ISC數字安全創新性案例報告CONENTS聚能安全創新·服務數字安全012023數字安全創新性案例”入選結果公布02億格云03藪貓科技09360數字安全集團13懸鏡安全17齊安科技22眾智維科技27觀成科技36金睛云華39未嵐科技45牧國科技49結語52聚能安全創新·服務數字安全—ISC2023數字安全創新百強評選活動在這個信息化飛速發展的時代，數字安全已經成為了國家安全、社會穩定和經濟發展的關鍵支柱。隨著技術的持續進步和應用的廣泛擴展，數字安全面臨的挑戰也日益嚴峻。在這樣的背景下，ISC2023數字安全創新百強以“聚能安全創新，服務數字安全”為主題，致力于搭建一個交流分享的平臺，推動數字安全領域的創新和發展。我們期待通過這個平臺，激發更多創新思維、共享成功經驗，讓數字安全從挑戰轉變為全新的機遇。這是一個以服務數字安全為主旨的時代，我們迫切需要前瞻性的創新，以確保數字社會的安全和可持續發展。因此，“聚能安全創新，服務數字安全”不僅僅是一個主題，它是對當前數字安全領域的深入洞察，也是對未來發展方向的明確指引，更是我們面對新形勢、新挑戰時的行動號召?！熬勰馨踩珓撔隆币馕吨Y各方力量，匯聚創新思維，共同推動數字安全技術的發展。它強調的是一種集體的力量，一種跨界合作的精神，一種不斷探索和前進的態度。在這個主題下，我們鼓勵和支持各行各業的企業投身到數字安全的創新實踐中，通過技術創新和模式創新，提升數字安全的整體水平?！胺諗底职踩眲t是我們創新的最終目的，創新不是為了創新本身，而是要服務于社會，保障

數字世界的安全運行。這需要我們不僅要關注技術的先進性，更要關乎技術的實用性和普及性，確

保創新成果能夠真正落地，服務于客戶。本次ISC數字安全創新百強案例評選活動就是在這樣的背景和主題下發起的，通過這次活動，我

們將深入挖掘那些突破性的案例，深入剖析這些案例的背景、實施過程、創新點以及所帶來的影

響。這些案例承載著創新的火花，我們期望通過這些案例能夠為讀者提供一個全面、深入的數字安

全創新視角，為未來的數字安全發展提供借鑒與啟示。此外，ISC還為入選企業量身定制了獨特的雷達圖，這些雷達圖涵蓋了五個關鍵維度：技術創新

能力、行業影響力、研發投入能力、經營能力以及市場拓展能力。ISC專家團隊將依據企業提交的詳

盡數據和案例分析，進行綜合評分，最終形成展現企業全方位實力的雷達圖。這些雷達圖不僅直觀地展示了企業在數字安全領域的綜合實力和特色，還為行業內外的觀察者

提供了一個評估和比較的工具。通過這種方式，企業可以清晰地識別自身的優勢和潛在的改進領

域，同時也為投資者和合作伙伴提供了決策參考。通過這種創新的評估，ISC數字安全創新百強評選活動旨在激勵企業持續推動技術邊界，加大研

發投入，優化經營策略，并在全球市場中擴大影響力。這不僅是對入選企業的認可，更是激發整個

行業追求卓越的動力。我們期待本次推出的雷達圖能夠成為企業成長的路標，引領數字安全行業向

更高的目標邁進。01ISC2023數字安全創新性案例2023數字安全創新性案例”

入選結果公布序號案例提供方案例名稱1億格云小紅書基于零信任SASE辦公安全一體化解決方案2藪貓科技三一集團&藪貓科技-智能制造業數據安全建設案例3360數字安全集團某新零售集團股份有限公司安全運營服務項目4懸鏡安全基于代碼疫苗技術的某運營商SCA開源治理實踐5齊安科技電力監控系統站端運維接入安全解決方案6眾智維科技能源行業工業互聯網安全智能應急響應平臺建設7觀成科技金融行業加密業務安全運營平臺建設項目8金睛云華金睛云華助力某央企高級威脅檢測能力建設9未嵐科技某證券公司網絡資產攻擊面管理平臺建設方案10牧聯鏈基于區塊鏈和人工智能技術的畜牧肉牛產業全流程服務平臺建設02案例提供方：億格云億格云企業定位：辦公安全一體化解決方案領導廠商企業介紹：億格云是SASE安全服務商，自主研發了SASE服務平臺—億格云樞，提供包括零信任網絡訪問（ZTNA）、數據防泄漏（XDLP）、威脅檢測響應（XDR）、防病毒（EPP）、上網行為管理（SWG）和統一端點管理（UEM）等功能，解決企業數字化轉型過程中遇到的混合分支辦公安全、數據安全、終端安全等問題，億格云已服務超200家上市公司和獨角獸企業等在內的行業客戶，包括吉利控股、海亮集團、零跑汽車、小紅書、美圖、奈雪控股等多領域頭部企業，在多等行業得到客戶認可。重點產品：零信任數據安全SASE平臺-億格云樞企業網站：企業雷達圖：技術創新能力市場拓展能力行業影響力經營能力研發投入能力企業案例小紅書基于零信任SASE辦公安全一體化解決方案案例背景：小紅書作為面向年輕人網絡購物和社交平臺的互聯網公司，員工近萬人，分布上海、北京、武漢等地，多地遠程多設備成為常態，小紅書自身對數據分析和安全風控有較好基礎，如何在混合辦公環境對核心數據防護同時實現高效靈活成為最大挑戰，例：①多身份角色，導致管控策略多樣化②多終端類型，導致技術方案無法復用③安全產品碎片化，不同環境使用差異性較大安全產品，無法統一管理，平臺兼容性差④運維壓力大⑤多Agent導致用戶體驗下降⑥混合辦公場景下遠程辦公讓數據暴露面變大。03ISC2023數字安全創新性案例關鍵挑戰：多身份角色，接入用戶多樣化導致訪問控制權限難管控：除了內部員工，還有大量合作伙伴需要訪問內網應用。不同組織和人員的訪問權限劃分需要實時

更新，耗費大量精力。多終端類型，云桌面和沙箱等方案無法適用于所有場景：如今辦公終端類型多樣化，除了常見的Windows、MacOS等PC設備，還有大量iOS、Android等

移動設備需要接入辦公，傳統的數據防泄漏方案無法滿足小紅書多樣化辦公設備場景。安全產品碎片化：為了解決不同安全問題，需要部署多套產品。不同產品有不同的管理平臺，運維人員需要適應不

同產品的設計邏輯和操作習慣，在不同產品控制臺之間頻繁切換，學習成本高且維護壓力大；此

外，各個產品之間無法形成聯動處置。傳統安全產品開放性低：在OpenAPI和自定義分析能力方面無法靈活匹配小紅書業務，導致1+1＜2；且傳統的安全產品

標準化交付模式，在一些細分場景下無法匹配小紅書業務，共創定制需求響應慢，甚至無法完全

滿足。終端安裝多個Agent默認就占用大量資源，導致員工辦公體驗差：傳統辦公安全解決方案，需要安裝VPN、EPP、EDR、DLP、UEM等多個Agent，會占用大量設

