在工业互联网信息网络环境中做整体的安全防护，用户迫切需要掌握全网的运行状况、安全状况，处理大量设备产生的安全数据和监控信息，通过集中高效的告警机制快速发现定位问题，快速的处置安全故障和威胁：
-  需要统一识别和梳理网内的各类设备和网元节点，集中维护全网设备基本信息、运行配置信息以及安全信息，对网络中的各类设备进行集中的状态及性能监控，并以工控领域常见的拓扑方式进行直观呈现。
-  要求能够识别工控协议以及操作指令，并在此基础上进行合规审计以及异常发现。
-  可以通过统一的策略进行全网的威胁分析和安全告警，需要强大的关联分析能力对所采集的海量安全信息进行综合分析，发现更多维度、更深层次的安全威胁和业务违规。
-  需要通过系统的手段流程化的对安全故障、隐患、问题进行规范化处置，提升问题解决效率和规范程度。

工业互联网信息安全管理系统（工业SOC）是专门面向工业互联网领域信息安全防护的综合管理平台系统。该产品在继承了启明星辰泰合信息安全运营中心系统（TSOC）强大的安全信息采集、分析和展现能力基础上，提供了适应工业互联网环境安全监控和防护的综合管理功能。工业互联网信息安全管理系统可以实现工控安全监控、安全信息统一分析展现、工控异常告警、总体安全评估以及工控安全运维支撑多种能力于一身，为工业互联网用户的安全运行保障提供了一站式的管理和监控系统。
工业互联网信息安全管理系统是工控信息安全整体防御的指挥部和情报中心。产品以工控设备资产管理为主线，以安全信息集中管理为手段，以威胁发现和处置为核心，目的是帮助用户构建一个威胁监控以及威胁处置的统一安全管理中心。

威胁故障运维处置：提供丰富的告警响应手段，通过电子工单的形式提供流程化的问题处置手段。丰富的攻击及威胁展示报表。
统一威胁发现及溯源：汇总海量安全信息集中呈现威胁告警，提供强大的关联分析能力发现海真实攻击和潜在威胁。并提供故障及告警的回溯定位能力。
可整合流秩序分析模块实现流量安全管理：梳理工控流量秩序，解析工控协议，还原工控操作指令，发现异常流量。
设备安全配置核查：对工控网内各类设备的配置脆弱性进行全面检查，包括弱口令、不安全的服务策略、不必要启动项、注册表设置等。
安全信息统一维护：全网收集安全事件信息，设备性能信息及安全漏洞等信息。
工控设备资产安全管理：可梳理全网工控设备对象并建立统一管理的基础信息，支持从设备资产为入口进行安全信息监控，提供工控业务健康度监控。
工控安全监控拓扑：真实直观展现用户工控信息网络的物理及逻辑拓扑，动态拓扑可关联全网安全监控信息，并实时呈现告警。

系统可部署在工控网环境中的操作监控层，系统采用旁路部署的方式。监控范围包括工控网中的操作员站、工程师站、实时数据库、历史数据库、网络设备、安全设备等。系统通过集中采集各被防护设备及安全设备的事件及告警信息，进行集中的安全信息处理和分析，并面向工控安全管理要求提供统一的展现和安全运维支撑。部署方式如下图所示：

某电网公司调度二次系统案例：
 

☆ 项目背景

随着智能运行主站系统及数字化变电站应用的不断增加和扩展，电力二次系统尤其是调度自动化系的业务系统、硬件设备日益增多，业务互连形态日趋复杂，为电力二次系统运维带来诸多挑战：

1、难以对系统中各种事件与故障进行准确识别和及时响应；
2、系统出现的异常情况，人工分析往往费时费力，缺少有效的工具支撑；
3、难以准确清晰地获得全局安全威胁态势，决策指挥时得不到良好支持。

☆ 解决方案

通过在本项目中部署工控信息安全管理系统，利用静态或动态安全基线管理模块，实现在线安全检查，取代了之前人工检查方式；利用工控网络流秩序分析诊断系统，通过黑白灰名单方式，快速定位和集中展现业务流量异常行为；利用柔性漏洞扫描，集中全面展现设备漏洞信息；利用安全事件智能关联分析技术，清晰展现攻击路径，方便跟踪与定位攻击源。

☆  应用效果

1、流量、事件清晰展现，提高运维人员工作效率；
2、及时发现异常，快速定位故障；
3、领导能够及时掌握安全风险态势，提供信息安全决策能力。

用户价值

☆ 威胁信息集中采集与呈现：面向工控信息网络的安全防护，集中采集工控环境中各类设备的运行信息及安全设备的监控信息。通过工控风格的展现界面和多维可视化视图高效呈现安全监控信息，帮助用户实时洞察工控威胁与异常。

☆ 面向工控业务的威胁分析与风险定位：通过统一的漏洞、事件、状态管理，从工控业务操作的视角进行各工业控制操作流程的健康性评估与风险定位，结合强大的关联分析技术综合分析海量监控信息，深度发现危害业务的可疑攻击以及违规操作。

☆ 一站式的运维支撑：在集中安全信息与威胁展现的基础中，提供全网统一的告警响应能力，将异常及故障及时通报用户，并且提供安全事件规范化处理的技术支撑，使安全事件流程化、快速化处理，提升运维的能力与效率。