CN113824682A - 一种模块化的scada安全态势感知系统架构 - Google Patents
一种模块化的scada安全态势感知系统架构 Download PDFInfo
- Publication number
- CN113824682A CN113824682A CN202110922058.1A CN202110922058A CN113824682A CN 113824682 A CN113824682 A CN 113824682A CN 202110922058 A CN202110922058 A CN 202110922058A CN 113824682 A CN113824682 A CN 113824682A
- Authority
- CN
- China
- Prior art keywords
- security
- scada
- module
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000008447 perception Effects 0.000 title abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000012800 visualization Methods 0.000 claims abstract description 8
- 238000004458 analytical method Methods 0.000 claims description 40
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000012423 maintenance Methods 0.000 claims description 18
- 238000007726 management method Methods 0.000 claims description 14
- 230000007246 mechanism Effects 0.000 claims description 12
- 238000000034 method Methods 0.000 claims description 12
- 238000012502 risk assessment Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 238000012550 audit Methods 0.000 claims description 3
- 238000010219 correlation analysis Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 claims description 3
- 238000009826 distribution Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000013439 planning Methods 0.000 claims description 3
- 238000013468 resource allocation Methods 0.000 claims description 3
- 238000003860 storage Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 231100000279 safety data Toxicity 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- -1 metallurgy Substances 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000005693 optoelectronics Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开的一种模块化的SCADA安全态势感知系统架构,包括:业务模块、态势感知、可视化模块,所述业务模块用于获取业务数据,所述态势感知模块用于获取流量和日志数据,所述业务模块与态势感知模块联动,所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。本发明通过业务模块、态势感知模块、可视化模块构建联动的系统架构,将态势感知平台模块化、软件化和轻量化,完整的内嵌到SCADA系统中,可视化洞察SCADA内部核心控制资产、控制流、数据流和业务流程特性以及信息安全需求,抵抗工控网络攻击,极大的提升SCADA系统的自主安全能力。
Description
技术领域
本发明涉及工控网络安全技术领域,更具体的,涉及一种模块化的SCADA安全态势感知系统架构。
背景技术
工业控制SCADA系统(Supervisory Control and Data Acquisition,数据采集与监控系统),应用于工业网络的各个领域,如电力、石油、冶金、天然气、铁路、供水、化工等关系国家命脉的基础产业都使用SCADA系统。这些重要基础设施互相关联,构成复杂、庞大的体系,为国防安全、经济运行提供不可替代的物质和服务。如今随着两化融合、智能制造2025、工业4.0这一波“工业革命”的浪潮,黑客已经从原来的攻击普通网络转向攻击关键信息基础设施,而对于其中的SCADA系统来说,一旦出现攻击,造成的损失可能是无法估量的,《中华人民共和国网络安全法》更是在第三章明确指出了国家关键基础设施的网络安全建设、防护要求。因此,亟需建立一套适用于SCADA系统的态势感知系统架构。
