本發明公開了一種基于SD?WAN的工業互聯網安全監管系統，包括工業企業客戶終端，SD?WAN控制器和工業互聯網安全監測數據中心，工業企業客戶端的出口數據流首先通過數據篩選模塊進行工業互聯網流量的篩選，篩選出來工業互聯網流量通過數據處理模塊進行識別、解析和還原，生成數據日志信息，然后再依次通過數據壓縮模塊以及數據加密模塊進行壓縮和加密，最后通過VPN通道將處理后的數據直接傳輸到工業互聯網安全監測數據中心進行處理和分析。本發明通過的工業終端篩選出特定的工業互聯網流量，通過VPN通道，直接傳輸到工業互聯網安全監管數據中心，實現流量精確有效、按需啟動、安全傳輸和部署靈活簡單。

技術領域

本發明涉及工業互聯網安全監管領域，具體涉及一種基于SD-WAN的工業互聯網安全監管系統及方法。

背景技術

近年來，網絡安全威脅加速向工業領域蔓延，工業互聯網安全事件頻發，影響經濟社會正常運行和國家安全。接連發生的烏克蘭斷網事件、美國Dyn公司域名系統癱瘓事件及“永恒之藍”病毒肆虐全球已經為我們敲響警鐘。

隨著物聯網、工業互聯網等新興業務場景的不斷涌現，網絡正面臨著開放、融合、智能化、個性化等需求。2017年11月我國印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，工業互聯網的發展將逐漸進入快車道；同時，為保障工業互聯網安全，加強工業互聯網安全體系研究，技術和管理相結合，建立涵蓋設備安全、控制安全、網絡安全、平臺安全和數據安全的工業互聯網多層次安全保障體系。加大對技術研發和成果轉化的支持力度，重點突破標識解析系統安全、工業互聯網平臺安全、工業控制系統安全、工業大數據安全等相關核心技術，推動攻擊防護、漏洞挖掘、入侵發現、態勢感知、安全審計、可信芯片等安全產品研發，建立與工業互聯網發展相匹配的技術保障能力。構建工業互聯網設備、網絡和平臺的安全評估認證體系，依托產業聯盟等第三方機構開展安全能力評估和認證，引領工業互聯網安全防護能力不斷提升。

為實現對也互聯網的安全監管，傳統的解決方案的架構為采用鏈路分光和鏡像流量的方式，將流量傳輸到工業互聯網前置流量處理設備，從海量流量中識別工業互聯網相關流量，進行識別、解析、還原等操作，并配合后端應用系統實現對工業互聯網的安全監管，但此種方式存在難以實現精確管理、技術風險高，監管不靈活、建設難度大，建設成本高等弊端。

因此需要對現有互聯網安全監管技術進行進一步地改進。

發明內容

為了解決上述技術問題，本發明的提供一種流量精確有效、按需啟動、安全傳輸、部署靈活簡單的工業互聯網安全監管系統及方法。

為實現上述目的，本發明采取的技術方案如下：一種基于SD-WAN的工業互聯網安全監管系統，包括工業企業客戶終端，SD-WAN控制器和工業互聯網安全監測數據中心，所述工業企業客戶終端的聯網出口設置有IS-CPE設備，所述IS-CPE設備是工業企業客戶終端的接入網關；所述IS-CPE設備與SD-WAN控制器之間建立有VPN傳輸通道，其中：

所述IS-CPE設備上部署有數據篩選模塊、數據處理模塊、數據壓縮模塊和數據加密模塊，

工業企業客戶端的出口數據流首先通過數據篩選模塊進行工業互聯網流量的篩選，篩選出來工業互聯網流量通過數據處理模塊進行識別、解析和還原，生成數據日志信息，然后再依次通過數據壓縮模塊以及數據加密模塊進行壓縮和加密，最后通過VPN通道將處理后的數據直接傳輸到工業互聯網安全監測數據中心進行處理和分析；

所述SD-WAN控制器用于對IS-CPE設備進行配置和操作，包括訂閱傳輸特定協議類型的流量、工業互聯網協議特征更新、流控、封堵以及下發監測控制指令。

優選地，所述IS-CPE設備集成和嵌入對工業互聯網協議識別解析引擎。

優選地，所述VPN傳輸通道上，用于實現基于應用層業務質量的實時監測、故障發現、定位、路徑優選以及提前預警。