传统护城河似的安全防护方案已无法满足两化融合的工控安全防御需求，但是目前业界很多安全厂商还是采用通过产品重复堆砌的IT网络安全的防护思路进行工控系统的安全防护，通过工业防火墙、网闸、入侵监测等一个个安全孤岛进行单点防护，且部分产品串联部署，一旦产品或策略出现问题，将影响企业的正常生产，造成非常严重的损失。

鉴于此，中新赛克星河工业互联网安全团队推出基于自研的大数据平台开发的集资产管理、漏洞扫描、日志审计、安全检测等多种安全功能于一体的工业安全管理中心和具有数据采集及边缘计算能力的工业智能采集探针的工业互联网安全监测解决方案。该方案摒弃传统的通过安全产品重复堆砌、侧重于信息网络安全防护的思路，着重针对影响工业企业核心业务的OT网络安全监测，保障核心控制网络的安全生产，并利用大数据技术将多种安全产品模块化、软件化，采用微服务的方式为企业提供灵活适配的方案，降低企业的安全投入成本。

目前该解决方案已在钢铁、智能制造、电力等行业的几十家工业企业落地应用，获得了客户的一致好评，并且荣获工信部《2019年工业互联网试点示范项目》荣誉，充分体现了该解决方案的价值与优势。

1 方案概述

本方案在企业内网中OT网络各层流量汇聚节点的交换机旁路部署智能采集探针，通过端口镜像的方式将采集到智能采集探针，智能采集探针具有边缘计算能力，可进行流量的预处理，剔除无效“脏”数据并对流量进行深度协议解析后生成安全日志，上送到安全管理中心。

工业安全管理中心对探针采集的日志信息进行关联分析，识别工业企业的所有资产，绘制资产拓扑图；监测工业现场异常操作、非法外联，非法接入等安全事件；对资产进行无损漏洞扫描，发现资产存在的漏洞；安全管理中心内置丰富的工控漏洞利用攻击模型库、工控木马病毒库，进行对工控漏洞利用、工控木马病毒的监测。安全管理中心可与第三方安全设备对接，进行安全日志的统一分析与审计，并通过高度可视化的界面给企业管理者提供直观的全网络一体化的安全态势详情。此外，安全管理中心可选择与省级工业互联网安全态势感知平台对接，一方面为省级平台提供深入到企业内部的数据支撑，解决省级平台在公网侧获取的数据源过于单一的问题；另一方面，企业可以从省级平台获取最新的漏洞、恶意IP、安全事件等信息，完善企业的安全监测能力；从而实现监管侧与企业侧的数据联动，协同防御。其典型网络拓扑如图1所示。

图1 典型网络拓扑图

2 产品介绍

2.1 工业智能采集探针

2.1.1 产品概述

中新赛克工业智能采集探针可分布旁路部署在企业内网中各层流量汇聚节点的交换机，在不影响正常工业生产的前提下，实现对所有工业企业OT网络的实时数据采集。智能采集探针具有强大的边缘计算能力， 可对工业现场的多源异构数据进行预处理，从而剔除“脏”数据和无关数据。通过集成强大的工业协议分析引擎，智能采集探针采用中新赛克工业安全描述语言对工业现场的设备进行画像，并将画像信息传输给工业安全管理中心。

2.1.2 主要功能

（1）工业协议深度解析

中新赛克研发的智能采集探针支持30多种工业协议的识别与深度解析，并在进一步拓展中。包括常见的Modbus、Profinet、IEC104、DNP3、S7、BacNet、OPC等。采用基于TCP/UDP端口识别、基于报文负载特征识别、基于关联分析识别以及基于行为特征识别等技术进行多维度的协议识别，保障准确性。

（２）元数据提取

报文解析并不是网络安全设备处理报文的终点，解析出的数据是支撑安全业务的大梁，可以说安全业务的好坏从根本上取决于报文解析结果，报文解析的层次越深，提取的特征越多，安全业务将会越丰富。智能采集探针支持多种类型的特征提取，为工业安全管理中心提供数据分析的业务数据支撑，主要支持以下特征的提取：

