查看原文
其他

工业互联网安全能力指南(安全管理平台)

星云 数世咨询 2022-06-12
数世咨询近期开启的“工业互联网安全能力指南”调研成果陆续发布,由于能力指南内容过多,因此依次共分为五个部分陆续发布。前三个部分已于上月发布:
工业互联网安全能力指南(概况)
工业互联网安全能力指南(防护及检测审计)
工业互联网安全能力指南(安全服务)
本次发布为指南的第四部分——安全管理平台


当组织或者机构的工控防护能力以及工控检测/审计能力具有一定规模后,如何管理,甚至更大限度地利用这些安全能力就成为了新的课题。无论是管理,还是进一步利用安全管理平台能力,都需要将安全能力进行统一,同时对保护对象有完整可视化的能力——因此对安全管理平台的需求就开始增加。


统一安全能力。在采集大量的数据后,安全管理平台需要能够基于大数据的分析能力,将采集到的数据进一步分析,形成威胁管理和态势感知的能力。在本报告中,工业互联网安全管理平台特指:


在工业互联网安全场景中,能够对包含OT环境中的安全产品在内的安全能力进行管理;并能基于采集到的数据进行分析,拥有一定威胁管理、态势感知能力的安全平台。


关键发现


  • 工业互联网安全管理平台根据使用需求可以分为两类:运营类与监管类。运营类需求偏向于将现有的工业互联网安全能力进行整合管理,监管类需求则侧重于对范围内的工业互联网安全态势进行感知。

  • 工业互联网安全管理平台当下的落地切入点有三个:“自下而上”从对工控安全能力管理切入、“自上而下”从态势感知需求切入、“一体化解决方案”从整体实现角度切入。

  • 工业互联网安全管理平台总体市场收入在2020年有极大增长,主要原因在于运营需求、监管需求、整体化解决方案的需求点爆发。但是,随着需求点相对稳定,工业互联网安全管理平台的市场规模增长速率也会相对平稳。


工业互联网安全管理平台能力点阵图

 

本次参与工业互联网安全管理平台能力点阵图的厂商共有19家,分别为:360政企安全、安帝科技、安盟信息、长扬科技、国泰网信、恒安嘉新、惠而特、立思辰安科、六方云、珞安科技、绿盟科技、木链、齐安科技、启明星辰、天地和兴、天融信、网藤科技、威努特、英赛克。


工业互联网安全管理平台价值


安全能力的统一只是工业互联网安全管理平台的基础价值。事实上,如果能够对整体的工业互联网安全能力进行管理,那就能从多维度来分析工业互联网安全——这时,仅仅将安全管理平台作为安全能力的统一就显得有所不足。需要在统一的安全能力之上分析工业互联网的安全状况,才能最大化安全管理平台的能力。


环境资产管理


工业互联网总体化管理的第一关键点在于厘清工业互联网环境中的资产:不仅仅是工控环境中的工控资产,也包括了与工控环境相关的IT资产,以及其他工业互联网安全资产。


厘清整体工业互联网环境资产后,还需要对环境资产进行进一步的梳理,将工控资产、IT自资产、安全能力与自身业务进行对应,从而对自身当前的安全状态有一个全局的可视化能力,了解自身的攻击面以及防护情况。同时,将生产业务与不同资产与安全能力进行对应,还能清晰化不同资产对业务的影响性,以及相关的安全能力对业务的影响性。


环境中所有资产的发现只是第一步,更重要的是通过发现资产,梳理业务的关联性。工业互联网是一个强业务可持续性的场景,但业务的重要性不同,对整体环境的影响程度各有不同。通过对业务的重要性以及对其他业务的关联性进行分析,再基于业务和资产之间的关系,将环境资产最终的重要程度进行分类和管理,是管理平台需要做到的最终价值。


