制造业OT安全实战指南 — Cisco Cyber Vision 深度解析

Cisco Industrial Security 2025

制造业 OT 安全实战指南
Cisco Cyber Vision 深度解析

从一起真实的工厂安全事件出发，深入解读工业运营技术（OT）面临的安全挑战，全面拆解 Cisco Cyber Vision 的架构、能力与部署实践——帮助 IT 与 OT 团队协同守护每一条生产线。

75%

制造企业曾遭遇 OT 安全事件

$4.7M

制造业数据泄露平均损失

近两年 OT 攻击增长倍数

NIS2

欧盟强制合规已经生效

真实案例

一次停产事故的警示

2024 年某日凌晨，华东某汽车零部件工厂的 MES 系统突然无响应，整条产线在 12 分钟内全线停机。这不是设备故障——而是一次精心策划的网络攻击。

勒索软件攻击

「凌晨 02:47 — 全线停产」

该工厂拥有 4 条自动化产线、320+ 台工业设备，年产值超过 8 亿元。IT 部门负责企业网络及 ERP/MES 系统，但工业网络（OT 网络）一直由产线运维团队"自行管理"——事实上，没有人真正了解 OT 网络中有多少设备、运行着什么协议、存在哪些漏洞。

T - 14天

初始入侵

攻击者通过一台暴露在互联网的远程维护终端（VNC）渗入 IT 网络，获取域管理员凭证。由于 IT 与 OT 网络之间缺乏有效隔离，攻击者横向移动至 OT VLAN。

T - 7天

侦察与驻留

攻击者在 OT 网络中扫描 Modbus/TCP、EtherNet/IP 和 OPC UA 端口，识别出 SCADA 服务器和 HMI 工作站。他们在多台 Windows XP/7 工程师站上部署了后门——这些系统已经十多年没有打过补丁。

T - 0

02:47 — 勒索软件引爆

勒索软件同时加密 MES 数据库、SCADA 服务器和历史数据库。所有 HMI 界面显示勒索信息，PLC 虽未被直接攻击，但由于失去上位机指令，安全联锁触发，4 条产线全部停产。

T + 3天

艰难恢复

由于缺乏 OT 资产清单，恢复团队无法确认哪些设备已被感染。每台设备需要逐一排查，部分 PLC 程序需要从纸质备份手动重新加载。全面恢复耗时 11 天。

📊 事故影响总计

11 天

生产完全中断

¥3,200 万

直接经济损失

2 家

OEM 客户启动供应商更换

¥180 万

监管罚款

核心反思

这起事故的根因并非攻击者有多高明——而是防守方的"三不知"：不知道有什么设备、不知道在跑什么协议、不知道存在什么漏洞。

如果该工厂部署了 Cisco Cyber Vision：攻击者在 T-7 天的异常扫描行为会被实时检测；320 台设备的完整资产清单和漏洞评估早已建立；IT/OT 之间的非法流量会被 ISE + Secure Firewall 自动阻断。事故可能在数分钟内被遏制，而非 11 天。

接下来，让我们系统性地了解：OT 安全的威胁有多严峻？IT 团队该如何行动？Cisco Cyber Vision 能提供什么帮助？

第二章

威胁态势：制造业 OT 安全的三重挑战

制造业正面临前所未有的网络安全压力——攻击手段升级、攻击面扩大、合规要求趋严。理解这三重挑战，是制定有效防御策略的第一步。

146%

2024 年造成物理后果的
OT 网络攻击同比增幅^[1]

13次/秒

全球关键基础设施
每秒遭受的网络攻击次数^[2]

3×

国家级威胁行为体
针对工业的攻击增长倍数^[3]

71%

制造企业曾遭受勒索软件
攻击的比例^[4]

⚔️

挑战一：攻击手段持续升级

如果说十年前针对工业控制系统 (ICS) 的攻击还是少数国家级黑客组织的"专属能力"—— 想想 2010 年的 Stuxnet 或 2017 年的 TRITON——那么今天，OT 攻击已经完全"民主化"。暗网市场上可以买到现成的 ICS 漏洞利用工具包，勒索软件即服务 (RaaS) 团伙已将制造业列为首要目标。更令人担忧的是，AI 正在加速这一趋势。

