一种基于SD-WAN的工业互联网安全监管系统及方法

摘要

本发明公开了一种基于SD‑WAN的工业互联网安全监管系统，包括工业企业客户终端，SD‑WAN控制器和工业互联网安全监测数据中心，工业企业客户端的出口数据流首先通过数据筛选模块进行工业互联网流量的筛选，筛选出来工业互联网流量通过数据处理模块进行识别、解析和还原，生成数据日志信息，然后再依次通过数据压缩模块以及数据加密模块进行压缩和加密，最后通过VPN通道将处理后的数据直接传输到工业互联网安全监测数据中心进行处理和分析。本发明通过的工业终端筛选出特定的工业互联网流量，通过VPN通道，直接传输到工业互联网安全监管数据中心，实现流量精确有效、按需启动、安全传输和部署灵活简单。

说明书

技术领域

本发明涉及工业互联网安全监管领域，具体涉及一种基于SD-WAN的工业互联网安全监管系统及方法。

背景技术

近年来，网络安全威胁加速向工业领域蔓延，工业互联网安全事件频发，影响经济社会正常运行和国家安全。接连发生的乌克兰断网事件、美国Dyn公司域名系统瘫痪事件及“永恒之蓝”病毒肆虐全球已经为我们敲响警钟。

随着物联网、工业互联网等新兴业务场景的不断涌现，网络正面临着开放、融合、智能化、个性化等需求。2017年11月我国印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，工业互联网的发展将逐渐进入快车道；同时，为保障工业互联网安全，加强工业互联网安全体系研究，技术和管理相结合，建立涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系。加大对技术研发和成果转化的支持力度，重点突破标识解析系统安全、工业互联网平台安全、工业控制系统安全、工业大数据安全等相关核心技术，推动攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品研发，建立与工业互联网发展相匹配的技术保障能力。构建工业互联网设备、网络和平台的安全评估认证体系，依托产业联盟等第三方机构开展安全能力评估和认证，引领工业互联网安全防护能力不断提升。

为实现对也互联网的安全监管，传统的解决方案的架构为采用链路分光和镜像流量的方式，将流量传输到工业互联网前置流量处理设备，从海量流量中识别工业互联网相关流量，进行识别、解析、还原等操作，并配合后端应用系统实现对工业互联网的安全监管，但此种方式存在难以实现精确管理、技术风险高，监管不灵活、建设难度大，建设成本高等弊端。

因此需要对现有互联网安全监管技术进行进一步地改进。

发明内容

为了解决上述技术问题，本发明的提供一种流量精确有效、按需启动、安全传输、部署灵活简单的工业互联网安全监管系统及方法。

为实现上述目的，本发明采取的技术方案如下：一种基于SD-WAN的工业互联网安全监管系统，包括工业企业客户终端，SD-WAN控制器和工业互联网安全监测数据中心，所述工业企业客户终端的联网出口设置有IS-CPE设备，所述IS-CPE设备是工业企业客户终端的接入网关；所述IS-CPE设备与SD-WAN控制器之间建立有VPN传输通道，其中：

所述IS-CPE设备上部署有数据筛选模块、数据处理模块、数据压缩模块和数据加密模块，

工业企业客户端的出口数据流首先通过数据筛选模块进行工业互联网流量的筛选，筛选出来工业互联网流量通过数据处理模块进行识别、解析和还原，生成数据日志信息，然后再依次通过数据压缩模块以及数据加密模块进行压缩和加密，最后通过VPN通道将处理后的数据直接传输到工业互联网安全监测数据中心进行处理和分析；