安全能力管理


工业互联网安全管理平台的另一个基础能力是对工业互联网环境中的安全能力,尤其是OT相关的安全能力进行管理。


当工业相关企业有大量的工控安全产品后,必然需要对大量的安全能力进行统一的管控。第一要确掌握自己环境中所有安全能力的状态,确保各个安全能力都在正常运作,同时安全能力都在适当的位置上起着安全效果。其次,需要将环境内各类检测、审计类产品进行整体管理,统一这一类安全能力采集到的信息,避免单独的安全能力点成为安全孤岛。最后,安全管理平台需要至少有对自身工业互联网安全产品有策略下发的能力,拥有能够进行统一响应的能力。


威胁管理


在基于资产进行的环境资产管理,以及安全能力管理之上,企业就能对自身当下的安全状态有一个更为清晰的认知。安全的目的是防范威胁,而威胁又是基于自身的业务、资产、整体安全能力。因此,工业互联网安全管理平台的另一个价值就是帮助企业对自己面临的威胁进行管理。


根据已经确定的资产与安全能力关联状态与能力现状,梳理出当下各类业务、资产所面临的风险,以及安全能力的不足之处,总结出企业当前所面临的威胁,以及潜在的威胁来源,并进一步将威胁与具体的业务和资产进行关联,将资产管理能力更紧密地贴合安全需求。


另一方面,企业面临的威胁是不断变化的。随着业务的变化、新漏洞的产生、特定攻击活动的兴起,都会给企业产生新的威胁。集成了威胁情报能力的工业互联网安全管理平台,可以基于环境资产、业务需求、安全能力现状,以及外部威胁动态的信息,追踪企业面临的威胁变化,给企业提供最适用于当前状况的威胁防范策略。

态势感知


以现在的需求与能力来看,态势感知是工业互联网安全管理平台最终的价值点。


威胁管理关注于当前企业各个环节面临的威胁,但是态势感知则首先要从时间维度上延展,通过分析过去到现在环境中发生的事件,呈现企业安全态势的变化趋势。另一方面,态势感知需要对环境中实际正在发生,以及已经发生的安全事件进行调查与响应——而不只是可能面临的威胁。


态势感知价值能最终帮助企业把握自身环境中的安全情况,在工业互联网场景当中,最终需要实现IT与OT的结合。因此,工业互联网安全管理平台的最终形态也应该是能够统一管理IT与OT环境中的安全问题,并且发现潜在的跨环境攻击。但是,当前环境下,IT与OT本身的融合总体来看依然处于初期阶段,因而工业互联网安全管理平台的侧重点依然在OT侧,需要能够实现对企业OT环境整体安全态势的把握,并对安全事件进行响应。


工业互联网安全管理平台要点


从工业互联网安全管理平台的价值出发,工业互联网安全管理平台的能力可以从以下三个方面来衡量。


工业互联网安全能力完整性


工业互联网安全管理平台需要对整体工业互联网安全的把控与管理,这本身就对工业互联网安全管理平台供应商的产线多样性提出了要求。


根据本次调研的情况来看,由于工业互联网安全产品本身没有统一的标准,大部分工业互联网安全管理平台一般情况下只能对接自身企业的其他安全产品。因此,如果工业互联网安全管理平台供应商自身能够提供丰富、完整的安全能力,在当前环境下,由于能够从各方面帮助客户解决安全问题,会有更大的优势。


工业互联网安全能力的完整性不局限于防护类、检测和审计类产品,还需要包括安全服务的能力,才能达成整体的解决方案,实现态势感知的最终价值。另一方面,工业靶场在未来,也会成为工业互联网安全管理平台整体解决方案中的一部分。安全厂商在其他不同工业互联网安全能力领域的积累也会直接影响到其在工业互联网安全管理平台的实际效果。


第三方兼容能力


尽管当前的主流是单个安全厂商基于自身的工业互联网安全管理平台统一管理自身的工业互联网安全产品,但是未来的理想形态是安全管理平台能够管理环境内所有工业互联网安全产品——包括第三方厂商的安全产品。


从客户需求来看,在环境内有多家安全厂商产品虽然从当前来看,会相当不便于整体管理,但是同样可以规避一家安全在自己企业内独大的问题。同时,由于不同厂商在不同安全能力各有所长,选取多家安全厂商的安全能力也可以帮助企业更好地平衡成本、安全能力之间的关系。


