本發明公開了一種工控環境下安全資源匯聚與情報共享的系統及方法，包括：構建廠站側平臺和中心側平臺；廠站側平臺采集各安全分區內設備的數據,并將一部分數據直接傳輸中心側平臺，在中心側平臺形成基礎數據庫；廠站側平臺接收中心側平臺下發的攻擊檢測規則，基于攻擊檢測規則對所采集的數據進行邊緣計算，并回傳攻擊檢測結果至中心側平臺；廠站側平臺接收中心側平臺下發的溯源取證指令，基于溯源取證指令對所采集的數據進行邊緣計算，并回傳取證數據至中心側平臺。本發明在工控安全保障體系中設計中心側平臺，與廠站側平臺進行安全通信，通過設計中心側平臺進行大數據分析，與廠站側平臺進行雙向通信，實現數據匯聚和情報規則的共享利用。

技術領域

本發明涉及工控系統技術領域，具體涉及一種工控環境下安全資源匯聚與情報共享的系統及方法。

背景技術

我國的工控環境采用了安全分區的要求，如電力系統一般分為控制區、非控制區和信息管理大區；隨著目前工控安全事件的高發，攻擊威脅也呈現出定向精準性提升迅速、技術手段復雜化專業化、攻擊行為組織化的顯著特征。為應對這種國家級的多步驟、多層次的攻擊和復雜多變的安全挑戰，構建全方位的安全保障體系，實現攻擊規則和威脅情報的有效利用，能夠實現網絡攻擊事件第一時間發現、追蹤溯源取證和防止攻擊范圍及危害的進一步擴大，對于工業控制系統的網絡安全具有重大價值和意義。如何設計安全大數據的匯聚，實現威脅情報的共享利用成為研究的重點。

通過對國內外論文、學術會議、科技文獻、專利等數據庫的檢索發現：現階段工控環境的安全資源整體匯聚和共享利用還處于探索階段：一是對于工控環境安全資源和威脅情報如何有效匯聚，建立共享機制；二是對匯聚的資源和情報如何在各廠站進行利用，發現安全威脅和研判風險；三是對于發現的安全威脅如何關聯追蹤溯源，還處于探索階段。

發明內容

針對現有技術中存在的上述問題，本發明提供一種工控環境下安全資源匯聚與情報共享的系統及方法。

本發明公開了一種工控環境下安全資源匯聚與情報共享的系統，包括：廠站側平臺和中心側平臺；

所述廠站側平臺，用于：

采集各安全分區內設備的數據,一部分數據直接傳輸所述中心側平臺；

接收攻擊檢測規則，基于所述攻擊檢測規則對所采集的數據進行邊緣計算，并回傳攻擊檢測結果至所述中心側平臺；

接收溯源取證指令，基于所述溯源取證指令對所采集的數據進行邊緣計算，并回傳取證數據至所述中心側平臺；

所述中心側平臺，用于：

接收所述廠站側平臺直接傳輸的數據，形成基礎數據庫；

下發所述攻擊檢測規則，并接收所述廠站側平臺回傳的攻擊檢測結果；

下發所述溯源取證指令，并接收所述廠站側平臺回傳的取證數據。

作為本發明的進一步改進，所述廠站側平臺包括：

相對應各安全分區設置的采集器，用于采集各安全分區的數據；

分析服務器，用于接收各安全分區的數據，并基于所匹配的攻擊檢測規則或溯源取證指令進行邊緣計算。

作為本發明的進一步改進，所述中心側平臺包括：

規則生成模塊，用于基于聯動共享機制，接收威脅情報并對威脅情報進行綜合匯聚，形成攻擊檢測規則；

分析模塊，用于對所述基礎數據庫和威脅情報進行綜合分析，形成溯源取證指令，并基于接收的取證數據研判攻擊威脅程度，還原完整攻擊過程。

作為本發明的進一步改進，所述廠站側平臺與中心側平臺之間進行雙向數據交互，傳輸數據采用支持國密算法的縱向加密設備進行加密。