備資源，影響員工辦公體驗?；旌限k公場景下遠程辦公讓數據暴露面變大：快速發展的小紅書，靈活辦公場景隨處可見?；旌限k公場景下各接入點的安全水位不一致，容易

成為攻擊者的目標。數據安全法律法規發布，企業敏感數據難管控：隨著《個人信息保護法》等法律法規發布，企業的敏感數據面臨監管壓力，但如今敏感數據分布

廣，獲取方式多樣，外發通道難以管控，給企業帶來了挑戰。解決方案：小紅書與億格云基于SASE共創零信任辦公與數據安全一體化解決方案：BeyondCorp與SASE能力的結合小紅書早期調研了以谷歌的BeyondCorp為代表的零信任方案，其無端的訪問方式確實帶來了極致的用戶體驗。安全團隊可以在網關上實現各種風控能力，然而BeyondCorp也存在很大的缺陷：1、協議兼容性較差，只支持七層流量；2、需要對外暴露HTTP(S)服務，存在較大的攻擊面；3、缺少終端安全管控手段，無法覆蓋終端的安全問題；4、實現高可用需要投入大量時間、精力和成本。于是小紅書關注到近年來的零信任新趨勢，即SASE架構，它天然彌補了上述幾個缺陷，分布式的POP點確保系統天然高可用，也補充了客戶端的安全管控能力。然而，直接使用SASE也存在弊端，無法利用小紅書自有業務網關優勢，更要放棄小紅書在網關上積累的風控能力，與企業內部的數據管理脫節。04案例提供方：億格云綜合調研了各種方案后，小紅書根據自身網絡架構特點，提出了一個創新的想法，將BeyondCorp與SASE能力結合，完美地滿足了終端、網絡和身份的安全需求。1、終端-DLP、殺毒、零信任訪問等功能AllinOne，并且支持終端安全與訪問控制策略聯動；2、網絡-辦公網改造成非特權網；全球POP接入點實現高可用；3、身份-客戶端與身份綁定，并在網關處與請求身份匹配，解決身份盜用問題；網關與客戶端聯動在以往依賴網關實現的風控方案中，網關無法拿到終端的安全信息。小紅書創新地將網關風控與客戶端聯動，網關風控能實時識別請求中是否包含客戶端信息并檢測客戶端狀態，確保終端的可信性。同時，還可在終端上實施各種安全合規策略。對于未安裝客戶端的訪問請求，網關風控可將用戶跳轉到客戶端下載頁面，以低成本實現客戶端全員覆蓋。實時風控和異常分析小紅書在風控基建上持續投入了多年，建立了完善的數據安全和風控體系。這套零信任訪問系統可以將4/7層日志和客戶端日志接入風控系統，實現與風控系統的無縫結合?？蛻舳瞬杉陌踩畔轱L控系統添加了更多維度的數據，實現更加精準和完善的異常分析。05ISC2023數字安全創新性案例紅線數據不落地小紅書從數據安全生命周期管理出發，以“不落地”實現紅線數據不泄露。在全/脫敏/權限管理等措施，以數據打標和API打標作為數據防泄露管理的起點。對于內部生產類數據，將數據管控手段左移，通過在線轉換業務系統產生的文檔，使用在線文件取代文件下載。相比傳統沙箱隔離和文件加密方案，這種做法不僅安全性更高，而且員工有更好的使用體驗。多級容災機制整個訪問控制系統是串聯在訪問過程當中，一旦出現故障將影響所有員工的正常辦公，所以系統的穩定性是小紅書考慮的重中之重，為此小紅書與億格云創新性地打造了一個多級容災方案。默認情況下，流量通過小紅書自建的私有POP節點，確保流量和數據都在自己可控的網絡環境中。當本地POP節點發生故障時，系統可自動切換到億格云的公有云POP節點。這種容災方案已經可以保證超高的可用性，但是小紅書不滿足于此，在此基礎上還實施一層Wireguard方案，當零信任防護模式失效時降級到VPN模式，以此實現更高的可用性。06案例提供方：億格云自研客戶端小紅書向員工展示自有品牌的辦公安全平臺，以增加員工對安全軟件的認可度，同時還可以在客戶端上集成更多內部常用的辦公功能。小紅書基于億格云的客戶端SDK，打造了一個匹配小紅書自身風格的客戶端UI，加之便捷的辦公體驗，實現其對員工的“種草”。創新性與優勢：值得一提的是，這一輕量穩定、簡潔高效的一體化“內部安全辦公系統”為小紅書帶來的價值已得以顯

現。在內部調研中，該系統也獲得高達70%的NPS（口碑值）：能力一體化、管理更精細：一體化設計思路，即平臺/功能/管理一體化，大幅降低終端安全體系建設、運行和擴展的復雜性。管控力度

更精細、權限可自動梳理、運維難度更低，對終端、身份、行為和數據等進行全生命周期的精細化準入管

控，確保終端符合內外部的相關準入要求，做到合法合規，準入可信。安全互相賦能：不僅實現產品平臺自身不同模塊之間的數據互通，更無縫銜接已有的安全能力。通過零信任平臺對接現有風

控系統，根據員工所在網絡環境、身份、設備歸屬（公司設備or時動態調整訪問控制策略。07ISC2023數字安全創新性案例全域數據安全管控：系統實現數據安全防護以數據為中心、分類分級為基礎，為小紅書數據資產提供事前主動防御、事中實時監