发明内容
鉴于上述问题,本发明的目的是提供一种模块化的SCADA安全态势感知系统架构,提高SCADA系统的集成度及安全联动能力。
本发明第一方面提供了一种模块化的SCADA安全态势感知系统架构,包括:业务模块、态势感知、可视化模块,所述业务模块用于获取业务数据,所述态势感知模块用于获取流量和日志数据,所述业务模块与态势感知模块联动,所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。
本方案中,所述业务数据包括:工控PLC/RTU设备数据、第三方系统数据。
本方案中,所述安全数据包括:主机安全数据、工控流量数据、安全日志数据。
本方案中,所述态势感知模块设有安全分析模型,所述安全分析模型预设有关联规则、时空规则、预测规则。
本方案中,所述态势感知模块设有SCADA系统全网资产发现识别单元,所述SCADA系统全网资产发现识别单元能够对控制网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类;对发现的SCADA资产进行注册管理,完善资产的责任单位、责任人、联系电话、用途,形成明细的资产清单;
对工控资产的入网进行控制,并根据管理制度的要求,对各部门IP范围、设备入网注册内容、设备入网/出网审批流程进行管理;
以图表的方式展现SCADA网络内IP资源的实际使用情况,便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理;通过对控制网络资产的流量、用途、应用行为特征关联分析,明确资产的类型和属性,并建立相应的控制行为基线模型。
本方案中,所述态势感知模块能够对SCADA网内全部设备日志进行采集,所述全部设备包括:工控设备、网络设备、操作系统、安全设备、数据库、应用系统,通过对日志进行集中审计分析,发现日志中潜在的危害和异常行为分析,并对其进行安全告警;
所述态势感知模块能够支持快速自定义各种型态搜索,而不是只有固定几种的字段,不需要指定数据的格式,更可结合时间与关键词进行搜寻,呈现出清楚的搜索结果,运维人员能够快速检索到网络或相应设备的安全问题。
本方案中,态势感知模块采集的日志内容包括有:日志类别,日志类型,操作用户,访问IP,发生时间,日志内容。
本方案中,所述业务模块与态势感知模块联动通过采集SCADA系统安全数据(如流量数据,日志数据,配置核查信息,漏洞扫描信息等),对数据进行集中存储和分析,构建安全分析机制,所述安全分析机制通过模块统筹协调,可及时发布权威的网络安全信息,建立通报机制,加强预警能力;建立监测、预警、防范机制,提升对SCADA系统的管控、风险识别的水平;
对SCADA业务数据,建立全天候、全方位、全生命周期的监控和审计手段,形成安全管控工作闭环;
对SCADA网内的各类信息安全威胁、风险和事件进行常态化监测,提供安全技术手段,依据监测策略,对风险和事件进行有效监测,并为其它安全管理活动输出监测事件结果信息。
本方案中,所述系统架构还能够自动化、定量化计算资产及其业务系统的风险值,协助SCADA运维人员进行定量的风险评估,综合考虑资产的价值、脆弱性和威胁,计算风险的可能性和风险的影响性;
能够展示出安全域的风险情况,标注安全域中资产风险的分布情况,辅助运维人员进行风险分析,采取相应的风险处置对策;
能够实现SCADA系统及全局风险的计算与展示,能够量化,并动态展示安全风险,使运维人员快速感知网络安全风险。
本方案中,所述系统架构还预设有安全模型库和知识库,供态势感知与控制业务安全分析功能使用,同时积累经验,为运维人员日常运维工作提供指导;所述系统架构预先建立的库包括:漏洞情报库、威胁情报库、安全事件库、关联规则库、异常检测策略库、等级保护知识库。
本发明公开的一种模块化的SCADA安全态势感知系统架构,通过业务模块、态势感知模块、可视化模块构建联动的系统架构,将态势感知平台模块化、软件化和轻量化,完整的内嵌到SCADA系统中,可视化洞察SCADA内部核心控制资产、控制流、数据流和业务流程特性以及信息安全需求,抵抗工控网络攻击,极大的提升SCADA系统的自主安全能力。
附图说明
图1示出了本申请一种模块化的SCADA安全态势感知系统架构图。
图2示出了本申请安全事件联动管理流程图。
图3示出了本申请安全事件联动管理示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
名词解释
工业控制系统:工业控制系统由DCS、PLC等控制设备和温度、压力等传感器以及上位主机构成,对工业生产过程进行监视控制。
SCADA系统:SCADA(Supervisory Control And Data Acquisition)系统,即数据采集与监视控制系统,涉及到组态软件、数据传输链路
态势感知:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
图1示出了本申请一种模块化的SCADA安全态势感知系统架构图。
如图1所示,本申请公开了一种模块化的SCADA安全态势感知系统架构,包括:业务模块、态势感知模块、可视化模块,所述业务模块用于获取业务数据,所述态势感知模块用于获取流量和日志数据,所述业务模块与态势感知模块联动,所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。