🤖 AI 如何放大 OT 攻击威胁

生成式 AI 正在从三个维度彻底改变工业网络攻击的游戏规则：

类比：如果传统网络攻击是"手动步枪"，AI 武装后的攻击就是"自动制导导弹"—— 精度更高、成本更低、覆盖面更广。制造企业的 OT 安全策略必须同步升级。

📡 攻击面在急剧扩大

Industry 4.0 和 IIoT 转型正在打破传统 OT 网络的"空气隔离"(air-gap) 神话。据 Cisco 统计，一座典型的现代化工厂平均拥有 5,000 至 30,000 个联网 OT 资产，但大多数安全团队对其中不足 40% 具有可见性^[5]。

核心矛盾：数字化转型带来了效率，但也带来了风险。每一个新增的联网设备——无论是智能传感器、工业机器人还是远程诊断端口—— 都可能成为攻击者的入口。而传统 IT 安全工具（如端点 EDR、漏洞扫描器）无法识别 Modbus、CIP、PROFINET 等工业协议，形成了巨大的可见性盲区。

⚖️

挑战二：合规监管全面升级

2024 至 2025 年是全球 OT 安全合规的转折之年。欧盟 NIS2 指令已于 2024 年 10 月正式生效，IEC 62443 被越来越多的行业标准和采购要求引用，中国《关键信息基础设施安全保护条例》持续深化执行。对于在全球运营的制造企业，合规已从"锦上添花"变为"生存前提"。

🇪🇺 NIS2 指令

生效日期	2024 年 10 月 17 日
覆盖范围	~350,000 个欧盟组织，制造业被列为 "重要实体"^[6]
核心要求	全面风险评估与管理供应链安全事件报告（24 小时内初报）业务连续性计划管理层责任制
处罚力度	最高：€10M 或全球营业额 2% 管理层可被追究个人责任
与 OT 的关联	明确要求 OT 环境纳入安全管理体系，不能仅保护 IT

🏭 IEC 62443 标准族

定位	工业自动化和控制系统 (IACS) 安全的国际标准
核心理念	区域 (Zone) 与管道 (Conduit) 模型纵深防御 (Defense in Depth) 安全等级 (SL 1-4) 全生命周期安全
关键子标准	62443-3-3：系统安全要求 62443-2-1：安全管理体系 62443-4-2：组件安全要求
行业采纳	汽车 (VDA)、制药 (FDA)、能源 (NERC CIP) 均引用； NIS2 推荐作为合规框架
与 Cyber Vision	CV 可自动发现并可视化 Zone & Conduit，评估 SL 达成度^[7]

🏗️ IEC 62443：区域与管道模型简介

IEC 62443 的核心是将工业网络划分为不同安全等级的区域 (Zone)，区域之间的通信通过受控的管道 (Conduit) 连接。这就像城市规划中的"功能分区 + 交通管制"——住宅区、工业区、商业区各有边界，进出需要经过检查站。

关键洞察：IEC 62443 定义了"应该怎么做"，而 Cisco Cyber Vision 解决了"怎么看到现状"—— 你无法保护看不见的东西。CV 自动发现设备并将其映射到 Zone & Conduit 拓扑中，为合规评估和差距分析提供数据基础。

🌏 全球主要 OT 安全法规一览

法规/标准	地区	适用行业	核心要求	处罚
NIS2 指令	🇪🇺 欧盟	制造、能源、运输等 18 个行业	风险管理、事件报告、供应链安全	€10M / 2% 营业额
IEC 62443	🌐 国际	所有工业自动化领域	Zone & Conduit、安全等级、生命周期	非强制（但被法规引用）
关保条例	🇨🇳 中国	关键信息基础设施运营者	安全检测评估、应急预案、数据保护	最高 ¥100 万 / 责任人处罚
NERC CIP	🇺🇸 北美	电力行业	电子安全边界、访问控制、事件响应	$1M/天
Cyber Resilience Act	🇪🇺 欧盟	数字产品制造商（含工业设备）	产品全生命周期安全、漏洞管理	€15M / 2.5% 营业额