• 五元组特征提取；

• 资产特征提取；

• 工控漏洞特征提取；

• 工控木马病毒特征提取；

• 行为特征提取。

（３）数据加密与压缩传输

智能采集探针在数据采集和传输的环节中，通过对处理完提取的全息日志采用国产加密算法的方式进行数据的安全防护，防止核心数据的泄露。此外，智能采集探针通过提取关键特征生成全息日志的方式进行数据的压缩，降低了业务系统的成本。

（４）数据统一格式转换

智能采集探针在对数据预处理之后，可以将处理后的数据生成统一的日志格式，默认的数据格式为TLV日志格式，但可开启日志转换功能，生成MQTT、Syslog等日志格式，从而可以很好地与第三采方平台对接，比如私有云等。

2.2 工业安全管理中心

2.2.1 产品概述

中新赛克工业安全管理中心通过处理工业现场萃取的各类数据，识别工业企业的所有资产，绘制资产拓扑图；监测工业现场异常操作、非法外联，非法接入等安全事件；对工控资产进行无损漏洞扫描，发现资产存在的漏洞；内置丰富的工控漏洞利用攻击模型库、工控木马病毒库，对工控漏洞利用、工控木马病毒进行监测，从而为工业企业的安全保驾护航。工业安全管理中心支持对工业智能采集探针、工业防火墙、第三方安全设备进行集中管理和编排，实现对企业安全防护产品的统一配置、全面监控、实时告警和联动处置。此外，安全管理中心可与省级工业互联网安全态势感知平台对接，为省级平台提供基础的数据支撑。其系统demo首页如图2所示。

图2 工业安全管理中心系统demo首页

2.2.2 主要功能

（1）资产发现与管理

工业安全管理中心内置丰富的资产指纹库，通过指纹比对等方式可以自动识别网络中的资产信息，并可将被监测的工业企业的网络拓扑在页面上动态呈现。识别IT层和OT层的资产信息，包括服务器、路由器、主机等IT层资产，上位机、PLC、控制器等工业现场资产。当管理员对拓扑图上的设备属性进行修改、添加设备或者删除设备，可根据设备通信状态进行网络拓扑图的动态更新。

（2）工控网络异常监测

工业安全管理中心基于对主流工控网络协议（Modbus/TCP、OPC、S7、IEC10等）的通信数据进行采集与深度解析，建立符合现场工艺的业务指令流模型，将网络合法通信行为加入“通信白名单”及“协议白名单”中，将当前工控通信行为与白名单进行比对，及时发现违反业务生产秩序的操作行为，并可对“未知通信行为”、“用户误操作”、“用户违规操作”、“工艺阈值非预期波动”等异常行为进行监测。

工业安全管理中心内置丰富的工控漏洞攻击特征库以及工控木马病毒库，可以对工控网络安全日志进行特征比对，监测漏洞攻击以及木马病毒事件。

（3）漏洞扫描

工业安全管理中心内置丰富的网络安全漏洞和工控安全漏洞库，并集成先进的漏洞扫描引擎探测企业网络中的IT网络和OT网络的安全漏洞，且针对IT层和OT层的漏洞扫描引擎与策略不同，从而进行有效安全的漏洞监测。

漏洞扫描后可以生成全面的漏洞分析报告，清晰地展示了漏洞的危险等级，并提供漏洞修补方案及补丁链接等。用户能够根据扫描报告完成漏洞的修补，形成对漏洞全生命周期的掌控。

（4）漏洞管理

工业安全管理中心通过实时采集最新漏洞信息、内网主机扫描结果、基线扫描结果、人工渗透测试结果等漏洞信息，对网内资产漏洞信息进行统一关联、展现和告警，使得管理人员可以有效地跟踪资源漏洞生命周期，清楚地掌握全网的安全健康状况，实现漏洞全生命周期的可视、可控和可管。