測、事后追蹤溯源和全程態勢感知?；跀祿娜芷谔峁┤轿弧⒘Ⅲw化防護。應用效果：零信任SASE以身份為中心將原本不安全的廣域網和碎片化的安全能力融合，打破了企業需要部署10多個辦公安全產品且安全產品間煙囪化的現狀。對比單點采購買斷式安全產品堆疊的情況，采用一體化的辦公安全解決方案最大程度上實現了“降本增效”，無需配置單個專屬的IT工程師，為企業至少節約近40%的整體IT運營成本?？蛻粼u價：“小紅書的安全是緊貼業務類型與發展階段演進開展的，從內容安全再到技術安全、網絡安全等方面不斷邁進。區別于傳統圍繞防止黑客入侵的安全建設思路，保障數據安全以及管理訪問控制是小紅書高度關注的要點，防止紅線數據外泄是終態目標。當下，隨著數據安全等政策法規的落地，數據安全成了備受關注的領域，在實現我們防護紅線數據不外泄的核心目標，且保障員工工作效率及體驗，我們選擇性地舍去了傳統云桌面、沙箱之類比較“重”的工具?；诖耍矂撀涞亓阈湃螖祿踩w系，集成至內部安全辦公系統中，替代3、4個安全軟件，實現最小權限訪問以及數據分類分級、流轉、分發等全方位管控，這樣既有效保護紅線數據、又不影響員工效率與體驗。”經驗總結：零信任SASE一體化辦公安全解決方案同樣適用于擁有跨國業務、多分支架構。正在數字化轉型的國央企大型集團公司、以數據為中心的數字化企業、關心敏感數據的外泄或強合規需求的企業、有信創終端的環境的企業、有遠程辦公需求的數字化企業等類型。其解決了傳統網絡安全架構所面臨的許多挑戰，傳統安全架構主要關注網絡邊界的安全，而零信任SASE覆蓋了網絡安全、終端安全、應用程序安全和數據安全等多個層面。提供更全面的安全保障，防止各種安全威脅的發生。SASE對企業網絡架構0入侵和現有應用0改造，可收斂互聯網暴露面，快速落地零信任安全訪問，用基于身份、持續驗證的動態訪問控制能力建立企業安全新邊界；同時，SASE采用云原生技術，高度的靈活性和敏捷性能夠統一管控辦公網的網絡和安全策略，無論分支總部，混合辦公場景下都具備全場景一致的高安全水位；借助全球加速網絡改善了網絡質量，輕量化、穩定、安全功能合一的客戶端以少量的資源占用實現對終端用戶體無打擾的網絡訪問和安全防護體驗。08案例提供方：藪貓科技藪貓科技企業定位：數據安全創新者、下一代數據防泄漏、數據安全態勢感知、終端一體化數據管理、全生命周期數據監測、AI大語言模型技術企業介紹：藪貓科技作為網絡與數據安全領域的創新型企業，依托專業安全團隊的硬核技術，通過創新威脅檢測與響應系列產品，打造「終端x流量」全鏈路、縱深防護體系。同時，結合滲透測試、安全審計、數據咨詢等專業服務，為企業提供下一代數據安全解決方案，讓數據更安全。重點產品：青騅DDR（DataDetection&Response）數據風險檢測與響應產品、颯露紫ADR（APIDetec-tion&Response）API安全檢測與響應產品、赤兔數據資產測繪及合規平臺、數據安全咨詢服務、數據安全攻防服務等。企業網站：企業雷達圖：技術創新能力市場拓展能力行業影響力經營能力研發投入能力企業案例三一集團&藪貓科技：智能制造業數據安全建設典型案例案例背景：三一集團有限公司始創于1989年，業務全面涉及混凝土機械、挖掘機械、起重機械、筑路機械、樁工機械、風電設備、港口機械、石油裝備、煤炭裝備、裝配式建筑PC等。旗下擁有三一重工（SH，600031）、三一國際（HK，00631）、三一重能（SH，688349）三家上市公司，同時擁有三一筑工科技有限公司能等未上市資產。目前三一正在實施三大戰略：數智化、電動化、國際化。09ISC2023數字安全創新性案例三一集團在安全評估工作中發現暫無有效的非結構化識別工具，因此非結構化數據的分類分級工作還未開展，需要補充完善非結構化數據分類分級制度以及相關工具對非結構化數據進行分類分級。其次，三一集團雖然已經部署了云桌面，實現了數據不落地，同時采用了網絡準入控制，但是由于數據傳輸量大且傳輸渠道多，目前僅依靠人工審計來識別和監控敏感數據的流轉，缺乏有效的技術支持，存在數據泄漏風險，需要采取技術措施對終端數據進行監控。最后，當前三一集團數據安全運營管理工作，主要依賴桌面管理軟件和上網行為審計設備，通過人工抽查各類日志來發現數據泄密行為，由于日志量大且通過人工審查幾乎無法完成，不能覆蓋全部數據外發行為，可能存在漏審情況，需要更新數據安全運營模式。關鍵挑戰：防護能力有待提高三一集團期望在湖南省“HW”工作中取得更好的成績，因此急需專業的團隊提供整體安全防護能力，提升HW防守成績。同時，通過前期防護準備發現企業存在的安全風險，為后期整體安全建設提供參考依據。分類分級補充完善三一集團通過“HW”準備階段的評估工作，發現目前已經開展了數據分類分級工作，建立了《研發保密制度》《三一集團數據資產管理標準》以及結構化數據資產分級分類管理流程。但是由于暫無有效的非結構化識別工具，因此非結構化數據的分類分級工作還未開展，需要補充完善非結構化數據分類分級制度以及相關工具對非結構化數據進行分類分級。終端數據監控不足三一集團已經部署了云桌面，實現了數據不落地，同時采用了網絡準入控制，但是由于數據傳輸量大且傳輸渠道多，目前僅依靠人工審計來識別和監控敏感數據的流轉，缺乏有效的技術支持，存在數據泄漏風險，因此需要采取技術措施對終端數據進行監控。安全運營模式創新當前三一集團數據安全運營管理工作，主要依賴桌面管理軟件和上網行為審計設備，通過人工抽查各類日志來發現數據泄密行為，由于日志量大且通過人工審查幾乎無法完成，不能覆蓋全部數據外發行為，可能存在漏審情況，因此需要更新數據安全運營模式。解決方案：基于三一集團在“HW”防護過程中發現的問題，結合三一集團對數據安全保護需求，藪貓科技公司根據自身在數據安全領域的認知和經驗，提供數據安全咨詢服務+數據安全產品的整體解決方案。數據安全產品為藪貓科技的青騅（DDR）數據風險檢測及響應系統（以下簡稱：青騅DDR系統）是基于智能內容識別引擎、驅動級終端應用事件監控、數據外傳風險檢測等核心自研技術所打造的終端數據防泄密產品。系統通過對敏感數據識別算法的革新和對終端軟件的深度hook，智能識別終端敏感數據內容，全面監控數據轉移行為，針對已發生的數據泄露事件進行及時響應，追蹤泄密源頭，防止事件影響進一步擴大。同時，青騅DDR系統亦可幫助管理者監控企業敏感數據使用情況，確保企業內部敏感數據的合規合理使用，助力企業數字化轉型，保障企業知識產權與核心數據資產。青騅DDR系統采用B/S加C/S架構，服務端管理采用web方式進行訪問管理，更加靈活便捷；終端泄露防10案例提供方：藪貓科技護采用輕客戶端方式進行管控，終端負擔更??；系統主要通過終端程序來完成用戶活動捕獲和用戶操作日志摘要，系統管理端來完成日志和用戶活動的集成、過濾和內容分析，管理員可以直觀看到所有數據，也可對數據進行關聯分析、數據統計等，從而確保企業核心數據資產的合理使用。青騅DDR系統主要功能包括桌面管理、網絡管理和數據安全三個方面，不僅專注終端數據資產本身安全，同時也注重終端數據所處終端環境的安全。數據安全咨詢服務主要以數據分類分級咨詢服務為主，包含數據資產梳理服務、數據分類分級規范編制、數據分類分級策略制定和數據分類分級實施等內容。首先，利用青騅DDR系統掃描和業務流程人工調研相結合的方式，形成數據清單。其次，結合客戶單位實際情況，明確分類分級管理過程中各方責任、操作過程、原則和方法，形成可持續的數據分類分級指導方法論。最后，利用數據分類分級指導方法進行實踐，設計數據資產的分類分級策略，指導數據分類分級標記工作的展開，最終形成數據分類分級清單。三一集團數據安全建設項目中，整體方案分為四個建設步驟：發現、梳理、監控、運營。發現：青騅DDR系統作為數據資產發現的基礎，通過桌面管理軟件推送靜默安裝3200臺DDR系統客戶端。此外，青騅DDR系統服務端與三一飛書對接實現組織架構信息，并自動將用戶賬號綁定終端。梳理：藪貓科技數據安全咨詢服務對9大業務進行了調研分析，并結合集團內部的數據分類分級制度，對數據進行分類分級。最后，將收集整理的數據分類分級規則配置到青騅DDR服務端，通過青騅DDR客戶端對終端用戶的文件進行掃描，形成集團數據資產地圖。監控：三一集團希望了解內部員工終端數據的使用情況，因此使用青騅DDR客戶端對終端所有外發渠道進行監控，全方位感知敏感文件流動態勢，覆蓋終端敏感數據產生、傳輸、存儲、使用、銷毀等數據生命周期各個階段。運營：利用青騅DDR系統的運營功能更新數據安全運營模式，通過定期對異常行為進行研判分析，結合深度數據挖掘、事件關聯等功能，發現“有意”或“無意”的數據泄漏行為，同時，對在研判過程中發現的誤報事件進行優化改進閉環，精準保護集團數據資產安全。