工控安全

工业互联网安全监测与预警系统

工业互联网安全监测与预警系统是北京南北恒达科技有限公司科技基于多年在工控网络安全的积累，打造的一款面向工业互联网的安全态势感知产品。它可以无缝集成北京南北恒达科技有限公司所有工控网络安全设备，如：工业防火墙设备、工控网络安全审计设备、工控保护设备、工控终端设备等等，还可以通过数据采集装置等来兼容其他同领域厂商设备。系统充分发挥大数据收集能力，实时汇聚各种设备产生的日志、威胁事件、网络流量数据，接收上级的威胁情报，完善本地安全事件库，从而构建基于大数据的工业企业安全态势感知平台。通过对安全大数据的深度挖掘和机器学习的智能分析，为用户呈现企业内全面的网络安全态势。

工业互联网安全监测与预警系统适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛应用到与国计民生紧密相关领域的工业控制系统。

系统框架图：

主要功能

资产管理

资产管理范围包括网络终端（服务器、工作PC、控制PC），网络设备（交换机），安全设备（防火墙、审计、日志采集、数据采集装置、加密网关、认证服务器）、工控设备（PLC，DCS、RTU、工控机……）等。

资产主要分为四类，分别是：网络设备、安全设备、主机设备、工控设备，每一类下面有其对应的资产子类。

全流量分析

对生产控制网和生产管理网的网络流量状况进行实时监视，包括对流量指标及通讯关系的监控。

流量指标监控

按照不同安全区域显示网络流量指标数据，显示每秒流量、每秒包数、每秒TCP同步包数、每秒TCP确认包数。

通讯关系

通过可视化视图手段，按照不同安全区域显示区域内主机网络通讯关系，显示信息包括网络协议构成、对应协议每秒流量和总流量。

威胁感知

工控设备及软件漏洞威胁感知

通过平台集成工控漏洞库、工控资产特征库、工控安全事件特征库，存储与业务相关的恶意代码库、IP/域名信息库，对企业设备或软件存在漏洞进行威胁感知预警。

大数据引擎分析感知

大数据分析引擎对工业中采集海量安全数据及非安全数据进行关联分析，完成对终端、流量、日志三者的关联，准确检测网络中威胁流量；分析引擎对于大数据条件下复杂的网络安全状况，能够在各类攻击事件背景下快速有效进行关联分析。

威胁事件

基于关联规则处理后的日志数据，形成威胁事件，并通过配置威胁等级，判断威胁事件是否需要及时告警。

告警提醒

告警提醒，主要通过后台的实时推送，将告警信息通过铃声、图标、大屏可视化（轮播）的方式，将最新的事件实时推送给用户。

安全事件

可查看不同来源产生的告警事件信息，并通过多种条件进行事件过滤，并可针对各种类型的事件导出事件描述与处置模板。

关联分析

基于资产、事件、威胁、时间、空间、业务行为等多个维度进行关联分析，全面、多维、系统的统计、分析，以可视化的图表进行展示。

资产分析

围绕系统录入的资产情况，进行多维度的工控资产统计。

事件分析

事件分析是指通过网络安全行为分析引擎，从大量流量数据和业务日志中挖掘出安全攻击行为并提取安全事件，借助先进的智能事件关联分析引擎，实时不间断地对所有范式化后的日志流进行安全事件关联分析。将安全事件与该事件所针对的目标资产当前具有的信息（包括IP、端口、MAC等）进行关联，逐层分析，找到源头，发现攻击过程，了解攻击状态，评估受损程度，以便及早预测并有效抵御下次攻击。

漏洞分析

漏洞分析：将安全事件中的漏洞信息（如：类型、等级、数量等）与资产属性（如：地域、型号、类型、IP、MAC 等）进行关联分析，以定向判断漏洞资产的实际情况及风险程度。

威胁分析

威胁大数据分析引擎对工业中采集海量安全数据及非安全数据进行关联分析，完成对终端、流量、日志三者的关联，准确检测网络中威胁流量。

情报关联模型

大数据分析引擎会结合威胁情报数据进行关联分析，通过威胁情报关联分析出攻击者的身份信息以及系统内的0day漏洞等信息，结合威胁情报计算攻击者的IP风险值等。

APT可视分析

平台核心功能是对威胁事件的检测与分析，重点提供对网络链路全流量数据采集、转发与存储，基于异常流量建模、攻击行为建模等技术进行威胁检测，对多重威胁事件提供时间序列、攻击链等APT阶段可视化展示。

风险评估

对工业网络、关键基础设施上的恶意代码、漏洞、攻击方法等进行搜集、整理和分析，并对探测的漏洞与权威漏洞库进行关联评测，根据资产价值、弱点和威胁信息等综合因素给出量化评估（风险值），并进行预警与展示。

态势可视化

采用数据融合技术对多源异构数据从时间、空间、事件（或者行为）等多个方面进行关联和识别，通过平台模型，对当前工业系统全局网络安全状况进行综合分析与评估，形成网络综合态势图，借助态势可以精确定位全网脆弱节点并进行威胁评估，发现潜在漏洞、预测未知攻击，提高全局网络安全防御能力和反击能力。

态势报告

通过年、季度、月、周的维度，将平台中的事件、资产、漏洞、异常流量的分析指标，报告可以以不同模板形式导出，方便用户打印和查阅。

数据采集分析

数据探针是平台数据获取的源头之一，用分布式任务调度引擎，自动采集网络及设备的相关数据，通过基于缓存的分布式消息队列进行实时处理，根据规则引擎、以及决策引擎针对安全事件进行分析处理，并将处理后的数据交由平台统一进行更深入的大数据智能分析处理。

数据代理

主机探针是应用于收集各种操作系统主机信息的应用软件，软件支持常见的Win32、64（Win2000、XP、Win7、Win8、Win10、Win2003、Win2008、Win2012、Win2016等）Linux32、64（CentOS 6-7、Redhat 6-7、国产操作系统等）操作系统。可对主机产生的各种告警事件进行采集，并支持对主机进行安全基线核查等。