1    項目背景

隨著(zhù)工業(yè)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展和工業(yè)網(wǎng)絡(luò )應用的普及,工業(yè)互聯(lián)網(wǎng)絡(luò )信息安全問(wèn)題也層出不窮,各類(lèi)負面消息使人們對工業(yè)互聯(lián)網(wǎng)絡(luò )的態(tài)度更加謹慎。為防止各種網(wǎng)絡(luò )安全隱患,政府、企業(yè)也都提高了宣傳力度。為了更好地保護互聯(lián)網(wǎng)用戶(hù)的企業(yè)信息安全,防止黑客攻擊,工業(yè)互聯(lián)網(wǎng)安全監測與態(tài)勢感知系統平臺更好協(xié)助通信管理局實(shí)現對網(wǎng)絡(luò )中的攻擊進(jìn)行監測，實(shí)現“關(guān)鍵行業(yè)，重點(diǎn)監測”、“關(guān)鍵時(shí)刻，快速處置”、“關(guān)鍵態(tài)勢，多為感知”的全方位、全天候的監測與診斷能力。

“永恒之藍”事件的威脅風(fēng)波剛剛過(guò)去，北京時(shí)間2019年3月20日，全球最大鋁生產(chǎn)商海德魯遭受“LockerGoga” 勒索病毒攻擊，致多個(gè)工廠(chǎng)關(guān)停。北京時(shí)間2019年10月，美國電網(wǎng)遭網(wǎng)絡(luò )攻擊，紐約停電長(cháng)達4小時(shí)……

從“十三五”中后期開(kāi)始，我省通信管理局上線(xiàn)了像工業(yè)互聯(lián)網(wǎng)態(tài)勢感知相關(guān)試驗平臺，對我省轄區內工業(yè)互聯(lián)網(wǎng)現狀進(jìn)行詳細的摸底，通過(guò)對省內公共互聯(lián)網(wǎng)的抽樣數據流量進(jìn)行分析，已經(jīng)取得了初步成效。探明全省觸網(wǎng)工業(yè)資產(chǎn)9萬(wàn)余個(gè)，捕獲涉及我省工業(yè)資產(chǎn)的安全事件128萬(wàn)余次，捕獲針對聯(lián)網(wǎng)工控設備弱口令、指令篡改等安全風(fēng)險1291個(gè)。整體工業(yè)互聯(lián)網(wǎng)安全形勢不容樂(lè )觀(guān)。

通過(guò)多安全事件的分析，不難得出電力系統、通信系統、城市關(guān)鍵基礎設施系統、先進(jìn)制造系統等重要行業(yè)是攻擊的重點(diǎn)，也再次說(shuō)明了“世界上沒(méi)有攻不破的網(wǎng)絡(luò )，也沒(méi)有不存在漏洞的系統”，工業(yè)互聯(lián)網(wǎng)威脅防不勝防，工業(yè)互聯(lián)網(wǎng)安全監測也是一種常態(tài)。事實(shí)表明傳統的圍墻模式防護思維，已沒(méi)有辦法監管變化多端的新安全形勢，必須基于持續監測和即使相應的安全能力，也安全監測和態(tài)勢感知能力，才能對安全形勢有完整的了解，并對未來(lái)的態(tài)勢進(jìn)行預測，才能有效地應對當前的網(wǎng)絡(luò )安全威脅。

江蘇省是工業(yè)和制造大省，為盡快掌握全省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢，防范針對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò )攻擊，提升工業(yè)互聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò )安全威脅信息共享和應急處置能力，建設一個(gè)“可感、可知、可監管”的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺變得十分必要。

2 項目目標

全面提升通管局對我省工業(yè)互聯(lián)網(wǎng)系統基于電信網(wǎng)絡(luò )流量信息安全的“實(shí)時(shí)監測、全面感知、重點(diǎn)監管、綜合分析、預警通報、應急處置”等方面的能力，為通管局履行“工業(yè)互聯(lián)網(wǎng)信息安全管理工作、指導監督工業(yè)互聯(lián)網(wǎng)信息安全保障工作、協(xié)調處理工業(yè)互聯(lián)網(wǎng)信息安全應急和處理重大事件”等監管職責提供有效技術(shù)與平臺支撐，以及為我省工業(yè)互聯(lián)網(wǎng)專(zhuān)業(yè)實(shí)訓人才的培養提供強有力的基礎教學(xué)保障。

