1    項目背景

隨著工業(yè)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和工業(yè)網(wǎng)絡(luò)應(yīng)用的普及,工業(yè)互聯(lián)網(wǎng)絡(luò)信息安全問題也層出不窮,各類負面消息使人們對工業(yè)互聯(lián)網(wǎng)絡(luò)的態(tài)度更加謹慎。為防止各種網(wǎng)絡(luò)安全隱患,政府、企業(yè)也都提高了宣傳力度。為了更好地保護互聯(lián)網(wǎng)用戶的企業(yè)信息安全,防止黑客攻擊,工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知系統(tǒng)平臺更好協(xié)助通信管理局實現(xiàn)對網(wǎng)絡(luò)中的攻擊進行監(jiān)測，實現(xiàn)“關(guān)鍵行業(yè)，重點監(jiān)測”、“關(guān)鍵時刻，快速處置”、“關(guān)鍵態(tài)勢，多為感知”的全方位、全天候的監(jiān)測與診斷能力。

“永恒之藍”事件的威脅風(fēng)波剛剛過去，北京時間2019年3月20日，全球最大鋁生產(chǎn)商海德魯遭受“LockerGoga” 勒索病毒攻擊，致多個工廠關(guān)停。北京時間2019年10月，美國電網(wǎng)遭網(wǎng)絡(luò)攻擊，紐約停電長達4小時……

從“十三五”中后期開始，我省通信管理局上線了像工業(yè)互聯(lián)網(wǎng)態(tài)勢感知相關(guān)試驗平臺，對我省轄區(qū)內(nèi)工業(yè)互聯(lián)網(wǎng)現(xiàn)狀進行詳細的摸底，通過對省內(nèi)公共互聯(lián)網(wǎng)的抽樣數(shù)據(jù)流量進行分析，已經(jīng)取得了初步成效。探明全省觸網(wǎng)工業(yè)資產(chǎn)9萬余個，捕獲涉及我省工業(yè)資產(chǎn)的安全事件128萬余次，捕獲針對聯(lián)網(wǎng)工控設(shè)備弱口令、指令篡改等安全風(fēng)險1291個。整體工業(yè)互聯(lián)網(wǎng)安全形勢不容樂觀。

通過多安全事件的分析，不難得出電力系統(tǒng)、通信系統(tǒng)、城市關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)、先進制造系統(tǒng)等重要行業(yè)是攻擊的重點，也再次說明了“世界上沒有攻不破的網(wǎng)絡(luò)，也沒有不存在漏洞的系統(tǒng)”，工業(yè)互聯(lián)網(wǎng)威脅防不勝防，工業(yè)互聯(lián)網(wǎng)安全監(jiān)測也是一種常態(tài)。事實表明傳統(tǒng)的圍墻模式防護思維，已沒有辦法監(jiān)管變化多端的新安全形勢，必須基于持續(xù)監(jiān)測和即使相應(yīng)的安全能力，也安全監(jiān)測和態(tài)勢感知能力，才能對安全形勢有完整的了解，并對未來的態(tài)勢進行預(yù)測，才能有效地應(yīng)對當前的網(wǎng)絡(luò)安全威脅。

江蘇省是工業(yè)和制造大省，為盡快掌握全省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢，防范針對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，提升工業(yè)互聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全威脅信息共享和應(yīng)急處置能力，建設(shè)一個“可感、可知、可監(jiān)管”的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺變得十分必要。

2 項目目標

全面提升通管局對我省工業(yè)互聯(lián)網(wǎng)系統(tǒng)基于電信網(wǎng)絡(luò)流量信息安全的“實時監(jiān)測、全面感知、重點監(jiān)管、綜合分析、預(yù)警通報、應(yīng)急處置”等方面的能力，為通管局履行“工業(yè)互聯(lián)網(wǎng)信息安全管理工作、指導(dǎo)監(jiān)督工業(yè)互聯(lián)網(wǎng)信息安全保障工作、協(xié)調(diào)處理工業(yè)互聯(lián)網(wǎng)信息安全應(yīng)急和處理重大事件”等監(jiān)管職責(zé)提供有效技術(shù)與平臺支撐，以及為我省工業(yè)互聯(lián)網(wǎng)專業(yè)實訓(xùn)人才的培養(yǎng)提供強有力的基礎(chǔ)教學(xué)保障。