需要说明的是,所述态势感知模块能够能够全面采集SCADA网络中的安全事件信息、资产流量数据、控制操作指令。结合CNVD、CNNVD、CVE等工控威胁特征库,对SCADA内部资产进行智能分析和综合评估,完成对识别SCADA工作站、服务器和安全设备的漏洞发现、漏洞匹配、漏洞验证等,进行SCADA网络集中告警及威胁呈现。对网内的设备脆弱性进行核查,包括控制设备、网络设备、信息系统、端口服务等,及时掌握可被攻击的风险,以便于评估安全风险和采取相应的安全策略。所述业务模块主要采集业务数据进行业务处理,其中态势感知模块和业务模块进行联动,更具体的,能够对SCADA系统的安全状况做出快速准确的诊断,通过安全模型大数据计算,实时将分析结果同步到业务模块,开展应急响应和处置恢复,保证控制业务稳定运行。
根据本发明实施例,所述业务数据包括:工控PLC/RTU设备数据、第三方系统数据。
根据本发明实施例,所述安全数据包括:主机安全数据、工控流量数据、安全日志数据。
需要说明的是,所述业务数据还可以包括其他接入的工业设备的数据,如动力设备的数据等,对于所述业务数据及安全数据可以进行分布式采集,例如工控PLC/RTU设备数据可以通过设置无线传感节点进行分布式无线传输,也可以通过有线专网传输。
根据本发明实施例,所述态势感知模块设有安全分析模型,所述安全分析模型预设有关联规则、时空规则、预测规则。
所述安全分析模型针对不同的场景设置了不同的关联规则、时空规则、预设规则,从而能够支持场景化的分析,实现SCADA网络安全态势问题全面监控并快速发现威胁,,可实现主动防护,精准捕捉网络威胁,且画像丰富,与企业业务更为贴合。所述安全分析模型处理的数据源主要包括工作站、服务器、工业应用、网络流量、日志等。同时所述的安全分析模型通过深度和全面的行为分析能力,发现SCADA网络中的隐藏攻击威胁,态势感知模块进行统计分析、关联分析和攻击链分析,结合威胁情报进行威胁判断,对时间、范围、趋势、影响程度等方面进行预测,下发安全预警通报,并针对重大或特别重大安全事件进行应急处置,实现全域联动和协同响应。
根据本发明实施例,所述态势感知模块设有SCADA系统全网资产发现识别单元,所述SCADA系统全网资产发现识别单元能够对控制网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类;对发现的SCADA资产进行注册管理,完善资产的责任单位、责任人、联系电话、用途,形成明细的资产清单;
对工控资产的入网进行控制,并根据管理制度的要求,对各部门IP范围、设备入网注册内容、设备入网/出网审批流程进行管理;
以图表的方式展现SCADA网络内IP资源的实际使用情况,便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理;通过对控制网络资产的流量、用途、应用行为特征关联分析,明确资产的类型和属性,并建立相应的控制行为基线模型。
需要说明的是,所述SCADA系统全网资产发现识别单元,可以通过多种方式进行资产识别如知识图谱、指纹识别等,还可以通过移动终端设备结合图形码进行资产识别,通过给资产进行设置二维码,利用终端扫描二维码即可进行资产识别,在一个具体的实施例中,所述二维码可以为其他图形码,所述图形码是用某种特定的几何图形按一定规律在平面(二维方向上)分布的、黑白相间的、记录数据符号信息的图形;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念,使用若干个与二进制相对应的几何形体来表示文字数值信息,通过图象输入设备或光电扫描设备自动识读以实现信息自动处理:它具有条码技术的一些共性:每种码制有其特定的字符集;每个字符占有一定的宽度;具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化点。采用图形码能够方便的封装信息,且能够封装的信息多,简化信息传递的流程。
根据本发明实施例,所述态势感知模块能够对SCADA网内全部设备日志进行采集,所述全部设备包括:工控设备、网络设备、操作系统、安全设备、数据库、应用系统,通过对日志进行集中审计分析,发现日志中潜在的危害和异常行为分析,并对其进行安全告警;
所述态势感知模块能够支持快速自定义各种型态搜索,而不是只有固定几种的字段,不需要指定数据的格式,更可结合时间与关键词进行搜寻,呈现出清楚的搜索结果,运维人员能够快速检索到网络或相应设备的安全问题。
根据本发明实施例,态势感知模块采集的日志内容包括有:日志类别,日志类型,操作用户,访问IP,发生时间,日志内容。
根据本发明实施例,所述业务模块与态势感知模块联动通过采集SCADA系统安全数据(如流量数据,日志数据,配置核查信息,漏洞扫描信息等),对数据进行集中存储和分析,构建安全分析机制,所述安全分析机制通过模块统筹协调,可及时发布权威的网络安全信息,建立通报机制,加强预警能力;建立监测、预警、防范机制,提升对SCADA系统的管控、风险识别的水平;
对SCADA业务数据,建立全天候、全方位、全生命周期的监控和审计手段,形成安全管控工作闭环;
对SCADA网内的各类信息安全威胁、风险和事件进行常态化监测,提供安全技术手段,依据监测策略,对风险和事件进行有效监测,并为其它安全管理活动输出监测事件结果信息。
需要说明的是,如图2-图3所示,态势感知模块的安全事件联动具体过程为:
