1、 2018 年工业互联网案例汇编 工业互联网产业联盟（AII） 2019 年 2 月 编 写 说 明 工业互联网是新一代信息通信技术与工业经济深度融合下的关键基础设施、 新型应用模式和全新工业生态体系， 当前围绕工业互联网的应用探索和业务创新 大量涌现。特别是国务院关于深化“互联网+先进制造业”发展工业互联网的 指导意见发布以来，我国制造企业、自动化企业、ICT 企业、互联网企业、科 研院所等各方力量积极参与我国工业互联网建设及推广工作， 不断推动我国工业 互联网的深化发展。 工业互联网产业联盟（以下简称“AII/联盟”）依托试验平台组、产业发展 组，持续组织开展工业互联网应用案例征集工作，2

2、017 年 3 月到 2019 年 2 月， 联盟持续推进相关工作，通过多次组织专家评审，共遴选出了 48 个测试床、59 个优秀应用案例，19 个典型安全解决方案、30 个网络优秀解决方案汇编成册并 发布。希望通过产业应用案例汇编，全方位呈现工业互联网重点行业的应用实践 和成效，展现工业互联网的核心能力和解决方案，展望未来产业创新发展趋势与 方向，为工业互联网的实施部署提供示范和标杆，加速产业发展。 目 录 一一、工业互联网测试床项目工业互联网测试床项目 1. 基于视觉智能工业品外观柔性检测方案 5 2. ROS 机器人无线通用平台测试床 13 3. 基于智能数控系统的工业 APP 平台测试

3、床 26 4. 基于公有云的面向中小微企业的协同制造平台 41 5. NB-IoT 共享洗衣机测试床 50 6. 基于 SDN 和 SDP 的工业互联网专网 58 7. 基于工业互联网平台的设备远程监测诊断测试床 67 8. 基于 5G 网络连接的工业智能化巡检测试床 82 9. 基于人工智能技术的工程机械装备故障诊断与预测性维护测试床 95 10. 基于 5G 和人工智能的产品质量实时检测和优化 105 11. 基于空调云平台的节能控制系统测试床 131 12. 智能电网 5G 网络及切片应用 141 13. 智能制造安全监测与运营管理平台 155 二二、工业互联网优秀应用案例工业互联网优秀

4、应用案例 1. 企业对接省级国家级工业互联网安全平台 构建行业生态安全治理新思路 171 2. 数字化到智能化赋能精密组装堆叠数据价值设计创造与执行 179 3. 可携式电子产品智能制造七化融合，实现关灯智能生产 190 4. 中储粮智慧粮仓项目全球最大的“互联网+粮食”应用案例 203 5. 传化工业互联网（服务）平台 212 6. 美欣达环保行业智慧运营管控平台 220 7. 精密机构智能云网制造系统及应用升级助力 6C 行业智能运营及应用生态体系 构建 230 8. 基于新兴信息技术的燃气燃煤机群监测诊断私有云平台数智电力-领略数字医 生的智慧诊断 241 9. 笔头加工制造数据采集与设

5、备管家工业微应用项目基于数据采集的工业微服务 在笔头加工行业的应用 247 10. 法兰制造行业网络化协同制造项目智能网关与云计算应用的实践案例 259 11. 思科工业互联网智造云平台 梁睿：; 王科：; 82 三、 合作公司 广西玉柴机器集团有限公司 四、 测试床项目目标和概述 项目背景及目标： 2017 年 10 月，中国移动政企公司与广西玉柴共同成立智能制造联合实验室，实验室 计划为期 3 年。结合 5G、AR、智能硬件终端等技术，对玉柴传统车间进行智能化试点改 造，并将试点验证的成果进行内部复制推广，逐步实现玉柴