2.1項目服務(wù)目標

（1）安全數(shù)據(jù)采集：省內(nèi)不少于90家企業(yè)部署安全探針；部署系統(tǒng)與“省工業(yè)信息安全保障平臺”數(shù)據(jù)對接；實現(xiàn)企業(yè)安全告警定期上傳、分析；在省級平臺全面展示工業(yè)企業(yè)安全態(tài)勢。

（2）安全事件分析：形成面向工業(yè)企業(yè)、聯(lián)網(wǎng)設(shè)備與系統(tǒng)的全天候全方位安全監(jiān)測與態(tài)勢感知能力；實現(xiàn)對我省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢的分析研判，有效支撐重大工業(yè)安全事件的科學(xué)決策與風(fēng)險處置。全面提升江蘇省工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障水平。

（3）社會經(jīng)濟效益：進一步擴大省平臺監(jiān)管范圍，補充增強省平臺監(jiān)管能力；新增25個就業(yè)崗位；預(yù)計產(chǎn)生1000萬元銷售收入，實現(xiàn)300萬利潤，250萬稅收。

3項目實施與應(yīng)用

針對用戶在安全性方面的關(guān)切重點是來自互聯(lián)網(wǎng)的攻擊行為，而互聯(lián)網(wǎng)與用戶的辦公網(wǎng)是建立連接的，因此，項目建設(shè)重點是對辦公網(wǎng)和控制網(wǎng)之間的網(wǎng)絡(luò)流量實施探針監(jiān)控，以實時監(jiān)測來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊行為。

目前，該項目已完成在辦公網(wǎng)和生產(chǎn)網(wǎng)之間的安全探針部署，系統(tǒng)已在線連續(xù)運行7個月時間，幫助用戶對木馬、病毒、可疑連接、可疑指令等對象進行檢測和識別，并對安全事件進行預(yù)警提示。

3.1.1項目實施方案

該項目的設(shè)備部署方案，如下圖所示。

圖 1部署方案

安全探針部署在生產(chǎn)網(wǎng)和辦公網(wǎng)之間的三層交換機中，通過旁路方式與三層交換機進行連接，通過端口鏡像的方式實時獲取生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡(luò)流量，并從中識別出惡意軟件和惡意指令等異常行為，并對用戶業(yè)務(wù)不會產(chǎn)生任何影響。

3.1.2技術(shù)路線

    針對用戶的應(yīng)用場景和使用需求，項目的技術(shù)路線主要包括工業(yè)控制協(xié)議深度解析、工業(yè)控制網(wǎng)入侵實時檢測、工業(yè)控制網(wǎng)指令安全監(jiān)測、工業(yè)控制網(wǎng)流量監(jiān)測、工控設(shè)備智能識別定位六個方面，如下圖所示。

圖 2技術(shù)路線

（1）工業(yè)控制協(xié)議深度解析

工業(yè)控制協(xié)議深度解析實現(xiàn)對主流工控網(wǎng)絡(luò)協(xié)議（Modbus/TCP、OPC、S7、IEC104等）進行研究，全面深層次的解析工控系統(tǒng)通訊語言，建立符合現(xiàn)場工藝的業(yè)務(wù)指令流模型，打破傳統(tǒng)控制系統(tǒng)的黑匣子，可識別出工控現(xiàn)場上位機對下位機的指令操作、工程師站對現(xiàn)場工業(yè)控制器的配置變更、以及對現(xiàn)場開關(guān)量和過程量閥值的輸入等等，可以識別出網(wǎng)絡(luò)通訊行為與工藝操作行為。同時， 工業(yè)控制網(wǎng)監(jiān)測子平臺支持私有工控協(xié)議的擴展接口，可對不同用戶的私有工控協(xié)議進行定制化的二次開發(fā)。