2.1項目服務(wù)目標

（1）安全數據采集：省內不少于90家企業(yè)部署安全探針；部署系統與“省工業(yè)信息安全保障平臺”數據對接；實(shí)現企業(yè)安全告警定期上傳、分析；在省級平臺全面展示工業(yè)企業(yè)安全態(tài)勢。

（2）安全事件分析：形成面向工業(yè)企業(yè)、聯(lián)網(wǎng)設備與系統的全天候全方位安全監測與態(tài)勢感知能力；實(shí)現對我省工業(yè)互聯(lián)網(wǎng)安全態(tài)勢的分析研判，有效支撐重大工業(yè)安全事件的科學(xué)決策與風(fēng)險處置。全面提升江蘇省工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障水平。

（3）社會(huì )經(jīng)濟效益：進(jìn)一步擴大省平臺監管范圍，補充增強省平臺監管能力；新增25個(gè)就業(yè)崗位；預計產(chǎn)生1000萬(wàn)元銷(xiāo)售收入，實(shí)現300萬(wàn)利潤，250萬(wàn)稅收。

3項目實(shí)施與應用

針對用戶(hù)在安全性方面的關(guān)切重點(diǎn)是來(lái)自互聯(lián)網(wǎng)的攻擊行為，而互聯(lián)網(wǎng)與用戶(hù)的辦公網(wǎng)是建立連接的，因此，項目建設重點(diǎn)是對辦公網(wǎng)和控制網(wǎng)之間的網(wǎng)絡(luò )流量實(shí)施探針監控，以實(shí)時(shí)監測來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò )攻擊行為。

目前，該項目已完成在辦公網(wǎng)和生產(chǎn)網(wǎng)之間的安全探針部署，系統已在線(xiàn)連續運行7個(gè)月時(shí)間，幫助用戶(hù)對木馬、病毒、可疑連接、可疑指令等對象進(jìn)行檢測和識別，并對安全事件進(jìn)行預警提示。

3.1.1項目實(shí)施方案

該項目的設備部署方案，如下圖所示。

圖 1部署方案

安全探針部署在生產(chǎn)網(wǎng)和辦公網(wǎng)之間的三層交換機中，通過(guò)旁路方式與三層交換機進(jìn)行連接，通過(guò)端口鏡像的方式實(shí)時(shí)獲取生產(chǎn)網(wǎng)與辦公網(wǎng)之間的網(wǎng)絡(luò )流量，并從中識別出惡意軟件和惡意指令等異常行為，并對用戶(hù)業(yè)務(wù)不會(huì )產(chǎn)生任何影響。

3.1.2技術(shù)路線(xiàn)

    針對用戶(hù)的應用場(chǎng)景和使用需求，項目的技術(shù)路線(xiàn)主要包括工業(yè)控制協(xié)議深度解析、工業(yè)控制網(wǎng)入侵實(shí)時(shí)檢測、工業(yè)控制網(wǎng)指令安全監測、工業(yè)控制網(wǎng)流量監測、工控設備智能識別定位六個(gè)方面，如下圖所示。

圖 2技術(shù)路線(xiàn)

（1）工業(yè)控制協(xié)議深度解析

工業(yè)控制協(xié)議深度解析實(shí)現對主流工控網(wǎng)絡(luò )協(xié)議（Modbus/TCP、OPC、S7、IEC104等）進(jìn)行研究，全面深層次的解析工控系統通訊語(yǔ)言，建立符合現場(chǎng)工藝的業(yè)務(wù)指令流模型，打破傳統控制系統的黑匣子，可識別出工控現場(chǎng)上位機對下位機的指令操作、工程師站對現場(chǎng)工業(yè)控制器的配置變更、以及對現場(chǎng)開(kāi)關(guān)量和過(guò)程量閥值的輸入等等，可以識別出網(wǎng)絡(luò )通訊行為與工藝操作行為。同時(shí)， 工業(yè)控制網(wǎng)監測子平臺支持私有工控協(xié)議的擴展接口，可對不同用戶(hù)的私有工控協(xié)議進(jìn)行定制化的二次開(kāi)發(fā)。