6、智能制造转型升级。 项目概述： 设备的定期巡检与故障排查对于产线 7*24 小时安全生产至关重要，而传统的设备巡 检存在诸多弊端，如人员误操作，假巡检，专业技能较低等，给企业的生产工作埋下了很 多安全隐患。随着 5G、机器人、增强现实等技术的逐步成熟，可实现设备的智能化巡检。 本项目具体满足如下场景： 1. 工业 AR 设备点检：工业 AR 设备点检：借助 AR 眼镜，采集前端巡检人员观察到的实时画面，将视频 图像实时回传至云端，可实现前后端人员的实时交互，同时还可以利用 AR 眼镜 管理设备信息，包括维修，点检记录，保养信息等。 关键性能指标： a. AR 眼镜设备要求： 主要性能 指标内容

7、 范围要求 可佩带 最高运行温度 50 重量 200g 摄像头 拍照 1000 万像素 摄像 1080P 续航能力 续航时间 5 小时 b. 实时性要求： 数据端到端传输时延应小于 20ms，以消除眩晕感。 83 c. 对 5G 网络性能需求： 功能 上行速率 下行速 率 端到端 时延 覆盖 连接数 可靠性（丢 包率） AR 视 频数 据传 输 10Mbps/ 每个终端 10Mbps/ 每个终 端 20ms 连续覆 盖试点 范围 50 10 -5 2. 变电站机器人巡检：变电站机器人巡检：远程控制机器人的运动轨迹，实时采集、回传高清视频图像 至云端，系统通过对采集到的图像数据进行人工智能分析判

8、断变电站内设备是否 存在异常，从而大幅减少人工投入。 关键性能指标： a. 精度要求 摄像头分辨率应达到 1080P，可实现高倍数自动调焦和手动调焦，满足对至少 12 米外仪表数据的清晰拍摄；传感器采集的主要数据精度应达到下表要求： 项目 测量分辨率 测量范围 测量精度 温度 0.1 060 0.1 湿度 0.1% 0100%RH 1% TVOC 0.1mg/m3 05.00mg/m3 15% b. 移动要求： 行进速度可控，遇到异常情况可紧急制动，支持遥控器手动操控； c. 实时性要求： 远程控制信息端到端数据传输时延应小于 10ms； 传感视频数据端到端传输时延应小于 50ms； 84 d

9、. 续航能力要求 续航时间保证在 5 小时以上，并且在电量不足时，可自动发出告警或自动回到充 电点进行充电。 e. 对 5G 网络性能需求： 功能 上行速率 下行速 率 端到端 时延 覆盖 连接数 可靠性（丢 包率） 传感 和视 频数 据传 输 20Mbps/ 每台机器 人 10Mbps/ 每台机 器人 50ms 连续覆 盖试点 范围 10 10Mb/s，单台可接入 PMU 数量不低于 20 台，相量传输速率 1、5、 10、25、50、100 帧/s 可调，支持多种接入方式。 二、配电网同步相量测量装置 PMU 1、通信特点 测量点多：大量终端 通信频次高， 相量数据传输要求 100 次/s

10、 延时要求小：实时控制、保护等要求延时越小越好；毫秒级 数据多样性： 报文有大（录播文件）有小（相量/三遥信息） 、实时性有高 （相量保护等在线信息）有低（离线文件） 通信形式多样：主要信息流为 PMU 经接入网送 PDC(多媒介专用相量集中 处理装置，位于变电站)汇集后经骨干网送主站 WAMS(广域监测系统)，但 也可能存在 PMU 之间、PDC 之间以及和其它监测/控制/保护设备之间的对 等通信，以满足快速保护和协调控制等要求。本方案中 5G 通信不通过 PDC 中转。 2、通信频次要求：频次高，易碰撞 PMU 相量数据按 100 帧/s 主动上传，按一条线路 5 台 PMU计算，变电站

11、8条线路， 只是相量数据传输将达到每秒 4K次，即 250us 要上传 1次；变电站 16线路，只是相量数 据传输将达到每秒 8K 次，即 125us 要上传 1 次相量数据；如此高频度的数据并发出现在 网络，同时有命令报文、录播文件、原来配电自动化三遥数据，将可能出现数据碰撞问题、 导致通信质量下降，可靠性低，实时性差，误差率高。 3、延时要求：毫秒级 不同 WAMS 广域监测系统应用类型的典型通信传输需求 参数 离线 （研究，操 作验证，模 型验证） 操作可视 化（图形 显示） 操作报警 状态估计 运行状态 估计 实时控 制、保 护、运行 状态 数据速率 （最小） 25-50帧/秒 10帧