S202,获取安全数据,所述安全数据包括:流量信息、日志信息、资产信息、性能信息、配置信息、漏洞信息;
S204,对获取的安全数据依次进行数据过滤、数据归并、数据归一化通过数据交换接口进行集中存储;
S206,通过数据仓库中安全分析模型对集中存储的数据进行安全分析,若分析结果存在安全风险则发出安全告警,根据安全告警触发业务模块联动应急处置,同时安全分析结果同步显示在可视化模块。
根据本发明实施例,所述系统架构还能够自动化、定量化计算资产及其业务系统的风险值,协助SCADA运维人员进行定量的风险评估,综合考虑资产的价值、脆弱性和威胁,计算风险的可能性和风险的影响性;
能够展示出安全域的风险情况,标注安全域中资产风险的分布情况,辅助运维人员进行风险分析,采取相应的风险处置对策;
能够实现SCADA系统及全局风险的计算与展示,能够量化,并动态展示安全风险,使运维人员快速感知网络安全风险。
需要说明的是,本发明所述系统架构还包括有安全配置核查功能,态势感知模块集中调度驱动安全配置核查系统进行SCADA资产的安全配置检查,通过多种网络协议,模拟检查用户登录被检查资产,自动化采集资产的安全配置信息,并根据相关行业规范对配置数据进行合规性分析、风险分析、对比分析和趋势分析等。
根据本发明实施例,所述系统架构还预设有安全模型库和知识库,供态势感知与控制业务安全分析功能使用,同时积累经验,为运维人员日常运维工作提供指导;所述系统架构预先建立的库包括:漏洞情报库、威胁情报库、安全事件库、关联规则库、异常检测策略库、等级保护知识库。
需要说明的是,本发明所述的系统架构支持定期更新升级和自主安全模型建立,通过安全关联规则检测最新安全威胁,使系统能够及时感知和处置最新脆弱点。
本发明公开的一种模块化的SCADA安全态势感知系统架构,通过业务模块、态势感知模块、可视化模块构建联动的系统架构,将态势感知平台模块化、软件化和轻量化,完整的内嵌到SCADA系统中,可视化洞察SCADA内部核心控制资产、控制流、数据流和业务流程特性以及信息安全需求,抵抗工控网络攻击,极大的提升SCADA系统的自主安全能力。
同时本发明具有以下有益效果:一是针对已知的工控网络攻击的实时发现、主动修复和稳定控制,态势感知模块将已知恶意软件查杀、漏洞修复、非法操作等结果推送到控制业务模块,系统展开自查、补丁和安全模型升级。二是针对未知的工控网络攻击能够超前预测、及时告警并联动处置,业务模块启动应急预案,主动降低负荷,关键设备切换远程/就地控制,防范风险,保证极端网络灾难时,关键控制业务稳定运行。三是在控制业务运行和不断抵抗工控网络攻击中,积累和形成SCADA控制安全模型,动态提升系统的安全防护能力,实现良性循环。最终,SCADA系统能够自主及时地解决漏洞与补丁、产品和策略部署调整、事件的监测与响应、情报数据的收集分析与溯源研判等信息安全问题,保障业务和控制的安全。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种模块化的SCADA安全态势感知系统架构,其特征在于,包括:业务模块、态势感知模块、可视化模块,所述业务模块用于获取业务数据,所述态势感知模块用于获取流量和日志数据,所述业务模块与态势感知模块联动,所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。
2.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述业务数据包括:工控PLC/RTU设备数据、第三方系统数据。
3.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述安全数据包括:主机安全数据、工控流量数据、安全日志数据。
4.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述态势感知模块设有安全分析模型,所述安全分析模型预设有关联规则、时空规则、预测规则。
5.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述态势感知模块设有SCADA系统全网资产发现识别单元,所述SCADA系统全网资产发现识别单元能够对控制网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类;对发现的SCADA资产进行注册管理,完善资产的责任单位、责任人、联系电话、用途,形成明细的资产清单;
对工控资产的入网进行控制,并根据管理制度的要求,对各部门IP范围、设备入网注册内容、设备入网/出网审批流程进行管理;
以图表的方式展现SCADA网络内IP资源的实际使用情况,便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理;通过对控制网络资产的流量、用途、应用行为特征关联分析,明确资产的类型和属性,并建立相应的控制行为基线模型。
6.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述态势感知模块能够对SCADA网内全部设备日志进行采集,所述全部设备包括:工控设备、网络设备、操作系统、安全设备、数据库、应用系统,通过对日志进行集中审计分析,发现日志中潜在的危害和异常行为分析,并对其进行安全告警;
所述态势感知模块能够支持快速自定义各种型态搜索,不需要指定数据的格式,更可结合时间与关键词进行搜寻,呈现出清楚的搜索结果,运维人员能够快速检索到网络或相应设备的安全问题。
