1.1.1.1 工业互联网安全技术保障平台
1.1.1.1.1 安全数据采集子系统
支持对省通信管理局、基础电信企业、工业互联网平台企业、工业企业、标识解析系统、主动探测的各类相关数据进行统一接入、过滤、汇聚,通过接口汇入与手工导入方式将清洗、规整后的数据入库至统一大数据子系统进行存储。
1.1.1.1.1.1 省通信管理局/基础电信企业
支持与IDC/ISP信息安全管理系统、 DNS信息安全管理系统、国家级云资源协作信息安全管理系统、备案数据、基础电信企业僵木蠕系统、基础电信企业移动恶意程序监测系统对接,采集工业APP安全情况、僵木蠕安全事件、省内企业备案数据、本省接入及本省备案的云企业相关信息等,将数据纳入统一的大数据平台进行融合及关联分析。
支持对前端固网流量进行扩容覆盖,采集省内三大运营商城域网出口、IDC出口流量信息、工业企业专线流量数据。
支持与第三方工商数据平台之间的对接或通过爬虫的方式,获取本省接入的企业工商信息。
1.1.1.1.1.2 工业互联网平台企业
支持采集工业互联网平台企业出口流量,本期计划接入不少于3家工业互联网平台企业。基于流量实现工业互联网平台企业网络安全监测与态势感知。
1.1.1.1.1.3 工业企业
支持通过探针系统采集工业互联网企业流量,基于流量实现工业互联网平台企业网络安全监测与态势感知。
1.1.1.1.1.4 主动探测
支持通过主动探测引擎主动探测暴露在互联网上的工业互联网资产(如工业互联网平台、工业控制系统、生产制造设备、物联网设备、工业APP等)及其指纹信息,同时对于弱口令、硬编码口令、权限错误等不会造成系统异常的漏洞,通过针对性漏洞脚本,扫描获取在网漏洞设备信息。
支持通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,清晰地了解面对的安全威胁。
1.1.1.1.1.5 标识解析系统
支持通过和标识解析系统的接口,获取标识解析系统中的企业注册的资产信息、获取日志信息、安全时间数据,进行异常分析,发现安全问题。
1.1.1.1.2 统一大数据子系统
支持工业互联网统一大数据平台层实现各类数据的存储,并根据处理规则进行数据的预处理,同时实现整体工业互联网安全及事件监测分析、整体平台业务监控、业务应用、数据调度服务开发使用。
1.1.1.1.2.1 数据开发模块
支持主要功能有项目管理、数据开发、数据管理、运维中心、用户权限等功能。提供可视化开发界面、任务调度运维、快速数据集成、多人协同工作等功能,提供一个高效、安全的数据开发环境。
1.1.1.1.2.2 数据中台管理模块
支持统一元数据服务体系,全盘把握科学分析数据资产,数据资产的决策、快速使用数据资产的能力对内提供数据基础建设和统一的数据服务,对外提供服务的数据产品。
1.1.1.1.2.3 数据应用支撑模块
支持通信管理局行业系统定义一套行业通用的标准数据类目,基于标准数据类目可以通过沉淀的模型生成标准的标签类目,完成数据资产化,再通过引擎配置应用到实际业务场景中,实现数据业务化的目标。通过大量的实践经验,将数据服务中的功能模块抽象为标签、引擎、服务三大核心模块,通过标签和引擎的自由组合生成数据服务,旨在低门槛地让用户快速创建自己的数据应用。
应用系统是以标签中心为基础,在“标签”这种逻辑模型视图上结合画像分析、规则预警、文本挖掘、个性化推荐、关系网络等多个业务场景的数据服务模块,通过接口的方式进行快速的应用搭建。
1.1.1.1.2.4 业务实时监测子系统
支持业务实时监控服务APM类的全链路(Tracing)监控系统,用户可基于业务实时监控服务的前端、应用、自定义监控,快速构建实时的业务监控能力。
微服务架构上通过业务来划分服务的,通过REST调用,对外暴露的一个接口,可能需要很多个服务协同才能完成这个接口功能,如果链路上任何一个服务出现问题或者网络超时,都会形成导致接口调用失败。随着业务的不断扩张,服务之间互相调用会越来越复杂。
1.1.1.1.2.5 API数据调度服务模块
支持提供快速将数据表生成数据API的能力,支持用户将现有的API快速注册到数据服务平台以统一管理和发布。支持数据服务与API网关(API Gateway)打通,将API服务一键发布至API网关。
