一、项目概况

1. 项目背景

海尔集团的信息安全建设已经进行了多年，在2007年海尔集团发布互联网战略后，海尔集团IT部门相应在互联网转型中承接互联网安全战略。建立安全防护体系、检查评估体系、数据防护体系、安全响应中心，在内部部署了从互联网安全检测到网络安全边界防护和内网检测防护产品和规则，具备全域的信息安全防护能力。
在国家智能制造和工业互联网发展战略号召下，海尔工业互联网平台COSMOPlat逐步发展，海尔对工业互联网安全保障能力的需求逐步增加，工业互联网安全防护平台的构建逐步提上日程。在多年互联网安全防护能力的基础上，针对海尔工业互联网平台COSMOPlat的安全防护，平台安全按照工信部相关政策指引，开启了海尔工业互联网生态安全项目海安盾，构建海尔工业互联网安全防护体系、安全评估体系、安全态势感知体系及应急响应体系，并与省-国对接，进行政企联动，实践行业的生态安全治理新思路。

2. 项目简介

海尔工业互联网生态安全项目是在基于实现海尔集团工业互联网网络安全、应用安全、设备安全、控制安全、平台安全和数据安全六大安全模块的基础上，通过大数据技术和机器学习技术构建了一套自主研发设计的软件平台，实现海尔集团工业互联网安全的一体化安全防护体系，构建安全态势感知体系，并逐步完善应急响应体系,形成企业统一安全运营平台。

3. 项目目标

海尔工业互联网生态安全项目针对各个安全模块实现安全防护，如网络安全、设备安全、控制安全、数据安全、云安全、平台安全，构建基于工业互联网安全的安全防护体系，并实现工业互联网安全各个安全模块的安全态势感知体系、安全检测体系与应急响应体系。最终实现海尔-省-国家的安全对接，形成在工业互联网安全方面企业—省级—国家级三级联动，协助国家构建工业互联网安全生态圈。
 

二、项目实施概况

1. 项目总体架构和主要内容
（1）海尔工业互联网生态安全项目总体架构
海尔工业互联网生态安全项目为海尔工业互联网安全提供一体化的安全防护体系，并在防护基础上逐步构建安全监测体系、安全态势感知体系和应急响应体系。在使用网络安全、数据安全、主机安全、终端安全和开发安全等六大安全模块15个安全组件为工业互联网安全提供防护的基础上，实现安全态势感知、安全防护、应急响应等功能。
海尔工业互联安全防护功能共包括六大安全模块及15个安全组件如图1所示：

图1  海尔工业互联网安全防护架构
 

项目在其一体化的安全防护基础上，构建安全感知体系及应急响应体系，共同形成了海尔工业互联网安全解决方案。

（2）技术逻辑架构
采集工业互联网安全数据，大数据智慧大脑实构建安全模型，进行大数据分析，并通过海安盾威胁情报中心进行碰撞，动态识别安全威胁和安全风险，实现安全威胁智能拦截和安全事件敏捷闭环。海安盾具体实现逻辑架构如图2所示：

海安盾通过大数据手段将平台安全数据统一汇总，并通过安全模型进行安全展示、分析和运营。采用大数据技术分析以上工业互联网六大安全模块产生的安全日志，和通过流量探针采集到的工业互联网安全流量，在中间层构建一套安全运营中心，通过权限管理为工业互联网平台各节点安全人员查询安全事件，实现安全溯源。通过大数据分析和大屏显示技术设计实现安全态势感知、安全监测中心、威胁情报中心和应急响应中心。
海安盾通过大数据技术，实现月均T级数据量的存储分析及安全模型的创建。在智能化方面通过大数据实现T级数据自动化分析，安全威胁实时动态感知，威胁发现时间有天缩短为秒级别，由报表分析到动态显示快速排查定位。面对超级黑客的隐蔽攻击和渗透测试，能够第一时间识别和发现，通过态势感知的溯源系统信息。

2. 具体应用场景
（1）工业互联网平台COSMOPlat应用
海尔的COSMOPlat已经为家电、家居、新能源等十多个行业的企业提供了产业链全流程升级、实现大规模定制转型的服务，包括消费级场景的物联网接入、工业级场景物联网设备接入和数据分析、支持第三方各类工业应用的开发、运行和监测服务。
在COSMOPlat上，既有上千万的消费级设备接入，比如空调、冰箱、洗衣机等，用户可以随时随地的控制自己的消费产品。同时也有上万的工业级设备接入，比如工厂的关键核心设备、线体、工装器具等等，工厂可以实时查看和控制生产状况。然而，从信息安全的角度来讲，新技术、新形势必然带来了新的风险，一旦这些设备接入网络，意味着设备的信息，我们对设备的控制权都受到了潜在的威胁。通过监测发现，我们每天都面临大约 20000多次网络攻击事件。如何保障接入平台海量的设备终端、用户数据的安全，对消费级和工业级网络在安全机制上的差异化处理，面临着很大挑战。比如如何防范工业控制领域设备、APP和云平台的信息泄露、弱口令、用户越权、数据重放、反编译逆向、传输劫持和OWSP十大安全漏洞，确保工业网络值得信赖，是同时摆在制造业的厂商和管理者面前的最重要的问题之一。其他痛点还包括系统多样化（linux/android/ios/module），传统的PKI加密体系已经无法满足多个系统之间的加密传输要求。
海尔工业互联网生态安全项目为海尔工业互联网平台COSMOPlat提供安全防护、安全监测和安全运营，为COSMOPlat提供具体安全防护功能如图3所示：

