[发明专利]一种工控环境下安全资源汇聚与情报共享的系统及方法

说明书

本发明公开了一种工控环境下安全资源汇聚与情报共享的系统及方法，包括：构建厂站侧平台和中心侧平台；厂站侧平台采集各安全分区内设备的数据,并将一部分数据直接传输中心侧平台，在中心侧平台形成基础数据库；厂站侧平台接收中心侧平台下发的攻击检测规则，基于攻击检测规则对所采集的数据进行边缘计算，并回传攻击检测结果至中心侧平台；厂站侧平台接收中心侧平台下发的溯源取证指令，基于溯源取证指令对所采集的数据进行边缘计算，并回传取证数据至中心侧平台。本发明在工控安全保障体系中设计中心侧平台，与厂站侧平台进行安全通信，通过设计中心侧平台进行大数据分析，与厂站侧平台进行双向通信，实现数据汇聚和情报规则的共享利用。

技术领域

本发明涉及工控系统技术领域，具体涉及一种工控环境下安全资源汇聚与情报共享的系统及方法。

背景技术

我国的工控环境采用了安全分区的要求，如电力系统一般分为控制区、非控制区和信息管理大区；随着目前工控安全事件的高发，攻击威胁也呈现出定向精准性提升迅速、技术手段复杂化专业化、攻击行为组织化的显著特征。为应对这种国家级的多步骤、多层次的攻击和复杂多变的安全挑战，构建全方位的安全保障体系，实现攻击规则和威胁情报的有效利用，能够实现网络攻击事件第一时间发现、追踪溯源取证和防止攻击范围及危害的进一步扩大，对于工业控制系统的网络安全具有重大价值和意义。如何设计安全大数据的汇聚，实现威胁情报的共享利用成为研究的重点。

通过对国内外论文、学术会议、科技文献、专利等数据库的检索发现：现阶段工控环境的安全资源整体汇聚和共享利用还处于探索阶段：一是对于工控环境安全资源和威胁情报如何有效汇聚，建立共享机制；二是对汇聚的资源和情报如何在各厂站进行利用，发现安全威胁和研判风险；三是对于发现的安全威胁如何关联追踪溯源，还处于探索阶段。

发明内容

针对现有技术中存在的上述问题，本发明提供一种工控环境下安全资源汇聚与情报共享的系统及方法。

本发明公开了一种工控环境下安全资源汇聚与情报共享的系统，包括：厂站侧平台和中心侧平台；

所述厂站侧平台，用于：

采集各安全分区内设备的数据,一部分数据直接传输所述中心侧平台；

接收攻击检测规则，基于所述攻击检测规则对所采集的数据进行边缘计算，并回传攻击检测结果至所述中心侧平台；

接收溯源取证指令，基于所述溯源取证指令对所采集的数据进行边缘计算，并回传取证数据至所述中心侧平台；

所述中心侧平台，用于：

接收所述厂站侧平台直接传输的数据，形成基础数据库；

下发所述攻击检测规则，并接收所述厂站侧平台回传的攻击检测结果；

下发所述溯源取证指令，并接收所述厂站侧平台回传的取证数据。

作为本发明的进一步改进，所述厂站侧平台包括：

相对应各安全分区设置的采集器，用于采集各安全分区的数据；

分析服务器，用于接收各安全分区的数据，并基于所匹配的攻击检测规则或溯源取证指令进行边缘计算。

作为本发明的进一步改进，所述中心侧平台包括：

规则生成模块，用于基于联动共享机制，接收威胁情报并对威胁情报进行综合汇聚，形成攻击检测规则；

分析模块，用于对所述基础数据库和威胁情报进行综合分析，形成溯源取证指令，并基于接收的取证数据研判攻击威胁程度，还原完整攻击过程。

作为本发明的进一步改进，所述厂站侧平台与中心侧平台之间进行双向数据交互，传输数据采用支持国密算法的纵向加密设备进行加密。