)自第三方SIEM/SOC產(chǎn)品發(fā)出的告警信息；能夠接收其它第三方系統(tǒng)/設(shè)備通過(guò)syslog發(fā)接受第三方的告警信息；支持人工錄入或者導(dǎo)入告警信息。可以非常方便的和電力監(jiān)控系統(tǒng)現(xiàn)有態(tài)勢(shì)感知平支持對(duì)告警采集、告警展示、告警關(guān)聯(lián)劇本、告警處置、告警關(guān)聯(lián)作戰(zhàn)室，內(nèi)置100+告警類型，能夠?qū)Σ煌瑏?lái)源的告警信息進(jìn)行進(jìn)行分析匹配，自動(dòng)關(guān)聯(lián)任務(wù)、劇本進(jìn)行處置，無(wú)需人工介入，針對(duì)較高等級(jí)安全事件支持升級(jí)到作戰(zhàn)室進(jìn)行協(xié)同處置，實(shí)現(xiàn)業(yè)務(wù)運(yùn)行過(guò)程中的負(fù)載信息以及監(jiān)控指標(biāo)的實(shí)時(shí)監(jiān)控與記錄，當(dāng)監(jiān)控到異常信息時(shí)，第一時(shí)間對(duì)管理人員發(fā)送告警信息，觸發(fā)告警動(dòng)作后，管理人員將收到一條告警信息來(lái)事件管理能夠幫助安全運(yùn)營(yíng)人員對(duì)一組相關(guān)的告警按照既定的應(yīng)對(duì)措施進(jìn)行流程化、持續(xù)化、協(xié)作化、①事件列表：系統(tǒng)能夠以列表的形式展示所有事件清單，依次展示每個(gè)事件概況，包括事件名稱、概述、類型、責(zé)任人、事件等級(jí)、發(fā)生時(shí)間、結(jié)束時(shí)間、詳細(xì)、級(jí)別、狀態(tài)、調(diào)用的劇本、動(dòng)作和任務(wù)等。安全運(yùn)營(yíng)人員可以方便的進(jìn)行事件手動(dòng)添加、處置和查看事件詳情。事件處置狀態(tài)包括未處理、進(jìn)行中、已完②事件關(guān)聯(lián)劇本：系統(tǒng)事件模塊內(nèi)置基于規(guī)則的關(guān)聯(lián)分析引擎，能夠?qū)Σ煌瑏?lái)源的海量告警信息進(jìn)行分③事件處理：事件處理是事件管理的核心功能。安全運(yùn)營(yíng)人員可以持續(xù)地對(duì)事件信息進(jìn)行處理，不斷豐系統(tǒng)可以為一個(gè)事件附帶應(yīng)對(duì)措施，以任務(wù)的形式下發(fā)給相關(guān)的責(zé)任人。各責(zé)任人可以依照任務(wù)執(zhí)行，提高事件處理的效率。任務(wù)在執(zhí)行中支持痕跡管理、標(biāo)注管理和附件管理功能，相關(guān)安全運(yùn)營(yíng)人員可以往事件里面添加痕跡信息，譬如IP、URL、域名、文件哈希值等關(guān)鍵信息；可以對(duì)事件進(jìn)行標(biāo)注，添加各類文字信息；可以上傳相關(guān)的附件，譬如圖片、文檔、聲音、視頻等。借助這些功能，系統(tǒng)可以不斷積累該事件相系統(tǒng)提供關(guān)系圖等可視化調(diào)查分析的手段，以幫助用戶拓展相關(guān)事件的痕跡信息。對(duì)于事件中的每個(gè)痕跡，可以觸發(fā)預(yù)置的響應(yīng)動(dòng)作，所有動(dòng)作的執(zhí)行操作及其結(jié)果都會(huì)自動(dòng)記錄，作為該事件的處置記錄。安全運(yùn)營(yíng)人員也可以針對(duì)事件觸發(fā)預(yù)置的編排劇本，并將相關(guān)操作和結(jié)果記錄到處置記錄中。