🔦

挑战三：看不见，就保护不了

前两重挑战——攻击升级和合规压力——都指向同一个根本问题：可见性缺失。这是制造业 OT 安全的"阿喀琉斯之踵"。

💡 第一性原理思考

安全的本质是风险管理。风险管理的前提是资产清单。资产清单的前提是可见性。

可见性 → 资产清单 → 风险评估 → 策略制定 → 执行与响应

没有第一步，后面全是空中楼阁。这正是 Cisco Cyber Vision 要解决的起点问题。在第四章中，我们将详细介绍它如何做到这一点。

三重挑战总结

⚔️

攻击手段升级

AI 赋能攻击者，ICS 攻击民主化，制造业成为 RaaS 首要目标

⚖️

合规要求趋严

NIS2 正式生效，IEC 62443 成为事实标准，管理层承担个人责任

🔦

可见性缺失

IT 工具无法理解 OT 协议，60%+ 资产处于安全监控盲区

第三章

为什么 IT 团队必须主动出击

OT 安全不再是"工厂的事"——当 IT 与 OT 网络深度融合，威胁便沿着以太网线缆自由穿梭。
真正的问题不是"要不要管"，而是"从哪里开始管"。

3.1 IT / OT 融合：正在消失的"气隙"

融合的代价：在工业 4.0 时代，MES（制造执行系统）、Historian（历史数据库）和远程运维网关已将 IT 与 OT 紧密相连。^[8] 传统"气隙"名存实亡——超过 89% 的制造企业已部署某种形式的 IT/OT 互联。^[9] 攻击者只需在 IT 侧获得一个立足点，便可沿 Purdue 模型逐层渗透到车间级控制器。

3.2 谁来负责？IT 与 OT 的"责任真空"

维度	IT 团队视角	OT 团队视角
首要目标	机密性（Confidentiality）	可用性（Availability）
补丁策略	月度/季度滚动更新	"别碰能跑的系统" — 补丁周期以年计
典型 OS	Windows 11 / Linux 最新版	Windows XP/7、VxWorks、专有 RTOS
安全工具	EDR、SIEM、NAC、防火墙	几乎没有；部分 Historian 装了杀毒
网络协议	TCP/IP、HTTP/S、DNS	Modbus、EtherNet/IP、PROFINET、S7comm
停机容忍	分钟级可接受（维护窗口）	零容忍 — 每分钟数万元损失
资产清单	CMDB 覆盖率 ~95%	Excel 表格 / "老师傅脑子里"

🔍 责任真空：IT 团队说"车间网络不归我管"；OT 团队说"网络安全是 IT 的事"。结果？没有人在管跨越两个世界的攻击面。

Cisco 的答案：IT 拥有安全专业能力，OT 拥有工艺知识—— Cyber Vision 提供一个双方都能理解的共同语言，将 OT 资产的"方言"翻译成 IT 安全团队熟悉的 CMDB、 CVE、风险评分语言。^[10]

3.3 Cisco 工业安全之旅：四阶段路线图

保护 OT 环境不是一蹴而就的"大爆炸"项目，而是一段渐进式旅程。 Cisco 将其归纳为四个递进阶段，每一步都构建在前一步的基础之上。^[11]

💡 关键洞察：一切始于"可视化"。

没有完整的资产清单，分区策略就是盲人摸象；没有通信基线，防火墙规则就无从下手；没有风险评分，安全投资就缺乏优先级。

"You cannot protect what you cannot see." —— 这句 Cisco 在工业安全领域最常引用的话，不是口号，而是工程现实。^[12] Cyber Vision 就是这趟旅程的第零公里。