1.1.1.1.2.6 数据安全模块
1.1.1.1.3 基础库管理子系统
支持调用统一大数据子系统清洗后的数据,进行工业互联网相关协议、设备、漏洞的识别和分析,形成工业互联网基础资源库、安全技术库、知识库和规则库并放入统一大数据子系统进行统一存储。
1.1.1.1.3.1 数据存储共享资源池
支持相关数据的清洗规整,形成格式化数据,支持相关存储、计算资源的按需分配、调用和释放,支持开展包括过滤筛选.聚合分组等通用的数据实时处理功能和用户自定义开发的实时处理业务等。
支持数据采集与交换模块支撑通信管理局业务数据的快速采集,包含全量采集、增量采集等功能,采集上来的数据业务根据各个业务系统对数据的订阅与拉取交换。
支持数据存储能力,海量数据的接入,建设统一数据存储共享资源池,包括数据存储分析模块、ETL模块、ES模块、容器模块、数据备份模块等。
1.1.1.1.3.2 基础资源库
支持针对工业互联网资产的基础资源库识别并进行整合,形成本省工业企业信息、工业互联网平台、活跃工业设备、企业上云概况、企业上云大屏资产信息使用。
1.1.1.1.3.3 安全技术库
支持通过大数据挖掘分析技术分析工业资产特定的协议、解析数据包返回的内容、僵木蠕事件数据、漏洞数据、安全事件数据,根据掌握的工业资产特征,在数据包或报文中进行关联匹配,对于匹配上的设备进行核准。将IP、URL、域名、文件、MD5、CNVDID等元数据进行关联分析,形成攻击、被攻击、挂马、暗链、篡改、钓鱼、漏洞存在等关联关系。形成安全技术库。
1.1.1.1.3.4 知识库
支持构建最全面最权威的工业特征和安全知识库,提升安全管理能力。主要包括:工业互联网漏洞库、设备指纹库、IP资源库、域名备案库、威胁情报库、恶意程序库、病毒库等数据库。
1.1.1.1.3.5 规则库
支持深入分析工控安全特征,增强主动探测资产指纹计算、增强工业协议识别种类,建立工控指纹、物联网安全指纹等规则库。
1.1.1.1.4 安全分析子系统
支持通过统一大数据能力平台内部数据总线和业务总线进行工业互联网联网识别、工业互联网/物联网安全事件/物联网漏洞/标识解析安全监测、工业互联网/物联网安全分析。工业互联网/物联网识别、分析、监测的数据通过业务支撑能力共享给业务支撑子系统统计展示使用。
1.1.1.1.4.1 工业互联网联网识别能力
基于知识库,识别关键网络节点工业互联网流量数据中的工控、物联网数据传输协议;从网络流量中识别过滤工业APP相关流量进行监测分析,增加工业互联网协议识别的精度和广度。
1.1.1.1.4.2 安全监测能力
支持工业互联网安全事件监测、工业互联网漏洞监测、标识解析安全监测。
1.1.1.1.4.3 安全分析能力
支持资产漏洞分析、入侵行为分析、威胁情报管理分析、标识解析安全分析等能力。
1.1.1.1.4.4 业务支撑能力
结合平台安全监测手段、企业级平台安全事件上报、部省协同共享等方式,形成工业互联网安全监测预警能力,并实现与企业、工信厅、工信部等应急协作及威胁情报共享。
1.1.1.1.5 业务支撑子系统
将工业互联网安全态势及工业资产监测结果统一呈现,包括工业互联网暴露资产和工业 APP监测情况,工业互联网安全事件态势、工业互联网漏洞态势、标识解析安全态势和敏感数据监测态势,提供业务交互的入口,实现信息共享和应急协作的界面展示。
1.1.1.1.5.1 工业互联网安全态势
支持对本省工业互联网发展态势进行分析展示,主要包括:资源总览、工业互联网平台排名、工业互联网企业、工业互联网平台企业、标识解析节点(企业)发展趋势、工业企业及设备地市分布情况、地市联网企业占比排名、行业发展分析、企业设备排名、工业协议排名
支持对本省工业互联网安全态势进行分析展示,主要包括:安全事件分析、威胁类型TOP5、各攻击链事件数量趋势、安全事件数量行业TOP10、全球中国本省实时告警、设备漏洞分析、设备漏洞数量趋势、设备漏洞数量行业TOP10、风险企业TOP10。
支持对省内重点保障工业企业的安全态势进行分析展示,主要包括:企业总览、被攻击企业性质分布、被攻击地市分布、被攻击企业行业分布、被攻击企业数量趋势、被攻击企业排名。
