【精读】2025网信自主创新调研报告-第九章(案例1)
2026-06-30 12:21
【精读】2025网信自主创新调研报告-第九章(案例1)
经过数月的调研和分析整理工作,《2025网信自主创新调研报告》如期和读者见面了。本报告基于对全国范围内网信自主创新实践的系统性调研,汇聚了来自一线的数百个真实案例。
第一篇“传统网信技术篇”采用问题导向的编写思路,围绕产业实践中面临的六大核心痛点设立六个章节。第二篇“人工智能篇”作为新兴技术领域,侧重从双维度展开:一方面聚焦人工智能技术研发层面的创新实践;另一方面深入考察人工智能在产业应用维度的落地情况。第三篇“案例汇编篇”系统整理本年度调研工作采集到的有效案例,为读者提供详实的实践参考。如果说第一年参与调研和报告编写工作是出于兴趣,第二年、第三年是出于情怀,那么连续8年参与这项工作就变成了一种责任。编委会将把这项工作坚持做下去。从今天开始,“自主指令先锋号”将对报告的各个章节进行连载,希望对读者有提供有益的帮助。
第9章 案例汇编9.1.案例1:安天科技“端网”协同防护体系护航智慧港口工控安全案例(1)案例背景:应对智慧港口数字化进程中的新型安全威胁
在全球化供应链与数字经济深度融合的背景下,港口作为关键物流枢纽和国家重要信息基础设施,其稳定运行直接关系到国计民生。随着智慧港口建设加速,工业控制系统(工控系统)的数字化、网络化程度日益加深,在提升运营效率的同时,也使其暴露在勒索病毒、高级持续性威胁(APT)渗透以及工控协议漏洞利用等新型网络攻击的威胁之下。这些攻击可能导致核心生产业务中断、敏感数据泄露,传统单点、静态的防护手段已难以应对日益复杂和隐蔽的威胁。面对这一严峻挑战,安天科技集团股份有限公司在某智慧港口为客户建设基于自主创新技术的工控网络安全体系,旨在构建一套能适应复杂工业环境、实现主动预警与协同响应的纵深防护体系,为港口的高质量发展与数字化转型保驾护航。
(2)技术路径:构建“端-网”协同的轻量化纵深防护体系
人工智能正加速从“辅助工具”走向“业务系统组成部分”,通过深度嵌入关键业务流程,推动研发模式、生产组织、安全运维与管理体系的整体重构。
本案例的技术路径选择,核心在于构建一个资源占用轻、兼容性强且能协同联动的立体化防护架构。基于对工控系统业务连续性要求极高、协议复杂多样且部分环境网络隔离的特点,项目团队选用了安天自主的“智甲终端防御系统”、“探海威胁检测与分析系统”及“可扩展威胁检测与响应平台(XDR)”构成核心技术栈。这一选型逻辑着重考量了关键指标:终端防御系统可实现CPU占用率低于3%、内存占用小于50MB的“轻量级”部署,确保不影响生产系统的实时性;网络威胁检测系统具备在万兆环境下线速处理性能,检测延迟低于50毫秒,满足大流量无损检测需求;同时,全套方案对Windows、Linux及主流工控操作系统具备良好兼容性,并能与港口既有安全设备无缝对接。在架构设计上构建了“终端-网络-平台”三层协同的纵深防护体系,并通过OODA(观察-定向-决策-行动)与PDCA(计划-执行-检查-处理)双循环运营机制,将威胁检测、分析、处置流程自动化、闭环化,推动安全能力从被动处置向主动预警的根本性转变。(3)关键突破:三大核心技术攻克工业场景下的实战难题
人工智能正加速从单点应用向自主创新驱动的全流程赋能演进,其价值通过深度嵌入关键业务环节,推动信创及相关产业在技术自主、流程优化和产业升级上的系统性提升。
这一体系得以成功落地的关键,依赖于多项核心技术的突破与扎实的工程实践。l本地化闭环运营技术,破解网络隔离下的勒索软件检测难题针对工控网络隔离场景下云检测能力缺失的难题,项目团队研发了“可持续迭代的恶意软件特征闭环运营检测技术”。该技术通过对海量异构勒索软件样本进行行为归一化与特征形式化处理,形成了一套可在用户侧独立、持续更新的本地化检测规则与引擎,实现了在不依赖外部网络的条件下,对勒索软件的快速精准识别与遏制。
为应对高级威胁的隐蔽性和长期性,方案应用了“基于全要素留存的追踪溯源分析技术”。通过对网络流量进行细粒度协议解析与元数据全要素留存,以较低的存储成本完整记录网络活动,针对长期性及持久化的威胁,依然能够进行有效的回溯分析,极大提升了对抗APT等高级威胁的能力。以XDR平台为核心的“资产盘点与威胁对抗运营技术”,通过主动扫描与被动流量分析相结合,动态梳理资产并评估暴露面风险,使安全运营人员能够聚焦关键风险,实现风险的快速感知、定位与加固,持续缩小攻击面。在工程实施中,最大的挑战在于如何在不影响港口7×24小时连续作业的前提下,完成安全产品的部署与策略调试。项目团队通过采用分阶段、灰度上线的方式,先在非核心区域进行充分测试与验证,再逐步推广至核心生产网,确保了防护体系的平滑构建与业务零中断。经过超过六个月的稳定运行,该防护体系取得了显著的量化成效与深远的战略价值。在安全运营层面,港口重点安全事件的平均故障恢复时间从原来的1-2天大幅缩短至1-2小时,整体安全事件数量同比下降了70%,威胁响应效率实现了数量级提升。在经济效益方面,得益于体系的自动化运营与精准防护,港口网络安全综合运维成本降低了约40%,实现了降本增效。
(5)生态协同展望:以引擎赋能模式共建工控产品安全生态
本案例落地后,安天希望通过将核心的AVL SDK威胁检测引擎以标准化、模块化的形式开放给工控设备厂商,为后者提供了“即插即用”的安全能力增益。该引擎采用平台无关代码开发,支持从X86、ARM到各类国产芯片架构,以及Windows、Linux到国产操作系统,具备极强的环境适应性。对于工控厂商而言,集成该引擎意味着无需投入巨资自建威胁研究体系,即可使其产品获得国际领先水平的病毒检测与防护能力,有效弥补了传统工控产品在安全层面的“短板”,为网络安全核心技术融入工业互联网体系开辟了有效路径。
方案更大价值在于其战略性贡献:它成功推动港口企业建立起一套技术与管理并重、与业务深度协同的常态化安全运营体系,实现了从满足“被动合规”要求到为智慧港口建设“主动赋能”的关键跨越。这一实践不仅筑牢了港口关键信息基础设施的安全底座,保障了国际物流供应链的稳定畅通,也为交通运输乃至整个工业领域提供了网络安保体系建设的宝贵范例,有力支撑了网络强国和制造强国战略的落地。该方案在同行业及其他工业领域的推广前景广阔,其核心优势在于提供了一个经过大规模真实场景验证的体系化、轻量化、实战化整体解决方案,能够有效应对勒索软件等新型威胁,且兼容性好、部署灵活,能适应包括严格隔离环境在内的各类复杂工业场景。