3.4 四阶段如何映射到 NIST CSF 2.0 框架

阶段	Cisco 方案	NIST CSF 2.0 功能	NIS2 关键条款	IEC 62443 映射
① 可视化	Cyber Vision	识别 (ID) 资产管理、风险评估	Art.21(2)(a) — 风险分析	FR 1 — 标识与认证 SR 1.1 资产识别
② 分区分段	ISE + Firewall + TrustSec	保护 (PR) 访问控制、数据安全	Art.21(2)(b) — 事件处置	FR 5 — 限制数据流 Zone / Conduit
③ 安全远程	SEA (ZTNA)	保护 (PR) 身份管理、远程访问	Art.21(2)(d) — 供应链安全	FR 2 — 使用控制 FR 4 — 数据保密
④ 检测响应	XDR + Splunk + SOAR	检测 (DE) + 响应 (RS) 持续监控、事件响应	Art.23 — 24h 上报 Art.21(2)(c) — 业务连续性	FR 6 — 及时响应 FR 7 — 资源可用性

3.5 IT 主导、OT 协同——"网络即平台"

🏗 网络即平台 (Network as Platform)： Cisco 的核心理念是将安全能力嵌入已有网络基础设施—— 工业交换机 IE3400/IE9300 既是数据传输设备，也是安全传感器、策略执行点和远程访问网关。^[13]

这意味着 IT 网络团队不需要在车间部署全新的安全架构，而是通过软件激活（Cyber Vision 传感器 App）和策略配置（ISE + TrustSec），就能将 OT 环境纳入统一的安全管理体系。

类比：你已经在工厂里铺好了"公路"（网络），现在只需在公路上加装"摄像头"（CV 传感器）、 "收费站"（SGT 分段）和"应急车道"（SEA 远程访问）。无需重新修路。

📍 本章小结：三个关键结论

1️⃣

IT/OT 融合不可逆

气隙已成历史。IT 风险即 OT 风险，反之亦然。安全责任不能再按"谁的地盘"划分。

2️⃣

可视化是第一步

四阶段旅程中，Cyber Vision 提供的资产可视化是所有后续安全措施的基石。

3️⃣

网络是最佳杠杆

IT 团队已管理工业交换机——激活 CV 传感器、ISE 联动、SEA 远程访问，无需额外硬件，即可启动 OT 安全。

⬇️ 既然"可视化"是一切的起点，那 Cyber Vision 究竟是什么？它如何工作？
下一章，我们将深入 Cisco Cyber Vision 的产品架构与核心能力。

Part 03 · 产品解析

什么是 Cisco Cyber Vision？

一句话定义：Cyber Vision 是一款嵌入网络基础设施的 OT 资产可视化与安全平台，
通过在工业交换机内运行的轻量级传感器 + 集中管理中心，让 IT/OT 团队
在不增加任何额外硬件、不改变现有拓扑的前提下，
实现对整个工业网络的深度可见性、风险评估和威胁检测。

🔍

全面可见性

被动 DPI + 主动发现，识别 400+ 工业协议，48 小时完成全厂资产清单

⚡

零额外硬件

传感器以 IOx App 运行在现有 Cisco 工业交换机内，无需 SPAN、TAP 或独立设备

🛡️

风险量化

基于 CVSS 漏洞库 + 设备标签 + 流量行为，生成 0–100 风险评分，支持 IEC 62443 合规

🔗

生态联动

与 ISE、Secure Firewall、XDR、Splunk 深度集成，将 OT 上下文注入整个安全栈

4.1 两层架构：Sensor + Center

Cyber Vision 采用经典的边缘计算 + 集中分析双层架构。传感器（Sensor）部署在尽可能靠近 OT 设备的网络接入层，执行深度包检测（DPI），仅将轻量级元数据（约占原始流量的 2–5%）上传至中心（Center）^[8]。中心负责聚合、关联分析、漏洞匹配、IDS 规则比对，并提供统一 Web UI 和北向 API。

🏗️ 架构设计哲学
"Don't build a second highway to watch traffic — activate cameras on the roads you already have."