支持对本省接入的企业上云发展情况进行展示,主要包括:上云企业行业占比TOP10、上云企业数量变化趋势、上云企业地市分布图、地市上云企业数量TOP10、平台接入企业数TOP10、平台活跃度趋势。
1.1.1.1.5.2 工业企业资源
支持对本省工业企业基础数据信息分析展示,包括工业互联网企业所在地市的分布占比及地图呈现、工业企业数量地市排名、工业企业所在的行业分布进行统计、各行业中工业互联网企业的数量进行排名、按照工业企业性质(包括但不限于有限责任公司、股份制公司等)分布进行统计、对工业互联网企业的数量进行排名、企业资源视图、威胁视图等共。
支持基于工业APP基础库进行展示和分析,包括:工控APP在应用市场排名、APP下载量TOP10、开发者TOP10、列表查询等。
支持基于工业设备基础库进行展示和分析,包括:设备信息总览、设备地市分布、设备接入商分布、设备类型分布、国产/进口设备数量变化趋势、设备数量企业排名、设备厂商分布、工控协议排名、设备行业分布、列表查询、区域任务、自定任务。
支持活跃设备分析展示,包括活跃设备信息总览、活跃设备数量变化趋势、活跃设备地市分布、活跃设备行业分布、协议类型占比、设备类型分布、设备数量排名、设备联网情况分析等功能。
1.1.1.1.5.3 监测预警
支持基于设备漏洞库进行展示及关联分析,对漏洞扫描情况进行综合分析,主要包括:数据总览、被扫描企业分析、趋势分析、扫描影响量能分析、事件类型分析、被扫描行业分析、扫描国家分析、扫描主机TOP10、事件详情等功能。
1.1.1.1.5.4 安全事件
支持总体威胁分析、DDOS分析、僵尸网络分析、非法外联分析、挖矿事件分析、僵木蠕监测分析、攻击者视角分析、被攻击这视角安全事件分析。
1.1.1.1.5.5 事件处置
本省网络安全事件实时自动研判发现的恶意IP、恶意域名进行溯源、定位及处置。对于本省或者外省的恶意IP,可以通过对接信安系统IP封堵接口实现恶意IP的自动封堵,另外,对于无法封堵的恶意IP,可以通过推送方式告知被影响的企业,提高自身安全防护。
对于本省或者外省的恶意域名,具备通过对接信安系统域名封堵接口实现恶意域名的自动封堵的能力;对于境外接入的恶意域名,具备通过DNS域名停止解析接口实现恶意域名的停止解析的能力。
1.1.1.1.5.6 物联网分析模块
支持物联网基础资源识别、监测物联网平台漏洞分析、网络攻击事件分析、终端安全事件、平台安全事件以及资产态势、安全态势分析。
1.1.1.1.5.7 标识解析发展及安全态势
支持标识解析的发展态势分析、安全态势分析、标识信息查询及解析日志查询等功能。
1.1.1.1.5.8 敏感数据监测态势
对基于网络关键节点传播明文个人信息进行检测,主要包括:个人敏感信息分级分类、个人敏感信息传播途径、个人敏感信息泄露情况等。
1.1.1.1.5.9 数据分析
1.1.1.1.6 安全保障运维子系统
提供基础网络、时钟同步、安全保障、运维管理、网络管理、跨域/跨网安全访问和传输/权限管理等一体化服务功能,保障整个省工业互联网安全技术保障平台安全、高效、稳定运行。
1.1.1.1.6.1 安全保障
支持采用安全技术与防护策略,加强系统在物理安全、运行安全、网络安全、数据安全等方面的安全防护能力,具备边界访问控制、病毒木马监测、系统漏洞扫描,日志安全审计以及统一权限管理等业务功能,确保平台在数据获取、系统访问过程中的机密性、完整性、可控性,有效防范和处置各种潜在威胁。
1.1.1.1.6.2 运维支撑
支持提供网络管理功能,实现基础资源的统一化管理,具备对系统运行状态的全面监测,系统运行异常的及时发现和告警,在系统部分故障能准确定位。
1.1.1.1.6.3 系统设置
支持接口配置、角色管理、菜单管理、数据字典管理等。
1.1.1.2 工业互联网安全协同联动平台
与企业安全服务平台对接,将企业相关的安全问题数据推送至指定账号,便于工业企业用户查看自身的安全问题。
1.1.1.2.1 工信厅协同联动子系统
支持工信厅的账号管理、数据推送、工业企业上云态势、工业互联网安全发展态势、工业互联网发展态势、重点工业企业安全态势等信息联动。