創新性與優勢：在資產發現、識別與梳理工作中，藪貓科技提出了數據分類分級咨詢服務與數據安全產品資產掃描相結合的方式，兩者互為補充，即有效地提高了數據分類分級咨詢服務實施效率，也極大地減少了單純的利用工具識別資產的誤報情況，快速形成了資產地圖。青騅DDR系統產品融合了LSTM、NER機器學習算法，對終端上識別和用戶主動上傳的文檔進行分詞。為滿足海量文檔的分詞工作，基于構建詞圖的方式構建自動機，實現了O（n）時間內完成了多模匹配，極大提升了分詞的效率。青騅DDR系統終端的操作系統事件采集模塊可通過各類接口采集目標操作系統的文件、進程、注冊表、網絡流量、動態庫與內核擴展的加載與卸載等行為數據。這些接口可具體分為操作系統內建方案（利用操作系統提供給第三方的各類接口信息）和非操作系統內建方案（利用內核內聯掛鉤機制（KernelInlineHooking11ISC2023數字安全創新性案例Mechanism）掛接目標函數）兩種。利用此項技術系統可深度捕獲應用軟件的操作行為、網絡流量，從而實現數據的防泄密監測。青騅DDR系統的內核內聯掛鉤機制具有獨家專利技術，它結合了回調架構與內聯掛接方案的優點，可以為任意內核或用戶態目標添加CallbackHandler）以及“后操作回調CallbackHandler）。前、后操作回調處理程序既可以單獨生效，也可以組合使用。該方案支持跨Windows、macOS、Linux等主流操作系統平臺以及Intel、AppleSilicon等硬件平臺。青騅DDR融合了多種識別瀏覽器上的數據動態傳輸（Data-in-Motion）技術，通過精準數據匹配（IDM、OCR技術等），高維度聚合，實現SSL加密流量檢測，解密流量，識別流量內容；對文件上傳、下載、URLs進行訪問控制，有效地對終端DLP基于瀏覽器防護中的敏感數據進行攔截，實現多終端、多網絡訪問的統一數據防護策略。應用效果：數據安全咨詢服務為三一集團建立非結構化數據資產分類分級標準，共形成273個文件分類，并結合集團內部的數據分類分級制度，將數據分為公開數據、一般商秘、重要商秘、核心商秘4個安全等級，明確了重點保護對象，避免數據泄露和濫用，提高數據的安全性和可靠性，更好地滿足法律、監管和合規要求，減少違規風險。在咨詢服務形成的分類分級規則的基礎上，青騅DDR系統通過資產掃描、分類分級和泄露管控等功能，完成終端數據測繪，并通過監控和識別敏感數據外發行為，及時發現和阻止員工將敏感數據泄露給外部人員，保護企業的商業秘密。青騅DDR系統提供的包含渠道管控、郵件管控、代碼管控、數據行為等多維度可視化儀表盤，便于安全人員全面掌握企業內網數據安全風險全狀況，提升安全可見性。為安全決策提供數據支撐，便于安全人員全面掌握企業數據風險狀況，滿足日常安全運營的需求。在HW防守準備階段梳理分析發現非結構化數據使用存在安全風險，針對發現的風險借助數據安全咨詢服務制定了解決方案，方案落地分為管理和技術兩方面，管理方面通過調研梳理完善非結構化數據識別規則，技術方面采取數據防泄漏工具對非結構化數據進行識別、監控、告警，確保非結構化數據安全，提高發現解決問題的綜合能力。數據分類分級服務和青騅DDR系統的建設有效保護客戶提供的數據資產，使得客戶更加信任企業，從而提高企業的競爭力。12案例提供方：360數字安全集團360數字安全集團企業定位：企業介紹：360數字安全集團是數字安全的領導者，秉持“上山下海助小微”的企業使命，確立安全和AI發展雙主線。在安全領域，形成以“看見”為核心的數字安全中國方案，基于安全即服務理念，將這套方案通過360安全云賦能城市、大型企業、中小微企業。在人工智能領域，推出360安全大模型，率先實現AI實戰應用，解決傳統安全和大模型安全問題。重點產品：360安全云、360安全大模型、360本地安全大腦、360終端安全管理系統企業網站：企業雷達圖：技術創新能力市場拓展能力行業影響力經營能力研發投入能力企業案例某新零售集團股份有限公司安全運營服務項目案例背景：隨著數字化轉型加速，零售行業的經營模式正在發生著巨大的變化，越來越多的零售企業將業務轉向了線上，通過大數據和互聯網重構“人、貨、場”等商業要素形成新的商業業態，形成線上線下相結合的新零售模式。作為大型、綜合、創新型家居零售商，某新零售集團股份有限公司已搭建全國線下零售網絡，并率先在家具行業內開展數字化轉型，以場景化、客戶體驗感、線上線下融合帶來全新消費方式變革，打造實體店第二增長曲線。隨著新零售從線下走到線上，從終端、網站走向APP、小程序等多渠道，面對日漸復雜的網絡環境和不斷增多的數字資產，針對新零售業務的攻擊手段變得更加多樣化、復雜化，企業面臨的安全風險也呈幾何倍數增長，一旦被攻破將帶來極大的損失。如何保障全渠道的業務安全，也成為新零售企業的難題。13ISC2023數字安全創新性案例關鍵挑戰：解決方案：云端服務團隊360安全云本地服務團隊客戶側360安全云：圖中上半部分由360安全云產品和云端安全運營服務團隊組成，360安全云團隊為本項目客戶所提供的安全運營服務是在360安全云賦能下，基于360安全運營數字化協作平臺和云端多層級專業化運營服務團隊保障和持續的服務質量監督機制，為客戶提供不同安全場景下的安全即服務。用戶側：圖中下半部分主要由360安全云服務所依賴的各類安全工具以及本地服務團隊組成。其中各類安全工具，用于支撐不同安全即服務的服務內容，各項服務所產生的安全運營數據將上報到360安全云的安全運營數字化協作平臺，然后由云端服務團隊按照標準服務流程開展安全運營。關于本地服務團隊，主要針對客戶側有自有安全技術人員和項目管理人員的情況，通過360安全云體系化培訓賦能，經360安全云考核認證的人員，作為用戶側的本地服務人員與云端服務團隊開展云地協同，解決最后一公里的安全事件閉環的問題，共同為客戶提供高質量的安全運營服務。本項目所提供的安全即服務內容：為保證客戶全國數百家門店安全，360安全云提供終端安全托管服務和網絡威脅監測服務，由360安全專家對終端系統和網絡流量的告警進行研判分析，通過識別有效告警并將潛在威脅事件升級為工單及時通知客戶；數字資泄露監測服務則通過自動化持續監測預警該公司的風險事件，幫助客戶掌握自身數據泄露情況和受影響面。提及客戶的線上業務，360安全云的網站威脅監測服務通過對其網站的漏洞威脅、網頁篡改、網站可用性等進行實時監測，配合安全專家的分析研判，及時將造成影響的安全事件報告給客戶，進而阻斷威脅?；ヂ摼W暴露面監測服務持續跟進互聯網風險暴露情況，主動開展外部攻擊面管理，避免被攻擊者非法利用。14案例提供方：360數字安全集團此外，考慮到零售行業易遭受勒索攻擊，360安全云為客戶提供了勒索攻擊安全托管服務，使用專項勒索攻擊監測工具，幫助客戶驗證和提升現有防護體系應對勒索攻擊的防護能力。同時，贈送防勒索險服務，覆蓋投保前、投保期間和出險期間，全方位為客戶提供風險管理服務。創新性與優勢：創新性提出“管家式”端到端的服務新模式，高效構建安全體系，低成本獲得安全能力360安全云采用先進的安全云技術，把服務于國家的高位安全能力賦能給廣大政企，開創“軟、硬件免費，服務收費”的網絡安全商業模式先河，以7×24小時的遠程運營服務形式，幫助客戶實現全天候、全方位的威脅監測。通過實時發現和處置安全風險，為廣大政企單位構建了一道堅實的數字安全屏障。這種創新性的服務模式能夠為用戶提供持續的安全保障，確保業務系統的安全平穩運行。解決了安全運營工作協同難、處置慢難題，實現了全網資源“超鏈接”業界當前的托管安全運營多是通過安全運營分析平臺進行研判分析，IM通信通知事件，郵箱推送報告，三者相互獨立、信息割裂，事件通知缺少上下文，報告存儲混亂易流失，導致運營工作協同難、處置慢。360基于業內獨有的統一運營協作平臺-推推，創新性實現了以一套安全協同平臺打通全網安全數據，連接多方人員與資源，包含企業管理領導、企業技術人員、360實戰化安全團隊、用戶資產、生態渠道等，實現安全運營流程流轉互通、多方人員溝通、安全工作協同。此外，通過智能的告警處置機制、強大的腳本知識庫、交互式的用戶運營體驗，可追溯的安全運營過程，可視化的安全運營成果，保姆式的專家集梯隊為客戶提供7×24小時常態化安全運營服務，真正實現一套平臺解決用戶90%以上的安全問題?；谌蝾I先的海量安全大數據支撐，首創“云查殺”技術，解決了本地安全視野局限、安全能力上限低的問題在360全網數字安全大腦的賦能下，360安全云以2EB海量安全大數據（其中包括總量180億+惡意網址、