該技術(shù)路線(xiàn)采用DPDK，DPDK是Data Plane Development Kit的縮寫(xiě)。簡(jiǎn)單說(shuō)，DPDK應用程序運行在操作系統的User Space，利用自身提供的數據面庫進(jìn)行收發(fā)包處理，繞過(guò)了Linux內核態(tài)協(xié)議棧，以提升報文處理效率。由于包處理任務(wù)存在內核態(tài)與用戶(hù)態(tài)的切換，以及多次的內存拷貝，系統消耗變大，以CPU為核心的系統存在很大的處理瓶頸。為了提升在通用服務(wù)器（COTS）的數據包處理效能，采用了服務(wù)于IA（Intel Architecture）系統的DPDK技術(shù)。

DPDK是一組lib庫和工具包的集合。最簡(jiǎn)單的架構描述如下圖所示：

圖 3工控協(xié)議深度解析架構

藍色部分是DPDK的主要組件：

PMD：Pool Mode Driver，輪詢(xún)模式驅動(dòng)，通過(guò)非中斷，以及數據幀進(jìn)出應用緩沖區內存的零拷貝機制，提高發(fā)送/接受數據幀的效率；

流分類(lèi)：Flow Classification，為N元組匹配和LPM（最長(cháng)前綴匹配）提供優(yōu)化的查找算法；

環(huán)隊列：Ring Queue，針對單個(gè)或多個(gè)數據包生產(chǎn)者、單個(gè)數據包消費者的出入隊列提供無(wú)鎖機制，有效減少系統開(kāi)銷(xiāo)；

MBUF緩沖區管理：分配內存創(chuàng )建緩沖區，并通過(guò)建立MBUF對象，封裝實(shí)際數據幀，供應用程序使用；

EAL：Environment Abstract Layer，環(huán)境抽象（適配）層，PMD初始化、CPU內核和DPDK線(xiàn)程配置/綁定、設置HugePage大頁(yè)內存等系統初始化；

下圖簡(jiǎn)單描述了DPDK的多隊列和多線(xiàn)程機制：

圖 4 DPDK多隊列和多線(xiàn)程機制

DPDK將網(wǎng)卡接收隊列分配給某個(gè)CPU核，該隊列收到的報文都交給該核上的DPDK線(xiàn)程處理。存在兩種方式將數據包發(fā)送到接收隊列之上：

RSS（Receive Side Scaling，接收方擴展）機制：根據關(guān)鍵字，比如根據UDP的四元組<srcIP><dstIP><srcPort><dstPort>進(jìn)行哈希；

Flow Director機制：可設定根據數據包某些信息進(jìn)行精確匹配，分配到指定的隊列與CPU核；

當網(wǎng)絡(luò )數據包（幀）被網(wǎng)卡接收后，DPDK網(wǎng)卡驅動(dòng)將其存儲在一個(gè)高效緩沖區中，并在MBUF緩存中創(chuàng )建MBUF對象與實(shí)際網(wǎng)絡(luò )包相連，對網(wǎng)絡(luò )包的分析和處理都會(huì )基于該MBUF，必要的時(shí)候才會(huì )訪(fǎng)問(wèn)緩沖區中的實(shí)際網(wǎng)絡(luò )包。

圖 5緩沖區的網(wǎng)絡(luò )包

（2）工業(yè)控制網(wǎng)入侵實(shí)時(shí)檢測

隨著(zhù)工控網(wǎng)絡(luò )的信息化程度加深，所面臨的網(wǎng)絡(luò )攻擊手段也越來(lái)越多，各種入侵和病毒攻擊利用工控設備的漏洞對工控網(wǎng)絡(luò )進(jìn)行攻擊。