所有事件相關(guān)的處事件負(fù)責(zé)人可以隨時(shí)查看事件處理的活動(dòng)記錄，并以時(shí)間線的方式進(jìn)行形象展示，便于其了解事件處理的進(jìn)展。事件處置完成后，事件責(zé)任人在編寫報(bào)告時(shí)，系統(tǒng)能提供編寫報(bào)告的素材，包括事件處置過(guò)程中的④事件關(guān)聯(lián)作戰(zhàn)室：對(duì)于等級(jí)較高或新型的告警事件，支持升級(jí)到作戰(zhàn)室進(jìn)行協(xié)同處置。事件響應(yīng)中的各方以聊天的方式進(jìn)行實(shí)時(shí)溝通與響應(yīng)處置，支持添加、移除成員，以及設(shè)置成員在各事件作戰(zhàn)室中的角色。系統(tǒng)自動(dòng)記錄協(xié)作處理中劇本、應(yīng)用和任務(wù)的執(zhí)行結(jié)果，以及整個(gè)事件處置過(guò)程的聊天記錄、證據(jù)、結(jié)論和星標(biāo)信息，便于實(shí)時(shí)查看和復(fù)盤。處置完成的事件，能在線編輯報(bào)告，系統(tǒng)提供編輯報(bào)告的素材，如事或任務(wù)處置過(guò)程中的調(diào)用的劇本、應(yīng)用和處置模型等處置信息，以及證據(jù)和結(jié)論等痕跡信息，方便用戶進(jìn)行報(bào)告的在線編寫。根據(jù)報(bào)告匯報(bào)對(duì)象，可導(dǎo)入報(bào)告模板進(jìn)行編輯。報(bào)告編寫完成后，支持報(bào)告的提交和審核操作，同時(shí)報(bào)告的審批路徑支持自定義配置審核流程和審核人，審核時(shí)可以駁回到任意一級(jí)。通過(guò)報(bào)告列表一是以技術(shù)先進(jìn)、功能完備、面向?qū)崙?zhàn)化安全運(yùn)心，構(gòu)建適用于電力行業(yè)多場(chǎng)景的網(wǎng)絡(luò)安全劇本庫(kù)、工作流、知識(shí)庫(kù)，融合行程網(wǎng)絡(luò)安全知識(shí)情報(bào)體系，幫助某能源企業(yè)將電力業(yè)務(wù)監(jiān)控系統(tǒng)態(tài)勢(shì)感知中繁雜低效的態(tài)勢(shì)處置（安全響應(yīng)）過(guò)程梳理為任務(wù)和劇本，將可構(gòu)建全面的知識(shí)圖譜安全事件、降低安全運(yùn)營(yíng)的數(shù)據(jù)使用門檻，通過(guò)自助式服務(wù)體驗(yàn)來(lái)確保安全運(yùn)營(yíng)流程“實(shí)時(shí)管控、縱深防御”轉(zhuǎn)變，整體響應(yīng)效率提新技術(shù)的運(yùn)用顯著增加了企業(yè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全可靠性，監(jiān)控系統(tǒng)綜合防護(hù)措施得到了有效改善。