5萬億+存活網址、樣本文件300億+、700億+DNS解析記錄等）為基礎，依托360在終端、流量、網站、云

端、威脅情報能力、云查殺能力、漏洞、測繪、沙箱、安全DNS、APT、移動端等多維度、多場景的數據聚

合分析，形成了全面的、完整的威脅認知和情報數據體系，為用戶提供了高位視角主動防護與監測，幫助客

戶構筑持續、主動、閉環的安全運營能力。AI賦能數字安全防護體系，極大提升了網絡安全運營的自動化、實戰化能力面對海量的數據及安全告警，360安全云依托領先的人工智能技術優化降噪模型，篩選出高價值安全事

件，全面提高用戶的安全運營效率；此外，360安全云還在平臺上內置安全運營百事通AI功能，為用戶及運

營服務人員提供人機協作服務模式（例如：智能統計報表、智能生成報告、智能分析、智能處置、智能問答

等），不斷提升運營服務人員的服務能力，保障運營服務高質量交付。關鍵挑戰：實際應用效果15ISC2023數字安全創新性案例1、終端安全托管服務：截至目前，360安全云查殺病毒攻擊數量30多個，監測高危漏洞數量9000多個；2、網絡威脅監測服務：截至目前，360安全云分析網絡攻擊事件14000余件，其中嚴重級別的網絡攻擊事件190余件，涉及弱口令安全事件170余個，調優設備規則8條；3、數字資產泄露監測服務：截至目前，360安全云共發現542個數據泄漏點。發現54個敏感信息泄露點，其中25個存在非法獲利現象；4、網站威脅監測服務：截至目前，360安全云共發現2個網站安全漏洞；5、互聯網暴露面監測服務：截至目前，360安全云幫助客戶梳理互聯網資產800多個，涉及網站、域名、IP、端口、應用組件、公眾號、小程序等資產類型，通過與客戶溝通，及時收斂不必要對外開放的資產26個；6、勒索攻擊安全托管服務：截至目前，在360安全云保護下的終端未發生成功勒索攻擊事件，相關防勒索保險暫未觸發賠付?？蛻粼u價客戶負責人表示：“360安全云所提供的數字安全托管運營服務可以自動監測我們全國各門店和線上業務系統，定期輸出報告，大大減輕了我們的運維壓力，贈送的防勒索保險也進一步為我們的業務兜底，做到了花了錢，就看得到效果，真正為效果買單！”經濟效益通過減少安全事件、提高業務流轉效率和降低運營成本，該項目為客戶帶來顯著的經濟效益，實現降本增效。360安全云服務開創了新的商業模式：軟硬件免費、為服務買單。在這一新的商業模式下，一般規模企業每年費用在十幾萬到幾十萬之間，是傳統集成建設模式的1/3-1/4，安全投資大幅下降。通過實際應用，滿足用戶相同需求的前提下，只需要傳統安全投入的30%，企業僅需要為數字安全最有價值的：人、數據、運營能力買單。經驗總結：溝通的頻次和形式仍需加強，針對服務過程發現的緊急情況，除安全運營平臺本身的預警機制外，采取電話或者郵件形式的溝通。主動服務的頻次和形式仍需要加強，定期主動詢問客戶是否需要技術支持或其他事項協助。增加服務工具，包括不僅限于公司自有產品、產品以及自研、開源的工具，更好地提升服務效果。16案例提供方：懸鏡安全懸鏡安全企業定位：數字供應鏈安全開拓者、DevSecOps敏捷安全領導者企業介紹：開拓者和DevSecOps敏捷安全領導者，始終專注于以“代碼疫苗”技術為內核，憑借原創專利級”全流程數字供應鏈安全賦能平臺+敏捷安全工具鏈+供應鏈安全情報預警服務”的第三代DevSecOps數字供應鏈安全管理重點產品：源鑒SCA開源威脅管控平臺、靈脈IAST灰盒安全測試平臺、靈脈SAST白盒代碼審計平臺、云鯊RASP自適應云防御平臺、靈脈PTE自動化滲透測試平臺、云脈XSBOM供應鏈安全情報預警服務、夫子SCS數字供應鏈安全管理平臺、OpenSCA社區企業網站：企業雷達圖：技術創新能力市場拓展能力行業影響力經營能力研發投入能力企業案例基于代碼疫苗技術的某運營商SCA開源治理實踐案例背景：17ISC2023數字安全創新性案例理支撐系統、前瞻性IT研究等集團重點任務。為進一步深入落實集團“1+9+3”戰略規劃、筑牢數字化發展防關鍵挑戰：開源組件大規模使用，安全風險加劇該用戶過去在長期的業務系統建設中引入了大量開源軟件，如K8S、Ceph、Contiv、Istio、Redis、K且開源軟件大部分情況下缺少相應的付費服務和運維支持，而用戶本身的技術人員數量及能力都有一定限制，導致開源軟件相關漏洞問題解決困難。此外，由于該用戶過往未制定相應的開源組件使用規范，各個系統引入的開源軟件復雜多樣，存在大量老舊、廢棄版本等情況，開發人員在開發過程中未能關注開源組件的漏洞情況，導致已有的開源組件安全漏洞反復出現，由開源軟件直接或間接引發的故障占比較高。開源組件資產難以統計第三方軟件供應商一般不會說明其產品中是否涉及開源代碼，甚至對用戶號稱完全自主研發，用戶很可能被動引入開源軟件。此外，除了開源軟件和組件，代碼層級的開源使用問題也十分突出。在軟件開發過程中，如果企業并未對源代碼進行掃描，則很難從管理角度統一把控企業開發者是否在開發軟件的過程中使用了開源代碼片段。同時，對運營商而言，存量軟件及代碼的規模相對更加龐大，因此，用戶想要完全準確統計企業內引入開源軟件的數目及真實情況在操作層面存在一定困難。開源許可證隱含的法律風險較為顯著每一個開源軟件都會通過開源許可證規定其使用范圍和權利義務，用戶在很多情況并不能明確得知該軟件是否遵守了開源許可證的要求。一旦違反開源許可證規定，極有可能面臨法律制裁和知識產權風險。解決方案：根據用戶在開源軟件漏洞檢測、軟件成分分析、軟件許可管理、軟件物料管理等各方面的要求，結合現有軟件項目使用開源代碼的比例逐步提高的現狀，該用戶通過源鑒SCA重點建設了內部開源組件版本基線使用規則，對開源組件的漏洞、許可證信息等進行掃描，實現內部體系化治理：1、首先建立完善的組件選型機制，參考社區活躍程度、組件更新間隔時間、組件更新頻率、是否仍持續更新以及開源許可證等多個維度輔助考量開源組件的版本基線范圍設置；3、最后，結合在流水線構建階段的基線阻斷配置，通過在流水線構建過程中實時進行開源組件安全檢測，若檢測應用不符合開源組件基線使用規則，則阻斷流水線的構建過程。18案例提供方：懸鏡安全圖1源鑒SCA架構圖圖2源鑒SCA部署圖19ISC2023數字安全創新性案例創新性與優勢：采用首創代碼疫苗技術：本解決方案采用的核心技術為代碼疫苗技術，代碼疫苗技術旨將智能風險檢測和積極防御邏輯注入到運行時的數字應用中，如同疫苗一般與應用載體融為一體，突破性地使其實現對潛在風險的自發現和對未知威脅的自免疫。代碼疫苗技術基于插樁技術實現，創新性地統一融合了IAST（交互式應用安全測試）、SCA（軟件成分分析）、RASP（運行時應用自保護）、DRA（數據風險評估）、API分析、APM監控等能力，即一個探針插樁即可在數字供應鏈的不同階段中實現不同能力與效果的安全檢測并防御多種攻擊風險，做到了數字供應鏈全生命周期的安全保障，且可輕松適配多業務場景，輕量級地實現了數字供應鏈的安全檢測與防御。作為代碼疫苗技術的核心，函數級單探針以插樁實現植入在應用內存上下文之中，既能夠在軟件開發測試環節里通過IAST對軟件安全風險進行智能檢測，精準定位API安全風險和缺陷，有效解決運行時API中敏感數據流動的追蹤問題，又能夠在軟件部署和運營環節通過RASP實現軟件風險自免疫，提供閉環的數字供應鏈安全檢測與防御能力。國內首款多引擎SCA產品：源鑒SCA是國內首款集源碼級組件依賴檢測引擎、源代碼同源檢測引擎、二進制成分分析引擎、容器鏡

像檢測引擎及運行態組件檢測的多核心引擎驅動的SCA產品。相比于傳統的SCA檢測平臺，源鑒SCA基于運行

態的代碼級開源軟件成分檢測，可以在應用運行過程中基于請求、代碼、數據流、控制流綜合分析判斷漏

洞，漏洞測試準確性高；安全漏洞既可定位到代碼行，還可以得到完整的請求和響應信息、完整的數據流和

堆棧信息，便于定位、修復和驗證安全漏洞。深度流程融合DevOps，加速安全開發：源鑒SCA支持與DevOps流程無縫結合，在流水線的相應階段自動發現應用程序中的開源組件，提供關鍵

的版本控制和使用信息，并在DevOps的任何階段檢測到漏洞風險和策略風險時觸發警報。所有信息通過安全

和開發團隊所使用的平臺工具實時推送，整個過程無需安全專家介入，全程不改變原有開發流程、無需額外

安全測試時間投入，滿足敏捷開發和DevOps模式下軟件產品快速迭代、快速交付的需求。

智能大數據實時推送供應鏈安全情報預警：TOP10、國家信息安全漏洞庫（CNNVD）、國家信息安全漏洞共享平

臺（CNVD）及CWE標準，基于精確、全面的軟件物料清單梳理和AI大數據分析引擎，實現7*24全網數字供

應鏈安全動態監測與溯源分析，智能推送數字供應鏈投毒攻擊、組件缺陷與失效和開源許可證風險，讓用戶

及時獲取影響其安全的最新開源組件漏洞和許可證風險情報。應用效果：全面降低開源組件引入風險：20案例提供方：懸鏡安全方案建設落地后，該用戶建立了內部的開源組件使用規范，研發人員在開源組件的引入及使用過程中即可確定組件的安全版本范圍，在研發早期階段規避了開源組件漏洞的引入，大大降低了開源組件漏洞修復成本，有效減少了業務上線時開源組件引入的風險。組件級資產測繪及臺賬可視化：構筑開源風險治理體系：該用戶基于源鑒SCA的開源治理能力建立了企業級平臺，可對各類型采購、自研、軟件資產進行梳理和安全審查，進一步在內部建立開源治理組織架構，制定配套的開源治理管理制度和規范，逐步構筑起比較完備的開源風險治理體系，規范開源軟件的引入、使用、治理、退出等全生命周期流程，做到全流程安全可控，進而提升開源治理能力。經驗總結：該項目的實施幫助用戶構建了企業級的開源治理平臺、院級的軟件物料清單，引入了證書以及安全的檢測能力等，完成了開源治理底座能力的建設，助力治理工作的有效實施落地。開源治理并非一蹴而就，除了技術工具的使用外，用戶還應當在組織架構、管理制度、人員意識等方面持續完善，打造常態化的系統工程。21ISC2023數字安全創新性案例齊安科技企業定位：工業互聯網接入安全體系倡導者企業介紹：浙江齊安信息科技有限公司（齊安科技）致力于工業互聯網接入安全體系與技術的持續創新，為用戶提供全方位接入安全管理與防護解決方案。依托核心技術和豐富工控行業知識，開發了涵蓋檢測、運維、防護、平臺等多個領域的工控行業接入安全產品與解決方案。產品與服務廣泛應用于電力、煤礦、軍工、軌道交通、石油石化、智能制造等領域，保障關鍵信息基礎設施與重要工業領域的安全，維護工業信息安全。重點產品：便攜式運維網關、USB安全隔離保護系統、安全配置核查系統、一體化遠程運維系統、工業網絡安全審計系統、企業流量在線監測系統、物聯網加密網關系統、日志審計與分析系統企業網站：企業雷達圖：技術創新能力市場拓展能力行業影響力經營能力研發投入能力企業案例電力監控系統站端運維接入安全解決方案案例背景：人員風險一些電力監控系統運維人員（包括二次班人員、外單位運維人員、檢查人員）缺乏網絡安全意識，組織員工定期接受網絡安全培訓的工作落實不到位，使得很多重要的電力監控系統在日常工作中缺乏有效的安全防護措施。很多員工對密碼管理缺少必要的認識，例如采用默認密碼、長期不修改使用密碼、密碼存放在互聯網或云平臺等公開環境中，極易導致核心電力控制系統的用戶名和密碼泄露，被惡意攻擊者掌握。22案例提供方：齊安科技勒索病毒、蠕蟲和木馬隨著移動互聯網、云計算、物聯網等新技術在電力系統中的廣泛使用，移動終端和App等平臺為電網調度指揮提供了更為方便、高效的管理方式，但同時也面臨勒索病毒及其他網絡攻擊的風險。勒索病毒等網絡攻擊手段具有隱蔽性、破壞性、傳染性等特性，一旦進入調度數據網絡，將嚴重影響電力系統數據資料安全性，甚至導致整個生產網絡癱瘓，造成巨大損失。近年頻繁發生的勒索病毒襲擊國內外關鍵基礎設施事件充分暴露了這種風險的嚴重性。系統性風險當前，電力監控系統主要面臨的系統性風險：一是缺乏針對新興技術廣泛應用帶來的網絡安全威脅進行有效安全管控措施；二是攻擊威脅監測預警與安全防護分離脫節；三是已有網絡安全防護機制在電力監控系統中的“簡單堆疊”，造成防護資源浪費且對新型攻擊手段防護能力較弱。安全威脅與建設實踐的脫節風險目前，在電力監控系統的網絡安全防護建設實踐中，符合國家、行業及公司級的電力監控系統安全防護規定，以及防火墻、隔離網關、電力網閘等訪問控制設備的大規模部署成為電網公司重點關注的建設內容。而生產控制信息網絡和管理信息網絡實際面臨的攻擊威脅情況卻并未引起足夠關注。這是由于電力監控系統的網絡安全管理與建設實踐很大程度由合規性驅動，而合規性驅動的安全防護建設思路存在的弊端非常明顯：一方面，合規性防護策略只是安全防護的一個重要方面，無法保證動態變化的電力監控系統是安全可靠的，反而會給相關各方造成看似安全的假象，以偏概全；另一方面，由合規性驅動的電力監控系統建設，容易出現安全防護設備簡單堆疊、資源浪費，面對跨網跨域的高級持續性攻擊威脅防護能力弱等問題?，F場運維安全性電力監控系統在現場檢修運維層面仍存在著安全隱患，檢修運維人員進入了變電站現場后，跳過了層層

