本发明专利技术属于互联网技术领域,公开了一种基于工业互联网的网络安全系统,包括:数据平台:即工业互联网监测与态势感知平台;采集层:对所述工业互联网监测与态势感知平台的网络安全事件数据进行采集;核心处理层:对所述采集层获得的数据进行分析、处理并给出解决方案;基于工业互联网安全监测与态势感知平台发现的联网工业资产漏洞、风险设备、高危安全事件等数据以及安全解决方案,采用网络安全加固、主机安全加固、应用安全加固、管理加固等手段,为工业企业提供的网络安全方案设计、网络安全集成及网络安全咨询等服务,以解决工业企业的网络安全问题。网络安全问题。网络安全问题。
【技术实现步骤摘要】
一种基于工业互联网的网络安全系统
[0001]本专利技术属于互联网
,具体涉及一种基于工业互联网的网络安全系统。
技术介绍
[0002]工业互联网包括网络、平台、安全三大体系,其中,安全体系是保障,近年来某省(河南)的工业互联网安全监测与态势感知平台已建成省级工业互联网安全监测与态势感知平台,对工业互联网设备、网络等形成全天候、全方位态势感知,并与国家级平台、企业级平台形成三级联动协同,实现省级被动流量监测和企业级安全综合管理,纵向联动国家平台实现“国家
‑
省
‑
企业”三级数据共享和监测业务协同,构建上下联动、政企协同的安全监测技术体系,但该工业互联网平台对发现的安全问题无法为企业提供系统、具体的安全解决方案。
技术实现思路
[0003]未解决上述问题,本专利技术采用如下技术方案:一种基于工业互联网的网络安全系统,包括:
[0004]数据平台:即工业互联网监测与态势感知平台;
[0005]采集层:对所述工业互联网监测与态势感知平台的网络安全事件数据进行采集;
[0006]核心处理层:对所述采集层获得的数据进行分析、处理并给出解决方案;
[0007]采集层通过对数据平台的企业网络安全监测及漏洞情况的数据进行采集,通过核心处理层对企业网络安全问题进行分析,然后基于动态感知、业务隔离、纵深防御、协同联动的思路给出网络安全解决方案。
[0008]优选的,动态感知为部署工业互联网监测与态势感知平台。
[0009]优选的,业务隔离:将工控数据、办公数据和视频数据划分逻辑网络,建立工控数据流通道、视频流通道和办公管理数据流通道,数据交互点应部署在数据中心。
[0010]优选的,纵深防御:将控制系统按照业务重要性进行分类分级,不同级别的控制系统应用不同的安全防护策略,形成纵深防御体系,完善边界防护、网络监测和主机保护。
[0011]优选的,边界防护包括用于将工控网络与非工控网络单向隔离的工业网闸;还包括部署在企业网络内部不同安全区域之间的工业防火墙。
[0012]优选的,网络监测为企业部署的工业网络监测审计与工业安全监测系统。
[0013]优选的,协同联动包括建立企业各部门协同的网络安全管理条例。
[0014]本专利技术对于现有技术,具有以下有益效果:本专利技术通过工业互联网安全监测与态势感知平台,以平台为基础,对目前工业互联网存在的安全问题进行梳理,分析类型及原因,可直观的将工业企业网络中存在的问题呈现出来;通过工业互联网安全监测与态势感知平台可以直观呈现出工业企业网络存在的问题,提出解决方案更有针对性,保障企业数据安全,本专利技术还可与国家平台和企业平台对接,解决问题更全面;最后本专利技术还可防止由于网络问题而导致的企业损失,具有较大的经济效益,同时,可防范内外部人员攻击、软件后门利用等多种威胁,显著加强企业自身工控系统在当前愈加恶劣的网络环境下防范和预
警感知能力,有效保障企业及国民经济的稳定发展。
附图说明
[0015]图1是本专利技术的原理示意图。
具体实施方式
[0016]为使本专利技术的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本专利技术作进一步的详细说明,本专利技术的示意性实施方式及其说明仅用于解释本专利技术,并不作为对本专利技术的限定。
[0017]实施例一
[0018]如图1所示的一种基于工业互联网的网络安全系统,包括:
[0019]数据平台:即工业互联网监测与态势感知平台;
[0020]采集层:对所述工业互联网监测与态势感知平台的网络安全事件数据进行采集;
[0021]核心处理层:对所述采集层获得的数据进行分析、处理并给出解决方案;