1.1.1.2.2 企业安全服务子系统
支持企业的账号管理、数据推送、整体态势、漏洞监测、威胁监测、僵木蠕监测、网站安全等信息联动。
1.1.1.2.2.1 企业安全服务模块
1.1.1.2.3 部省联动子系统
与国家级平台实现对接,主要支持基础数据上报、活跃资源上报、威胁信息上报、指令执行与反馈等功能。
1.1.1.3 威胁情报共享平台
依托安全厂商、企业、网安能力平台,情报采集平台、重点网站检查等上报发现的威胁情报信息,多方多源采集境内威胁情报信息,同时结合威胁情报安全专家团队人工研判确认后,从而积累建成境内权威的,全面的,共享的威胁情报基础信息库。
威胁情报共享平台为省工业互联网安全技术保障平台提供威胁情报信息,提升工业互联网安全监测能力,辅助相关平台全面掌握工业行业网络安全现状,为境内工业企业提供威胁情报信息共享信息服务与技术支持服务,全面提升本省工业企业自身网络安全防护能力,保障境内工业企业健全发展。
1.1.1.3.1 威胁情报共享子系统
1.1.1.3.1.1 情报采集模块
支持情报报送编码、恶意网络资源、恶意程序、安全隐患、安全事件等情报信息采集,并支持部平台工单导入。
1.1.1.3.1.2 情报处置中心模块
支持网站监测处置通报、整改处置反馈以及网站整改处置的审核与校验功能。
1.1.1.3.1.3 情报展示模块
支持情报统计查询与展示,域名、IP、恶意文件、邮件关联威胁、文件关联威胁情报数据等图谱查询。
1.1.1.3.1.4 情报管理模块
支持管局情报管理及状态查询、安全厂商威胁情报报送及核验管理、接入企业网站监测处置反馈统计及公告、运营商威胁处置通报转发分析统计、运营商威胁处置反馈统计及公告。
1.1.1.3.1.5 网安专项行动模块
支持网站自查专项报送,漏洞自查上报、漏洞自查统计等功能。
1.1.1.3.1.6 重保例行任务管理模块
支持监测任务主题管理、网站监测任务授权、网站监测任务的分配等功能。
1.1.1.3.1.7 重保例行任务评价模块
支持网站监测任务评价排名统计、网站监测任务安全厂商台账。
1.1.1.3.2 系统管理子系统
1.1.1.3.2.1 情报接口管理模块
支持情报输出服务接口恶意网络资源对外服务接口管理、恶意程序对外服务器接口管理、安全隐患对外服务接口管理、安全事件对外服务接口管理及服务接口状态监测管理等功能。
1.1.1.3.2.2 系统管理模块
支持威胁情报用户管理、日志管理及平台公告管理,
1.1.1.4 网安能力平台
安能力平台统筹提取各电信运营企业、互联网接入企业、专业网络安全技术支撑单位现有网络安全数据(僵木蠕、移动恶意程序日志),同时通过专线网络流量监测对网络中的入侵攻击、漏洞探测、僵尸网络、蠕虫传播、DDOS攻击、异常流量等网络威胁事件进行全面的监测和分析,动态识别网络中的风险资产和高危安全事件,提供预警并下发处置策略到相应平台进行及时处置。从而形成监测—>感知—>预警—>处置—>反馈—>验证的闭环流程。
1.1.1.4.1 网安能力子系统
1.1.1.4.1.1 风险感知预警
支持网络安全综合态势、通报信息发布、安全信息录入、安全信息处理、通报管理、预警信息发布等功能。
1.1.1.4.1.2 网站安全监测
网站安全监测系统包含重大活动、关键信息基础设施、重点用户保障及通报预警功能。
1.1.1.4.1.3 设备漏洞扫描
提供IP资产管理,系统、应用、配置脆弱性扫描,提供漏洞信息管理。
1.1.1.4.1.4 追踪溯源及管控
支持攻击来源、攻击过程以及攻击手段等进行分析,对攻击目标、攻击目的、影响范围等形成报告。具备通过信安系统以及运营商的僵木蠕监测系统、移动恶意程序监测系统对接下发管控指令的能力。
1.1.1.4.1.5 重点单位安全保障
支持重点单位概览、重点单位管理及重点单位画像等功能。
1.1.1.4.1.6 域名安全监测
支持域名服务解析失败占比、请求响应、超长域名、域名级别统计TOPN、仿冒域名TOPN、被仿冒域名TOPN、DNS反射放大攻击态势等统计分析功能
1.1.1.4.2 报表子系统
1.1.1.4.2.1 报表管理
支持态势报告、日报、周报、预报的管理。