安全探針支持對入侵行為特征進(jìn)行分析，實(shí)時(shí)捕捉各種攻擊行為。入侵檢測模塊核心的專(zhuān)家知識庫目前包含了共15個(gè)大類(lèi)的1300余種攻擊特征，并在不斷增加更新中，包括病毒攻擊，木馬攻擊，拒絕服務(wù)攻擊，數據庫攻擊，Web攻擊，Icmp攻擊，FTP攻擊，DNS攻擊，ARP攻擊，郵件攻擊，漏洞攻擊，后門(mén)軟件，IP/端口掃描，RPC攻擊，緩沖區溢出攻擊等等。

（3）工業(yè)控制指令安全監測

安全探針可對“未知通信行為”、“用戶(hù)誤操作”、“用戶(hù)違規操作”、“工藝閾值非預期波動(dòng)”等進(jìn)行實(shí)時(shí)報警。

指令變更：指上位機電腦向下位機PLC或者DCS控制器發(fā)送開(kāi)關(guān)閥、開(kāi)關(guān)泵等操作變化。

閾值報警：指上位機電腦讀取下位機PLC或者DCS控制器傳輸的閥門(mén)狀態(tài)，溫度、壓力等傳感器的數據的上限或者下限報警。

組態(tài)變更：指上位機電腦向下位機PLC或DCS灌裝程序，或者從下位機PLC或DCS上載程序的網(wǎng)絡(luò )行為。

負載變更：指上位機與下位機，或者下位機PLC或DCS與負載設備之間通信的變化。

符合工藝的指令變采用白名單策略，例如某個(gè)閥門(mén)的開(kāi)啟動(dòng)作，而不符合工藝的指令變更是需要報警，某個(gè)閥門(mén)的關(guān)閉動(dòng)作。因此在這個(gè)過(guò)程中，安全監測平臺需要及時(shí)發(fā)現這些合法和非法的網(wǎng)絡(luò )行為，實(shí)時(shí)的進(jìn)行報警?？刂浦噶畎踩珯z測采用POWERLINK方法，將一個(gè)執行周期分為三個(gè)階段：同步階段、異步階段以及空閑階段。

a）同步階段（Isochronous phase）

在進(jìn)入這個(gè)階段時(shí)，MN首先會(huì )廣播一個(gè)名為SoC（Start of Cycle）的數據包，提示網(wǎng)絡(luò )內所有的CN注意點(diǎn)名。然后開(kāi)始挨個(gè)點(diǎn)名。在每一次點(diǎn)名的過(guò)程中，一個(gè)叫做 PReq(Poll-Request)的數據包會(huì )被定向發(fā)給特定的CN，這個(gè)數據包中包含了MN 對CN中變量的期望值。CN 收到這個(gè)數據包之后，會(huì )對這些變量進(jìn)行處理，并廣播一個(gè)PRes（Poll-Respond），這個(gè)數據包中包含了CN 希望其它節點(diǎn)看到的變量的當前值。

POWERLIN引入復用時(shí)隙的概念（Multiplexed Timeslots），對某些CN，MN 不必在每個(gè)周期中都對其進(jìn)行數據同步，而是在特定次數個(gè)周期之后，對這些CN進(jìn)行數據同步。

b）異步階段 （Asynchronous phase）

在進(jìn)入這個(gè)階段時(shí)，MN 會(huì )廣播一個(gè) SoA （Start of Asynchronous）數據包，告知網(wǎng)絡(luò )內所有用戶(hù)，現在是異步時(shí)間，并且這個(gè)數據包中應當包含需要交互的對象。

在這一階段，MN 只會(huì )與一個(gè)CN 進(jìn)行交互或者不與任何CN交互。如果交互，將以ASnd （Asynchronous Send）數據包發(fā)送，MN 只提供一條服務(wù)，并且CN 在接收服務(wù)后可能不會(huì )即時(shí)反饋，而是在數個(gè)周期后再給出服務(wù)評價(jià)，這就是所謂的異步階段。

在這一階段MN 提供的服務(wù)包括：身份認證（Ident Requests）、狀態(tài)認證（Status Requests）、通用傳輸請求（Generic transmit Requests）、發(fā)言請求（Transmit Requests），前三者的發(fā)起人都是 MN, 而第四者的發(fā)起人為 CN。