通過(guò)部署網(wǎng)絡(luò)安全監(jiān)控運(yùn)營(yíng)平臺(tái)，使以前需要人工逐臺(tái)設(shè)備查看分析日志和報(bào)警信息，辨識(shí)可能存在的異常和風(fēng)險(xiǎn)，轉(zhuǎn)變?yōu)橛砂踩O(jiān)測(cè)平臺(tái)自動(dòng)采集匯聚系統(tǒng)內(nèi)各設(shè)備的安全信息，進(jìn)行專業(yè)的分析處理，從而確系統(tǒng)可以納管該能源企業(yè)的安全設(shè)備，同時(shí)系統(tǒng)自帶的APP應(yīng)該企業(yè)提供開箱即用的安全能力與服務(wù)，包含資產(chǎn)管理、安全評(píng)估、安全加固、威脅監(jiān)控、研判分析、溯源處置、運(yùn)營(yíng)管理優(yōu)化等安全運(yùn)營(yíng)場(chǎng)景，將其安全能力及建設(shè)模式推廣及其他能源企業(yè)，行業(yè)賦能，可帶來(lái)客4、實(shí)施中發(fā)現(xiàn)不同數(shù)據(jù)源的告警接入字段非標(biāo)準(zhǔn)化，平臺(tái)識(shí)別比較繁瑣。后面平臺(tái)通過(guò)整合，形成了針安全報(bào)告建議根據(jù)每日安全態(tài)勢(shì)自動(dòng)生成，類似告警事件TOP10，告警類型TOP10，白名單數(shù)，封禁IP3、優(yōu)化建議:實(shí)時(shí)增加1day漏洞檢測(cè)劇本和工作流，由駐場(chǎng)人員導(dǎo)入，增加產(chǎn)品存在感和實(shí)用性以及增4、優(yōu)化建議:建議了解其他駐場(chǎng)廠商負(fù)責(zé)工國(guó)家高新和中關(guān)村高新技術(shù)企業(yè)、北京市"專精特新"企業(yè)單位，經(jīng)過(guò)幾年發(fā)展，陸續(xù)推出了觀成瞰云-加密威脅智能檢測(cè)系統(tǒng)（ENS）、觀成霧瞰-加密威脅情報(bào)平臺(tái)（ETI）、觀成瞰峰-加密業(yè)務(wù)態(tài)勢(shì)感知平臺(tái)（ESA）三款核心產(chǎn)品。其中，觀成瞰云（ENS）榮獲CCIA。重點(diǎn)產(chǎn)品：觀成瞰云-加密威脅智能檢測(cè)系統(tǒng)（ENS）、觀成霧瞰-加密威脅情報(bào)平臺(tái)（E。企業(yè)雷達(dá)圖：●經(jīng)營(yíng)能力研發(fā)投入能力經(jīng)過(guò)多年的網(wǎng)絡(luò)安全建設(shè)，金融行業(yè)已具備較完善的網(wǎng)絡(luò)安全防護(hù)與運(yùn)營(yíng)能力。但近年來(lái)大國(guó)間博弈日趨激烈，且各金融機(jī)構(gòu)使用的加密資產(chǎn)和業(yè)務(wù)越來(lái)越多，網(wǎng)絡(luò)中加密流量占比越來(lái)越高。加密資產(chǎn)和業(yè)務(wù)是國(guó)博弈對(duì)抗的制高點(diǎn)。本項(xiàng)目通過(guò)構(gòu)建面向金融行業(yè)的加密業(yè)務(wù)安全運(yùn)營(yíng)平臺(tái)，解決信息安全領(lǐng)域出現(xiàn)的新需要異常算法和協(xié)議使用情況檢測(cè)。需要通過(guò)對(duì)加密流量進(jìn)行分析和檢測(cè)，識(shí)別包括檢測(cè)到使用過(guò)時(shí)、需要有效監(jiān)測(cè)應(yīng)用異常的問(wèn)題，即得知員工或用戶是否使用翻墻VPN、境外應(yīng)用或不合規(guī)應(yīng)用的問(wèn)題。為了解決加密流量檢測(cè)分析的難題，需要從人工智能、密碼技術(shù)和網(wǎng)絡(luò)安全等多個(gè)領(lǐng)域構(gòu)建一系列關(guān)鍵本項(xiàng)目采用多層面的特征工程技術(shù)，從單流、多流兩個(gè)層面構(gòu)建特征，在保證特征提取全面的基礎(chǔ)上，提高了機(jī)器學(xué)習(xí)模型對(duì)惡意流量檢測(cè)的全面性；采用細(xì)粒度的特征工程技術(shù)，從時(shí)空、握手、證書、背景流量、域名等單流層面和多流層面等多個(gè)維度構(gòu)建了極細(xì)粒度的特征工程。