传统 OT 可视化方案需要部署 SPAN/TAP + 独立采集器，相当于在原有网络旁边"重建一条公路来观察交通"。 Cyber Vision 的做法完全不同 —— 直接在已有的 Cisco 工业交换机内激活 DPI 传感器（IOx App），就像在现有公路上"打开监控摄像头"。这一设计带来三大优势：
① 零拓扑改动：不需要 SPAN 端口镜像、不引入单点故障
② 全覆盖：每台接入交换机都是传感器，东西向流量无死角
③ 低带宽：传感器仅上传轻量元数据（~2–5%），不会冲击 WAN/MPLS 链路^[8]

4.2 Cyber Vision Center —— 大脑

Center 是 Cyber Vision 的集中管理与分析平台，负责接收传感器元数据，执行以下核心功能：

资产聚合 —— 将多传感器发现的同一设备自动合并为单一资产视图
漏洞匹配 —— 基于 Cisco 知识库（KDB）将资产信息与已知 CVE 关联
Snort IDS —— 内置 Snort 引擎，支持社区规则 + Talos 订阅规则
异常检测 —— 学习网络基线行为，标记偏差（新设备、新协议、新连接等）
风险评分 —— 为每个资产计算 0–100 综合风险分，驱动优先级排序
北向集成 —— pxGrid（ISE）、REST API（Splunk/SIEM）、CSDAC（FMC）、XDR
Web UI —— 新版 UI（5.3+）采用 React，支持拓扑地图、流量矩阵、事件时间线

Center 部署选项对比
部署形态	型号 / 规格	最大资产数	最大传感器	适用场景
硬件一体机	CV-CNTR-M6N UCS M6 工业级机架	50,000	300	大型制造基地单站点高密度部署
虚拟机（VM）	Small 4 vCPU / 8 GB Medium 8 vCPU / 16 GB Large 16 vCPU / 32 GB	1,000 10,000 50,000	10 50 300	VMware ESXi 7.0+ 灵活按需扩容
云托管	Cisco 托管 SaaS （需联网）	按订阅	按订阅	分布式小型站点缺乏本地运维能力
Global Center	多 Center 联邦 v5.5 Site Manager 增强	跨站汇总	—	全球多工厂统一视图区域 Center + 总部 GC

💡 v5.5 新能力：Cyber Vision Site Manager
对于拥有多个工厂的制造企业，v5.5 新增的 Site Manager 功能提供：
① 多站点 Center 健康状态集中监控（CPU / 内存 / 磁盘 / 证书有效期）
② 自动推送知识库（KDB）更新到所有子 Center
③ IP 地理定位 + 站点地图一览
这让跨国制造企业的 IT 安全团队可以在总部 SOC 获得"一屏知全局"的 OT 安全态势感知^[9]。

4.3 Sensor 家族 —— 眼睛与耳朵

传感器是 Cyber Vision 的"感知末梢"，负责在网络边缘执行深度包检测（DPI），解码工业协议内容，提取设备属性、变量值、通信关系等元数据。以下是完整的传感器产品矩阵：

4.4 五大核心能力

理解了 Center + Sensor 的基础架构后，让我们深入 Cyber Vision 提供的五大核心能力—— 这也是制造业 OT 安全的"五步走"逻辑：先看清，再评估，然后监控，最后响应和协同。

1 全面可见性（Comprehensive Visibility）

被动 DPI（Passive Discovery）

解码 400+ 工业协议（Modbus、EtherNet/IP、PROFINET、S7、OPC-UA、BACnet、DNP3 等）^[10]
提取深层属性：设备厂商、型号、固件版本、序列号、机架/槽位编号
识别通信关系：谁在和谁通信、使用什么协议、频率与数据量
监控变量级行为：PLC 寄存器读写、HMI 画面调用、程序上传/下载
零干扰：纯监听模式，不向网络发送任何数据包

主动发现（Active Discovery）

闭环设计：先被动发现设备，再针对已知设备发送主动查询
支持广播 + 单播两种模式，避免对控制网络造成冲击
可按协议/传感器粒度精细控制开关
穿越 NAT：通过传感器本地发起，突破 IT-OT 边界限制
典型场景：补充被动发现无法获取的固件版本、硬件序列号等信息