該技術(shù)路線采用DPDK，DPDK是Data Plane Development Kit的縮寫。簡單說，DPDK應(yīng)用程序運行在操作系統(tǒng)的User Space，利用自身提供的數(shù)據(jù)面庫進行收發(fā)包處理，繞過了Linux內(nèi)核態(tài)協(xié)議棧，以提升報文處理效率。由于包處理任務(wù)存在內(nèi)核態(tài)與用戶態(tài)的切換，以及多次的內(nèi)存拷貝，系統(tǒng)消耗變大，以CPU為核心的系統(tǒng)存在很大的處理瓶頸。為了提升在通用服務(wù)器（COTS）的數(shù)據(jù)包處理效能，采用了服務(wù)于IA（Intel Architecture）系統(tǒng)的DPDK技術(shù)。

DPDK是一組lib庫和工具包的集合。最簡單的架構(gòu)描述如下圖所示：

圖 3工控協(xié)議深度解析架構(gòu)

藍色部分是DPDK的主要組件：

PMD：Pool Mode Driver，輪詢模式驅(qū)動，通過非中斷，以及數(shù)據(jù)幀進出應(yīng)用緩沖區(qū)內(nèi)存的零拷貝機制，提高發(fā)送/接受數(shù)據(jù)幀的效率；

流分類：Flow Classification，為N元組匹配和LPM（最長前綴匹配）提供優(yōu)化的查找算法；

環(huán)隊列：Ring Queue，針對單個或多個數(shù)據(jù)包生產(chǎn)者、單個數(shù)據(jù)包消費者的出入隊列提供無鎖機制，有效減少系統(tǒng)開銷；

MBUF緩沖區(qū)管理：分配內(nèi)存創(chuàng)建緩沖區(qū)，并通過建立MBUF對象，封裝實際數(shù)據(jù)幀，供應(yīng)用程序使用；

EAL：Environment Abstract Layer，環(huán)境抽象（適配）層，PMD初始化、CPU內(nèi)核和DPDK線程配置/綁定、設(shè)置HugePage大頁內(nèi)存等系統(tǒng)初始化；

下圖簡單描述了DPDK的多隊列和多線程機制：

圖 4 DPDK多隊列和多線程機制

DPDK將網(wǎng)卡接收隊列分配給某個CPU核，該隊列收到的報文都交給該核上的DPDK線程處理。存在兩種方式將數(shù)據(jù)包發(fā)送到接收隊列之上：

RSS（Receive Side Scaling，接收方擴展）機制：根據(jù)關(guān)鍵字，比如根據(jù)UDP的四元組<srcIP><dstIP><srcPort><dstPort>進行哈希；

Flow Director機制：可設(shè)定根據(jù)數(shù)據(jù)包某些信息進行精確匹配，分配到指定的隊列與CPU核；

當網(wǎng)絡(luò)數(shù)據(jù)包（幀）被網(wǎng)卡接收后，DPDK網(wǎng)卡驅(qū)動將其存儲在一個高效緩沖區(qū)中，并在MBUF緩存中創(chuàng)建MBUF對象與實際網(wǎng)絡(luò)包相連，對網(wǎng)絡(luò)包的分析和處理都會基于該MBUF，必要的時候才會訪問緩沖區(qū)中的實際網(wǎng)絡(luò)包。

圖 5緩沖區(qū)的網(wǎng)絡(luò)包

（2）工業(yè)控制網(wǎng)入侵實時檢測

隨著工控網(wǎng)絡(luò)的信息化程度加深，所面臨的網(wǎng)絡(luò)攻擊手段也越來越多，各種入侵和病毒攻擊利用工控設(shè)備的漏洞對工控網(wǎng)絡(luò)進行攻擊。

安全探針支持對入侵行為特征進行分析，實時捕捉各種攻擊行為。入侵檢測模塊核心的專家知識庫目前包含了共15個大類的1300余種攻擊特征，并在不斷增加更新中，包括病毒攻擊，木馬攻擊，拒絕服務(wù)攻擊，數(shù)據(jù)庫攻擊，Web攻擊，Icmp攻擊，F(xiàn)TP攻擊，DNS攻擊，ARP攻擊，郵件攻擊，漏洞攻擊，后門軟件，IP/端口掃描，RPC攻擊，緩沖區(qū)溢出攻擊等等。