因此,从客户需求来看,能够实现第三方兼容的能力也是体现厂商技术能力的一面。在本次调研中发现,当前第三方对接最多的能力为威胁情报能力,大部分厂商都会与友商进行威胁情报的对接能力,实现主动防御的效果。但是,仅有少部分厂商与第三方友商建立了除威胁情报以外的合作,能够直接兼容友商的相关工业互联网安全能力。第三方兼容能力当前依然处于能够获取第三方设备采集的环境信息为主,在统一管理上依然需要通过定制化的模式,实现工业互联网管理平台与其他安全厂商能力的打通。


态势分析能力


工业互联网安全管理在集中管理环境中安全能力的同时,会获取大量的环境信息数据,合理利用就能够实现自身的工业互联网安全态势感知。


态势分析的核心在于对于安全信息的处理,其关键是安全管理平台的大数据引擎。安全管理平台需要能够学习并生成正常的业务运作模型,并且当业务变更时,快速调整新的安全模型,从而能够出现异常行为时,发现可疑事件;基于关联分析,帮助安全人员把握整个事件过程。同时,对全环境内的安全事件进行分析,形成可视化的态势感知。


另外,态势分析能力不仅需要依靠强大的大数据引擎作为核心,威胁情报、威胁管理等能力同样可以进一步提升企业应对潜在外部威胁的水平,通过主动防御,提前针对性地部署防御策略。


工业互联网安全管理平台主要促进因素


从当前的工业互联网安全管理平台类型来看,主要分为运营类安全管理平台与监管类安全管理平台两类。而这两类分别代表了工业互联网安全管理平台两种不同的促进因素。


安全运营需求


对于一般工业企业而言,当拥有了大量的工业互联网安全能力以后,首先需要的是能够将这些安全能力进行统一的管理,知道不同具体的安全设备、系统的运行情况,以及其发现的威胁;也需要明确自身环境中现有的安全能力,梳理清楚自己环境中的安全资产。安全资产与其他IT资产、OT资产一样,同样也是工业企业整体技术环境的重要组成部分;企业如果不清楚自身所具有的安全能力,或者无法对其进行相对应的管理,不仅无法让安全能力真正保护好企业,甚至可能反而成为僵尸资产,被攻击者作为跳板进行利用。


因此,对大部分工业企业而言,购买工业互联网安全管理平台的主要需求在于通过一个平台整体化管理安全能力,从而实现对自身环境的安全运营能力。工业企业注重安全以后,必然会逐渐拥有各种安全能力,覆盖大量攻击面,但是对于多种安全能力的使用又会成为痛点。尤其对于当下单点防御已经无法完全发现、防范威胁的时候,更需要多种安全能力之间的协同,安全能力的统一管理是安全运营的第一步,也是运营类安全管理平台的主要推动因素。


监管需要


随着国内外针对工业企业的攻击增多,而工业企业的安全又与国家安全直接相关,监管机构对把握自身管理范围内企业的安全态势也已经成为了刚需。监管类安全管理平台就自然而然成为了关键解决方案。


相比于运营类安全管理平台,需要能够对环境中的威胁做出及时的响应。监管类安全管理平台更侧重于对某一行业或者区域内工业企业面临的风险进行洞察。监管类安全管理平台不仅需要发现管理范围内每个企业的潜在问题并进行通知、修复指导,也需要能够从整体角度理解当前的安全态势,明确优势、劣势,以及威胁来源,做好自上而下的安全监管机制。


工业互联网安全管理平台的三个落地切入点


从工业互联网安全管理平台的切入点来看,可以将当前提供工业互联网安全平台的厂商分为三类。


自下而上的全能力型厂商


最为典型的切入点是从企业的安全运营需求直接出发。当企业拥有大量工业互联网安全能力的时候,管理这些能力是最迫切的第一需求,也直接转化成了企业对工业互联网能力供应商的需求,尤其是当环境中存在某一供应商多类产品的时候。


从安全厂商自身角度来看,管理平台不仅是客户在安全落地过程中的必然需求,当自身产线丰富的时候,也会着手将自身产品之间的安全能力进行协同,避免因单点防御形成的安全孤岛。