⏱️ 实测数据：在典型制造工厂（200–500 台 OT 设备），部署传感器后 48 小时内即可生成完整的资产清单和通信拓扑图^[8]。

2 安全态势与风险评估（Security Posture）

漏洞检测

内置 Cisco 知识库（KDB），自动将资产属性与已知 CVE 关联
显示 CVSS 评分、受影响的固件版本、厂商公告链接
v5.5 支持自动 KDB 推送（通过 Site Manager），确保离线环境也能持续更新
支持手动导入第三方漏洞扫描结果（CSV）

风险评分（Risk Score 0–100）

Risk = Impact × Likelihood
Impact：设备标签（Level 0–1 关键性最高）+ 分组工业影响权重
Likelihood：活动标签（异常行为）+ 已知漏洞 + 外部暴露面
支持自定义权重，适配不同行业的风险偏好
风险评分直接驱动优先级排序和修复工单

3 运维洞察（Operational Insights）

Cyber Vision 不仅是安全工具，也是OT 运维的利器。它能捕获传统 IT 安全工具完全看不到的工业级上下文信息：

🏭

机架/槽位识别

显示 PLC 的具体机架号、槽位号、模块类型（AI/AO/DI/DO）

📊

变量级监控

追踪 Modbus 寄存器读写、EtherNet/IP Tag 访问频率与值变化

⚙️

程序变更检测

检测 PLC 程序上传/下载事件，跟踪 firmware flash 和配置变更

🔌

模式切换告警

PLC 从 Run → Program 模式切换时立即告警（可能被攻击者修改逻辑）

4 威胁检测（Threat Detection）

Snort IDS 引擎

内置 Snort 入侵检测引擎，在 Center 层对传感器上报的元数据执行规则匹配
支持社区规则集（免费）+ Talos 订阅规则集（Advantage License）
针对 OT 特有的攻击签名（如 Modbus 异常功能码、S7 恶意操作等）^[11]
事件与资产自动关联 —— 不仅告诉你"发生了什么"，更告诉你"影响了哪些设备"

行为异常检测（Anomaly Detection）

自动学习网络通信基线（Baseline）：正常的设备组合、协议类型、通信频率
标记偏离基线的事件：新设备出现、新协议使用、通信量突增、新目标 IP
支持监控模式（Monitor Mode）：仅记录不告警，适合初始部署阶段减少噪声
v5.5 新增自定义告警规则：基于设备属性、活动标签、风险分组合条件^[9]

5 生态协同（Ecosystem Integration）

Cyber Vision 不是一个"信息孤岛"，而是 Cisco 安全架构的OT 数据源。通过标准化接口，它将 OT 上下文（资产、漏洞、行为、风险）注入整个安全和运维技术栈：

ISE

pxGrid 资产画像 → SGT 分组 → 微分段

Secure Firewall

CSDAC 动态对象 → 自动策略更新

XDR

事件上报 → 可视化调查 → 编排响应

Splunk

REST API + Syslog → OT 仪表板 → MITRE ICS

SEA 远程访问

CV + SEA 统一 IOx App → ZTNA · 录屏 · 时间窗

※ 生态集成的详细架构和配置流程将在第七章中展开。

🎯 一图理解 Cyber Vision 的定位

4.5 许可证模型

Cyber Vision 采用按端点（per-endpoint）而非按传感器计费的模型，分为两个层级：

层级	包含功能	适用场景
Essentials	✅ 资产发现 & 可视化 ✅ 漏洞检测（KDB） ✅ 风险评分 ✅ 基线异常检测 ✅ Snort IDS（社区规则） ✅ REST API / Syslog 导出	第一阶段：资产盘点 + 风险评估适合预算有限、先建可见性的客户
Advantage	✅ Essentials 全部功能 ✅ Talos IDS 订阅规则（持续更新） ✅ ISE pxGrid 集成 ✅ Secure Firewall CSDAC 集成 ✅ XDR 集成 ✅ Global Center 多站点联邦	第二–四阶段：分段 + 远程 + 检测响应适合需要完整安全闭环的成熟客户

💰 成本友好提示： 许可证按被监控的端点数量计费，而非按传感器数量。这意味着您可以在尽可能多的交换机上部署传感器以获得最大覆盖，而许可证成本仅取决于需要纳管的 OT 设备数量。对于制造业而言，典型起步点是 100–500 端点（一个工厂车间）^[8]。