（3）工業(yè)控制指令安全監(jiān)測

安全探針可對“未知通信行為”、“用戶誤操作”、“用戶違規(guī)操作”、“工藝閾值非預(yù)期波動”等進行實時報警。

指令變更：指上位機電腦向下位機PLC或者DCS控制器發(fā)送開關(guān)閥、開關(guān)泵等操作變化。

閾值報警：指上位機電腦讀取下位機PLC或者DCS控制器傳輸?shù)拈y門狀態(tài)，溫度、壓力等傳感器的數(shù)據(jù)的上限或者下限報警。

組態(tài)變更：指上位機電腦向下位機PLC或DCS灌裝程序，或者從下位機PLC或DCS上載程序的網(wǎng)絡(luò)行為。

負載變更：指上位機與下位機，或者下位機PLC或DCS與負載設(shè)備之間通信的變化。

符合工藝的指令變采用白名單策略，例如某個閥門的開啟動作，而不符合工藝的指令變更是需要報警，某個閥門的關(guān)閉動作。因此在這個過程中，安全監(jiān)測平臺需要及時發(fā)現(xiàn)這些合法和非法的網(wǎng)絡(luò)行為，實時的進行報警。控制指令安全檢測采用POWERLINK方法，將一個執(zhí)行周期分為三個階段：同步階段、異步階段以及空閑階段。

a）同步階段（Isochronous phase）

在進入這個階段時，MN首先會廣播一個名為SoC（Start of Cycle）的數(shù)據(jù)包，提示網(wǎng)絡(luò)內(nèi)所有的CN注意點名。然后開始挨個點名。在每一次點名的過程中，一個叫做 PReq(Poll-Request)的數(shù)據(jù)包會被定向發(fā)給特定的CN，這個數(shù)據(jù)包中包含了MN 對CN中變量的期望值。CN 收到這個數(shù)據(jù)包之后，會對這些變量進行處理，并廣播一個PRes（Poll-Respond），這個數(shù)據(jù)包中包含了CN 希望其它節(jié)點看到的變量的當前值。

POWERLIN引入復(fù)用時隙的概念（Multiplexed Timeslots），對某些CN，MN 不必在每個周期中都對其進行數(shù)據(jù)同步，而是在特定次數(shù)個周期之后，對這些CN進行數(shù)據(jù)同步。

b）異步階段 （Asynchronous phase）

在進入這個階段時，MN 會廣播一個 SoA （Start of Asynchronous）數(shù)據(jù)包，告知網(wǎng)絡(luò)內(nèi)所有用戶，現(xiàn)在是異步時間，并且這個數(shù)據(jù)包中應(yīng)當包含需要交互的對象。

在這一階段，MN 只會與一個CN 進行交互或者不與任何CN交互。如果交互，將以ASnd （Asynchronous Send）數(shù)據(jù)包發(fā)送，MN 只提供一條服務(wù)，并且CN 在接收服務(wù)后可能不會即時反饋，而是在數(shù)個周期后再給出服務(wù)評價，這就是所謂的異步階段。

在這一階段MN 提供的服務(wù)包括：身份認證（Ident Requests）、狀態(tài)認證（Status Requests）、通用傳輸請求（Generic transmit Requests）、發(fā)言請求（Transmit Requests），前三者的發(fā)起人都是 MN, 而第四者的發(fā)起人為 CN。

身份認證：在MN 啟動之初，所有的CN 都將標記為未識別狀態(tài)，身份認證就是識別這些CN的第一步。如果被點名的CN未做出響應(yīng)，那么MN 將點名下一位CN，直到全部點名完畢后。重新開始新一輪點名，在新一輪點名中，標記為識別狀態(tài)的將被跳過。

狀態(tài)請求：一般在出現(xiàn)錯誤時，MN會向CN發(fā)起狀態(tài)請求，CN應(yīng)當立即相應(yīng)該請求，相應(yīng)內(nèi)容中應(yīng)包含詳細錯誤信息。除此情況外，異步CN 也會被周期性的發(fā)起該請求以檢查其狀況。

c) 空閑階段（Idel Phase）

在完成同步階段和異步階段后，系統(tǒng)進入空閑階段，等待任務(wù)隊列下發(fā)的數(shù)據(jù)。

（4）工業(yè)控制網(wǎng)流量監(jiān)測

安全探針可對被監(jiān)測控制網(wǎng)絡(luò)中各個資產(chǎn)的網(wǎng)絡(luò)流量進行監(jiān)視，針對根據(jù)不同的資產(chǎn)設(shè)置不同的流量閾值,進行安全預(yù)警。通過流量曲線圖、柱狀圖和詳盡的流量分布表等多種方式對整個控制網(wǎng)絡(luò)總體流量監(jiān)測結(jié)果進行展示。