在此基礎(chǔ)上訓(xùn)練出來(lái)的機(jī)器學(xué)習(xí)模采用多模型集成學(xué)習(xí)的方式，通過(guò)基于多模型機(jī)器學(xué)習(xí)的綜合檢測(cè)技術(shù)對(duì)加密流量進(jìn)行檢測(cè)分析，極大的提高了產(chǎn)品對(duì)復(fù)雜現(xiàn)網(wǎng)環(huán)境的適應(yīng)能力，能夠滿足在各種不同復(fù)雜現(xiàn)網(wǎng)環(huán)境對(duì)惡意加密威脅的檢測(cè)需求，基于專家深度研究的限定域指紋技術(shù)，能夠在對(duì)某一特定類型惡意家族深刻認(rèn)知的基礎(chǔ)上，提取該類惡意家族的基于底層架構(gòu)的、不易被改變的通用特征指紋，并在該指紋的基礎(chǔ)上實(shí)現(xiàn)對(duì)該類惡意家族的“通e觀成科技一直堅(jiān)持核心技術(shù)自主研發(fā)，攻克卡脖子。觀成科技將自主可控貫穿軟硬件，實(shí)現(xiàn)硬件自主可控、底層軟件自主可控、上層應(yīng)用自1、硬件自主可控：硬件主要是以國(guó)產(chǎn)CPU（飛騰）平臺(tái)為基礎(chǔ)研發(fā)的目前已經(jīng)商用的頭部金融客戶，還有一批頭部金融客戶在測(cè)試中或采購(gòu)中，我們總結(jié)了近幾十家頭部金融客戶，項(xiàng)目的覆蓋率將近8成，項(xiàng)目的成熟度及影響力已經(jīng)得到驗(yàn)證。以城商行、農(nóng)商行、保險(xiǎn)、基金、券1、金融關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系著國(guó)計(jì)民生，是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，一旦響重要行業(yè)正常運(yùn)行，對(duì)國(guó)家政治、經(jīng)濟(jì)、社會(huì)以及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失。通過(guò)本項(xiàng)目的實(shí)施落地，2、本行業(yè)及跨行業(yè)示范效應(yīng)。本項(xiàng)目的成果輸出在金融行業(yè)內(nèi)部可以形成示范效應(yīng)，而且各關(guān)基行業(yè)和金融業(yè)務(wù)趨于加密化，日常運(yùn)營(yíng)工作中如何有效檢測(cè)正常加密業(yè)務(wù)流量和惡意加密流量，傳統(tǒng)基于明文金融業(yè)務(wù)系統(tǒng)逐步改造至國(guó)密算法，助力國(guó)密改造過(guò)程中對(duì)密碼算法的脆弱性評(píng)估，確保網(wǎng)絡(luò)安全及合攻防演練場(chǎng)景中高水平攻擊給防守方帶來(lái)的挑戰(zhàn)急需新技術(shù)進(jìn)行應(yīng)對(duì)，通過(guò)本項(xiàng)目的建設(shè)可以提高攻防提升重大安全事件的響應(yīng)速度。過(guò)去加密流量存在不可視、分析困難的問(wèn)題，通過(guò)本項(xiàng)目建設(shè)，基于加構(gòu)建體系化加密業(yè)務(wù)態(tài)勢(shì)感知能力。通過(guò)對(duì)業(yè)務(wù)或場(chǎng)景梳理，建設(shè)加密資產(chǎn)梳理和監(jiān)測(cè)能力、加密流量。