[0022]采集层通过对数据平台的企业网络安全监测及漏洞情况的数据进行采集,通过核心处理层对企业网络安全问题进行分析,然后基于动态感知、业务隔离、纵深防御、协同联动的思路给出网络安全解决方案。
[0023]在本实施方式中,采集层通过对工业互联网监测与态势感知平台某个月的网络安全事件数据进行采集:例如:
[0024]工业互联网监测与态势感知平台某月监测到的威胁事件共71.4万起
[0025]高危中危低危11244658848613849
[0026]然后通过核心处理层对数据进行分析:
[0027][0028]工业互联网监测与态势感知平台设备漏洞8392个。
[0029]高危中危低危640773021
[0030]。
[0032]动态感知为部署工业互联网监测与态势感知平台。
[0033]业务隔离:将工控数据、办公数据和视频数据划分逻辑网络,建立工控数据流通道、视频流通道和办公管理数据流通道,数据交互点应部署在数据中心。
[0034]在本实施方式中,对企业网络的边界防护策略为:1)在企业生产网与信息网间部署工业网闸,实现工控网络与非工控网络单向隔离;
[0035]2)在企业生产网内部不同安全域之间部署工业防火墙待设备以阻断病毒传播、黑客攻击等行为,对违法操作限制,防止跨区传播。
[0036]纵深防御:将控制系统按照业务重要性进行分类分级,不同级别的控制系统应用不同的安全防护策略,形成纵深防御体系,完善边界防护、网络监测和主机保护。
[0037]边界防护包括用于将工控网络与非工控网络单向隔离的工业网闸;还包括部署在企业网络内部不同安全区域之间的工业防火墙。
[0038]网络监测为企业部署的工业网络监测审计与工业安全监测系统。
[0039]在本实施方式中,对网络监测的策略为:
[0040]1)通过工业安全监测系统的资产管理功能,自动发现和识别接入工控网络中的资产,所述资产包括工业互联网平台、工控设备、物联网设备及工控系统。
[0041]2)对识别到的资产,在漏洞信息、开放的端口和不安全的协议等方面进行脆弱性检查。
[0042]3)通过工业安全监测系统进行工业环境的异常操作监测,比如:工程师站组态变更、操控指令变更、PLC下装、固件升级等关键事件。同时对OPC、Modbus TCP、S7、IEC104、CIP协议的白名单检测,针对各类数据包进行快速有针对性的捕获与深度解析,检测出数据包的有效指令、数据内容和负载信息,并结合白名单对不符合规则的流量进行告警。
[0043]4)通过工业安全监测系统,实时检测网络中的各种威胁行为,例如SQL注入、WEB攻击、缓冲区溢出、跨站脚本、拒绝服务攻击、恶意扫描等。同时,系统内置的AV引擎支持对传统IT协议中传输的文本、附件内容进行解析提取。对提取后的数据进行病毒扫描,支持多种协议,比如:HTTP、FTP、SMTP、POP3、IMAP、SMB等
[0044]在本实施方式中,对生产企业的主机保护策略为:
[0045]1)在操作员站、服务器、工程师站等工业主机上部署工业主机安全防护系统对工
业主机进行病毒防护以及USB接口进本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于工业互联网的网络安全系统,其特征在于:包括:数据平台:即工业互联网监测与态势感知平台;采集层:对所述工业互联网监测与态势感知平台的网络安全事件数据进行采集;核心处理层:对所述采集层获得的数据进行分析、处理并给出解决方案;采集层通过对数据平台的企业网络安全监测及漏洞情况的数据进行采集,通过核心处理层对企业网络安全问题进行分析,然后基于动态感知、业务隔离、纵深防御、协同联动的思路给出网络安全解决方案。2.根据权利要求1所述基于工业互联网的网络安全系统,其特征在于:所述动态感知为部署工业互联网监测与态势感知平台。3.根据权利要求2所述基于工业互联网的网络安全系统,其特征在于:所述业务隔离:将工控数据、办公数据和视频数据划分逻辑网络,建立工控数据流通道、视频流通道和办公管理...
【专利技术属性】
技术研发人员:王辉,王兵,许学卿,郭兵,李雪雷,刘畅,马刚,赵亿,刘浩,李秋伟,张超,杨国锋,庞松涛,高智涛,李雅,侯统领,申新磊,
申请(专利权)人:河南省信息咨询设计研究有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。