根據(jù)流量監(jiān)測獲取的數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)安全監(jiān)測平臺還可進行流量異常檢查，針對網(wǎng)絡(luò)中流量的突變和異常的數(shù)據(jù)流模式，適時發(fā)送流量相關(guān)警報信息，為用戶提供了了解網(wǎng)絡(luò)異常狀態(tài)的新途徑。

項目采用sFlow技術(shù)連續(xù)實時地監(jiān)視交換機/ 路由器的每一個端口, 采集的數(shù)據(jù)種類繁多, 長時間運行數(shù)據(jù)量大, 這些數(shù)據(jù)并非是面向事務(wù), 而主要是面向分析, 因此采用了數(shù)據(jù)倉庫技術(shù)。sFlow技術(shù)和數(shù)據(jù)倉庫技術(shù)的結(jié)合, 為網(wǎng)絡(luò)流量分析提供了一個非常好的架構(gòu)。如下圖所示, 該架構(gòu)分為五個模塊: 數(shù)據(jù)采樣模塊、數(shù)據(jù)接收模塊、數(shù)據(jù)存儲與管理模塊和數(shù)據(jù)分析模塊。

下面詳細敘述這五個模塊的功能。

圖 6流量監(jiān)測功能架構(gòu)

a）數(shù)據(jù)采樣模塊：該模塊實際上就是一個支持 sFlow 機制的交換機或路 由器, 由制造商在內(nèi)部加入硬件采樣器( ASIC) 。硬件采樣器完成數(shù)據(jù)采樣功能, 并將采樣數(shù)據(jù)發(fā)往 sFlow Agent?？赏ㄟ^超級終端對硬件采樣器的采樣頻率進行設(shè)置。采樣數(shù)據(jù)分為兩種: 一種是在網(wǎng)絡(luò)中的數(shù)據(jù)包( Flow Sample) ; 另一種是交換機/ 路由器本身產(chǎn)生的數(shù)據(jù)( Count Sample) , 包括采樣間隔、接口狀態(tài)、數(shù)據(jù)包丟失率等。采樣過程由專用硬件完成, 對交換機/ 路由器的性能沒有影響。

b）數(shù)據(jù)接收模塊：該模塊由 sFlow Agent 和數(shù) 據(jù) 存儲 子模 塊 實現(xiàn)。 sFlow Agent是交換機/ 路由器的一部分, 與硬件采樣器不同的是sFlow Agent 屬于軟件部分。sFlow Agent由Sam- pler和Poller 兩部分組成, 前者接收網(wǎng)絡(luò)中的數(shù)據(jù) Flow Sample, 后者接收接口統(tǒng)計數(shù)據(jù)(Count Sample)。sFlow Agent 接收到的數(shù)據(jù)按照 RFC 3176規(guī)定的統(tǒng)一格式編碼, 并以UDP 數(shù)據(jù)包的形式向指定的目的地進行發(fā)送。數(shù)據(jù)存儲子模塊位于指定目的地的指定IP 地址和指定端口, 該模塊接收sFlow Agent 發(fā)來的合法的sFlow 數(shù)據(jù)包, 并按照 RFC 3176 的統(tǒng)一格式進行解碼。 然后將解碼后的數(shù)據(jù)存入數(shù)據(jù)源。數(shù)據(jù)源是一個或多個數(shù)據(jù)庫, 它以一定的結(jié)構(gòu)組織存儲原始數(shù)據(jù), 該數(shù)據(jù)庫是面向事務(wù)的, 可支持一些實時的事務(wù)處理; 同時, 數(shù)據(jù)源也是后面數(shù)據(jù)倉庫的基礎(chǔ), 是構(gòu)建于該架構(gòu)之上的網(wǎng)絡(luò)性能管理、流量分析的數(shù)據(jù)源泉。

