(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210939396.0 (22)申请日 2022.08.05 (71)申请人 中原内配集团股份有限公司 地址 454750 河南省焦作市孟州市产业 集 聚区淮河大道69号 (72)发明人 贺绍府　周景锋　张鹏　陈会　 孙俊卫　高晓强　王延芳　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 夏菁 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/22(2022.01) (54)发明名称 一种安全保障系统 (57)摘要 本申请公开了一种安全保障系统， 包括： 边 缘侧安全模块， 用于对工业互联网中的边缘侧设 备进行白名单认 证， 通过白名单认证的边缘侧设 备能够与主机连接； 还用于对边缘侧设备之间在 局域网的工业通信进行安全防护， 且对边缘侧设 备与外网的通信进行安全防护； 平台安全模块， 用于从物理设施、 边界、 主机、 应用、 认 证、 数据和 管理层面对工业互联网中的平台进行安全防护。 本申请公开的技术方案， 边缘侧安全模块实现对 工业互联网中的边缘侧设备和边缘侧网络进行 安全防护， 平台安全模块实现对工业互联网中的 平台进行安全防护， 即实现从边缘侧安全、 平台 安全这两方面对工业互联网进行安全维护， 从而 有效保障工业互联网的安全性， 进而保证工业安 全性。 权利要求书1页 说明书10页 附图2页 CN 115314286 A 2022.11.08 CN 115314286 A 1.一种安全保障系统， 其特 征在于， 包括： 边缘侧安全模块， 用于对工业互联网中的边缘侧设备进行白名单认证， 其中， 通过白名 单认证的边缘侧设备能够与主机连接； 还用于对所述边缘侧设备之 间在局域网的工业通信 进行安全防护， 且 对所述边缘侧设备与外网的通信进行安全防护； 平台安全模块， 用于从物理设施层面、 边界层面、 主机层面、 应用层面、 认证层面、 数据 层面和管理层面对所述工业互联网中的平台进行安全防护。 2.根据权利要求1所述的安全保障系统， 其特征在于， 所述边缘侧安全模块包括部署在 边缘侧网络的流 量审计探针； 所述流量审计探针， 用于通过学习工业网络数据流量中的工业协议， 生成工业协议特 征库； 记录主机之间的协议报文， 根据所述工业协 议特征库对 所述协议报文进 行解析； 根据 解析结果检测是否存在 入侵攻击， 在确定存在 入侵攻击时， 对 所述协议报文进 行分析， 定位 攻击者的地理位置， 获取所述攻击者的攻击特征信息， 根据所述地理位置和所述攻击特征 信息制定相应的安全策略。 3.根据权利要求2所述的安全保障系统， 其特征在于， 所述流量审计探针， 还用于使用 监督式学习， 利用多维聚类算法对所述协议报文提取特征和分类， 根据预设时间内没有新 协议报文分类确定学习收敛； 根据分类后的协 议报文抽象化工业网络协 议中的可变量和非 可变量， 并转 化成维度大于预设维度的矩阵向量模型。 4.根据权利要求1所述的安全保障系统， 其特征在于， 所述平台安全模块包括物理设施 安全单元、 边界安全防护单元、 主机安全单元、 应用安全单元、 认证安全 单元、 数据安全单元 和安全管理单 元， 其中： 所述物理设施单元， 用于通过门禁系统、 视频监控系统、 环境监控系统实现数据中心环 境、 物理访问控制、 设施层面的安全防护； 所述边界安全防护单元， 用于进行安全域划分， 并进行网络病毒防护、 网络入侵侦测和 响应， 通过工业防火墙进行厂区网络与核心网络之间的边界安全隔离， 通过工业网闸进行 核心网络与应用系统网络之间的边界安全隔离， 进行流 量清洗和Web过 滤； 所述主机安全单元， 用于进行系统漏洞扫描、 系统加固、 系统入侵侦测和响应、 主机访 问控制、 集中认证； 所述应用安全单 元， 用于进行漏洞 扫描， 并进行Web安全防护和邮件安全防护； 所述认证安全单 元， 用于提供统一的安全认证 体系， 以确保网络协同应用的认证安全； 所述数据安全单元， 用于从存储网络隔离、 剩余数据防护、 数据加密对数据进行保护， 并运用数据库审计系统对访问数据库服 务器的行为进行全方位审计； 所述安全管理单元， 用于从安全信息与事件管理、 安全合规性管理、 弱点管理进行管 理。 