企業(yè)介紹：。企業(yè)雷達(dá)圖：●經(jīng)營(yíng)能力研發(fā)投入能力用戶作為我國(guó)關(guān)基單位，雖已部署態(tài)勢(shì)感知平臺(tái)和威脅檢測(cè)探針，但由于業(yè)務(wù)規(guī)模的擴(kuò)大以及以APT為代表的高級(jí)威脅越來(lái)越大，因此，需在原有基礎(chǔ)上補(bǔ)充安全檢測(cè)新能力，以彌補(bǔ)傳統(tǒng)安全檢測(cè)手段的不足，。業(yè)務(wù)規(guī)模擴(kuò)大與安全風(fēng)險(xiǎn)增加：隨著用戶業(yè)務(wù)規(guī)模的持續(xù)擴(kuò)大，用戶所承載的信息系統(tǒng)及其數(shù)據(jù)量也隨之增長(zhǎng)，這導(dǎo)致了攻擊面的擴(kuò)大，使得網(wǎng)絡(luò)安全防御工作更為艱巨。尤其是對(duì)于以APT（高級(jí)持續(xù)性威脅）為。傳統(tǒng)檢測(cè)技術(shù)局限性凸顯：當(dāng)前部署的態(tài)勢(shì)感知平臺(tái)和威脅檢測(cè)探針在對(duì)抗APT等高級(jí)威脅時(shí)顯得力不從心。傳統(tǒng)的基于規(guī)則特征庫(kù)匹配的檢測(cè)方法，面對(duì)攻擊手段不斷演變、變種層出不窮的網(wǎng)絡(luò)攻擊，特別是對(duì)。高級(jí)威脅形勢(shì)嚴(yán)峻：預(yù)計(jì)到2023年，針對(duì)我國(guó)核心信息基礎(chǔ)設(shè)施的高級(jí)威脅將持續(xù)上升，其高隱蔽性和強(qiáng)面對(duì)上述挑戰(zhàn)，用戶需要補(bǔ)充新的安全檢測(cè)能力，打破傳統(tǒng)檢測(cè)技術(shù)瓶頸，提升深入威脅檢測(cè)能力，以在關(guān)鍵信息基礎(chǔ)設(shè)施部分，新增高級(jí)威脅檢測(cè)系統(tǒng)作為補(bǔ)充探針采集器，實(shí)現(xiàn)關(guān)基部分的網(wǎng)絡(luò)流量威脅檢測(cè)，監(jiān)控可疑網(wǎng)絡(luò)威脅行為。探針通過(guò)將檢測(cè)后的威脅事件與元數(shù)據(jù)傳輸至態(tài)勢(shì)感知平臺(tái)，進(jìn)行進(jìn)一步的金睛云華高級(jí)持續(xù)性威脅檢測(cè)產(chǎn)品ATD具備分析攻擊鏈的能力與事件聚合的能力，并且支持對(duì)網(wǎng)絡(luò)流量存儲(chǔ)回溯，能夠?qū)υ撡Y產(chǎn)當(dāng)前存在的網(wǎng)絡(luò)威脅以及之前已經(jīng)發(fā)生的網(wǎng)絡(luò)安全威脅進(jìn)行關(guān)聯(lián)，再通過(guò)攻擊鏈進(jìn)行鏈接，可看出攻擊者真實(shí)的攻擊意圖。還具備威脅情報(bào)的來(lái)源，在找到威脅的同時(shí)可以將相關(guān)的APT組織金睛云華高級(jí)威脅檢測(cè)系統(tǒng)（ATD）具備：下一代入侵檢測(cè)、網(wǎng)絡(luò)異常行為檢測(cè)、動(dòng)態(tài)沙箱檢測(cè)、威脅情報(bào)檢測(cè)、人工智能檢測(cè)、關(guān)聯(lián)分析等六大檢測(cè)能力于一體，提供流量檢測(cè)；內(nèi)置多AV引擎可有效識(shí)別病基于人工智能檢測(cè)技術(shù)，結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，通過(guò)惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)（CNN）深度學(xué)習(xí)模型，建立檢測(cè)模型，利用檢測(cè)模型對(duì)惡意代碼及其變種進(jìn)行家族檢測(cè)?