c）數(shù)據(jù)存儲與管理模塊：該模塊是架構(gòu)的核心, 架構(gòu)的真正關(guān)鍵是數(shù)據(jù)的存儲與管理。數(shù)據(jù)倉庫的組織形式?jīng)Q定了它有別于傳統(tǒng)數(shù)據(jù)庫, 同時也決定了其對外部數(shù)據(jù)的表現(xiàn)形式。 該模塊的功能是從數(shù)據(jù)源抽取數(shù)據(jù), 對所抽取的數(shù)據(jù) 進行篩選、清理, 將處理過的數(shù)據(jù)導(dǎo)入或加載到數(shù)據(jù)倉庫中, 根據(jù)用戶的需求設(shè)立數(shù)據(jù)集市, 完成數(shù)據(jù)倉庫的復(fù)雜查詢、決策分析和知識挖掘等。同時, 針對不同類型的數(shù)據(jù)進行相應(yīng)的數(shù)據(jù)管理。

d）數(shù)據(jù)分析模塊：該模塊對分析需要的數(shù)據(jù)進行有效集成, 按多維模型予以組織, 以便進行多角度、多層次的分析,并發(fā)現(xiàn)趨勢。 該模塊包括數(shù)據(jù)分析器和事件分析器。數(shù)據(jù)分析包括三方面的功能:

基本統(tǒng)計功能, 如按線路、路由器端口、網(wǎng)絡(luò)或自治域統(tǒng)計流量; 按應(yīng)用類型統(tǒng) 計流量分布。

性能趨勢預(yù)測, 按照一些數(shù)學(xué)模型, 如時間序列預(yù)測、回歸分析、概率預(yù)測、判斷預(yù)測技術(shù)、最優(yōu)分割預(yù)測、判斷分析預(yù)測等, 對基礎(chǔ)數(shù)據(jù)做進一步加工處理, 作為網(wǎng)絡(luò)規(guī)劃的參考。

數(shù)據(jù)關(guān)聯(lián)分析, 利用數(shù)據(jù)挖掘技術(shù)對基礎(chǔ)數(shù)據(jù)進行旋轉(zhuǎn)、關(guān)聯(lián), 發(fā)現(xiàn)潛在的問題。在進行數(shù)據(jù) 分析時, 數(shù)據(jù)掃描任務(wù)由一組數(shù)據(jù)掃描器實現(xiàn)。數(shù)據(jù)掃描 器的功能是把數(shù)據(jù)( 或一批數(shù)據(jù)) 按特定要求格式化, 以供后續(xù)性能分析工具所用。事件分析器根據(jù)特定的原則進行事件過濾, 并決定適當?shù)奶幚矸绞健Ｊ录淳o急程度劃分為不同的優(yōu)先級, 優(yōu)先級高的事件優(yōu)先響應(yīng)。對于由同一問題引發(fā)的連續(xù)事件盡量歸并, 對于不同來源的事件應(yīng)盡量關(guān)聯(lián)。

（5）工控設(shè)備智能識別定位

安全探針具有半自動網(wǎng)絡(luò)拓撲發(fā)現(xiàn)技術(shù)和半自動拓撲繪制技術(shù)，可將被監(jiān)測的工業(yè)控制網(wǎng)的拓撲在頁面上動態(tài)呈現(xiàn)。包括識別上下位設(shè)備的IP地址、MAC地址等設(shè)備屬性發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，以及管理員對拓撲圖上的設(shè)備屬性進行修改、添加設(shè)備或者刪除設(shè)備，并根據(jù)設(shè)備通信狀態(tài)進行連線生成動態(tài)拓撲圖。

當控制網(wǎng)中設(shè)備發(fā)生異常行為，安全探針可直接在拓撲圖相應(yīng)設(shè)備上進行報警。獨特的不間斷的網(wǎng)絡(luò)監(jiān)視功能，非常直觀方便的告知用戶是哪臺設(shè)備發(fā)生異常。網(wǎng)絡(luò)拓撲可完全呈現(xiàn)出網(wǎng)絡(luò)中正在進行的工作過程及安全事件，更直觀的對入侵行為進行監(jiān)測。

