业互联网安全监测与态势感知解决方案

业互联网安全监测与态势感知解决方案

一、项目概况

通信管理局担负协调管理省内通信网、互联网、工业互联网网络信息安全的重要职责。为进一步规划统筹省内工业企业网络安全建设，推进“两化融合”进程，实现工业网络向数字化、网络化、智能化转变，某省通信管理局与中新赛克独家合作，通过在监管侧部署工业互联网安全监测与态势感知平台，实现对设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。

1.项目背景

今年来，我国从法律法规、战略规划、标准规范等多个层面对工业互联网安

全做出了一系列工作部署，提出了一系列工作要求。某通信管理局在对管局侧信

安系统“专线资源”进行审核时发现，省内企业基数大、工业资产类型繁杂难以实

现有效地统一监管，主要存在以下几种典型的安全问题：

●部分基础企业对互联网专线信息存在漏报、误报等问题，导致管局对专

线数据监管不全，且缺少核验机制；

●对于专线的使用仅仅存在于数据统计，缺乏数据资源获取手段和对专线

数据进行深入挖掘分析的技术手段，无法发现数据的潜在价值；

●缺少对工业互联网协议与设备的识别能力、缺少对专线中存在的工业互

联网安全事件的监测预警、处置溯源能力、安全态势分析能力；

●针对专线接入的重点用户、关键基础设施缺少安全监管和保障手段。

因此，为规范对专线监管的内容和范围，省通信管理局希望通过部署工业互

联网安全监测与态势感知平台，实现对违法开办互联网信息服务进行管控、黑灰

产业链监测预警、防范互联网诈骗、为工业互联网安全等工作打下基础。

2.项目简介

本项目提出的工业互联网安全联动解决方案以工业网络安全数据、关键基础

设施行业数据为基础，以包含工控设备资产指纹、漏洞信息、安全设备信息、物

联网传感数据及工业网络模型等海量数据的资源池为支撑，运用自主知识产权的

云计算、大数据及人工智能安全感知技术，精准定位暴露在网上的工业系统、工业

云平台以及工业设备，进行全面的漏洞扫描，并通过AI 分析网络安全威胁态

势、流量分析关联技术实现完整的网络攻击溯源取证，并具有高度可视化的界面，帮助相关主管部门对关键基础设施进行设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。

本项目将公司的工业互联网探针系统与大数据安全态势感知系统联动，工业互联网流量的接入侧部署工业互联网探针设备，部署方式可串接部署也可以旁路部署。工业互联网探针支持多达30 多种工业协议识别，支持用户自定义协议识别和元数据提取，支持协议特征库在线升级，支持实时生成工控设备流量日志，

工控设备终端设备应用、行为日志，以及工控设备网关或后台管理中心日志/操作系统日志/数据库等日志。工业互联网流量在经过工业互联网探针后，工业互联网探针将生成的日志送到安全态势感知系统进行数据的分析挖掘与融合，这样可以大大减轻安全态势感知系统的处理压力，提高安全态势感知系统的性能。3.项目目标

本项目以进一步做好省内基础通信企业专线业务管理，强化属地网络信息安全技术监管，根据前期企业调研情况结合工作实际，扩大相关企业专线技术手段建设范围，有效完善体系化的技术保障能力为总体目标。

●全量：全量端口全量数据，实现对省内基础运营商的数据专线类型的全

量端口、全量数据全覆盖；

●准确：准确的技术核验手段，实现对省内专线流量和企业上报数据的准

确的技术核验手段，有效防止企业漏报、错报；

●多维：多维度的数据分析，实现对省内专线流量多维度的数据分析，形

成统一资源池；

●开放：开放的能力平台，实现省通管局统一能力平台的建设，开放端口，

能够为其他业务部门提供相应的业务数据支撑；

●安全：安全保障重点用户，对省内政府、化工、能源、工控等关键行业

网站的域名、IP、APP、资产信息进行重点保障。

二、项目实施概况

本项目方案提供工业互联网流量采集、流量清洗、大数据分析与挖掘、工业

设备和工业系统资产暴露情况监测、工业互联网安全漏洞扫描、异常流量分析、木马病毒等网络攻击检测与溯源等一站式的解决方案，使工业互联网安全态势感知系统更专业、更高效、更系统。

1.项目总体架构和主要内容

（1）总体技术架构

图 1 工业互联网安全态势感知系统总体技术架构

●数据源：通过大范围、深层次的数据采集，以及异构数据的协议转换与

边缘处理，构建工业互联网平台的数据基础；

●IaaS：IaaS 层提供数据导入/导出管理、数据存储、数据标准、元数据管

理、血缘分析、数据质量管理等服务；

●PaaS：PaaS 层提供资产指纹库、漏洞资源库、研判资源库、安全知识库、

业务数据库、专题数据库、以及原始数据库，为DaaS 层的数据分析提

供数据库；

●DaaS：DaaS 层引入人工智能、机器学习以及神经网络等先进大数据分

析技术对数据进行分析；

●SaaS：工业互联网对外开放的接口，通过SaaS 层对工业互联网的网络

安全态势进行安全监测、安全态势分析以及预警处置。

本项目充分利用公司现有技术优势，创新性的将工业互联网探针与智能大数据系统联动使用，开发了工业互联网安全联动解决方案。其中工业互联网探针部

署在工业互联网接入侧，利用其高性能的接入和处理能力，灵活的日志和流量内容识别能力，对工业互联网流量进行实时的清洗，分析与转化，将生成的日志信息提供给后面的大数据分析系统，日志的输出比大概为千分之五，即1T 的工业互联网数据流量，经过第一级的工业互联网探针处理后，只有5G 的流量送给后面的智能大数据分析系统进行网络安全态势的感知。此种方案解决了大数据系统普遍存在的接入能力差，处理性能较弱的问题，此外由于流量已经经过清洗与转换，大大提高了大数据分析系统的处理效率，从而提高了网络安全态势感知的实时性。

图 2 工业互联网安全态势感知平台架构

（2）安全解决方案

中新赛克工业互联网安全态势感知系统总体技术方案目标是构建工业互联网安全共同体，如图 3 所示：以行业/区域监管部门(GOV)为中心，将企业侧工控系统数据、暴露在公网的工业数据以及工业云平台数据接入政府监管部门工业互联网态势感知平台并建立工业安全漏洞数据库，进行实时分析和风险预防，对相关的工业互联网安全风险及漏洞等及时通报给各企业和平台，同时可以通过工业安全漏洞数据库将最新的漏洞、安全风险同步通知各企业、平台做好安全防护工作，从而构建工业互联网共同体。

●在运营商核心路由器上做规则过滤，筛选出工业专线流量，并通过镜像

方式将流量接入到工业互联网探针；

●工业互联网探针支持工业协议的解析、工业设备指纹的提取等，对接入

的流量进行预处理生成全息日志；

●工业互联网安全监测与态势感知平台对全息日志进行数据治理、数据分