全能力型厂商由于其在工业互联网领域,尤其是工业控制系统安全领域的积累,往往会有丰富的自研安全产线与能力。其本身对安全平台的开发,也是由安全能力的管理与运营需求出发,因此安全管理平台会更贴近实际的工业互联网环境运营的能力。


自上而下的分析型厂商


工业互联网安全平台的第二个切入点则相反,自上而下,直接从管理平台的“分析”需求出发,进行建设。相比于底层的安全建设更关注对具体安全事件的检测与响应,上层的安全建设更关注整体环境中的安全态势。因此,自上而下的切入点在于能够对整体工业互联网安全态势进行分析和感知。


对于拥有强大数据采集和分析能力的非工业互联网专注的安全厂商而言,从工业互联网安全平台切入工业互联网安全是一个最能体现其价值的选择。通过自身原本的采集能力,同时可以从其他设备、安全能力处导入相关日志、数据,这一类厂商能够最大化自己安全分析能力的价值,满足工业互联网环境中的态势感知需求。对于监管类安全管理平台,这一类厂商的安全分析能力能够更好满足对安全态势的整体把控和整治需求。


但是,这一类管理平台也存在其局限性:由于其在工业互联网中的积累相对较少,自身可能无法提供多样的综合性工业互联网安全能力,因此在运营能力的角度会有缺乏。这一类自上而下的工业互联网安全平台可以通过进一步研发自身工业互联网安全能力来逐渐满足客户需求;或者,从未来趋势的角度来看,这一类厂商也可以对接更多的第三方安全能力,从而满足客户全面管理各个厂商安全能力的需求。


基于平台的整体解决方案


另一类切入点也是从平台出发,但是相比于自上而下的切入点从态势感知的需求入手,整体解决方案的切入点会偏向于平衡运营和分析:如何通过一个安全管理平台,最大化自身工业互联网安全的能力。这一类厂商自身会具有一定的工业互联网安全能力,基于整体化解决方案的目标建设自己的工业互联网安全管理平台,最终再通过工业互联网安全管理平台作为核心,进一步提升自身其他的工业互联网安全能力。


相比于其他两种切入点,整体解决方案更适合于需要从平台到各类工业互联网安全能力的企业,能够基于安全管理平台,帮助客户提供整体化的统一解决方案。


工业互联网安全管理平台市场情况


根据本次调研的方向,2019年我国工业互联网安全管理平台收入总体约为3.44亿元,2020年总体收入约为10.46亿元,预计2021年收入为15.69亿元,2022年有望达到23.21亿元。工业互联网安全管理平台的收入在2020年有极大的增长,原因主要有三点:之前对工业互联网安全有一定投入的企业开始需要对自身拥有的工业互联网安全能力进行统一的管理与运营;同时,受全球关键基础设施安全事件影响,监管机构对工业互联网安全态势感知的需求增大;另外,一体化解决方案的需求增多,使得包含检测、审计、防护类能力的整体化工业互联网安全平台收入大大提升。但是,随着需求点逐渐稳定,工业互联网安全管理平台的市场规模增长速率,将趋于稳定。



工业互联网安全管理平台能力当前以单一标准化产品化交付为主,占59%。单一标准化的服务交付占26%,作为功能交付及其他模式占16%。



从销售方式来看,工业互联网安全管理平台能力以渠道销售偏多,占52%;直销模式略低,占44%;OEM占4%。


 

工业互联网安全管理平台当前最大市场领域为电力企业,占45%。由于电力企业对工业互联网安全的起步较早,无论是安全积累,还是原本的IT技术能力都会比较强,因此会更先建设有统一能力的工业互联网安全管理平台。而投入第二位的则是监管机构,占18%。监管需求对工业互联网安全管理平台的推动有着极大的促进作用。



案例五:某省级工业互联网安全态势感知平台(本案例由360政企安全提供)


场景介绍


某大型城市A印发《A市工业互联网发展行动计划》通知,明确A市对于工业互联网安全相关态势感知平台建设的必要性和重要性。围绕A市工业互联网设备、控制、网络、平台和数据等多层次要素,建成A市省级工业互联网安全态势感知平台。