；诨叶葓D像映射的方法可以有效的避免反追蹤、反逆向邏輯以及其他常用的代碼混淆策略。而且，該方法能夠有效地檢測(cè)使用特定封裝工具打包（加殼）的惡意代碼。在一定程度上解決了特征檢測(cè)的人工提取困難、行為檢測(cè)的時(shí)間開銷大且誤報(bào)高等問(wèn)題。對(duì)于惡意代碼變種和加殼文件具有如圖所示，上述圖片都是某個(gè)惡意軟件的多個(gè)變種，但各自的MD5值都不一樣，現(xiàn)有的基于特征的檢測(cè)如圖所示，上述圖片都是某個(gè)惡意軟件的多個(gè)變種，但各自的MD5值都不一樣，現(xiàn)有的基于特征的檢測(cè)如圖所示，ATD采用業(yè)界獨(dú)特的基因檢測(cè)技術(shù)，可以利用惡意代碼在變種過(guò)程中的遺傳學(xué)特征，即基因在遺傳過(guò)程中的復(fù)制特性及部分基因突變特性，對(duì)惡意代碼及其變種進(jìn)行檢測(cè)?？梢院茌p易的識(shí)別出惡意代為了確保通信安全和隱私以及應(yīng)對(duì)各種竊聽和中間人攻擊，HTTPS逐漸全面普及，越來(lái)越多的網(wǎng)絡(luò)流量也被加密，然而，攻擊者也可以通過(guò)這種方式來(lái)隱藏自己的信息和行蹤，通過(guò)給惡意流量封裝上一層名為惡意加密流量及合法加密流量有不同的流量行為模式，根據(jù)對(duì)惡意加密流量的分析，提取惡意加密流量與合法加密流量的SPL數(shù)據(jù)（數(shù)據(jù)包長(zhǎng)度與數(shù)據(jù)包到達(dá)間隔時(shí)間順序）、流量相關(guān)的DNS元數(shù)據(jù)、TLS元數(shù)據(jù)、HTTP元數(shù)據(jù)，構(gòu)造用于識(shí)別惡意加密流量模式的向量，采用集成學(xué)習(xí)算法學(xué)習(xí)流量向量建立相應(yīng)的加密隱蔽隧道是繞過(guò)防火墻屏蔽的一種通信方式，防火墻兩端的數(shù)據(jù)包，通過(guò)防火墻所允許的協(xié)議類型及端支持DNS隱蔽隧道通信檢測(cè)，基于隧道工具的DNS隱蔽隧道；DNS直連隧道；于DNS隱蔽隧道關(guān)聯(lián)分析發(fā)現(xiàn)受控主機(jī);支持ICMP隱蔽隧道通信檢測(cè)，利用ICMP隧道違規(guī)突破內(nèi)網(wǎng)WEB訪問(wèn)，利用ICMP隧道傳輸數(shù)據(jù)，利用ICMP隧道進(jìn)行遠(yuǎn)程控制；支持HTTP隱蔽隧道通信檢測(cè),常用的HTTP隧道惡意代碼里不寫入域名字符串，而是使用一個(gè)私有的隨機(jī)字符串生成算法，按照日期或者其他隨機(jī)種ATD支持DGA域名人工智能檢測(cè)，通過(guò)建立針對(duì)DGA生成域名的集成學(xué)習(xí)模正常域名樣本通過(guò)集成學(xué)習(xí)模型進(jìn)行訓(xùn)練，使集成學(xué)習(xí)模型具備識(shí)別DGA域名能力。