12、/秒 10 帧/秒 1帧/秒 10-100帧/ 秒 10-100帧/ 秒 通信延迟 （最大） 无要求 2秒 2秒 10秒 0.05-1秒 0.05-1秒 测量响应时 间 中等，5- 300ms 低，150- 500ms 低，150- 500ms 低，150- 500ms 高，100- 1000ms 高，20- 500ms 146 4、通信速率要求 基于 TCP 的 26865.2-2011 格式数据的相量数据传输速率要求 传输数据速率 （比特数每 秒） 10/s，整型 25/s，整型 50/s，整型 100/s，整型 1个 PMU,10个 相量 10080 25200 50400 100800

13、 10个 PMU,6个 相量/PMU 26080 65200 130400 260800 100个 PMU,12 个相量/PMU 390880 977200 1954400 3908800 相量传输带宽主要取决于通信速率和 PMU 数量，以及 PMU 内部的相量数量和数 据类型。TCP比 UDP 方式稍有增加，整形和浮点型相比明显减少。 主干网：按变电站一个 PDC 汇集 100 台 PMU，每台 PMU 接入 12 个相量，使用 TCP 方式，100 帧/s 通信速率，PDC 上行通道需要 3.9Mb/s 的通信带宽（未考虑快速 录播文件） 。 接入网：1 个 PMU,10 个相量，使用 T

14、CP 方式，100 帧/ s 通信速率，PMU 上行通 道需要 100.8Kb/s 的通信带宽（未考虑快速录播文件） 。 5、配电网 PMU/PDC/主站等多方通信要求 序号 通信各方 特点 规约 1 PDC-主站 毫秒级，大帧结构，数据量大 GB/T 26865.2-2011 电力系统 实时动态监测系统第 2部分： 数据传输协议 TCP+UDP 相量 配置帧，头帧，命令帧 离线动态文件+离线暂态文件 （COMTRADE数据格式） 2 PMU-主站 毫秒级，小帧结构，数据量中 等 3 PMU-PDC 毫秒级，小帧结构，数据量中 等 4 PMU和 PMU、控 制装置之间 PDC之间 事件传输（保

15、护，合闸，控 制） 对等通信 三、智能配电网通信组网要求 同步相量测量装置 PMU 接入变电站 PDC 通信带宽在 100kbps 200kbps 之间; 变电站 PDC 接入主站 WAMS 通信带宽 2Mbps10Mbps ; 147 通信延时小于 20ms ； 支持业务重要程度按预定优先级传输； 支持终端之间直接对等通信方式； 支持 TCP/UDP 混合通信方式； 支持点对点通信（C/S 结构）和 UDP 组播通信方式。 四、测试床网络结构 网络结构见下图。无线和核心网的站点机房都部署在浦东临港，上海电力的监控 中心位于浦东南路，监控中心和核心网机房两个点之间建立专用数据链路。 五、测试床

16、物理部署方案 示范区为临港南边区域，西边靠近奉贤，南边为杭州湾，东临东海，北边到兴旺 变电站，面积约 100 平方公里，如下图所示。初期项目要求建设 2-3 个 5G 基站，覆 盖上海电力学院附近区域。 148 六、测试床网络部署模型 上海电力临港示范区配电网的 PMU(同步相量测量装置)/ PDC(多媒介专用相量集中处 理装置)和 5G 终端互通，通过 5G 网络实现组网接入主站配网 WAMS 系统。 七、测试床组网方案 基站侧设备安装示意图 -48V 基站侧设备安装示意图 -48V BBU 天线 光纤 BBU 天线 光纤 RRU 馈线 RRU 馈线 CPECPE 安全网关 以太网 FE 安