客户需求

1、丰富的工业互联网资产识别

平台需要能够识别工业互联网在网资产,建立资产信息库。平台能够识别的资产种类包括但不限于工业互联网平台、联网设备及系统、工业 APP、工业数据等。


2、全面的安全风险识别

平台需要具备隐患识别和风险识别能力。其中安全隐患识别主要指发现未修复安全漏洞,风险识别主要指监测发生的网络攻击等安全事件。


3、连接各方面的监测预警联动

平台需要面向工业企业、工业互联网平台企业,建立线上或线下对接,实现定向监测、风险预警通报。


4、多样的风险处置协同

平台会面向基础电信企业,针对经过专业机构验证的影响工业互联网的恶意资源,包括用于实施网络攻击的恶意 IP 地址、恶意域名,基于通信网络开展网络处置和阻断。


5、安全态势分析

基于监测数据,平台能够进行交叉关联和大数据分析,从区域、行业等维度分析工业互联网安全风险态势、产业态势。


6、信息资源共享

建立协同联动信息共享体系,实现平台间的安全数据上报和风险信息共享。


解决方案


该省级工业互联网安全态势感知平台分为5个子系统:包括数据采集子系统、基础库管理子系统、监测分析子系统、业务支撑子系统、安全保障子系统



  • 数据采集子系统:对省通信管理局信安和网安数据、基础电信企业、工业互联网平台企业、工业企业、主动探测的各类相关数据进行统一接入、过滤、汇聚、存储,通过接口汇入与手工导入方式将清洗、规整后的数据入库至平台进行存储,存储、管理平台数据,汇总数据采集子系统的安全监测数据、国家平台下发的资产数据和预警信息。


  • 基础库管理子系统:梳理形成工业互联网平台基础资源信息、联网设备及系统资产信息,形成省工业互联网基本基础资源库,并建设安全监测所需信息库,为上层安全监测分析提供数据支撑。


  • 监测分析子系统:监测发现安全隐患,通过与基础信息库对比,开展工业互联网资产、安全漏洞和安全事件识别工作,识别工业互联网协议、工业互联网平台、联网设备及系统、工业APP、工业数据,监测发现网络暴露的安全漏洞、存在的安全攻击事件监测。


  • 业务支撑子系统:提供工业互联网工业资源、监测预警、安全事件、事件处置、数据分析、安全态势的业务呈现、信息共享等业务支撑能力,为工业互联网安全监测提供分析及应用服务。


  • 安全保障子系统:提供安全保障、权限管理、运维支撑、系统维护管理功能,主要实现系统日志管理、操作权限管理、接口监测、数据加工状态及传输状态监测、系统运维管理能力,保障整个工业互联网安全态势感知平台安全、高效、稳定运行。

 

平台部署


A市省级工业互联网安全态势感知平台部署架构图如下图所示:


 

如上图所示,数据来源分为三个部分,分别是第三方系统数据接入、企业级工业互联网安全态势感知平台、运营商专线数据。


第三方系统数据接入包括:


  • IDC/ISP信安管理系统数据,采用FTP方式,推送到数据汇聚管理系统中,再按需将数据推送到省级平台中进行存储分析。上报数据类型包括:基础数据记录、基础数据监测异常记录、访问日志查询记录、违法信息监测记录、违法信息过滤记录、ISMS 活动状态、活跃资源监测记录、违法违规网站监测记录。


  • DNS信安管理系统数据,采用FTP方式,推送到数据汇聚管理系统中,再按需将数据推送到省级平台中进行存储分析。上报数据类型包括:基础数据记录、域名解析量记录、权威解析记录维护日志记录、黑名单网站监测记录、特定域名监测记录、特定域名过滤记录、域名注册信息记录、权威解析服务机构托管域名信息记录、域名递归解析信息查询结果记录。


  • ICP备案数据,通过FTP方式,推送到数据汇聚管理系统中,再按需将数据推送到省级平台中进行存储分析,包括省内企业备案地址、备案IP、备案号、企业名称等备案信息。


企业级工业互联网安全态势感知平台架构如下:


 