📌 本章要点回顾

架构

Sensor（边缘 DPI）+ Center（集中分析）
仅传输 2–5% 轻量元数据
最大 50K 资产 / 300 传感器

传感器

首选 Network Sensor（IOx，零硬件）
支持 IE3x00/IE9300/Cat9x00/IR 系列
Brownfield：IC3000 / Docker / VM

五大能力

① 可见性 ② 风险评估 ③ 运维洞察
④ 威胁检测（Snort + 异常）
⑤ 生态协同（ISE/FW/XDR/Splunk）

NEXT CHAPTER

了解了"是什么"，接下来看"怎么运作"

第五章将深入 DPI 引擎、协议解码、标签系统和风险计算的技术细节 ↓

工作原理深度解析

从数据包到决策——逐层拆解 Cyber Vision 的技术引擎

如果说第 4 节回答了"是什么"，本节将回答"怎么做到的"。 Cyber Vision 的核心竞争力可以归纳为一条流水线： 抓包 → 解码 → 建模 → 评分 → 告警。我们将沿着这条流水线，从交换机 ASIC 一直追踪到最终的风险仪表盘。

5.1 深度包检测（DPI）引擎

🔬 类比：把 DPI 引擎想象成海关 X 光机——它不拆开包裹（不中断流量），但能透视每一层包装，读懂里面装的是螺丝还是芯片，甚至品牌和型号。

Cyber Vision 传感器的 DPI 引擎是整个系统的"感知层"。它以 IOx 容器的形式运行在 Cisco 工业交换机（如 IE3400、Catalyst 9300 系列）的专用 CPU 核心上，与交换转发面完全隔离，不占用数据面资源。^[14]

关键设计要点

特性	说明
ERSPAN 镜像	交换机 ASIC 将选定 VLAN/端口的流量以 ERSPAN（GRE 封装）格式送到内部 AppGigabitEthernet 接口，再由 IOx 容器接收。整个过程在芯片内部完成，不增加外部布线。^[14]
专用 CPU 核心	IOx 容器被分配交换机 x86 CPU 的独立核心（IE3400 分配 1 核 + 最高 2GB 内存），确保 DPI 分析不影响交换面性能。^[15]
零注入（被动模式）	默认工作模式下，传感器不向网络注入任何数据包——仅"看"不"说"。这对于要求零干扰的制药、半导体产线至关重要。
边缘预处理	传感器在边缘完成协议解码和元数据提取，仅将结构化元数据（非原始 PCAP）上传至 Center，极大减少 WAN 带宽消耗（通常 < 100 kbps）。^[14]

5.2 协议解码：读懂 OT 的"方言"

IT 世界的流量大多是 HTTP/TLS/DNS——"标准普通话"。但 OT 世界是"方言的海洋"：一条汽车产线可能同时跑着 EtherNet/IP（美系）、PROFINET（德系）、 CC-Link（日系）、Modbus/TCP（通用）等截然不同的工业协议。 Cyber Vision 的 DPI 引擎内置 400 余种工业及 IT 协议解码器，能够逐层解析到 应用层语义——不仅知道"谁跟谁通信"，还能理解"在做什么操作"。^[16]

重点协议解码能力一览（节选）

协议族	代表协议	解码深度示例	典型行业
Modbus	Modbus/TCP, Modbus RTU over TCP	功能码（读线圈/写寄存器）、寄存器地址、异常码	电力、水务、通用制造
CIP	EtherNet/IP, DeviceNet	CIP 服务码、Object Class/Instance、设备身份对象（型号、序列号、固件）	汽车、食品饮料（美系）
S7	S7comm, S7comm Plus	CPU 运行/停止模式、DB 块读写、固件下载指令	汽车、化工（德系）
PROFINET	PROFINET IO, DCP	设备名称、站号、I/O 数据交换状态、诊断帧	汽车、包装（德系）
OPC	OPC-UA, OPC-DA (Classic)	节点浏览、订阅、读/写请求、安全策略	跨行业（IT/OT 桥梁）
楼宇	BACnet, LonWorks, KNX	对象类型、属性读写、告警事件	智能楼宇、数据中心
电力	DNP3, IEC 61850/MMS, IEC 104	数据对象类型、遥控/遥信、事件记录	电网、变电站
IT 常见	HTTP, TLS, DNS, SMB, RDP, SSH	版本、加密套件、用户代理、文件操作	所有 IT/OT 混合环境