身份認證：在MN 啟動(dòng)之初，所有的CN 都將標記為未識別狀態(tài)，身份認證就是識別這些CN的第一步。如果被點(diǎn)名的CN未做出響應，那么MN 將點(diǎn)名下一位CN，直到全部點(diǎn)名完畢后。重新開(kāi)始新一輪點(diǎn)名，在新一輪點(diǎn)名中，標記為識別狀態(tài)的將被跳過(guò)。

狀態(tài)請求：一般在出現錯誤時(shí)，MN會(huì )向CN發(fā)起狀態(tài)請求，CN應當立即相應該請求，相應內容中應包含詳細錯誤信息。除此情況外，異步CN 也會(huì )被周期性的發(fā)起該請求以檢查其狀況。

c) 空閑階段（Idel Phase）

在完成同步階段和異步階段后，系統進(jìn)入空閑階段，等待任務(wù)隊列下發(fā)的數據。

（4）工業(yè)控制網(wǎng)流量監測

安全探針可對被監測控制網(wǎng)絡(luò )中各個(gè)資產(chǎn)的網(wǎng)絡(luò )流量進(jìn)行監視，針對根據不同的資產(chǎn)設置不同的流量閾值,進(jìn)行安全預警。通過(guò)流量曲線(xiàn)圖、柱狀圖和詳盡的流量分布表等多種方式對整個(gè)控制網(wǎng)絡(luò )總體流量監測結果進(jìn)行展示。

根據流量監測獲取的數據，工業(yè)互聯(lián)網(wǎng)安全監測平臺還可進(jìn)行流量異常檢查，針對網(wǎng)絡(luò )中流量的突變和異常的數據流模式，適時(shí)發(fā)送流量相關(guān)警報信息，為用戶(hù)提供了了解網(wǎng)絡(luò )異常狀態(tài)的新途徑。

項目采用sFlow技術(shù)連續實(shí)時(shí)地監視交換機/ 路由器的每一個(gè)端口, 采集的數據種類(lèi)繁多, 長(cháng)時(shí)間運行數據量大, 這些數據并非是面向事務(wù), 而主要是面向分析, 因此采用了數據倉庫技術(shù)。sFlow技術(shù)和數據倉庫技術(shù)的結合, 為網(wǎng)絡(luò )流量分析提供了一個(gè)非常好的架構。如下圖所示, 該架構分為五個(gè)模塊: 數據采樣模塊、數據接收模塊、數據存儲與管理模塊和數據分析模塊。

下面詳細敘述這五個(gè)模塊的功能。

圖 6流量監測功能架構

a）數據采樣模塊：該模塊實(shí)際上就是一個(gè)支持 sFlow 機制的交換機或路 由器, 由制造商在內部加入硬件采樣器( ASIC) 。硬件采樣器完成數據采樣功能, 并將采樣數據發(fā)往 sFlow Agent?？赏ㄟ^(guò)超級終端對硬件采樣器的采樣頻率進(jìn)行設置。采樣數據分為兩種: 一種是在網(wǎng)絡(luò )中的數據包( Flow Sample) ; 另一種是交換機/ 路由器本身產(chǎn)生的數據( Count Sample) , 包括采樣間隔、接口狀態(tài)、數據包丟失率等。采樣過(guò)程由專(zhuān)用硬件完成, 對交換機/ 路由器的性能沒(méi)有影響。

b）數據接收模塊：該模塊由 sFlow Agent 和數 據 存儲 子模 塊 實(shí)現。 sFlow Agent是交換機/ 路由器的一部分, 與硬件采樣器不同的是sFlow Agent 屬于軟件部分。sFlow Agent由Sam- pler和Poller 兩部分組成, 前者接收網(wǎng)絡(luò )中的數據 Flow Sample, 后者接收接口統計數據(Count Sample)。sFlow Agent 接收到的數據按照 RFC 3176規定的統一格式編碼, 并以UDP 數據包的形式向指定的目的地進(jìn)行發(fā)送。數據存儲子模塊位于指定目的地的指定IP 地址和指定端口, 該模塊接收sFlow Agent 發(fā)來(lái)的合法的sFlow 數據包, 并按照 RFC 3176 的統一格式進(jìn)行解碼。 然后將解碼后的數據存入數據源。數據源是一個(gè)或多個(gè)數據庫, 它以一定的結構組織存儲原始數據, 該數據庫是面向事務(wù)的, 可支持一些實(shí)時(shí)的事務(wù)處理; 同時(shí), 數據源也是后面數據倉庫的基礎, 是構建于該架構之上的網(wǎng)絡(luò )性能管理、流量分析的數據源泉。