360工业一体化安全运营平台


通过对工业现场网络中的安全设备、网络设备、生产设备进行安全信息数据采集、汇总和分析,实现工业企业对工业现场网络安全状态的实时态势感知以及安全事件的相应处理。以提升改善工业企业的信息安全状态。其核心功能包括:


  • 主被动资产以及漏洞发现:通过对工业现场网络全网资产扫描,全面探测工控企业内网资产在网络上的暴露情况及存在的漏洞;通过探针设备基于网络流量的被动资产发现,识别工业资产;


  • 可分组的资产管理:不同于传统信息网络,工业网络存在多厂区、多安全域场景,在资产管理中引入分组逻辑,可适应工业现场网络的资产管理需求;


  • 手动自动结合资产拓扑绘制:通过SNMP等方式对网络设备的IP地址、MAC地址、接口绑定情况进行获取和分析,自动绘制网络拓扑逻辑图形,再通过运维人员手动细化,绘制出能反映出指导安全运营的工业现场网络拓扑图。并基于整网资产拓扑进行流量走向、资产风险、安全威胁、资产可用性等维度的安全展示;


  • 全面的威胁发现能力:通过流量探针威胁检测,恶意代码文件检测,威胁情报检测以及关联规则引擎发现的威胁全面检测企业的安全威胁事件,提升企业的高级安全威胁,隐蔽安全事件的发现能力,通过可视化感知技术,为安全分析人员提供直观、强大、清晰的安全威胁预警能力,为安全决策人员提供可靠的数据支撑。


360云端基础设施体系


360基于“实战化、体系化、常态化”的三化理念,结合360多年黑客对抗的经验积累,建立基于实战的常态化专家运营体系,保障平时高效运营和战时快速响应;


 

云端专家运营服务依托360云端全球独有的安全样本库、规模最大的安全大数据和多年积累的基于实战的攻防战法、技术、程序和大量独有知识库,形成了基于攻防战法的安全运营知识图谱,帮助企业侧全面排查存在的安全隐患,实现主动防御式的安全能力体系化运营;


依托于360云端专家运营服务,监管机构人员可以:

管理多源情报:订阅、接入、运营多类型的异构情报数据以提供全面的情报数据支撑能力;
赋能安全设备:以多类型情报以及云端查杀引擎为基础,提供查询API,数据推送等多种集成方式,增强既有安全体系威胁检测分析能力;
支撑运营团队:提供丰富的云端安全能力使用方式,不仅能缓解安全团队告警疲惫的困境,而且提供了战略情报协助预测组织风险,还能通过详实的上下文参考信息和智能分析模型优化分析师效能,最终提升整体运营效率和决策把握。


运营商专线数据包括


■ 重点工业企业互联网专线流量及安全事件数据,通过接入A市内重点工业企业专线流量,通过分光或者流量牵引模式接入相应流量数据,以及通过工业专用的大流量DPI分析集群,对接入流量进行安全检测,实现对重点工业企业专线的流量数据采集和安全事件数据采集。


其中采集的数据类型包括但不限于:僵尸网络、WEB攻击、勒索病毒、挖矿事件、垃圾邮件、DDOS攻击等。


利用最新的数据分析流程和威胁监测结果,可以形成典型的工业互联网安全威胁场景。绘制出威胁态势图,可以通过视觉快速的定位威胁源、攻击的态势和程度等:

  • 企业安全分析:按照事件威胁程度对所有企业进行排名分析,准确定位高危企业;

  • 区安全分析:以区为维度,分析本市威胁事件爆发整体情况;

  • 行业安全分析:分析本市威胁事件最多的工业行业;

  • 安全类型分析:分析各类安全事件的占比情况;

  • 威胁程度分析:分析各类威胁程度安全事件的占比情况;

  • 攻击链分析:分析各类攻击链的事件数量及趋势。


■ 运营商僵木蠕系统,接入运营商僵木蠕系统数据,省级平台需对接入数据进行清洗、去重、研判、匹配、多维度分析等操作,以实现对僵木蠕方面全面的安全分析、关联分析、数据挖掘、数据判定等功能。