智能验证漏洞：经过智能分析后通过引擎扫描可能存在漏洞的资产，确认漏洞是否存在。

准确关联资产：获取最新漏洞后第一时间匹配资产信息，从而找出可能存在漏洞的资产。

漏洞实时预警：实时推送最新的权威漏洞机构、厂商最新漏洞并进行全网预警。

（5）日志统一审计与分析

工业安全管理中心实时将网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统、智能采集探针的日志信息，进行统一地收集、处理和关联分析，帮助一线管理人员从海量日志中迅速、精准地识别安全事件，及时对安全事件进行追溯或干预，满足国家标准规范中关于日志审计的相关要求。

基于聚类分析的机器学习算法，实现海量日志信息的自动泛化和精准识别，采用业内先进的大数据计算技术，实现工业控制网络中不同厂商设备海量日志信息的高速采集和处理。

（6）安全事件回溯

工业安全管理中心具备长时间、大容量数据存储能力，能实时捕获原始数据包、数据流、网络会话、应用日志等各种统计数据并长期保存，提供针对用户重要网络流量的线速分析处理能力。

具备任意时段内的海量数据进行快速检索和挖掘的能力，让用户可以在复杂的海量数据里，采用数据关联，筛选过滤、挖掘分析等手段进行大数据分析。系统自带强大的过滤条件，可最大限度地帮助用户挖掘问题并提取相关内容，为迅速定位问题发生原因提供了更全面的分析手段。

（7）安全权限管理

工业安全管理中心可以针对不同的人员设置不同的权限，分别为超级管理员、系统管理员和日志审计员。超级管理员主要负责用户的创建、删除和功能证书的管理；系统管理员主要负责平台的业务配置和管理，包括规则的管理和报警的处理等；日志审计员可对安全日志进行审计。

（8）多样化报表

工业安全管理中心基于丰富的安全事件库对网络环境安全进行全方位多维度的统计分析，对监测结果进行专业分析，提出建议，帮助用户全面掌握网络安全。工业安全管理中心的统计分析结果可灵活选择定制化报表及月报表，自主选择关注点进行重点分析。

（9）高度可靠的自身安全性

工业安全管理中心本身采用独立的硬件平台，数据分区加密，Web站点访问采用HTTPS方式访问；产品本身屏蔽关键扫描服务外的其他服务端口；产品涉及用户密码的地方都加密处理，保证密码的安全性；产品相关任务、日志、数据等导出都采用独立的加密处理；产品升级及证书系统采用高等的数据加密处理；提供独立的产品诊断Consle，保证系统的可维护性。

3 方案优势

（1）工业安全管理中心设计采用当前最新的分布式并行技术，使用Docker、Hadoop、Spark、Flink、HBase、ElasticSearch、Neo4j、TensorFlow等组件，代表了未来一段时期的技术和方案的发展趋势。系统充分利用目前先进的云计算和海量数据处理关键技术，保证系统技术的前瞻性和先进性。智能采集探针设备使用工业级硬件，可以满足多种工业生产现场的部署，在硬件集成度、处理性能方面处于业界领先水平。

（2）公司在网络安全领域深耕十多年，尤其在工控领域积淀了丰富的工业资产指纹库、漏洞数据库、研判资源库、安全知识库以及人才库。

（3）工控安全解决方案产品从设计到产品硬件都是全国产化，并具有自主知识产权，从而有效避免产品设计后门，提高产品自身的安全性。

（4）工业智能采集探针采取IP40级防护和无铅化标准：不同于传统的数据采集产品，本产品需要部署在工业现场进行数据的采集，而相比于传统的办公区域，某些工业现场环境比较恶劣。因此用于工业现场的数据采集设备需要具备耐高温、耐低温、防结露、防盐雾、防震、防电磁辐射等工业级可靠性；另外从生产加工到发货的全生命周期都满足RoHS无铅化的标准。

（5）工业安全管理中心采用大数据技术架构，打破了传统的产品堆砌、单点部署的方式，将复杂多样的硬件安全产品软件化、模块化，采用微服务发布的方式进行多种安全功能的支撑，不仅可以打破安全孤岛形成更好的安全监测能力，还可以降低客户的安全投入成本。

摘自《自动化博览》2020年8月刊