所述SD-WAN控制器用于对IS-CPE设备进行配置和操作，包括订阅传输特定协议类型的流量、工业互联网协议特征更新、流控、封堵以及下发监测控制指令。

优选地，所述IS-CPE设备集成和嵌入对工业互联网协议识别解析引擎。

优选地，所述VPN传输通道上，用于实现基于应用层业务质量的实时监测、故障发现、定位、路径优选以及提前预警。

优选地，所述IS-CPE设备上整合有加速芯片。

优选地，所述数据筛选模块还包括过滤模块和特定协议识别模块，其中：

所述过滤模块用于过滤噪声流量；

所述特定协议识别模块为基于应用层协议特征的协议识别模块，用于将特定的工业协议的流量筛选出来。

优选地，过滤噪声流量包括至少包括普通上网流量、OA办公流量及视频监控流量。一种基于SD-WAN的工业互联网安全监管方法，应用了上述的基于SD-WAN的工业互联网安全监管系统，该方法包括以下步骤：

S1:工业企业客户端根据客户的用网需求产生企业流量；

S2:所述企业流量通过过滤模块进行噪声流量的过滤，然后再通过所述特定协议识别模块为将特定的工业协议的流量筛选出来，发送到数据处理模块；

S3:所述数据处理模块将筛选后的流量进行识别、解析和还原，生成数据日志信息，发送到数据压缩模块；

S4:所述数据压缩模块对日志信息进行压缩后发送到数据加密模块；

S5:所述数据加密模块对压缩数据进行加密处理；

S6:加密后的数据通过VPN通道直接传输到工业互联网安全监测数据中心进行解密读取，然后对解密后的数据进行处理、分析和建模。

优选地，所述数据压缩模块采用的压缩方式为Jzip或者rar压缩方式。

优选地，所述数据加密模块对数据加密的类型为SSL或者IPSec类型。

本发明有益的技术效果：本发明通过在接入部署有设置有IS-CPE设备的工业终端将企业流量进行筛选，筛选出特定的工业互联网流量，对工业互联网流量进行识别、解析、还原，生成数据日志信息，并进行压缩和加密，通过IS-CPE与SD-WAN控制中心建立的端到端VPN通道，将工业互联网日志话单数据直接传输到工业互联网安全监管数据中心进行处理和分析，实现流量精确有效、按需启动、安全传输和部署灵活简单。

附图说明

图1为本发明一种基于SD-WAN的工业互联网安全监管系统整体框架示意图。

图2为本发明一种基于SD-WAN的工业互联网安全监管方法的步骤流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明，但本发明要求保护的范围并不局限于下述具体实施例。

如图1所示，一种基于SD-WAN(软件定义的广域网)的工业互联网安全监管系统，包括工业企业客户终端，SD-WAN控制器和工业互联网安全监测数据中心。

其中所述工业企业客户终端的联网出口设置有IS-CPE(Industrial Safety CPE，基于SD-WAN的工业联网终端)设备，所述IS-CPE设备为工业企业客户终端的接入网关，部署在工业企业联网出口。在工业互联网安全监测系统接收流量前端，通过IS-CPE设备对流量的识别，对特定的工业互联网流量进行识别、解析和还原，生成数据日志信息，并进行压缩和加密，根据后端应用系统需求，输出日志话单数据信息，满足后端应用系统的分析需求。

所述IS-CPE设备与SD-WAN控制器之间建立有VPN传输通道，其中：

所述IS-CPE设备集成和嵌入对工业互联网协议识别解析引擎，用于识别和筛选工业互联网流量。且IS-CPE设备上部署有数据筛选模块、数据处理模块、数据压缩模块和数据加密模块，所述数据筛选模块又包括过滤模块和特定协议识别模块。

其中：所述过滤模块用于过滤噪声流量；所述特定协议识别模块为基于应用层协议特征的协议识别模块，用于将特定的工业协议的流量筛选出来。过滤噪声流量至少包括普通上网流量、OA办公流量及视频监控流量。

相比传统企业网关设备，本申请的IS-CPE设备具备快速部署、业务快速开通的能力，相比以往的业务开通的时间周期，能明显缩短开通周期，提高业务发放效率。同时具备智能优选路由的能力，根据实时监测的应用层业务质量动态调整到最优通道，相比以往技术，明显提升业务传输质量和可靠性。

