[发明专利]一种模块化的SCADA安全态势感知系统架构

权利要求书

1.一种模块化的SCADA安全态势感知系统架构，其特征在于，包括：业务模块、态势感知模块、可视化模块，所述业务模块用于获取业务数据，所述态势感知模块用于获取流量和日志数据，所述业务模块与态势感知模块联动，所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。

2.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述业务数据包括：工控PLC/RTU设备数据、第三方系统数据。

3.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述安全数据包括：主机安全数据、工控流量数据、安全日志数据。

4.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述态势感知模块设有安全分析模型，所述安全分析模型预设有关联规则、时空规则、预测规则。

5.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述态势感知模块设有SCADA系统全网资产发现识别单元，所述SCADA系统全网资产发现识别单元能够对控制网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类；对发现的SCADA资产进行注册管理，完善资产的责任单位、责任人、联系电话、用途，形成明细的资产清单；

对工控资产的入网进行控制，并根据管理制度的要求，对各部门IP范围、设备入网注册内容、设备入网/出网审批流程进行管理；

以图表的方式展现SCADA网络内IP资源的实际使用情况，便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理；通过对控制网络资产的流量、用途、应用行为特征关联分析，明确资产的类型和属性，并建立相应的控制行为基线模型。

6.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述态势感知模块能够对SCADA网内全部设备日志进行采集，所述全部设备包括：工控设备、网络设备、操作系统、安全设备、数据库、应用系统，通过对日志进行集中审计分析，发现日志中潜在的危害和异常行为分析，并对其进行安全告警；

所述态势感知模块能够支持快速自定义各种型态搜索，不需要指定数据的格式，更可结合时间与关键词进行搜寻，呈现出清楚的搜索结果，运维人员能够快速检索到网络或相应设备的安全问题。

7.根据权利要求6所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，态势感知模块采集的日志内容包括有：日志类别，日志类型，操作用户，访问IP，发生时间，日志内容。

8.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述业务模块与态势感知模块联动通过采集SCADA系统安全数据，对数据进行集中存储和分析，构建安全分析机制，所述安全分析机制通过模块统筹协调，可及时发布权威的网络安全信息，建立通报机制，加强预警能力；建立监测、预警、防范机制，提升对SCADA系统的管控、风险识别的水平；

对SCADA业务数据，建立全天候、全方位、全生命周期的监控和审计手段，形成安全管控工作闭环；

对SCADA网内的各类信息安全威胁、风险和事件进行常态化监测，提供安全技术手段，依据监测策略，对风险和事件进行有效监测，并为其它安全管理活动输出监测事件结果信息。

9.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述系统架构还能够自动化、定量化计算资产及其业务系统的风险值，协助SCADA运维人员进行定量的风险评估，综合考虑资产的价值、脆弱性和威胁，计算风险的可能性和风险的影响性；

能够展示出安全域的风险情况，标注安全域中资产风险的分布情况，辅助运维人员进行风险分析，采取相应的风险处置对策；

能够实现SCADA系统及全局风险的计算与展示，能够量化，并动态展示安全风险，使运维人员快速感知网络安全风险。

10.根据权利要求1所述的一种模块化的SCADA安全态势感知系统架构，其特征在于，所述系统架构还预设有安全模型库和知识库，供态势感知与控制业务安全分析功能使用，同时积累经验，为运维人员日常运维工作提供指导；所述系统架构预先建立的库包括：漏洞情报库、威胁情报库、安全事件库、关联规则库、异常检测策略库、等级保护知识库。