安全探針可自動發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)及資產(chǎn)間通信狀態(tài)，可半自動生成網(wǎng)絡(luò)結(jié)構(gòu)動態(tài)拓撲圖并可通過人工修改拓撲圖。動態(tài)拓撲圖上可完全呈現(xiàn)出網(wǎng)絡(luò)中正在進行的工作過程及安全事件，實現(xiàn)對網(wǎng)絡(luò)中用戶資產(chǎn)的梳理，實時可見通訊狀態(tài)，以及報警的精準定位。

案例分析(案例1-蘇州某光伏企業(yè))：

檢測到網(wǎng)絡(luò)攻擊：發(fā)現(xiàn)有境外掃描器對企業(yè)內(nèi)網(wǎng)資產(chǎn)進行掃描嗅探。

檢測到有害程序：發(fā)現(xiàn)2臺資產(chǎn)中木馬，并且木馬程序與外部CC服務(wù)器連接。

檢測到了有害程序：發(fā)現(xiàn)永恒之藍病毒。

處置方式：

內(nèi)網(wǎng)資產(chǎn)關(guān)閉不必要的映射端口和服務(wù)到互聯(lián)網(wǎng)。

外網(wǎng)出口防火墻配置安全訪問防護策略。

對中木馬的資產(chǎn)進行病毒查殺，并進行主機加固。

案例分析(案例2-江蘇某化工企業(yè))：

檢測到惡意程序傳播：多臺服務(wù)器有傳播惡意程序。

檢測網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)掃描。

檢測到有害程序：基于smb協(xié)議傳輸惡意文件。

檢測到異常違規(guī)行為事件：sql緩沖區(qū)溢出攻擊

處置方式：

內(nèi)網(wǎng)防火墻增加安全防護策略，異常IP加入黑名單。

內(nèi)網(wǎng)資產(chǎn)關(guān)閉不必要的端口和服務(wù)。

對指定資產(chǎn)進行病毒木馬查殺，并進行主機加固。

案例分析(案例3-江蘇某電氣公司)：

檢測到有害程序：基于http協(xié)議的傳輸惡意文件，蠕蟲傳播。

檢測到有害程序：檢測到相關(guān)間諜軟件用戶代理。

檢測到網(wǎng)絡(luò)攻擊事件：檢測到基于http協(xié)議的ddos攻擊工具HOIC。

檢測到網(wǎng)絡(luò)工具事件：檢測到基于http的目錄穿越

處置方式：

發(fā)現(xiàn)了大量攻擊，與IT人員溝通，防護墻壞了導(dǎo)致，重裝防火墻進行網(wǎng)絡(luò)攻擊防范。

4 效益分析

（1）貫徹落實信息安全政策文件和支撐服務(wù)政府工作

貫徹落實黨中央、國務(wù)院相關(guān)文件精神，構(gòu)建涵蓋省級重要節(jié)點的工業(yè)監(jiān)測網(wǎng)絡(luò)，加強對所轄工業(yè)企業(yè)日常監(jiān)督管理，形成快速高效、各方聯(lián)動的信息通報預(yù)警.Yeah體系，持續(xù)完善我省工業(yè)網(wǎng)絡(luò)安全保障體系。

（2）推動工業(yè)4.0、兩化深度融合在我省安全可靠發(fā)展

構(gòu)建企業(yè)側(cè)態(tài)勢感知系統(tǒng)，建立完善的監(jiān)管體系，實現(xiàn)對全省工業(yè)企業(yè)安全事件監(jiān)督管理，全力保障我省工業(yè)企業(yè)轉(zhuǎn)型升級。

（3）逐步形成我省工業(yè)互聯(lián)網(wǎng)信息安全風(fēng)險預(yù)警和信息共享能力

全面掌握我省工業(yè)互聯(lián)網(wǎng)暴露在公網(wǎng)的工業(yè)資產(chǎn)情況以及工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全狀況，有效促進我省各級主管部門和工業(yè)互聯(lián)網(wǎng)運營單位提升工業(yè)網(wǎng)絡(luò)安全意識、及時開展風(fēng)險消減，逐步形成我省工業(yè)控制信息安全風(fēng)險預(yù)警和安全信息共享能力。