7.根据权利要求6所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,态势感知模块采集的日志内容包括有:日志类别,日志类型,操作用户,访问IP,发生时间,日志内容。
8.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述业务模块与态势感知模块联动通过采集SCADA系统安全数据,对数据进行集中存储和分析,构建安全分析机制,所述安全分析机制通过模块统筹协调,可及时发布权威的网络安全信息,建立通报机制,加强预警能力;建立监测、预警、防范机制,提升对SCADA系统的管控、风险识别的水平;
对SCADA业务数据,建立全天候、全方位、全生命周期的监控和审计手段,形成安全管控工作闭环;
对SCADA网内的各类信息安全威胁、风险和事件进行常态化监测,提供安全技术手段,依据监测策略,对风险和事件进行有效监测,并为其它安全管理活动输出监测事件结果信息。
9.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述系统架构还能够自动化、定量化计算资产及其业务系统的风险值,协助SCADA运维人员进行定量的风险评估,综合考虑资产的价值、脆弱性和威胁,计算风险的可能性和风险的影响性;
能够展示出安全域的风险情况,标注安全域中资产风险的分布情况,辅助运维人员进行风险分析,采取相应的风险处置对策;
能够实现SCADA系统及全局风险的计算与展示,能够量化,并动态展示安全风险,使运维人员快速感知网络安全风险。
10.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构,其特征在于,所述系统架构还预设有安全模型库和知识库,供态势感知与控制业务安全分析功能使用,同时积累经验,为运维人员日常运维工作提供指导;所述系统架构预先建立的库包括:漏洞情报库、威胁情报库、安全事件库、关联规则库、异常检测策略库、等级保护知识库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110922058.1A CN113824682B (zh) | 2021-08-12 | 2021-08-12 | 一种模块化的scada安全态势感知系统架构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110922058.1A CN113824682B (zh) | 2021-08-12 | 2021-08-12 | 一种模块化的scada安全态势感知系统架构 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113824682A true CN113824682A (zh) | 2021-12-21 |
CN113824682B CN113824682B (zh) | 2024-05-31 |
Family
ID=78913097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110922058.1A Active CN113824682B (zh) | 2021-08-12 | 2021-08-12 | 一种模块化的scada安全态势感知系统架构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113824682B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114844953A (zh) * | 2022-05-12 | 2022-08-02 | 机械工业仪器仪表综合技术经济研究所 | 基于工业互联网的石化装置仪表自控设备安全监测系统 |
CN115051865A (zh) * | 2022-06-21 | 2022-09-13 | 南京三奎信息科技有限公司 | 一种用于实现数据维护的安全态势感知系统 |
CN115134131A (zh) * | 2022-06-20 | 2022-09-30 | 中能融合智慧科技有限公司 | 一种基于态势感知的物联网通信传输系统 |
CN115632820A (zh) * | 2022-09-26 | 2023-01-20 | 深圳华科讯通科技有限公司 | 一种日志收集与分析系统 |
CN115776411A (zh) * | 2023-01-30 | 2023-03-10 | 网思科技股份有限公司 | 数据安全分析方法、系统和可读存储介质 |
CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、系统和可读存储介质 |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060282886A1 (en) * | 2005-06-09 | 2006-12-14 | Lockheed Martin Corporation | Service oriented security device management network |
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN103679296A (zh) * | 2013-12-24 | 2014-03-26 | 云南电力调度控制中心 | 基于态势感知的电网安全风险评估方法和模型 |