17、全网关 以太网 FE PMU2 PDCPDC CPECPE 以太网 FE 以太网 FE PMU1 CPECPE FEFE PMU3 CPECPE FEFE PMU3 Relay1 149 基站侧设备安装示意图 -48V 基站侧设备安装示意图 -48V BBU 天线 光纤 BBU 天线 光纤 RRU 馈线 RRU 馈线 CPECPE 安全网关 以太网 FE 安全网关 以太网 FE PDC1 VPNVPN CPECPE 以太网 FE 以太网 FE PMU4 CPECPE FEFE PMU5 PMU3 主站 PDC1 PMU12 PMU11 PMU13 (二) 软件平台 本验证示范平台的软件平台主要

18、包括两大系统：配电网主站广域相量测量系统、5G 核心网平台。 配电网软件系统对应于“智能电网技术与装备”重点专项 2017 年度项目申报指南第三 大部分“多元用户供需互动用电”第 1 个项目“智能配电网微型同步相量测量应用技术（共 性关键技术类）”，包括具体技术方案：基于该装置的配电网故障诊断及精确定位方法； 配电网运行状态估计方法；分布式电源、柔性负荷、用电营销等系统的相关信息集成机制、 多维数据分析方法与协调控制技术； 5G 核心网平台包括 5G 核心网软件、虚拟化软件、网络切片技术等。 八、 和 AII 技术的关系 (一) 与 AII 总体架构的关系 参考 AII 总体架构设计，本验证示

19、范平台对照符合工业互联网泛在的无线连接需求， 采用 5G 新型网络技术研究和部署来支撑工业互联网发展。 本验证示范平台对照满足 AII 安全体系和 AII 数据体系目标框架。 150 (二) AII 安全（可选） 本验证示范平台将遵循工业互联网产业联盟提供的安全体系, 将和 AII 安全组密切合作， 邀请安全组成员参加验证示范平台项目评审。 本验证示范平台的安全机制： 对于智能电网的应用，管侧安全重点聚焦“网络专用、横向隔离” ，5G 网络将重点关 注网络切片安全，以及网络安全的能力开放两方面。 1、5G 核心网提供多层次的切片安全保障，为智能电网业务提供差异化的隔离服务。 5G 切片安全机制

20、主要包含三个方面：UE 接入安全、网络域安全，外网设备访问安全。 1）UE 接入安全：通过接入策略控制来应对访问类的风险，由 AMF 对 UE 进行鉴权， 从而保证接入网络的 UE 是合法的。另外，可以通过 PDU（分组数据单元）会话机制来防 止 UE 的未授权访问。 2）网络域安全：网络域通信安全可以分为 NF 间互访安全、不同切片间 NF 的隔离和 切片内的 NF 间安全三种情况。 3）外网设备访问安全：在切片内 NF 与外网设备间，部署虚拟防火墙或物理防火墙， 保护切片内网与外网的安全。如果在切片内部署防火墙则可以使用虚拟防火墙，不同的切 片按需编排；如果在切片外部署防火墙则可以使用物理

21、防火墙，一个防火墙可以保障多个 切片的安全。 2、5G 网络安全能力开放，助力智能电网实时更灵活的安全保障措施。体现 5G 网元 与外部业务提供方的安全能力开放，包括开放认证与密钥管理。也可以根据业务对于数据 保护的安全需求，提供按需的用户面保护。 (三) 详细清单（可选） 验证示范平台中设计的组件： 现场级： IT 网络接入：智能网关/交换机/路由器； 无线接入：5G 基站、5G 终端； PMU(同步相量测量装置)/ PDC(多媒介专用相量集中处理装置) 平台层：主站 WAMS 广域监测系统、5G 核心网平台 151 (四) 风险模型（可选） 本平台面临的风险如下： 设备层面，本平台中使用的

22、 PMU、PDC、5G 基站、5G 终端是最关键部件，如果 受到内外部攻击或操作错误影响，会产生严重后果。 控制层面，本平台中，主站 WAMS 广域监测系统、5G 核心网平台，是比较脆弱 的部件，可建立相对独立的网络，采用防火墙与其他网络系统相隔离。 网络层面，网络通信过程包括 PMU/PDC 与 5G 终端 CPE、5G 终端 CPE 与 5G RRU、 5G RRU 与 5G BBU、5G BBU 平台与 5G 核心网平台之间等存在安全风险，如非授 权访问或对设备的网络攻击。 应用层面，主站 WAMS 广域监测系统存在安全风险如非授权访问等。 (五) 安全联系人 中兴通讯股份有限公司 林兆

