一、案例背景

四川中烟工业有限责任公司（以下简称“四川中烟”）在多年网络安全建设中，已部署安全审计、入侵检测、WAF、流量分析、防火墙、漏洞扫描等多种防护手段。然而，现有安全能力存在“信息孤岛”问题，设备间缺乏有效联动，且事件监测、研判、通知、协同、处置等流程严重依赖人工，响应被动、效率低下，无法满足“高标准、高安全性、高效率”的企业安全运营要求。

针对上述问题，四川中烟提出构建一套“网络安全风险智能决策平台”，在保留现有安全能力的基础上，通过自动化编排和剧本化响应，实现跨系统、跨设备的联动响应，构建“威胁感知—分析定位—智能决策—响应处置”的闭环安全运营体系，推动从静态防御向动态运营转型，从人工研判向智能决策升级。

二、建设方案

本项目基于雾帜智能HoneyGuide智能风险决策系统，通过打通全网数据、统一编排响应流程，构建持续、闭环、协同的智能安全运营体系。系统架构采用模块化、松耦合设计，具备良好的扩展性与兼容性，支撑多源安全数据采集、跨域设备联动和复杂场景剧本响应能力。

在底层，系统以大数据技术为基础，夯实海量数据的采集与管理能力；中层采用人工智能模型驱动核心分析与决策流程；上层通过图形化编排与可视化展现，构建直观易用的运营界面。智能风险决策系统承担连接中枢和调度指挥中心的角色，上游系统可以是态势感知、SIEM或SOC等产品，下游系统可以是网内已有的基础能力，包括：安全产品、网络设备、IT系统和SaaS服务等，形成多系统融合、跨团队协作的网络安全运营指挥中枢。

三、方案应用

在项目实施过程中，四川中烟围绕六大能力模块展开建设：

1.  整体架构设计：平台通过数据采集、分析决策与执行响应三个核心模块实现自动化闭环运营，向上与态势感知系统、SIEM平台对接，向下联动防火墙、网络设备、IT系统和SaaS服务等基础能力，实现多层级联动。

2.  7×24小时全方位安全监测：平台构建自动化巡检体系，覆盖网络边界、业务系统、数据资产等关键节点，实现全天候安全事件感知与响应。

3.  原子能力池化：整合分散的安全产品核心功能，拆解为可独立调用的“原子能力”，支持按需编排，提升能力复用效率。

4.  智能协同作战室：针对每起安全事件生成虚拟作战空间，支持多角色权限协同、文字/图片/附件沟通、自然语言交互AI助手辅助响应指令调用，提升跨团队协作效率。

5.  可视化编排引擎：通过拖拽式图形化界面快速构建响应剧本，实现事件触发后的自动化处置，支持自定义流程、系统自学习与剧本复用，降低门槛并加速响应效率。

6.  知识管理体系：已完成的剧本与处置事件可沉淀为知识资产，自动生成事件报告，记录处置过程、参与人员、响应时效等，支持导出PDF供复盘与培训使用。

目前，四川中烟已上线6大类、30余个剧本场景，日均自动处置事件上万条，成功构建起“智能编排 + 自主响应 + 知识沉淀”的实战型安全运营体系。尤其在外网威胁核查、VPN异常、主机安全响应、漏洞复核、情报同步、设备状态监测等方面，均实现了自动化剧本落地。

四、案例成果

平台上线后，四川中烟实现安全事件处置效率的大幅跃升。2024年全年，平台自动化处置事件99万余起，封禁恶意地址1.4万个，安全运营人员由3人精简为1人，实现非工作时段“自动值守”，常规事件处置时长由数小时缩短至1分钟以内。

▲网络安全风险处置效率对比

在2024年公安部国家级攻防演习中，系统实现自动处置效率99%，成功封禁恶意IP近3000个，保障演习“零扣分”通过。

通过统一编排、安全协同、能力沉淀，四川中烟构建了“常态化运营、体系化建设、实战化防御”的新一代安全运营模式，为其数字化转型提供坚实安全保障，同时为烟草行业树立了自动化安全运营的实战样板。

更多关于《中国数字安全价值图谱》内容请点击下面链接查看：

      https://www.dwcon.cn/post/4242