全息 御制造业安全解决方案

一、行业背景

制造业是国民经济的主体，是立国之本、兴国之器、强国之基。以工业互联 为代表的新工业革命，以数据作为创新发展的要素，以数据驱动新型生产制造和服务体系建立，使数据成为贯穿工业制造的“血液”，成为提升制造业生产力、竞争力、创新力的关键要素。因此，制造业信息系统安全关乎企业经营、核心竞争力，关乎国计民生，关系国家总体安全。

二、安全需求

制造业信息系统与其他行业（非工业、制造行业）相比更加复杂，总体而言主要涵盖以下三个层面：

1、工业控制系统（ICS），是工厂生产制造自动化系统，包括：DCS、PCS、PLC、HMI、SIS等。

2、企业管理信息系统，是企业用于生产、经营的传统信息化系统，如：MES、ERP、CRM、WMS、PLM、CAD/CAM等。

3、工业互联 ，是与企业“数字化转型”相关的系统，如：工业物联 、移动互联 、工业大数据等各类应用系统。

工业领域的安全一般分为三类： 络安全(Security)、功能安全(Functional Safety)和物理安全(Physical Safety)。

在第一层面，即工业控制系统（ICS），安全多关注功能安全与物理安全，即防止工业安全相关系统或设备的功能失效，当失效或故障发生时，保证工业设备或系统仍能保持安全条件或进入到安全状态。

第二层面，即企业管理信息系统层面，是以 络安全为主，也包括企业知识产权保护（IP）相关的数据安全等安全体系。

不过近年来，随着工业控制系统IT和OT的融合不断加深，工业控制系统也面临严重的 络安全威胁，如何抵御工业控制系统面临的安全威胁则成为一个紧迫的安全需求。

在第三个层面，即工业互联 的安全挑战更为艰巨：

1、工业互联 以“云计算、移动互联 、大数据、物联 ”等新技术为基础，导致工业控制 络、企业管理信息系统 络边界模糊甚至消失，数据和指令在工业控制 络、企业管理信息 络和“云”之间，行业内部或者行业间流动，因而面临的安全威胁的范围、复杂度、风险等级前所未有。

2、工业互联 数据同时具备的“工业”和“互联 ”属性，数据种类、结构、归属、用途繁多；数据处理过程复杂；数据使用者范围广、权属复杂；数据价值、重要程度高等一系列特性，决定了工业互联 数据安全治理的重大挑战。

3、工业互联 平台、物联 设备（系统）成为主要的安全威胁攻击目标，但是很多企业也还没有意识到相应的安全体系建设（安全技术、安全管理、安全策略）的必要性与紧迫性。

总体而言，制造业的安全需求主要体现在以下几个方面：

首先，在 络安全方面，面临着APT、“0”DAY、 交工程、软件供应链等各种层出不穷的新型安全威胁（技术、战术组合）。例如：传统的特征匹配和威胁情 依赖已知威胁，无法检测0DAY等未知威胁攻击；沙箱与真实环境始终存在差异，容易被逃避和欺骗；入侵防御，漏洞扫描，终端安全等安全产品各自为战，其产生的异常告警无法实现关联分析，误 漏 严重；针对恶意样本行为进行学习的AI技术，依赖于作为样本的已知攻击手法，无法检测未曾学习过的未知威胁等。制造业客户急需解决现有安全产品在威胁检测环节存在的问题，尤其对于物联 设备、平台和系统，需要有更有效的风险预警、威胁检测手段。

其次，在数据安全方面，制造业不仅仅需要知识产权（IP）方面数据防泄漏解决方案，更需要进行有效的数据安全治理，特别是那些部署了工业物联 ，工业互联 的制造业企业，迫切需要按照数据安全治理的理念和方法实现数据安全保护。

最后，在安全管理和运维方面，制造业推进以新一代信息技术为驱动新工业革命的过程中，数据和应用贯穿“IT”和“OT”系统，覆盖业务流程的深度和广度（设计、生产、制造、销售、运输、售后服务等环节）都大大超过了传统企业信息系统运维管理的范畴，迫切需要一个可视化平台，实现企业安全运维管理可视化。

三、解决方案

面向制造业，全息 御主要提供以下3个解决方案：

1、提供工业互联 数据安全治理工具，以DCAP的技术和方法，实现数据发现、分级、分类；覆盖数据生命周期的工业互联 数据监控和审计；对内部威胁导致的数据泄漏、盗取威胁实现预警和告警；数据防违规审计、追溯、取证等功能。

2、实现 “用户、设备、应用、数据”四个维度资产画像、关联以及可视化，以制造/控制过程和工业数据为核心刻画用户、设备和应用，提供企业业务运营、安全运营情 平台，实现安全管理运维可视化。

3、采用UEBA技术的预警和检测方案，完善当前 络安全体系：采用机器学习技术，构建企业安全基线，通过用户和设备行为分析（UEBA），检测和发现的安全威胁突破边界后的横向移动、权限提升、损害制造/控制过程、数据盗取等异常行为，从而实现不依赖于特征匹配、威胁情 的新型安全威胁预警和检测。

部署和实现方式：

?

1、在工业控制 络，企业信息管理 络，以及工业互联 云平台部署HolFlow数据采集器，实现工控数据、企业管理数据、工业大数据等多元基础数据的采集。

2、数据分析平台HoloVision采用集群模式部署在运维管理区，采用机器学习技术，自动发现、学习、刻画“用户、设备、应用、数据”四个维度资产，并对客户资产实现精确描述，对四个维度进行关联分析。

3、通过数据分析平台提供 络安全和数据安全监控、审计、预警等功能。

四、方案价值

1、动态数据资产发现和分级、分类：对于工业互联 数据的实时发现、动态数据分级、分类和权属标记，专注于关键、核心资产，是数据安全治理的重要工具。

2、数据资产的全面精确描述：在数据资产发现、分级、分类的同时，提取与数据关联的用户、设备和应用（业务系统），全面、精确描述数据资产，实现数据内容、业务属性、安全属性的关联。

3、抵御内、外部安全威胁：采用UEBA技术发现内部威胁，实现数据安全预警、阻止数据盗取，保证数据安全。

4、贯穿工业控制系统、企业管理信息系统、工业互联 ，IT系统和OT系统融合，实现安全可视化。

五、特点和优势

1、无感知、按需部署：全息数据采集器支持TAP模式（镜像模式）部署，根据用户数据发现需求按需部署，对 络、业务系统无感知。

2、轻量化数据采集，实时处理：全息数据采集器即时处理 络流量，形成日志上送分析平台，对 络带宽、数据存储要求低，适用于大数据环境，扩展性好。

3、无监督学习：支持无监督机器学习，自动关联数据资产、用户、设备和应用，自动画像，自动刻画基线，构成企业数据安全情 系统。

4、智能异常检测，并通过资产关联、威胁情 等手段进行定位、跟踪。

5、内部威胁告警取证和追溯，支持6个月以上的用户、设备、应用和数据的追溯，取证，行为还原。

?

关于全息 御：全息 御是行为数据驱动信息安全的领航者，通过其特有的专利技术系统性融合了NG-DLP、UEBA、NG-SIEM、CASB四项先进技术，结合机器学习（人工智能），发现并实时重构 络中不可见的”用户-设备-数据”互动关系，推出以用户行为为核心的信息安全风险感知平台。为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。