設防的網絡安全設備直接將筆記本電腦、移動存儲設備等通過網絡接口、串行接口和USB接口接入現場系

統，對設備進行檢修運維操作。這種檢修運維方式會產生如下一系列管控問題：1、檢修運維過程中，由于缺少物理隔離和擺渡，不同網絡交叉使用的移動存儲介質和運維設備（如U

盤，筆記本電腦）容易將惡意代碼帶入到電力監控系統之中，導致核心生產數據和配置信息被泄露；

2、由于缺少安全審計手段，在檢修運維人員出現誤操作甚至惡意操作的情況下，存在發生安全事故的隱

患，而在安全事故發生之后又難以追蹤溯源并定責；3、在檢修運維過程中，檢修運維人員通過上傳非法的配置數據，導致現場設備運行異常，也會引發相應

的安全事故。世界各國高度重視維護電力系統安全，紛紛采取立法保護、技術防范、分散風險等方法，提高本國電網

的抗毀傷能力。尤其是我國，在電網二次安防領域走在世界前面。中華人民共和國國務院、國家發展與改革

委員會、中華人民共和國工業和信息化部、國家能源局、中華人民共和國國家質量監督檢驗檢疫總局、中國

國家標準化管理委員會等國家主管單位，近年來對工業控制系統信息安全工作做出了一系列的指導意見和規

范要求，其中，2022年4月，國調中心關于印發《電力監控系統便攜式運維網關技術規范（試行）》的通

知，加強變電站（換流站）監控系統運維安全管控，防范違規外聯、惡意代碼感染、非法操作等安全風險，23ISC2023數字安全創新性案例提升對現場作業人員、調試工具和調試行為的管控能力。基于此，齊安科技研制了檢修作業安全運維系統，即運維移動堡壘機(便攜式運維網關)，用以規范電力監控系統的運維操作行為，保護站端設備網絡安全，降低電力監控系統現場檢修運維的風險，保障設備資產穩定運行。關鍵挑戰：當前，變電站運維工作中缺少必要的安全防護及審計措施，具體來說，存在運維人員使用自帶筆記本電腦及U盤等運維工具直接接入變電站監控系統的情況，容易引起違規外聯、誤操作、惡意代碼、網絡攻擊等安全風險。國網安監部曾多次通報關于電力監控系統感染惡意代碼、違規外聯等安全事件。變電站的外聯風險、違規操作、惡意代碼感染問題屢禁不止。簡單來說，變電站運維工作的痛點在于“事前無認證、事中無監控、事后難溯源”。解決方案：24案例提供方：齊安科技項目實施過程中，通過將便攜式運維網關部署在站控層交換機上，實現對整個運維過程進行全程實時安全管控。在運維過程中，便攜式運維網關（檢修作業安全運維系統）主要實現以下功能：1、對運維電腦的網絡連接和外設接口狀態進行實時監測，避免運維電腦違規外聯或泄露內部數據；2、對運維過程傳輸的文件進行惡意代碼查殺，避免未安裝防病毒軟件或未及時更新病毒庫的電力監控系統被病毒入侵；3、實時監測運維過程的網絡通訊，避免運維電腦向站控層網絡和設備發起多種類型的掃描和網絡攻擊，禁止高危端口通信；4、對運維過程的高風險指令和控制類指令進行精準識別，避免誤操作；5、對運維操作過程進行授權管理和二次確認，并通過視頻、文件、通訊數據包、日志等多種方式對運維過程進行記錄，解決因缺少訪問控制措施（如防火墻）及運維審計所帶來的問題。創新性與優勢：1、便攜的形態設計：產品在形態上摒棄了傳統的固定式旁路部署，只適用于網絡接入方式的運維管控模式。取而代之的是采用便攜式設計方案，能夠適應工業現場多樣化的布局，并且在保持靈活部署的同時，有效降低了用戶的安全建設成本。2、緊貼業務的功能設計：①實施“雙因子”身份驗證，解決了人員身份認證問題；②限制運維接入電腦與被檢修設備之間的訪問規則，解決了檢修人員操作權限管控問題；③全程監控和錄制操作視頻，解決了因缺乏訪問控制和審計導致的問題；25ISC2023數字安全創新性案例④實時檢查傳輸文件中的惡意代碼，解決了工控主機未安裝防病毒軟件的病毒查殺問題；⑤管控和取證檢修過程中運維人員上傳和下載的配置文件，解決了數據泄露和取證問題；⑥實時監測運維電腦外設接口和網絡連接狀態，確保安全運維環境，解決了違規操作帶來的安全隱患。3、技術積累：為了提升用戶現場作業的效率，通常做法是采用EXCEL模板編輯任務內容后導入系統，但這會增加導入、導出和編輯工作量，并引入額外的安全風險。齊安科技的系統集成了OCR識別技術，能夠拍照識別紙質工作票的關鍵信息并自動生成檢修任務。用戶可以根據需求定制檢修任務模板并生成任務，只需增加拍照步驟，節省大量數據導入和編輯時間，顯著提升了使用體驗。此外，由于各地工作票模板存在差異，齊安科技積累了大量模板。4、安全可靠：基于國產化操作系統和國產CPU研發，安全自主可控；采用國密算法保證鑒別信息和重要業務數據等敏感信息存儲的保密性。5、成本優勢：在設計開發初期便采用了軟硬件自研的技術路線。隨著產品出貨量的增加，研發成本逐步攤薄，對硬件供應鏈的管控能力有保證，從而確保產品的利潤最大化。應用效果：性能提升、成本節?。罕卷椖客ㄟ^在5座變電站上部署便攜式運維網關，至今共計攔截違規外聯及高風險指令數十次，避免產生安全事故避免運維過程中產生的風險與威脅。經濟效益：工作效率提升：無需固定部署，適用于離散型網絡環境，有效降低用戶重復建設的成本；技術成本降低：檢修作業安全運維系統整體設計簡單易用，支持一鍵生成檢修任務、OCR快速識別工作票信息生成檢修任務，業務流程做到即插即用，不做多余設置，簡單便捷，方便現場運維人員快速開展工作，減少現場運維人員的技術成本。資源最大化：運維人員可以更好地規劃和利用其時間和技能，從而更有效地管理多個設備和網絡。安全效益：增強安全管理能力：規范現場操作人員行為，減少潛在的威脅和風險、減少事故風險。溯源定責：事后追蹤溯源時提供有效依據，確定責任人。提供風險監管能力：通過技術手段為用戶提供了監測和處理風險的能力。溯源定責：事后追蹤溯源時提供有效依據，確定責任人。提供風險監管能力：通過技術手段為用戶提供了監測和處理風險的能力。提升運維效率與精準度：通過集中管理不同區域、不同站點的同類設備運維記錄，實現了數據驅動的運維決策。不僅提升運維效率，同事提高預防性維護的精準度，降低了潛在風險。與此同時，對單個站點歷史運維記錄的縱向追蹤，有利于事后的責任追溯和運維還原工作，進一步提升了企業的運維管理水平。經驗總結：不斷升級硬件、優化算法等，實時更新病毒庫及升級網關設備；為用戶提供更好的技術服務以及培訓、安裝指導，保障產品售后服務，進一步提高用戶滿意度。26案例提供方：眾智維科技眾智維科技企業定位：AI安全大模型賦能智能安全運營體系、安全協同、暴露面管理企業介紹：眾智維科技總部與研發中心設立于南京，在北京、上海、山東、深圳、河南、蘇州設立子公司或辦事處。公司始終堅持“眾智創新重塑安全生態、AI運營賦能網信安全”的創業理念，作為新一代人工智能+機器學習驅動的網絡安全運營協同解決方案商，長期聚焦網絡安全攻防實戰，多維度構建了紅藍紫三方高頻壓力下的安全運營協同作戰體系，主營方向為網絡安全、大數據＋及信息技術應用創新。重點產品：RedOps紅鯨智能安全運營平臺、天巢SkyNest安全風險運營平臺、紅色衛士RedGuard安全大模型、重明MSS網絡安全自動化托管平臺企業網站：企業雷達圖：技術創新能力市場拓展能力行業影響力經營能力研發投入能力企業案例能源行業工業互聯網安全智能應急響應平臺建設案例背景：項目背景工業互聯網的快速發展加速了OT/IT網絡和物聯網融合互聯，更多的工控系統連接到互聯網，同時，工業信息安全事件頻繁發生且發生行業呈多元化趨勢，工控系統高危漏洞層出不窮。工業安全已得到政府監管部門和工業企業高度重視，國家出臺了一系列政策法規，提升工業安全保障能力。在國家政策引導下，某能源企業公司作為大型電站、光伏發電及運維服務于一體的電力能源企業，以創新引領作為第一發展戰略和核心驅動力量，迫切需要在公司搭建全面領先的電力監測工業互聯網平臺科創體系。27ISC2023數字安全創新性案例關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。某能源企業信息化建設較早，其業務安全系統在長期的各類專項安全建設中實現了安全設備的廣覆蓋，并在態勢感知的建設過程中，在態勢要素收集、態勢分析、態勢呈現等領域已經取得初步成果，但是在關鍵的態勢處置方面，仍然處于相對初級的階段，同時缺乏能夠對工業控制系統進行全面監控，及時預警，快速響應的監控一體化平臺。痛點需求1、態勢感知能力需加強：能源互聯網環境下，企業電力調度與監控系統實際接入運行過程中普遍存在攻擊種類、方式多且頻繁，在防御過程中各類靜態和動態的實時數據監測難以落實；同時由于該企業體量龐大，各類安全設備難以規范化，設備于設備之間難以協調，導致物理設備數字化水平較弱。2、安全威脅響應不夠及時：針對關鍵性基礎設施的定向攻擊事件發生不斷增多，網絡攻擊形式日趨復雜，響應難度也日趨增加；目前開展監測預警、應急處置、分析報告等工作主要采取人工方式，大量的安全設備數據之間相互獨立，運營人員需同時協調多個設備，存在響應不及時的情況。關鍵挑戰：該能源企業依靠各種各類安全設備，實現安全告警和要素獲取，可快速發現安全事件和行為異常；但判斷與決策能力相對較弱，判斷階段在電力監控系統中，對應態勢分析和呈現，實現告警的基礎分析和聚類，初步轉換成安全事件并加以分類；決策階段在電力監控系統中，需要針對安全事件的類型和影響范圍進行判斷，確定使用怎樣的流程，驅動哪些人員，調用哪些工具和設備進行處置，這些處置會否產生額外的安全風險；執行階段在電力監控系統中，即根據決策的結果調用對應的安全設備和安全工具，執行具體操作完成安全事件處置。目前仍缺少有機統一平臺來實現整體指揮。因此，某能源企業需要通過自動化手段替代現有的人工決策和手動執行手段，降低平均事件響應時間MTTR，提升安全處置效率，使企業在攻防角力過程中不再處于被動狀態。解決高級、新型威脅帶來的影響，降低風險造成的損失，從而簡化統一協同響應流程，節省手動分析時間，真正達到主動監測，自動化快速響應的目標。解決方案：南京眾智維科技信息有限公司深耕工業信息安全多年，具備深厚的安全經驗與技術能力，形成了完善的產品體系，并在電力電網、石油石化、先進制造等多個領域建立工控安全實踐案例?，F根據某能源企業安全業務流程的應用特征，我司通過定制化安全運營平臺建設，以安全編排與自動化響應（SOAR）+AI技術賦能，為用戶提供該項目總體解決方案設計框架，如下圖所示:圖1-1：態勢呈現架構28案例提供方：眾智維科技態勢處置自動化響應系統保護級阻斷遠后備保護級阻斯近后備保護級阻斷就地保護級阻斷安全業務流程自動化功能層劇本工具動作管理劇本管理事件協作劇本解析事件管理策略管理運營報告引擎層動作執行引肇劇本引擎工作流引擎存儲層劇本動作策略案例事件情報交換層圖1-2：態勢處置架構該能源企業使用SOAR技術構建自己的自動化態勢處置平臺，SOAR（SecuritytionandResponse，安全編排自動化與響應）。以安全編排與自動化為核心，并具備事件管理、威脅情報管理、儀表板和報告，以及跨功能分析。構建適用于企業電力監控系統的安全情景策略庫，用于不同保障場景和防護目標的處理“套路”。根據不同安全場景和不同安全保障等級，可以編排組合對應的策略。自動化響應平臺集中指令來源、設備通道、預設腳本、結合自動下發與人工干預功能，以最快的速度定位策略執行點，選用適合的策略預案，生成腳本，通過人工流轉或自動向安全防護設備下發執行指令，最終實現安全事件響應的自動化處置。解決方案分成業務流程自動化和自動化響應兩個部分。業務流程自動化實現“Decision決策”步驟功能，從電力監控系統的態勢感知平臺獲取安全事件、威脅情報，并且通過自身的工作引擎進行分析和案例推演，依照安全策略，驅動流程、劇本、動作，實現協同作戰和自動化決策；自動化響應實現“Action執行”步驟功能，依照劇本和動作的步驟，通過響應模塊驅動各類網絡設備或者安全設備，實現自動化響應和多種級別的自動化阻斷行為。處置流程可以按照發電企業需求定制為：所有事件需要人工確認，所有事件自動化執行，以及前置事件分級判斷步驟并根據安全事件等級設定不同的處置方案。方案可以為不同安全級別的事件制定不同的確認流程、處置方法、通告方式等。本方案通過在發電網絡內部署眾智維紅鯨安全協同響應平臺（以下簡稱RedOps）的方式實現態勢處置能機結合的方法進行事件分析與分類，根據標準流程輔助定義、排序和驅動標準化事件響應行為，并應用到防圖1-3：平臺工作原理29ISC2023數字安全創新性案例部署方式系統是軟硬件一體化安全設備，設備為2U標準機架式設備，旁路接入企業區網絡，通過B/S方式進行管理。由于設備是態勢處置流程的核心，部署期間需要和現有的態勢感知平臺以及各類安全設備實現應用對接；需要按照業務需求和處置預案編寫符合電力監控系統需求的劇本。主要功能編排和自動化是整個系統的核心功能，實現了運營過程和流程的劇本化，安全應用的編排化，將安全產品以及安全流程鏈接整合起來，通過預定義的工作流（Work?ow）和工作劇本（Playbook）來標準化事故的調查處置流程，提升威脅響應的自動化程度和執行效率。圖1-4：事件響應劇本平臺具備完善的劇本管理功能，安全運營人員通過劇本庫對所有劇本進行統一管理，內置通用漏洞或零日預警響應、攻擊事件響應、釣魚郵件處置、主機異常登錄場景、病毒告警事件、WebShell檢測告警、DNS異常日志、重大安全事件告警等通用劇本模板，且在維保期間可根據用戶需求定制化開發新劇本，劇本容量不設上限；內置工作流引擎，以及由該工作流引擎驅動的編排器。編排器是系統的心臟，啟動后會自動從劇本庫中加載所有激活的劇本，并依照不同的觸發條件執行相應的劇本實例。工作流引擎會根據劇本的預設邏輯執行每個活動，例如人機交互活動則調用人機接口，應用活動則調用自動化應用執行引擎，自動激活相關應用動作的執行過程。2、AI協同作戰室系統支持創建或關閉作戰室用于協同作戰，可以通過作戰列表查看已存在（包含處理中、已解決、已關閉等各狀態）的作戰室，并進入作戰室查看歷史信息。針對作戰室中的每個事件，事件負責人可以快速創建一個針對該事件的溝通群（也叫作戰室）。事件負責人可以添加需要加入此溝通群的人員，快速形成一個作戰團隊，通常包括監測組、研判組、處置組的成員。支持設置各個成員在作戰室中的角色。30案例提供方：眾智維科技圖1-5：協同作戰室溝通系統采用網絡安全作戰室語義算法技術，構建AI智能機器人，提高結果的準確性，調度劇本引擎實現對網絡安全事件觸發，當后續類似攻擊發生時，實現精準推送，充分利用自動化技術手段，將人、技術和流程高度協同。并支持基于安全事件的特點和行業已有的成熟解決劇本方案，使用協同過濾算法，在行業級的知識庫中進行事件關聯度特征匹配，實現另一個維度的協同工作。當安全事件觸發后，網絡安全作戰室依據安全日志等進行數據分析，生成分析報告，作戰室的相關人員，如總指揮、作戰參謀和事件處置人員等做出指令決策。根據這些信息，將數據進行標準化處理，為NLP模型讀取數據打好基礎。相關數據讀入推薦算法模型后，參考網絡安全事件的知識庫，推薦出一個或多個可施行的劇本來完成相應的工作流程。協同作戰模塊支持與事件模塊關聯，在生成特定事件時自動創建作戰室并拉入相關人員，且支持在作戰室中手動發起應用、任務或劇本模塊。每個作戰室內置一個聊天機器人，作戰團隊成員都可以與之進行溝通，給它派發指令，快速執行一些基本的工作?！鞍踩呗詣”尽睂踩珜＜业慕涷灣恋?，套路化自動化，每當有同類安全事件發生時，AI智能機器人可以根據自定義的安全策略庫自動啟動智能策略開展應急響應，加速工程師處置速率，為安全防護爭取時間。圖1-6：AI機器人智能對話31ISC2023數字安全創新性案例3、智能告警管理系統能夠接收來自第三方SIEM/SOC產品發出的告警信息；能夠接收其它第三方系統/設備通過syslog發出的告警信息；能夠通過K接受第三方的告警信息；支持人工錄入或者導入告警信息。可以非常方便的和電力監控系統現有態勢感知平臺打通，實現告警信息的采集。圖1-7：告警列表界面支持對告警采集、告警展示、告警關聯劇本、告警處置、告警關聯作戰室，內置100+告警類型，能夠對不同來源的告警信息進行進行分析匹配，自動關聯任務、劇本進行處置，無需人工介入，針對較高等級安全事件支持升級到作戰室進行協同處置，實現業務運行過程中的負載信息以及監控指標的實時監控與記錄，當監控到異常信息時，第一時間對管理人員發送告警信息，觸發告警動作后，管理人員將收到一條告警信息來提醒相關人員注意，也可以是執行一個遠程命令或腳本來達到常見故障自動修復的目的。4、自動化事件處置事件管理能夠幫助安全運營人員對一組相關的告警按照既定的應對措施進行流程化、持續化、協作化、全周期的調查分析與響應處置，以及應對措施自身的持續改進。①事件列表：系統能夠以列表的形式展示所有事件清單，依次展示每個事件概況，包括事件名稱、概述、類型、責任人、事件等級、發生時間、結束時間、詳細、級別、狀態、調用的劇本、動作和任務等。安全運營人員可以方便的進行事件手動添加、處置和查看事件詳情。事件處置狀態包括未處理、進行中、已完成、忽略等。②事件關聯劇本：系統事件模塊內置基于規則的關聯分析引擎，能夠對不同來源的海量告警信息進行分析，協助安全運營人員自動從海量告警信息中識別真正需要自動處置的類型。③事件處理：事件處理是事件管理的核心功能。安全運營人員可以持續地對事件信息進行處理，不斷豐富事件信息，并最終完成處理，積累知識和經驗。安全運營人員可以查看事件相關的告警詳情。32案例提供方：眾智維科技系統可以為一個事件附帶應對措施，以任務的形式下發給相關的責任人。各責任人可以依照任務執行，提高事件處理的效率。任務在執行中支持痕跡管理、標注管理和附件管理功能，相關安全運營人員可以往事件里面添加痕跡信息，譬如IP、URL、域名、文件哈希值等關鍵信息；可以對事件進行標注，添加各類文字信息；可以上傳相關的附件，譬如圖片、文檔、聲音、視頻等。借助這些功能，系統可以不斷積累該事件相關的關鍵痕跡物證和攻擊者的戰技規程指標信息。系統提供關系圖等可視化調查分析的手段，以幫助用戶拓展相關事件的痕跡信息。對于事件中的每個痕跡，可以觸發預置的響應動作，所有動作的執行操作及其結果都會自動記錄，作為該事件的處置記錄。安全運營人員也可以針對事件觸發預置的編排劇本，并將相關操作和結果記錄到處置記錄中。所有事件相關的處置記錄都可以被查閱和審計。事件負責人可以隨時查看事件處理的活動記錄，并以時間線的方式進行形象展示，便于其了解事件處理的進展。事件處置完成后，事件責任人在編寫報告時，系統能提供編寫報告的素材，包括事件處置過程中的痕跡物證和調用劇本、動作的執行結果等信息。④事件關聯作戰室：對于等級較高或新型的告警事件，支持升級到作戰室進行協同處置。事件響應中的各方以聊天的方式進行實時溝通與響應處置，支持添加、移除成員，以及設置成員在各事件作戰室中的角色。系統自動記錄協作處理中劇本、應用和任務的執行結果，以及整個事件處置過程的聊天記錄、證據、結論和星標信息，便于實時查看和復盤。處置完成的事件，能在線編輯報告，系統提供編輯報告的素材，如事件處置過程中的調用的劇本/應用，證據和結論等。事件通知支持自定義通知對象、創建通知、解決通知、手動@通知等。⑤報告管理：RedOps紅鯨平臺內置報告編輯器，提供編輯報告的素材，包括事件或任務基本信息，事件或任務處置過程中的調用的劇本、應用和處置模型等處置信息，以及證據和結論等痕跡信息，方便用戶進行報告的在線編寫。根據報告匯報對象，可導入報告模板進行編輯。報告編寫完成后，支持報告的提交和審核操作，同時報告的審批路徑支持自定義配置審核流程和審核人，審核時可以駁回到任意一級。通過報告列表