■ 运营商恶意程序系统,接入运营商移动恶意程序系统数据,获取运营商对恶意程序事件的判定结果以及样本数据,用于对工业互联网移动APP进行网络安全分析。


省级工业互联网安全态势感知平台在获取这三个维度的安全数据之后,通过多源异构数据汇聚平台对接入数据进行清洗、去重、研判、富化后,进行多场景化的关联分析、数据挖掘,并梳理形成基础库资源与安全库资源。


省级工业互联网安全态势感知平台通过FTP与国家工业互联网安全态势感知平台进行通信,上报基础资源库与安全资源库,以支撑国家平台进行安全分析的数据来源。同时拉取国家平台下达的安全预警通告与安全处置指令。整个通信过程由VPN隧道提供数据安全保障。


客户价值


1、工业互联网资产地图


以A市地图的方式,按区直观呈现市内工业互联网资产情况,包括(需显示字段为推荐显示):


A市内重点企业分布,包括工业互联网平台企业、工业企业、标识解析企业。企业包含的需显示字段信息应包括企业名称、分类、所在地、所属行业、工商信息、IP信息等。


A市内平台分布,包括工业互联网平台、物联网平台、车联网平台。平台包含的需显示字段信息应包括平台名称、所在地、接入方式等。


工控设备及系统分布,包括联网工控设备及系统、暴露工控设备与系统。需显示字段信息应包括IP信息、设备/系统类型、协议类型、地域等。


漏洞分布,需显示字段信息应包括类型、等级、涉及产品、IP信息、地域、厂商等。


安全事件分布,需显示字段信息应包括类型、发生时间、IP信息、企业信息、地域等。


2、威胁信息监测与报送


省级平台通过部省接口向国家平台报送各类安全事件和安全漏洞信息数据,实现恶意网络资源报送、恶意程序信息报送、安全隐患报送、安全事件信息报送、其他消息报送和报送响应消息等功能。


恶意网络资源报送:省级平台通过部省接口向国家平台报送恶意IP地址信息、恶意电子信息、恶意即时通信等。


恶意程序信息报送:省级平台应对工业互联网恶意程序进行识别和检测并通过部省接口向国家平台进行恶意程序信息报送。


安全隐患报送:省级平台应能对以下安全隐患进行监测识别并通过部省接口进行报送。安全隐患报送包括但不限于:安全漏洞报送、弱口令报送、非法授权报送等。


安全事件信息报送:省级平台应能对各类安全事件进行监测并通过部省接口对国家平台进行消息报送,安全事件信息包括但不限于:主机受控事件、勒索病毒事件、数据泄露事件、安全隐患事件、拒绝服务攻击事件、隐患利用事件、有害程序事件、信息篡改事件、信息仿冒事件、访问异常事件、高级威胁事件等。


威胁信息与IP、设备、企业、区分布做信息关联,便于国家平台的研判与通报。同时,由国家平台下发系统发现的威胁信息进行通告预警,省级平台可针对指令反馈预警效果。


3、攻击者与受攻击者画像刻画


从IP信息、攻击方式、攻击次数、利用漏洞情况、攻击时间分布、攻击地域分布、所属企业等维度,对攻击者与受攻击者进行画像分析。也可重点分析某一事件,例如分析主控端与被控端的各类关联信息,目的是在今后的报告撰写中可从更丰富的角度提出更独特的观点。


4、持续提升安全防护能力


通过云端安全能力的安全情报、知识、专家能力赋能,帮助企业融合安全系统,提高态势感知、威胁分析、自动化处置水平,整体及时发现、阻断、响应大规模、高级别网络攻击威胁,统一感知,整体协防,系统性持续提升安全防护能力。


客户评价


该项目通过部署安全监测平台,可实时监测企业安全态势,有效减少因为网络安全问题导致企业停工停产带来的经济损失,提升工业互联网安全产业的应用和推广价值,最终实现产业及企业的数字化在有效的安全保障下可以有更多的创新,可以更快速的发展。



参考阅读

工业互联网安全能力指南(安全服务)

工业互联网安全能力指南(防护及检测审计)

工业互联网安全能力指南(概况)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存