c）數據存儲與管理模塊：該模塊是架構的核心, 架構的真正關(guān)鍵是數據的存儲與管理。數據倉庫的組織形式?jīng)Q定了它有別于傳統數據庫, 同時(shí)也決定了其對外部數據的表現形式。 該模塊的功能是從數據源抽取數據, 對所抽取的數據 進(jìn)行篩選、清理, 將處理過(guò)的數據導入或加載到數據倉庫中, 根據用戶(hù)的需求設立數據集市, 完成數據倉庫的復雜查詢(xún)、決策分析和知識挖掘等。同時(shí), 針對不同類(lèi)型的數據進(jìn)行相應的數據管理。

d）數據分析模塊：該模塊對分析需要的數據進(jìn)行有效集成, 按多維模型予以組織, 以便進(jìn)行多角度、多層次的分析,并發(fā)現趨勢。 該模塊包括數據分析器和事件分析器。數據分析包括三方面的功能:

基本統計功能, 如按線(xiàn)路、路由器端口、網(wǎng)絡(luò )或自治域統計流量; 按應用類(lèi)型統 計流量分布。

性能趨勢預測, 按照一些數學(xué)模型, 如時(shí)間序列預測、回歸分析、概率預測、判斷預測技術(shù)、最優(yōu)分割預測、判斷分析預測等, 對基礎數據做進(jìn)一步加工處理, 作為網(wǎng)絡(luò )規劃的參考。

數據關(guān)聯(lián)分析, 利用數據挖掘技術(shù)對基礎數據進(jìn)行旋轉、關(guān)聯(lián), 發(fā)現潛在的問(wèn)題。在進(jìn)行數據 分析時(shí), 數據掃描任務(wù)由一組數據掃描器實(shí)現。數據掃描 器的功能是把數據( 或一批數據) 按特定要求格式化, 以供后續性能分析工具所用。事件分析器根據特定的原則進(jìn)行事件過(guò)濾, 并決定適當的處理方式。事件按緊急程度劃分為不同的優(yōu)先級, 優(yōu)先級高的事件優(yōu)先響應。對于由同一問(wèn)題引發(fā)的連續事件盡量歸并, 對于不同來(lái)源的事件應盡量關(guān)聯(lián)。

（5）工控設備智能識別定位

安全探針具有半自動(dòng)網(wǎng)絡(luò )拓撲發(fā)現技術(shù)和半自動(dòng)拓撲繪制技術(shù)，可將被監測的工業(yè)控制網(wǎng)的拓撲在頁(yè)面上動(dòng)態(tài)呈現。包括識別上下位設備的IP地址、MAC地址等設備屬性發(fā)現網(wǎng)絡(luò )資產(chǎn)，以及管理員對拓撲圖上的設備屬性進(jìn)行修改、添加設備或者刪除設備，并根據設備通信狀態(tài)進(jìn)行連線(xiàn)生成動(dòng)態(tài)拓撲圖。

當控制網(wǎng)中設備發(fā)生異常行為，安全探針可直接在拓撲圖相應設備上進(jìn)行報警。獨特的不間斷的網(wǎng)絡(luò )監視功能，非常直觀(guān)方便的告知用戶(hù)是哪臺設備發(fā)生異常。網(wǎng)絡(luò )拓撲可完全呈現出網(wǎng)絡(luò )中正在進(jìn)行的工作過(guò)程及安全事件，更直觀(guān)的對入侵行為進(jìn)行監測。