23、骥 (六) 与已存在 AII 测试床的关系 AII 现没有 5G 网络相关测试床，也没有电力行业相关测试床。 九、 交付件 本测试床交付件包括下列方面： 验证示范平台技术框架方案、5G 网络切片设计方案、5G 网络无线基站部署方案、 智能配电网 PMU/PDC 和 5G 终端互通方案、5G 模组应用实现智能电网端到端的 解决方案 验证示范平台相关实体，如 5G 网络无线基站、 5G 终端、 5G 核心网、PMU(同步 相量测量装置)、 PDC(多媒介专用相量集中处理装置)、 WAMS(广域监测系统)等 验证示范平台测试文档、评估报告和可复制的商业流程说明 十、 测试床使用者 测试床初期仅限于现

24、有的合作伙伴使用，示范平台成熟后向联盟中企业及社会开放 152 十一、 知识产权说明 中兴通讯股份有限公司、国网上海市电力公司、中国移动通信集团有限公司上海公 司对本测试床的建设、运营以及使用拥有产权。本测试床相关的专利、软件著作权等在测 试建设合作单位中根据情况协商确定。 十二、 部署，操作和访问使用 本测试床依托国家项目：智能电网技术与装备重点专项 2017 年度项目申报指南第 三大部分“多元用户供需互动用电”第 1 个项目“智能配电网微型同步相量测量应用技 术（共性关键技术类） ” 验证示范平台部署在上海电力临港示范区。初期将开放给项目参与单位开展技术试 验，待成熟后向更多的合作伙伴开放

25、。 十三、 资金 本测试床验证示范平台将利用中兴通讯自有资金和上海电力“智能电网技术与装备” 重点专项已有的财政资金参与建设，不需要另外筹集资金。 十四、 时间轴 本验证平台建设周期拟为三年 2018 年 12 月完成实验验证平台需求分析、系统方案设计、关键部件选型，并进行 5G 网 络无线基站建设，覆盖上海电力学院附近区域。 2019 年 6 月实现 5G 网络和 PMU、监控主站的对接，完成通过 5G 网络通道传输 PMU 数 据的技术验证，并完成 5G 网络通道的测试评估。 2020 年 6 月完成通过 5G 切片实现电力专用通信网络的可行性研究，具体包括验证网络切 片对各类智能电网业务

26、的支持、验证网络安全性、验证网络高可靠性、验证组网结构等； 2020 年 12 月完成 5G 模组应用实现智能电网端到端的解决方案。 153 十五、 附加信息 英文词汇表 英文缩写 英文全称 中文解释 5G 5th-Generation 第五代移动通信 AII Alliance of Industrial Internet 工业互联网产业联盟 BBU Building Base band Unit 基带处理单元 C/S Client/Server 客户端/服务器 CPE Customer Premise Equipment 客户终端设备 CU Centralized Unit 集中单元 DU

27、Distributed Unit 分布单元 FE Fast Ethernet 快速以太网 IPS Intrusion Prevention System 入侵防御系统 PDC Phasor Data Concentrator 相量集中处理装置 PMU Phasor Measurement Unit 同步相量测量装置 RAN Radio Access Network 无线接入网 RF Radio Frequency 射频 RRU Radio Remote Unit 射频拉远单元 TCP Transmission Control Protocol 传输控制协议 UDP User Datagram

28、Protocol 用户数据报协议 VPN Virtual Private Network 虚拟专用网络 WAMS Wide Area Measurement System 广域监测系统 154 智能制造安全监测与运营管理平台 引言/导读 360 企业安全技术（北京）集团有限公司是 360 公司继个人安全市场后专注于为政府、 军队、企业，教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全 公司，法定代表人为齐向东，注册资本 1.33 亿人民币，总部设立在北京市朝阳区酒仙桥 路 6 号院 2 号楼（电子城.国际电子总部） ，同时公司在上海、成都、广州、大连等地设有 分支机构。公司拥

