威努特全方位态势感知平台：稳健赋能汽车制造，筑牢安全新基石

汽车工业经过百余年的发展和演变，已经形成了一条庞大的产业链，成为世界上规模最大、产值最高的重要产业之一，在国民经济和日常生活中占据着越来越重要的地位。

各大汽车制造企业正积极构建智能化大数据平台，注重数据安全，追求高效处理，推动多源异构数据的整合与应用。然而，网络安全问题日益突出，IT与OT侧安全相互影响愈发复杂。网络安全建设与信息化、数字化建设尚未同步，工业安全投入不足。业务系统一旦遭受网络攻击，汽车制造过程可能受干扰，甚至引发安全事故。汽车制造行业存在的安全问题如下：

• 缺乏全面的网络安全规划：由于没有从上至下的整体网络安全架构设计，导致网络安全体系不完整、建设零散，无法满足数字化业务运营所需的高标准网络安全保障要求。

• 网络安全意识薄弱，缺乏完善的管理、应急和教育培训机制：对网络空间的安全威胁、潜在攻击者及其技术手段认识不足，常抱有不切实际的幻想，认为自己不易成为攻击目标。此外，网络安全事件应急响应的制度与流程不够规范，缺乏实际演练的验证。教育培训体系不健全，导致专业人员的技能无法适应形势的快速发展。

• 缺少网络安全威胁感知手段：资产情况模糊不清，安全状况不明朗，网络安全威胁难以察觉，导致安全管理员无法真实掌握网络安全状况，难以洞悉业务系统所面临的安全风险，无法确定威胁的来源及其潜在危害程度。

• 企业缺乏对控制系统网络安全的统一监管机制：缺乏一个集设备资产管理、运行状况监控、安全报警、事件感知、记录分析以及后续处理于一体的综合管理平台，导致无法实现对控制系统网络安全的统一监视、管理和运营。

态势感知可作为解决汽车制造行业安全问题的一款产品，通过获取海量数据与事件，直观、动态、全面、细粒度地提取各类网络攻击行为，并对其进行理解、分析、预测及可视化。安全团队把安全态势感知平台作为安全运营的眼睛，发现传统安全平台和设备不能监测到的事件，将网络上似乎无关的事件有机的关联起来，从而更有效地排查安全事件并做出响应。

威努特态势分析与安全运营管理平台是集资产、漏洞和威胁态势感知于一体的综合平台，能展示全面和具体的态势视图。其核心在于精准态势决策，包括调整整体安全防御水平的宏观决策和快速响应具体安全事件的中观决策。平台具备实战化运营能力，态势运营作为关键环节，优化人机互动，实现闭环管理。该平台运行可行，将态势感知闭环融入整体运营，提供技术支撑、规范流程和明确职责，为企业构建真正的“态势运营”提供保障。

威努特态势分析与安全运营管理平台借助全流量分析、多维度数据采集与智能分析技术，我们实现对全网安全态势、内部横向威胁、业务外联风险及服务器漏洞的实时监控。这使得管理员能够清晰了解全网安全状况，明确薄弱环节及潜在攻击点。围绕攻击链，我们构建了一套涵盖事前检查、事中分析、事后检测的安全能力体系，从而全面揭示全网威胁，为管理员提供有力的决策支持。

威努特态势分析与安全运营管理平台依托大数据框架与ES引擎设计，坐拥TB级海量数据存储与关联分析能力，且支持集群等方式扩展。此外，凭借威努特数据分析团队在大数据性能优化领域的深厚研发积累，该平台实现了万亿级数据的超大规模管理，并具备秒级查询能力。

威努特态势分析与安全运营管理平台通过采集并分析全网流量、主机日志以及第三方日志，实现了对已知威胁以及未知威胁的24小时不间断监测。同时，平台结合智能分析与人工干预的灵活运营支持，针对已发现的威胁进行精确预警，简化了运维流程，提升了预警通报的有效性。

在公司总控厂区采用集群方式部署态势分析与安全运营管理平台（以下简称SASOC）作为公司核心的安全管理平台，业务处理和数据处理分开，极大提高了服务器性能。对全网IT资产集中化信息采集、分析和管控，为运维工程师提供可视化运维依据，为工单流程提供数据流转依据采用。