具体地，本系统的信息的处理过程如下：

工业企业客户端的出口数据流首先通过数据筛选模块进行工业互联网流量的筛选，筛选出来工业互联网流量通过数据处理模块进行识别、解析和还原，生成数据日志信息，然后再依次通过数据压缩模块以及数据加密模块进行压缩和加密，最后通过VPN通道将处理后的数据直接传输到工业互联网安全监测数据中心进行处理和分析。

工业互联网相关协议流量(Https、MQTT等)多采用VPN通道和加密方式传输(ipSec、SSL等)，传统的传输方式是通过在中间链路汇聚设备上通过分光和镜像等方式，采集的流量面临数据加密的问题，本申请的IS-CPE设备集成和嵌入工业互联网协议识别解析引擎，很好地规避这个问题，且中间传输也采用加密方式传输，保证了安全性。

本申请能将初始的工业互联网相关协议的流量，通过互联网识别引擎将有效流量进行识别解析，并生成日志话单数据传递到互联网安全监控系统的采集设备，相比以往采用从汇聚节点通过并接、镜像等方式从大量流量中再次过滤出工业互联网流量的方案，极大减少的前置流量采集设备的资源投入，节约了大量的建设成本。

具体地，所述SD-WAN控制器用于对IS-CPE设备进行配置和操作，包括订阅传输特定协议类型的流量、工业互联网协议特征更新、流控、封堵以及下发监测控制指令。

优选地，所述VPN传输通道上，用于实现基于应用层业务质量的实时监测、故障发现、定位、路径优选以及提前预警。

整体来说，本申请的基于SD-WAN的工业互联网安全监管系统在工业互联网安全监管系统整合了SD-WAN控制器，在企业侧部署定制化工业互联网IS-CPE设备，对接入网络流量实现精准安全管理，实现一体化系统架构；部署在工业企业出口的IS-CPE与SD-WAN控制器之间VPN通道可协商和控制，采用加密方式传送，保证数据安全性；在传输通道上，实现基于应用层业务质量的实时监测、故障发现和定位，路径优选，并提前预警，保证传输通道的健壮性。对工业互联网协议特征识别模块进行集中式统一下发更新，适应流量多样化和变动性的需求。在IS-CPE设备上通过对压缩算法进行优化，降低安全监管的日志话单数据的带宽消耗。在IS-CPE设备上整合加速芯片(类似FPGA)，降低资源消耗，提升整体性能。

如图2所示，一种基于SD-WAN的工业互联网安全监管方法，应用了上述的基于SD-WAN的工业互联网安全监管系统，该方法包括以下步骤：

S1:工业企业客户端根据客户的用网需求产生企业流量；

S2:所述企业流量通过过滤模块进行噪声流量的过滤，然后再通过所述特定协议识别模块为将特定的工业协议的流量筛选出来，发送到数据处理模块；

S3:所述数据处理模块将筛选后的流量进行识别、解析和还原，生成数据日志信息，发送到数据压缩模块；

S4:所述数据压缩模块对日志信息进行压缩后发送到数据加密模块；

S5:所述数据加密模块对压缩数据进行加密处理；

S6:加密后的数据通过VPN通道直接传输到工业互联网安全监测数据中心进行解密读取，然后对解密后的数据进行处理、分析和建模。

具体地，所述数据压缩模块采用的压缩方式为Jzip或者rar压缩方式。所述数据加密模块对数据加密的类型为SSL或者IPSec类型。

还包括异常情况的处理过程：

1)当特定协议识别模块中的工业协议特征发生变化时，IS-CPE设备上的筛选的流量不准确，需要定期通过SD-WAN控制器更新协议特征规则。

2)当订阅的流量类型发生变化时，可通过SD-WAN控制器进行灵活配置。

3)当传输通道质量不稳定时，通过对业务层的时延、抖动、丢包性能的实时分析，当不稳定状态达到路径切换的阈值时，自动切到换备选最优路径，并进行告警上报。

根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对发明构成任何限制。