29、有 4000 余名网络安全技术、产品和服务人员。截止目前已经为 90%部 委、72%央企、100%大型银行以及上百万中小企业提供了网络安全产品和服务。 本项目采用物联网、大数据、云计算、人工智能等工业互联网先进技术，在实现供水 设备智能互联的基础上，通过对采集数据的实时分析、深度学习和数据挖掘，整合供水设 备从设计、生产、安装、运营、维保、报废到优化的全生命周期八大环节的数据，开发基 于目标用户的设备个性化需求系统、设备标准化设计系统、设备最优化智能生产系统、移 动施工管理系统、设备远程监管系统、设备故障预警系统、故障专家自诊断系统、维保快 速响应系统等服务应用，并通过 APP、Web 等人机

30、交互工具为不同用户提供多层次、多元 化的用户界面，构建供水设备全生命周期的一体化管理平台。 一、 关键词 安全监测、运营管理 二、 发起公司和主要联系人联系方式 发起单位：360 企业安全技术（北京）集团有限公司 155 主要联系人：崔君荣 陶耀东 三、 合作公司 上海威派格智慧水务股份有限公司 四、 测试床项目目标和概述 主要目标 “智能制造安全监测与运营管理平台”主要实现对智能制造企业工控系统通信数据和 安全日志进行快速、自动化的关联分析，及时发现智能制造行业工控系统异常和针对工控 系统的威胁，通过可视化的技术将这些威胁和异常的总体安全态势展现给用户，通过对告 警和响应的自动化发布、跟踪、

31、管理实现安全风险的闭环管理。 通过建设智能制造安全监测与运营管理平台，实现企业内网 IT 和 OT 安全的统一管理， 企业内部通过全网流量监测，提前洞悉企业内部各种工业安全威胁，降低智能制造企业在 进行工业互联网转型过程中的安全门槛，促进智能制造相关产业高速发展。 总体概述 智能制造安全监测与运营管理平台主要包括流量传感器、日志采集探针、关联规则引 擎和分析平台 4 个硬件模块。如下图所示： 156 平台组成架构 1) 流量传感器 流量传感器的功能主要是采集工控网络中的工业协议流量数据，将原始的工控网络 全流量转化为按 session 方式记录的格式化流量日志，全流量日志会加密传输给分析平台

32、存储用于后期的审计和分析。 2) 日志采集探针 日志采集器的主要功能是对工控网络内工控设备（PLC/DCS/RTU/HMI 等） 、安全设备、 工业以太网、上位机、服务器等设备通过主动采集或被动接收等方式对日志进行采集并进 行归一化预处理，方便数据流后面的关联规则和数据分析能够快速使用。同时日志采集器 还负责对内网资产进行扫描识别，收集资产数据。 3) 关联规则引擎 关联规则引擎主要负责对来自日志采集器的大量日志信息进行实时流解析，并匹配 关联规则，对异常行为产生关联告警。 4) 分析平台 分析平台用于存储流量传感器和日志采集器提交的流量日志、设备日志和系统日志， 并同时提供应用交互界面。分析

33、平台底层的数据检索模块采用了分布式计算和搜索引擎技 157 术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。 五、 测试床解决方案架构 (一) 测试床应用场景 本平台主要面向智能制造领域，对中小企业建设具有监测、预警的管理平台，利用平 台的实时监测能力，有效加强企业的工业互联网安全水平。 水务是一个涉及到国计民生的行业，近年来中国水务向数字化、自动化、智慧化的方 向发展。为保证供水生产设备的安全运行、预防系统突发性重大事故的发生，并在事故发 生后迅速有效地控制和处理，最大限度地减少事故损失和相关系统的影响，在企业内部建 立安全运营管理平台，以数据为驱动，以安全分析为