在分支机构，配备安全管理平台，用于管理分支的IT资产，并将分支资产信息、日志等数据统一上报，减小分支暴露面。

在安全管理区部署运维堡垒机，设置ACL访问策略，保障运维数据流经过堡垒机到达运维资源。对运维过程进行录屏、键盘记录，并进行审计，保障远程运维安全。

在集团总控和下级厂区之间部署工业防火墙，实现对区域之间的边界防护。下级工厂业务区、安的网络出口部署工业防火墙，实现每一厂区的业务区之间的边界防护。

在下级厂区的工程师站PC端部署主机卫士，实现对主机的安全防护，增强对主机未知威胁防范能力。

主动识别资产：通过IDS/高级威胁检测设备作为探针可主动识别业务系统下属的所有业务资产，可主动发现新增资产，实现全网业务资产的有效识别；

资产暴露面可视：将已识别的资产进行安全评估，将资产的配置信息与暴露面进行呈现，包括开放的端口、可登录的Web后台等；

违规资产发现：通过网络数据包分析，对未备案的新增资产进行实时告警，发现脱离IT部门管控的违规资产。

依托于可视化技术，通过访问关系展示用户、业务系统、互联网之间访问关系，能够识别访问关系的Who，What，Where，When，How，通过颜色区分不同危险等级用户、业务系统。提供以下展示：

全网业务可视化：基于全网业务对象的访问关系的图形化展示，包括用户对业务、业务对业务、业务与互联网三者关系的完全展示，并提供快捷的搜索。供IT人员在业务迁移和梳理时直观的查看业务关系，是否有遗漏的业务未被防护、是否存在内部攻击、是否有业务外连、是否存在外部攻击等行为。

基于业务视角的可视化：可呈现当前业务由内而外、由外而内两个方向所有可视化访问关系，包括是否被攻击、是否违规、是否被登陆、是否外发攻击等。供IT人员识别潜在风险。如已被控制的用户不停的来攻击当前业务，那么可以很明显的在可视化关系图上看到这个横向攻击。

基于用户的可视化：可呈现该用户已经通过哪些应用、协议和端口访问了哪些业务，这些访问是否是攻击、违规、远程登陆等行为。可清晰的看出已对哪些业务存在影响，也能推导当前用户是否已失陷（或可疑）。

失陷业务/风险用户检测：通过外发异常流量、网页篡改监测、黑链检测等检测技术确定业务系统/资产是否已被攻击，并将资产存在的后门进行检测，并通过邮件告警等方式向管理员告知已失陷的安全事件；

失陷业务和风险用户举证：事件化、多维度的失陷主机检测，对风险业务、风险用户进行详细举证，将目标资产发起的和遭受的攻击/异常活动进行汇聚整理成安全事件，而不再是大量的日志罗列，可直接看懂当前主机正在进行的活动，或遭受的活动到底是什么；

主机威胁活动链：以攻击链的形式展示主机被入侵后发起的威胁活动情况，直观显示被入侵后主机是否被利用产生威胁，且威胁程度是否逐步升级的情况；

有效攻击事件分析：过旁路镜像的方式可将攻击回包状态进行完整的检测，结合业务系统的漏洞信息，可以识别攻击成功的有效安全事件。

通过大数据关联分析发现网络中的失陷主机、安全威胁，识别业务潜在安全风险和APT攻击行为，基于数据挖掘等技术对主机存在的脆弱性、安全日志、访问关系等数据进行深度关联分析，以时间线方式，回溯主机失陷的完整攻击过程，包括攻击来源、攻击手段、攻击入口点、失陷时间点等。以可视化的方式将失陷主机内外网的攻击行为、异常访问行为、风险访问行为进行关联展示，看清攻击的整个影响面。平台存储的安全检测日志审计日志、元数据、攻击报文等，可以为安全服务人员提供快速分析、溯源取证。

平台基于大数据关联分析与深度挖掘技术快速定位出内网失陷主机和新型威胁，对于来自于互联网或边界的攻击行为，通过联动下发安全策略，及时阻断相应的攻击行为。对于服务器与终端的失陷主机，通过联动终端安全组件下发一键扫描策略，快速查杀恶意程序，并利用终端安全组件的微隔离功能，封堵主机的攻击行为，防止威胁的进一步扩散。同时还配套专业的人工服务，提供专业的威胁分析、威胁处置、溯源分析、安全加固等，配合完成闭环处置安全风险，提升安全运营能力。

威努特态势分析与安全运营管理平台（简称SASOC）是企业的安全大脑，主要服务于企业日常安全运营，一方面提供系统资产态势、运行态势、攻击态势、脆弱性态势、事件态势等各类宏观数据的分析和展示；另一方面统一安全管理入口，实现多设备集中运维、安全策略集中配置和下发、日志集中收集和分析、设备操作集中审计。实现了含资产管理、策略管理、监测预警、攻击溯源、漏洞管理、风险评估、合规评估、趋势预测、协同联动于与一体的一站式安全运营。