CN106941493A (zh) * | 2017-03-30 | 2017-07-11 | 北京奇艺世纪科技有限公司 | 一种网络安全态势感知结果输出方法及装置 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
US20170346846A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
CN107944691A (zh) * | 2017-11-20 | 2018-04-20 | 中国运载火箭技术研究院 | 一种空间态势评估综合分析系统 |
CN108696529A (zh) * | 2018-05-29 | 2018-10-23 | 广西电网有限责任公司 | 基于多元信息融合的网络安全态势感知分析系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109840415A (zh) * | 2018-12-29 | 2019-06-04 | 江苏博智软件科技股份有限公司 | 一种工控网络安全态势感知系统 |
CN110049015A (zh) * | 2019-03-19 | 2019-07-23 | 中国南方电网有限责任公司 | 网络安全态势感知系统 |
CN111431862A (zh) * | 2020-02-28 | 2020-07-17 | 中国电子科技网络信息安全有限公司 | 威胁驱动的电力监控系统网络安全深度防护方法及系统 |
CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
CN111709437A (zh) * | 2019-10-31 | 2020-09-25 | 中国科学院沈阳自动化研究所 | 一种面向石油化工行业现场工艺行为的异常行为检测方法 |
CN112651006A (zh) * | 2020-12-07 | 2021-04-13 | 中国电力科学研究院有限公司 | 一种电网安全态势感知平台架构 |
CN112671887A (zh) * | 2020-12-21 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 一种资产识别方法、装置、电子设备及计算机存储介质 |
-
2021
- 2021-08-12 CN CN202110922058.1A patent/CN113824682B/zh active Active
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060282886A1 (en) * | 2005-06-09 | 2006-12-14 | Lockheed Martin Corporation | Service oriented security device management network |
CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
CN103679296A (zh) * | 2013-12-24 | 2014-03-26 | 云南电力调度控制中心 | 基于态势感知的电网安全风险评估方法和模型 |
US20170346846A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
CN106941493A (zh) * | 2017-03-30 | 2017-07-11 | 北京奇艺世纪科技有限公司 | 一种网络安全态势感知结果输出方法及装置 |
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN107944691A (zh) * | 2017-11-20 | 2018-04-20 | 中国运载火箭技术研究院 | 一种空间态势评估综合分析系统 |
CN108696529A (zh) * | 2018-05-29 | 2018-10-23 | 广西电网有限责任公司 | 基于多元信息融合的网络安全态势感知分析系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109840415A (zh) * | 2018-12-29 | 2019-06-04 | 江苏博智软件科技股份有限公司 | 一种工控网络安全态势感知系统 |
CN110049015A (zh) * | 2019-03-19 | 2019-07-23 | 中国南方电网有限责任公司 | 网络安全态势感知系统 |
CN111709437A (zh) * | 2019-10-31 | 2020-09-25 | 中国科学院沈阳自动化研究所 | 一种面向石油化工行业现场工艺行为的异常行为检测方法 |
CN111431862A (zh) * | 2020-02-28 | 2020-07-17 | 中国电子科技网络信息安全有限公司 | 威胁驱动的电力监控系统网络安全深度防护方法及系统 |
CN111711599A (zh) * | 2020-04-23 | 2020-09-25 | 北京凌云信安科技有限公司 | 基于多元海量数据融合关联分析的安全态势感知系统 |
CN112651006A (zh) * | 2020-12-07 | 2021-04-13 | 中国电力科学研究院有限公司 | 一种电网安全态势感知平台架构 |