5.根据权利要求4所述的安全保障系统， 其特征在于， 所述应用安全单元采用LTD模型 进行Web安全防护。 6.根据权利要求4所述的安全保障系统， 其特征在于， 所述数据安全单元包括工业网 闸， 所述工业网闸包括内网处理单元、 外网处理单元和安全数据交换单元， 所述安全数据交 换单元在内外网主机间按照指定的周期进行安全数据的摆 渡。权　利　要　求　书 1/1 页 2 CN 115314286 A 2一种安全保障系统 技术领域 [0001]本申请涉及工业互联网技 术领域， 更 具体地说， 涉及一种安全保障系统。 背景技术 [0002]工业互联 网是新一代信息通信技术与工业经济深度融合的新型基础设施、 应用模 式和工业生态， 通过对人、 机、 物、 系统等的全面连接， 构建起覆盖全产业链、 全价值链的全 新制造和服务体系， 为工业乃至产业数字化、 网络化、 智能化发展提供了实现途径。 为了使 得工业互联网能够可靠、 稳定地进行工作， 如何保障其 安全性成为人们关注的重点。 [0003]综上所述， 如何保障工业互联网的安全性， 是目前本领域技术人员亟待解决的技 术问题。 发明内容 [0004]有鉴于此， 本申请的目的是提供一种安全保障系统， 用于保障工业互联网的安全 性。 [0005]为了实现上述目的， 本申请提供如下技 术方案： [0006]一种安全保障系统， 包括： [0007]边缘侧安全模块， 用于对工业互联 网中的边缘侧设备进行白名单认证， 其中， 通过 白名单认证的边缘侧设备能够与主机连接； 还用于对所述边缘侧设备之间在局域网的工业 通信进行安全防护， 且 对所述边缘侧设备与外网的通信进行安全防护； [0008]平台安全模块， 用于从物理设施层面、 边界层面、 主机层面、 应用层面、 认证层面、 数据层面和管理层面对所述工业互联网中的平台进行安全防护。 [0009]优选的， 所述 边缘侧安全 模块包括部署在边 缘侧网络的流 量审计探针； [0010]所述流量审计探针， 用于通过学习工业网络数据流量中的工业协议， 生成工业协 议特征库； 记录主机之间的协 议报文， 根据所述工业协议特征库对所述协议报文进 行解析； 根据解析结果检测是否存在 入侵攻击， 在确定存在 入侵攻击时， 对所述协议报文进 行分析， 定位攻击者的地理位置， 获取所述攻击者的攻击特征信息， 根据所述地理位置和所述攻击 特征信息制定相应的安全策略。 [0011]优选的， 所述流量审计探针， 还用于使用监督式学习， 利用多维聚类算法对所述协 议报文提取特征和分类， 根据预设时间内没有新协议报文分类确定学习收敛； 根据分类后 的协议报文抽象化工业网络协议中的可变量和非可变量， 并转化成维度大于预设维度的矩 阵向量模型。 [0012]优选的， 所述平台安全模块包括物理设施安全单元、 边界安全防护单元、 主机安全 单元、 应用安全单 元、 认证安全单 元、 数据安全单 元和安全管理单 元， 其中： [0013]所述物理设施单元， 用于通过门禁系统、 视频监控系统、 环境监控系统实现数据中 心环境、 物理访问控制、 设施层面的安全防护； [0014]所述边界安全防护单元， 用于进行安全域划分， 并进行网络病毒防护、 网络入侵侦说　明　书 1/10 页 3 CN 115314286 A 3