在捕捉到網(wǎng)絡(luò)流量中的域名信息后，將之輸入深度學(xué)習(xí)模型進(jìn)行識(shí)別，集成學(xué)習(xí)模型輸出該域名是否為DGA生成的域名，進(jìn)而準(zhǔn)確在WEB應(yīng)用攻擊檢測(cè)過(guò)程中，基本是依賴于規(guī)則的黑名單檢測(cè)機(jī)制，無(wú)論是WEB應(yīng)用防火墻或IDS等，基于人工智能的WEB攻擊檢測(cè)技術(shù)支持SQL注入攻擊檢測(cè)，XSS攻擊檢測(cè)；Webshell攻擊檢測(cè)，包括通過(guò)采用金睛云華基于AI的檢測(cè)技術(shù)解決方案，用戶成功彌補(bǔ)了原有態(tài)勢(shì)感知平臺(tái)和高級(jí)威脅檢測(cè)探針全面提升威脅檢測(cè)能力：新方案有效補(bǔ)充并增強(qiáng)了對(duì)已知及未知惡意文件變種、隱藏隧道通信、加密流量中的惡意行為、VPN代理穿透以及DGA僵尸網(wǎng)絡(luò)等多種新型威脅的檢測(cè)能力，檢測(cè)準(zhǔn)確率相較于傳統(tǒng)規(guī)則實(shí)戰(zhàn)成果顯著：在國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要保障期間，金睛云華現(xiàn)場(chǎng)安全服務(wù)團(tuán)隊(duì)提供了7x24小時(shí)的值守支持，協(xié)助客戶成功發(fā)現(xiàn)并有效處置了多起新型攻擊事件，使得客戶在紅藍(lán)對(duì)抗演練中取得優(yōu)異成優(yōu)化資源配置與工作效率：通過(guò)融合各類安全設(shè)備，運(yùn)用攻擊鏈分析技術(shù)，該方案幫助客戶大幅減少了約25%的安全設(shè)備投資，并降低了30%以上的運(yùn)營(yíng)維護(hù)工作壓力。同時(shí)，安全分析人員的工作效率得到了明在金睛云華為某央企實(shí)施高級(jí)威脅檢測(cè)能力項(xiàng)目過(guò)程中，我們遇到了一些挑戰(zhàn)并從中學(xué)習(xí)到了許多有價(jià)以用戶為中心的項(xiàng)目實(shí)施方案：盡管項(xiàng)目的目標(biāo)是提高高級(jí)威脅的檢測(cè)能力，但這并非一個(gè)孤立的需求。它需要與用戶的業(yè)務(wù)系統(tǒng)、現(xiàn)有的態(tài)勢(shì)感知平臺(tái)、高級(jí)威脅檢測(cè)探針、防火墻等其它安全設(shè)備緊密結(jié)合。在未來(lái)的項(xiàng)目實(shí)施中，我們更需要深入理解客戶的整體業(yè)務(wù)環(huán)境和安全需求，以便為其提供更全面、更保持產(chǎn)品和方案的創(chuàng)新性：關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)不能僅依賴于已有的網(wǎng)絡(luò)安全設(shè)備和方法。高級(jí)威脅的復(fù)雜性和變化性，需要我們不斷追求創(chuàng)新及先進(jìn)的檢測(cè)技術(shù)和方法，例如AI技術(shù)。這也將驅(qū)使我們?cè)谖瓷罨瘍?nèi)功，提升產(chǎn)品核心競(jìng)爭(zhēng)力：我們細(xì)化了各類高級(jí)威脅的檢測(cè)方法，并在實(shí)踐中對(duì)其效果進(jìn)行了驗(yàn)證。無(wú)論是文件基因圖譜檢測(cè)、惡意加密流量檢測(cè)、隱蔽隧道檢測(cè)、WEB攻擊檢測(cè)，還是DGA域名檢測(cè)，我們都從中積累了寶貴的經(jīng)驗(yàn)和知識(shí)。在未來(lái)，我們將更深入地研究這些技術(shù)，并積極融入大模型的檢測(cè)能力。企業(yè)介紹：未嵐科技是國(guó)內(nèi)最具代表性的CAASM解決方案