CN112671887A (zh) * | 2020-12-21 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 一种资产识别方法、装置、电子设备及计算机存储介质 |
Non-Patent Citations (3)
Title |
---|
张世斌,贾立东,魏义昕,史威,王健: "输气管道SCADA 系统网络安全策略探索与实现——以中俄东线天然气管道工程为例", 《油气储运》, vol. 39, no. 6, pages 685 - 691 * |
汤永田;: "工业互联网安全态势感知技术及其应用研究", 自动化博览, no. 2, 15 November 2019 (2019-11-15) * |
闫怀超;徐超;: "态势感知平台在智能制造领域的解决方案研究", 自动化仪表, no. 03, 20 March 2020 (2020-03-20) * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114844953A (zh) * | 2022-05-12 | 2022-08-02 | 机械工业仪器仪表综合技术经济研究所 | 基于工业互联网的石化装置仪表自控设备安全监测系统 |
CN115134131A (zh) * | 2022-06-20 | 2022-09-30 | 中能融合智慧科技有限公司 | 一种基于态势感知的物联网通信传输系统 |
CN115134131B (zh) * | 2022-06-20 | 2023-10-20 | 中能融合智慧科技有限公司 | 一种基于态势感知的物联网通信传输系统 |
CN115051865A (zh) * | 2022-06-21 | 2022-09-13 | 南京三奎信息科技有限公司 | 一种用于实现数据维护的安全态势感知系统 |
CN115632820A (zh) * | 2022-09-26 | 2023-01-20 | 深圳华科讯通科技有限公司 | 一种日志收集与分析系统 |
CN115776411A (zh) * | 2023-01-30 | 2023-03-10 | 网思科技股份有限公司 | 数据安全分析方法、系统和可读存储介质 |
CN115801454A (zh) * | 2023-01-30 | 2023-03-14 | 网思科技股份有限公司 | 网络数据防泄漏方法、系统和可读存储介质 |
CN115776411B (zh) * | 2023-01-30 | 2023-05-23 | 网思科技股份有限公司 | 数据安全分析方法、系统和可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113824682B (zh) | 2024-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113824682B (zh) | 一种模块化的scada安全态势感知系统架构 | |
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
CN104509034B (zh) | 模式合并以识别恶意行为 | |
CN103026345B (zh) | 用于事件监测优先级的动态多维模式 | |
CN113313421A (zh) | 一种电力物联网感知层安全风险状态分析方法及系统 | |
CN112651006A (zh) | 一种电网安全态势感知平台架构 | |
CN115996146B (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
CN116662989B (zh) | 一种安全数据解析方法及系统 | |
CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
CN116614277A (zh) | 基于机器学习与异常行为分析的网络安全监管系统与方法 | |
CN112039862A (zh) | 一种面向多维立体网络的安全事件预警方法 | |
US9961047B2 (en) | Network security management | |
CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测系统及方法 | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
CN115378711B (zh) | 一种工控网络的入侵检测方法和系统 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
CN112039858A (zh) | 一种区块链服务安全加固系统与方法 | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
Chen et al. | Network Intrusion Detection Method of Power Monitoring System Based on Data Mining | |
CN116859804A (zh) | 一种面向船舶制造车间的安全态势监测预警系统 | |
CN117692203A (zh) | 一种事件处置策略智能推荐方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |