灯塔工厂“黑灯”，网络安全不能黑灯。

“灯 塔 工 厂”

素有智能制造“奥斯卡”之称，是由达沃斯世界经济论坛和麦肯锡咨询公司共同遴选的“数字化制造”和“全球化4.0”示范者，代表当今全球制造业领域智能制造和数字化最高水平。

作为装备制造业的龙头，某企业就是灯塔工厂名单里的一员。有趣的是，该企业的智能制造“灯塔”就是“无灯”，在“黑灯车间”，高达3米的生产机器人挥舞着“手臂”，全程数字化和柔性自动化，从零部件到整机一气完成…….一幅生态、生产与安全交相辉映的和谐场景让人惊叹。

车间示意图（源于网络）

当然，我们可以看出，上述提到的黑灯车间，可不是漆黑一片的车间，而是一种不需要太多工人的新型智能车间。这样的智能车间，该公司遍布全国各地的产业园内拥有无数个，这也是它多年成为中国装备制造业龙头的原因之一。

“智能工厂的发展，需要建立在网络安全的基础之上，没有得到全面保护的智能工厂，就是一座‘灯下黑’的工厂，根本无法防御任何精心策划的攻击行动。”该公司网络安全部门相关负责人表示，由于智能车间应用了大量的新技术，以及机械设备与物联网、企业网中运行的信息系统实现了互联、互通、互控，因此，像该公司这样的工程机械企业，面临的网络风险更大。

而面对网络威胁，看不见已经成为数字时代最大的痛点之一。作为在全国各地拥有多个智能产业园的集团性企业来说，让网络威胁全面可见可查可追溯，是一个系统再造的工程，不可能单兵独进。该企业网络安全部门相关负责人认为，只有将企业旗下遍布全国的产业园形成合力，才能打通集团企业看见威胁的“任督二脉”，才能真正让该企业的网络安全从“灯下黑”走向“灯火通明”。

如今，该企业携手奇安信天眼，在企业数字化转型发展的同时兼顾安全，真正地打通了全国各地产业园网络威胁检测的“任督二脉”，让网络流量像“毛细血管”一样融会贯通，像水和电一样随取随用，为安全人员进行威胁监测和分析提供了便利，同时也极大提高了集团企业整体的威胁防御能力。

01

装备制造数字化转型，网络安全难题如何解决

装备制造业作为国之重器，是重工业的心脏和国民经济的生命线。因此，也成为全球攻击者的首选目标。

这类企业一旦遭受网络攻击，可能会导致制造设备无法正常运行，生产线停止，工厂无法运转，或造成制造工艺研发数据、知识产权和商业机密泄露，给企业带来无可挽回的经济损失和声誉损失，甚至面临法律责任和赔偿责任。

近年来，该企业抱着“要么翻身，要么翻船”的决心和魄力，不断建设智能工厂和数字化车间，坚定不移地推动数智化转型，已经成为全球领先的装备制造企业。

而随着该奇特数字化持续升级和发展版图的日益扩张，使得公司网络安全问题更加突出，已经无法满足数字时代的网络安全需求。尤其是面对新一代复杂的高级网络攻击时，公司现有的监测预警和防御能力明显不足，更容易受到网络攻击，主要体现在以下几个方面：

• 管理离散，安全防御体系不完整。由于各地产业园负责不同的装备制造，零部件加工过程互相独立、互不配合，因此在网络安全管理上也“各自为政”，导致集团难以形成整体的防御体系，更容易成为攻击目标。而且，各地产业园的安全管理策略和运维人员水平存在差异，导致某些产业园网络安全水平较低，但又没有足够能力单独应对网络攻击。
  

• 数据孤岛，高级威胁难应对。分支单位防护产品独立部署，导致数据无法与总部共享，出现了数据孤岛问题。这使得各单位间协同联动的防护能力差，难以发现更深层次的网络安全问题，无法形成合力应对高级威胁。
  

• 追溯断链，威胁源头难发现。当安全事件发生时，安全人员无法准确判断攻击者身份、攻击方式和窃取的信息，也无法提出针对性的应急处置方案，所以导致无法从根源上解决问题。由于无法获得根源，下次攻击者可能会再次入侵单位，对整个企业的信息和业务造成更大的威胁。
  

当然，该装备制造企业在数字化转型中面临的上述网络安全顽疾，也代表了大多数装备制造行业企业普遍存在的通病。

一直以来，装备制造行业对网络安全的投入并不突出，再加上攻击者对该行业愈发虎视眈眈，面对内忧外患的双重夹击，装备制造类企业亟需一套在网络威胁检测发现、溯源取证、事件处置方面的解决方案，建立全面感知、协同联动的主动防护体系，来保证智能工厂安全稳定运行。

02

打通数据孤岛，威胁全面可见，溯源追根联动

奇安信的出现，解决了该装备制造龙头企业的燃眉之急。

借助奇安信天眼强大的威胁监测与分析能力，通过集群化部署，该企业成功地完成了整体攻防态势感知平台的搭建，让15个各自为政的产业园走向统一，使得分析人员可以通过一个天眼分析平台全面掌控15个产业园的整体威胁态势，并且可以根据需要，呈现出各产业园的安全态势。

具体部署方式如下：

• 在各产业园方面，通过在全国14个产业园核心交换机侧部署天眼流量传感器设备，把各产业园的流量日志和告警日志全部上传到作为“安全总部”产业园的分析平台集群进行统一监测和分析。
  

• 在全局方面，“安全总部”产业园既可以监测本产业园天眼流量传感器上传的异常流量日志和告警日志、天眼文件沙箱传递的异常文件告警信息，也能监测到其他14个产业园天眼流量传感器上传的异常流量日志和告警日志。

通过集中安全态势监测，安全总部园区可以对其他园区的网络安全情况进行实时监测和预警，及时发现和应对网络安全事件，最大程度地保障智能工厂的生产安全。同时，还可以将各个园区的安全态势进行对比和分析，发现安全隐患和风险，为安全水平较低的园区提供有针对性的改进建议和指导，以提高公司整体的网络安全水平。

“原来，有些产业园在网络威胁监测上属于‘裸跑’，我们总是担心发生‘一着不慎，全盘皆输’的事情发生。”该AI公司网络安全部相关负责人表示，部署了天眼之后，公司可以全面监测到各产业园出口的流量，看到智能工厂在机械加工、仓储、下料、焊接、涂装、装备等各个环节所涉及的网络风险，同时结合其他安全产品，将威胁和风险业务对照起来，全面狙击更复杂的网络攻击。

看见威胁的下一步动作，就是分析溯源。“原来，一个产业园受到攻击，其他产业园无法感知，也无法帮助一起溯源，更不能有所预防。”从以往的威胁溯源过程中，该公司深刻地洞察到，在威胁溯源的过程中，数据孤岛成为分析人员进一步揪出攻击者的重要难题。

现在，借助奇安信天眼的集群化与一体化，装备制造“巨无霸”通过将15个产业园的数据互相碰撞、综合关联分析，自动将数以万亿的零散告警形成智能化的攻击事件链条，打通了散落在各产业园的网络流量数据，跨过了这道坎。

“只要攻击者从任何一个产业园区进来，我们都能掌握他的行踪轨迹，看其他园区是否也受到攻击，从而进行追根溯源。”该公司网络安全相关负责人说道。

当奇安信天眼帮助该公司解决了网络威胁不可见，攻击证据溯源难之后，公司又面临了新的问题。十几台天眼设备分布在全国各地产业园，安全运营人员对于天眼设备的日常运营和管理难免面临较大压力，造成设备运维效率低、设备异常排查不到位的情况。

为了解决上述天眼设备运维难的问题，该公司在“安全总部”产业园部署“天眼集中管理平台”。通过一套天眼集中管理平台，安全运维人员可以统一轻松管理和监测各产业园的所有天眼设备，并统一完成天眼设备版本升级、漏洞补丁升级、漏洞规则升级；当设备遇到故障时，该平台不仅能发现问题点，还能通过邮件及时通知客户。有了天眼集中管理平台，该装备制造企业安全人员管理天眼设备更轻松、效率更高。

谈及未来合作展望，该装备制造企业网络安全部门相关负责人介绍，公司曾入选福波斯全球企业500强，已经在全球形成了产业集群，在全球多个国家都建设了产业园。基于天眼在日常运营中的实践及多次在国家网络安全攻防演习中的良好表现，未来，该公司将继续扩大分支机构天眼设备的覆盖范围，加强在海外产业园的部署，让中国新一代网络安全的领军者为“中国制造”出海保驾护航。

03

后记

智能制造是装备制造业转型升级的重要方向，数字化是装备制造产业发展的必然趋势。而包括工程机械在内的装备制造企业，要想高质量推进智能制造和数字化转型，实现可持续发展，必须确保企业网络威胁全面可见，网络攻击有效防御，安全事件妥善处置，最终保障生产业务系统及智能工厂的稳定、高效、安全运行。

原文始发于微信公众号（奇安信集团）：从“灯下黑”到灯火通明，灯塔工厂打通看见网络威胁的任督二脉