海尔工业互联网生态安全项目为COSMOPlat提供网络安全、数据安全、应用安全、设备安全、控制安全及态势感知等安全防护，行业首家打通用户、平台、工厂的工业互联网安全防护体系。具体安全防护如下：
①网络安全：针对COMSOPlat工厂的网络安全，首先采用网络隔离防火墙将工厂网络划分为工厂生产区、工厂服务器区、工厂办公区，以防安全攻击一旦进入，影响工厂生产。其次在工业互联网感知层，重点加强节点和汇聚节点之间以及节点和网络之间的安全认证，加强加密信息的传输、严格进行密钥分配与管理、完善身份认证机制提高入侵检测的手段，增强工业互联网端点智能安全能力，构建端点智能自组织安全防护循环微生态。在工业互联网网络层，重点建立完善异构网络统一、兼容、一致的跨网认证机制，完善网络安全协议，加强密钥管理，完善机密性算法，加强数据传输过程的机密性、完整性、可用性的保护。
②设备安全：针对工厂里的设备如PLC、机器人等，通过身份认证和加密传输实现设备通信；通过漏洞扫描检测与漏洞加固对工厂设备的漏洞进行安全检测; 通过在设备层与网络层设置安全网关，安全网关负责采集数据，如流量数据、设备状态等等，这些数据上传到应用层，利用应用层的数据分析能力进行分析，根据分析结果，下发相应指令，防护设备的安全。
③工控安全：主要针对工控主机安全进行防护，针对工业控制主机的运行软件设置白名单机制，管控工控主机进程实时监测工控系统控制器下装、上传、启动、停止等关键操作，支持多种工控设备实时监测工控系统控制器下装、上传、启动、停止等关键操作，支持多种工控设备，防止如wannaCry等勒索漏洞的爆发，保障工控设备的运营安全；用针对工控流量分析设备对工控运行指令实时监控，动态感知工控运行安全，监测工控系统的异常行为并加以记录。
④安全监测中心：针对工厂，设置工厂级安全监测中心，分析工控流量，解析工控协议，识别安全风险。另外通过安全网关上传数据至平台层，实现多个工厂数据集成，实现COSMOPlat的平台级监测中心。连接工控设备及安全设备，采集设备日志集中分析，发现安全威胁并通过多种途径告警，并对攻击链条回溯画像，统一管理安全事件。
海尔工业互联网生态安全项目为COSMOPlat平台实现网络安全隔离、网络入侵防护与检测，针对工厂设备实现防病毒、漏洞扫描与加固，传输加密与认证，工控设备实现进程白名单设置，并针对工控流量进行监测，构建监测中心，动态感知工业互联网平台安全。
（2）企——省——国工业互联网生态安全联动
海尔响应国家工业互联网安全的号召，一方面为海尔工业互联网平台COSMOPlat安全赋能，另一方面为实现工业互联网的生态安全，进行政企联动，共同开展工业互联网的成熟生态安全解决方案。目前海尔实现与省信管局的工业互联网安全对接，将海尔工业互联网安全解决方案与省信管局进行共享，最终实现与国家对接。政企联动，首先进行企业——>政府的单向联动，最后实现企业<——>政府双向联动，共同完成行业的生态安全治理。

三、下一步实施计划

1. 构建面向大、中、微型企业定制化安全解决方案
完善海尔工业互联网生态安全体系，扩展工业互联网防护体系的防护对象，完善工业互联网安全监测体系和安全应急体系，适用对大中小型企业工业互联网安全解决方案。

2. 政企安全平台实现双向对接
完成工业互联网安全成果与省信管局的对接，并进行与国家工业互联网安全成果的学习与借鉴，形成企业级—省级—国家级工业互联网生态安全的三级联动，构建完善的工业互联网安全生态圈，形成标准的工业互联网安全解决方案。

四、项目创新点和实施效果

1. 项目先进性及创新点
创新点：

（1）采用高新技术如大数据、机器学习等对安全数据进行建模、分析
（2）将工业互联网安全的各个安全模块：网络安全、应用安全、设备安全、控制安全、平台安全、数据安全建立统一安全平台，实现分散数据统一分析。
（3）针对工业互联网工厂安全，实现了集网络安全、设备安全、工控安全等安全模块的安全监测中心。

先进性：行业首家与省、国对接的工业互联网安全平台，完成行业的安全治理。为工业互联网安全治理拓展了新的思路。

2. 实施效果
COSMOPlat工厂实施效果，如图4所示：

图4  工业互联网工厂实施效果

 

海安盾提高了工业互联网安全风险发现率，规避了因安全威胁和安全漏洞产生的安全损失，实施案例如胶州工厂，实现工厂的安全监测中心，涵盖工业互联网工业设备和工控主机的安全风险发现和安全闭环。2018年案例如下：
2018年7月，通过海安盾安全态势感知功能，在COSMOPlat下的一互联工厂的上位机设备上发现休眠勒索病毒。该勒索病毒为wannaCry的变种，病毒在2017年5月份在全球范围内爆发，多达150个国家受到该病毒勒索，涵盖多个行业如医疗体系、加油站和高校等，爆发率高达95%。工厂受该病毒感染的设备为执行工业控制系统的上位机。一旦出现问题，将耗时两天才能恢复，因此会导致工厂生产停滞一天，经工厂产值估算，一天将引起一千万的价值损失。海安盾通过对工业互联网的互联工厂的安全识别，实现勒索病毒的及时发现，第一时间规避风险损失千万级别。