34、工作重点，立足于安全策略防护，充 分利用大数据平台的数据收集、查询能力进行持续的监控与分析；在持续监控的基础上， 实现安全管理体系、预警监测体系、安全服务体系、纵深安全防护之间的有效协同和共同 作用，最终形成可以有效落实的体系化安全解决方案。 (二) 测试床重点技术 该平台数据采集部分，除了对智能制造行业传统的 Syslog、Flow、各种系统日志和 安全设备日志以外还突破性的针对原始流量日志（依赖于流量传感器或 360 下一代防火 墙）和终端日志（依赖于天擎 EDR 模块）进行采集。依赖于更加原始的日志信息，平台可 以发现隐藏更深的各种威胁，同时能够提供完整的事件回溯分析能力。 平台在数据的

35、存储和分析中大量使用大数据相关技术，在标准化组件中可以依赖于 分布式全文检索技术提供接近 PB 级日志量的存储和快速计算，同时能够提供良好的可靠 性保证，以解决意外断电、磁盘故障可能对系统带来的可靠性问题。 平台使用多种分析引擎针对不同的管理目标提供相应支撑，关联分析、统计分析、快 速搜索等功能相较于传统产品具有明显的性能优势。 平台最外层提供友好、高效的交互管理页面，既满足了使用需求，又能够提升工作效 率。再结合威胁情报、安全服务等来自于 360 特有的安全知识输入，该平台可以极大的提 升本地安全运营的效率。 158 (三) 技术创新性及先进性 通过全网流量监测，发现工业网络中的各类威胁和高

36、级威胁，并进行情报挖掘与云 端关联分析，提前洞悉企业内部各种工业安全威胁，并将威胁情报以可机读格式推送到本 地系统，供本地威胁检测和分析时使用。 (四) 测试床解决方案架构 该平台将建设成一个以多种安全问题管理为目标、以智能制造工业数据为核心、威胁 情报为特色、打通安全运营中的检测、响应、预警、防御多个领域环节的完整安全体系， 能够覆盖安全管理与运营的各个环节，功能架构图如下： 平台功能架构 六、 预期成果 (一) 测试床的预期测试结果，针对测试项（重点） 1、 工控系统关键资产管理 该平台能够提供对企业内网资产的扫描发现、手工管理、资产变更比对、资产信息整 合展示等基本功能。同时，提供长期的

37、服务、流量、威胁相关的监控，所有资产相关的监 控数据均可在资产详情页查看。 159 2、 工控系统操作行为监测 该平台能够实时监测工控系统控制器下装、上传、启动、停止等关键操作行为，包 括智能制造行业常用西门子 S7-300、施耐德昆腾、罗克韦尔 Control Logix 等系列工控 系统。 3、 威胁发现及时性提升 利用多种新型威胁监测手段，再结合威胁情报的使用，该平台能够更快的发现隐藏 在各类日志中的安全问题。更早的发现威胁，一方面可以帮助企业或单位在安全管理上更 为从容，无需面临可能被通报追查的窘境，另一方面可以留下更多挽回损失的机会，为快 速的弥补安全问题提供宝贵的时间窗口。 4、

38、安全运营 该平台可以在多种安全功能基础之上提供安全运营，帮助用户快速的、宏观的了解 整个企业的安全情况。对各种威胁采取措施控制指令下发至控制系统，形成监控、分析、 控制的闭环。 (二) 商业价值 传统工业领域安全防护常用的分层分域的隔离与边界防护思路以及传统的 IT 安全手 段已不能有效识别和抵御所有可能的攻击。安全监测与运营管理平台为智能制造中小企业 的工业控制系统信息安全保障提供了一种有效解决方案。 (三) 经济效益 通过该平台的部署，可以实时监控企业内网的流量，及时发现智能制造网络空间的可 疑行为和风险，大大提高了整个工业控制过程自动化领域的信息安全保障水平，同时提高 用户对自己使用的工