中查看各報告的發生時間、報告概述、報告附件、報告結果等信息。圖1-8：報告管理界面33ISC2023數字安全創新性案例創新性與優勢：一是以技術先進、功能完備、面向實戰化安全運營的安全編排自動化與響應系統（SOAR）和AI技術為核心，構建適用于電力行業多場景的網絡安全劇本庫、工作流、知識庫，融合行程網絡安全知識情報體系，幫助某能源企業將電力業務監控系統態勢感知中繁雜低效的態勢處置（安全響應）過程梳理為任務和劇本，將分散的安全工具與功能轉化為可編程的應用和動作，將團隊、工具和流程的高度協同起來。二是基于眾智維科技自研的AI大模型“紅色衛士RedGuard”具備豐富的安全運營處置經驗，AI智能機器人可構建全面的知識圖譜安全事件、降低安全運營的數據使用門檻，通過自助式服務體驗來確保安全運營流程的流暢運行，大幅減少某能源企業的人員成本于處置效率，以提高安全運營的自動化程度。應用效果：大幅提升安全事件響應效率RedOps系統的應用提升了企業的安全生產業務流程綜合防護體系，對系統的正常穩定運行起到了保障作用。在面對已知/未知風險具備主動預防能力，網絡監測預警功能使網絡安全管理從“靜態布防、邊界監視”向“實時管控、縱深防御”轉變，整體響應效率提高80%。多臺防火墻可同時操作，根據執行指令的復雜性、設備數量不同，執行效率可以提升5倍~20倍，MTTR降低50%~95%。平均效率提升8倍，平均MTTR降低80%。新技術的運用顯著增加了企業電力監控系統網絡安全可靠性，監控系統綜合防護措施得到了有效改善。安全合規，業務保障能力穩步提升通過部署網絡安全監控運營平臺，使以前需要人工逐臺設備查看分析日志和報警信息，辨識可能存在的異常和風險，轉變為由安全監測平臺自動采集匯聚系統內各設備的安全信息，進行專業的分析處理，從而確保業務生產監控系統安全穩定運行。安全工具集中管控，實現行業內外賦能系統可以納管該能源企業的安全設備，同時系統自帶的APP應用超市可調用超過500種安全工具，可以為該企業提供開箱即用的安全能力與服務，包含資產管理、安全評估、安全加固、威脅監控、研判分析、溯源處置、運營管理優化等安全運營場景，將其安全能力及建設模式推廣及其他能源企業，行業賦能，可帶來客觀經濟效益。應用效果：遇見的問題：1、API接口打通比較花費時間，2、調研客戶處置的工作流并且繪制劇本；3、協調客戶及第三方人員，將平臺嵌入日常安全流程中使用；4、實施中發現不同數據源的告警接入字段非標準化，平臺識別比較繁瑣。后面平臺通過整合，形成了針對不同設備及語義的一套告警映射規則。34案例提供方：眾智維科技可優化方面目前只接入SIEM的日志，不夠全，且解析不對，可以增加接入生產環境設備CIC和ATD，增加可分析告警和增加Redops可操作性，附加針對性的劇本和工作流。2、增加每日安全態勢和安全報告生成功能安全報告建議根據每日安全態勢自動生成，類似告警事件TOP10，告警類型TOP10，白