安全探針可自動(dòng)發(fā)現網(wǎng)絡(luò )資產(chǎn)及資產(chǎn)間通信狀態(tài)，可半自動(dòng)生成網(wǎng)絡(luò )結構動(dòng)態(tài)拓撲圖并可通過(guò)人工修改拓撲圖。動(dòng)態(tài)拓撲圖上可完全呈現出網(wǎng)絡(luò )中正在進(jìn)行的工作過(guò)程及安全事件，實(shí)現對網(wǎng)絡(luò )中用戶(hù)資產(chǎn)的梳理，實(shí)時(shí)可見(jiàn)通訊狀態(tài)，以及報警的精準定位。

案例分析(案例1-蘇州某光伏企業(yè))：

檢測到網(wǎng)絡(luò )攻擊：發(fā)現有境外掃描器對企業(yè)內網(wǎng)資產(chǎn)進(jìn)行掃描嗅探。

檢測到有害程序：發(fā)現2臺資產(chǎn)中木馬，并且木馬程序與外部CC服務(wù)器連接。

檢測到了有害程序：發(fā)現永恒之藍病毒。

處置方式：

內網(wǎng)資產(chǎn)關(guān)閉不必要的映射端口和服務(wù)到互聯(lián)網(wǎng)。

外網(wǎng)出口防火墻配置安全訪(fǎng)問(wèn)防護策略。

對中木馬的資產(chǎn)進(jìn)行病毒查殺，并進(jìn)行主機加固。

案例分析(案例2-江蘇某化工企業(yè))：

檢測到惡意程序傳播：多臺服務(wù)器有傳播惡意程序。

檢測網(wǎng)絡(luò )攻擊：網(wǎng)絡(luò )掃描。

檢測到有害程序：基于smb協(xié)議傳輸惡意文件。

檢測到異常違規行為事件：sql緩沖區溢出攻擊

處置方式：

內網(wǎng)防火墻增加安全防護策略，異常IP加入黑名單。

內網(wǎng)資產(chǎn)關(guān)閉不必要的端口和服務(wù)。

對指定資產(chǎn)進(jìn)行病毒木馬查殺，并進(jìn)行主機加固。

案例分析(案例3-江蘇某電氣公司)：

檢測到有害程序：基于http協(xié)議的傳輸惡意文件，蠕蟲(chóng)傳播。

檢測到有害程序：檢測到相關(guān)間諜軟件用戶(hù)代理。

檢測到網(wǎng)絡(luò )攻擊事件：檢測到基于http協(xié)議的ddos攻擊工具HOIC。

檢測到網(wǎng)絡(luò )工具事件：檢測到基于http的目錄穿越

處置方式：

發(fā)現了大量攻擊，與IT人員溝通，防護墻壞了導致，重裝防火墻進(jìn)行網(wǎng)絡(luò )攻擊防范。

4 效益分析

（1）貫徹落實(shí)信息安全政策文件和支撐服務(wù)政府工作

貫徹落實(shí)黨中央、國務(wù)院相關(guān)文件精神，構建涵蓋省級重要節點(diǎn)的工業(yè)監測網(wǎng)絡(luò )，加強對所轄工業(yè)企業(yè)日常監督管理，形成快速高效、各方聯(lián)動(dòng)的信息通報預警.Yeah體系，持續完善我省工業(yè)網(wǎng)絡(luò )安全保障體系。

（2）推動(dòng)工業(yè)4.0、兩化深度融合在我省安全可靠發(fā)展

構建企業(yè)側態(tài)勢感知系統，建立完善的監管體系，實(shí)現對全省工業(yè)企業(yè)安全事件監督管理，全力保障我省工業(yè)企業(yè)轉型升級。

（3）逐步形成我省工業(yè)互聯(lián)網(wǎng)信息安全風(fēng)險預警和信息共享能力

全面掌握我省工業(yè)互聯(lián)網(wǎng)暴露在公網(wǎng)的工業(yè)資產(chǎn)情況以及工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò )安全狀況，有效促進(jìn)我省各級主管部門(mén)和工業(yè)互聯(lián)網(wǎng)運營(yíng)單位提升工業(yè)網(wǎng)絡(luò )安全意識、及時(shí)開(kāi)展風(fēng)險消減，逐步形成我省工業(yè)控制信息安全風(fēng)險預警和安全信息共享能力。