39、业控制系统信息安全的自主把控能力。本平台作为智能制造行业工业 互联网建设和正常运行的重要支撑和保护，其建设具有良好的经济效益。 (四) 社会价值 智能制造行业工业控制系统在我国经济生产生活中起着举足轻重的作用，如果工业控 制的信息被窃取或者被修改，可能造成人身伤亡、财产损失等严重后果，更严重的甚至会 影响到国家安全。本平台建成后，将快速面向智能制造中小企业，形成良好的工业互联网 160 和网络安全产业生态，加快工业物联网在工业信息化产业中的布局，降低企业工业控制信 息化的复杂度，从而让工业充分享受信息化产业带来的便利，社会效益十分显著。 七、 测试床技术可行性 (一) 物理平台 平台主要包括流

40、量传感器、日志采集探针、关联规则引擎和分析平台 4 个硬件模块。 主要部署在网络出口交换机旁，或者其他需要监听流量的网络节点旁，接收镜像流量，极 大的避免了硬件接入至企业厂区内部对生产本身的影响。 (二) 软件平台 所用设备操作系统为 linux。 八、 和 AII 技术的关系 (一) 与 AII 总体架构的关系 161 安全监测和运营管理平台在工业互联网体系架构中提供安全服务，网络边缘侧接入的 终端类型广泛，数量巨大，承载的业务繁杂，被动的安全防御往往不能起到良好的效果。 因此，需要采用更加积极主动的安全防御手段，包括基于大数据的态势感知和高级威胁检 测，以及统一的全网安全策略执行和主动防护

41、，从而更加快速响应和防护。再结合完善的 运维监控和应急响应机制，则能够最大限度保障系统的安全、可用、可信。 (二) AII 安全（可选） 智能制造安全监测与运营管理平台是安全产品，能够连接工控防火墙、工业安全审计、 工业主机防病毒软件、工控交换机等设备，统一管理安全事件。 同时，该平台在出厂时已经通过公司内部安全审查和评估。 (三) 详细清单（可选） 配置和控制接口 模块 接口 流量传感器 21GE 管理口（电） ，21GE 监听口（电） ，21GE 监 听口（光口，可插千兆光模块） 日志采集探针 41GE 电口 关联规则引擎 41GE 电口 分析平台 41GE 电口 数据通讯接口 工控通信协

42、议 MODBUS/TCP、OPC DA、S7 等。 (四) 安全联系人 孙树海 (五) 与已存在 AII 测试床的关系 参考工业互联网产业联盟成果发布测试床，现有 34 个测试床，主要集中在智能 服务平台、通信设备制造、家电协同制造等方面。现有成果没有从安全角度考虑建设测试 床，因此，智能制造安全监测与运营管理平台的部署是非常有必要的，同时需要亟待落实。 162 九、 交付件 智能制造安全监测与运营管理平台是一个总系统，主要包括流量传感器、日志采集探 针、关联规则引擎和分析平台，部署在智能制造同一个网段中。 十、 测试床使用者 智能制造安全监测与运营管理平台建设成功后，可应用于工业控制系统安全

43、国家地方 联合工程实验室进行展示，同时可用于威派格智慧水务生产设备系统的安全监测、分析预 警、安全态势展现、威胁情报发布与使用。 十一、 知识产权说明 1.项目实施过程中所产生的知识产权， 各方独立完成的成果所有权归各自所有；共同完成的成果所有权，按照参与方的贡 献大小进行分配。 共同完成的项目成果转让，须经参与各方同意的前提下进行，任何一方不得私自开 展。 2. 独立完成的知识产权成果各方可独立组织成果鉴定。 3. 共同完成的项目成果申报各级奖项，应根据各方贡献大小排名。具体事宜另行商定。 十二、 部署，操作和访问使用 流量传感器通常部署在网络出口交换机旁，或者其他需要监听流量的网络节点旁， 接收镜像流量。关联规则引擎、日志采集器和分析平台部署在流量传感器同一个网段即可。 十三、 资金 自筹 163 十四、 时间轴 项目建设周期为两年。2018 年完成流量传感器、日志采集探针等技术的开发，2019 年实现新探针、新应用开发技术模式，2020 年基本完成。 十五、 附加信息 该平台通过以大数据和威胁情报为核心的智能制造安全监测和运营管理平台建设，实 现威胁检测、可视化展现、闭环响应的工业安全运营，推动水务设备制造及智能制造行业 的发展。 164