工业互联网安全态势感知模块,提供各种角度的态势可视化分析,帮助客户快速了解安全状况并进行决策。现阶段系统有八大态势,包括综合安全态势、网络资产态势、资产漏洞态势、工业威胁态势、异常行为态势、工业主机安全态势、安全管理态势、关键资产安全态势。同时提供可配置化的告警响应弹框。
工业安全设备数据采集
工业安全设备数据采集是指系统对区域内工业安全设备上报的数据进行接收、清洗、分类、存储,归并、标记上报源等操作,为后续的资产分析、威胁分析、异常分析等工作服务,在满足合规的同时,提升工业安全运营中的质量。
工业安全设备集中管理是系统对区域内工业安全设备进行管理的统一入口,集中管理的内容一般包括:策略管理、系统管理、规则管理等。
设备集中监控可以实现对设备的统一监控,设备类型包括网络设备、安全设备、主机设备、服务器等等,监控内容除了常见的CPU、内存、磁盘空间、连接数、流量、接口状态、在线状态、IP地址。支持对双湃的工业威胁探测器ITD进行上述监控。同时,系统提供定制化开发服务,在与第三方合作的前提下,可实现对更多的工业安全设备进行多维度的监控。
工业安全数据上报是指系统将区域内工业安全数据根据用户设定规则进行上报。上报数据内容包括:资产信息、漏洞信息、威胁信息、异常信息。上报规则包括:上报地址、上报时间、上报频率、上报内容范围等。
资产管理实现对所在区域内所有资产的统一查看与管理,包括资产基本信息、资产标签信息、资产所在分组信息、资产漏洞信息、资产服务(开放端口)信息、资产威胁信息、资产流量信息、资产连接关系、资产基线等多维度查看与管理。建立起以工业资产为核心的工业互联网安全管理与分析平台。
威胁事件管理包括威胁事件分析与处置。威胁事件主要包括当前区域已经发生的安全事件,包括病毒、网络入侵、网络攻击、工业主机事件等。威胁事件处置主要是指运维管理人员通过邮件、短信方式告知相关负责人其负责的区域出现了威胁事件并督促其整改。威胁告警列表基于各种设备获取的威胁信息进行加工分析所得,对所有的威胁告警信息进行集中分析。威胁详情包括受害者、攻击者、威胁名称、威胁分类、威胁级别、威胁来源、威胁次数等,同时可以对相同告警进行归并处理。
安全隐患管理主要是基于资产的漏洞和资产暴露的端口(即对外提供服务)两部分。
资产漏洞主要通过资产漏洞知识库进行匹配,获取对应资产的漏洞信息,该资产漏洞知识库可以通过定期升级方式进行更新,支持4000多个工控漏洞,覆盖CVE、CNVD、CNNVD、ICS-CERT等漏洞库。对于资产信息进行更新的同时,对应的资产漏洞也会相应变化。
异常行为分析是针对工业安全典型场景采用的大数据行为建模分析方法,包括异常资产分析、异常网络行为分析、异常工艺行为分析等。
风险管理主要通过风险指数和风险等级反应当前网络的安全风险状态,包括单个资产的风险、资产分组的风险、全网的风险等等。本系统参照GB/T 20984-2007信息安全风险评估规范,并结合工业场景特点,设计出了一套针对性的风险计算模型,能有效实现风险评估的量化。
日志集中管理支持对工业网络中工业安全设备、工业主机设备等产生的日志进行统一采集、存储、分析。核心数据存储采用全文检索方式,自适应任何格式的数据来源。数据归一化方式,支持通过自定义的可视化编辑方式,简化用户流程,降低使用难度。