⚠️ 为什么普通 IT 安全工具看不懂？
传统 IDS/IPS 和 NGFW 的 DPI 引擎针对 IT 协议优化——它们能解析 HTTP 请求，却无法区分 Modbus 功能码 0x03（读保持寄存器）和 0x10（写多个寄存器）。在 OT 安全中，一条"写"指令可能意味着有人正在修改 PLC 逻辑，这是最高级别的安全事件，而 IT 工具只会记录为"TCP 会话到端口 502"。

5.3 Tag 系统：OT 资产的"数字画像"

每个被发现的资产，Cyber Vision 都会自动赋予一组 Tag（标签）。 Tag 是整个系统实现自动化分类、风险评估和策略联动的基石。Tag 分为两大类：

💡 Tag 的价值链：Tag 不是一个静态标签——它是下游所有自动化能力的"燃料"：
Tag → 分组 (Group)：自动按 Purdue 层级 / 厂商 / 区域组织资产
Tag → 风险评分：Tag 权重直接影响设备的 Impact 和 Likelihood 计算
Tag → 基线规则：基于 Activity Tag 自动生成"正常行为"模板
Tag → ISE 策略：通过 pxGrid 共享 Tag，驱动 TrustSec SGT 分配和微分段
Tag → 防火墙策略：通过 CSDAC，Tag/Group 映射为 FMC 动态对象，自动更新 ACL

5.4 风险评分模型

Cyber Vision 为每个资产计算一个 0-100 分的风险评分，并在仪表盘中以颜色标识。分数越高，风险越大。其核心公式：

Risk Score = Impact × Likelihood

📐 Impact（影响度）

设备标签权重：Level 0-1 PLC > Level 2 HMI > Level 3 Server
分组工业影响：管理员可为每个 Group 设置 Industrial Impact 等级（Critical / High / Medium / Low）
逻辑：一台控制反应釜温度的 PLC（Level 0, Critical Group）的 Impact 远高于一台办公打印机

📊 Likelihood（可能性）

活动标签权重：Has-PLC-Write > Uses-Cleartext > Uses-HTTP
漏洞数据：关联的 CVE 数量与严重等级（CVSS）
外部暴露：Internet-Facing 或 Cross-Zone 通信加权
逻辑：一台有 3 个 Critical CVE、使用明文协议、且跨区通信的 HMI 的 Likelihood 最高

✅ 可定制的评分权重：管理员可以调整 Tag 权重和 Group Industrial Impact 参数，让评分模型适配本企业的业务优先级。例如，制药企业可将"清洁间控制器"Group 设为 Critical，而将"照明控制"设为 Low。^[17]

5.5 被动发现 vs 主动发现

Cyber Vision 提供两种互补的资产发现方式。理解它们的差异是正确部署的关键。

👁️ 被动发现（Passive Discovery）

原理	监听 ERSPAN 镜像流量，解析所有经过交换机的数据包
注入包数量	零 — 完全不向网络发送任何数据包
适用场景	所有 OT 环境，尤其是零干扰要求的产线（制药、半导体、核电）
能发现什么	所有有网络通信行为的设备及其属性（IP、MAC、协议、版本、通信关系）
盲区	• 不主动通信的"沉默"设备 • NAT 后面的设备仅可见为 NAT IP • 详细硬件属性（如序列号）可能需要特定协议交互才暴露
默认状态	始终开启 — 这是 Cyber Vision 的基本工作模式

📡 主动发现（Active Discovery）

原理	通过传感器的 eth2 接口向 OT 网络发送精心构造的工业协议请求包
注入包数量	极少 — 每次扫描仅数十至数百个包
适用场景	需要更完整的资产清单：发现沉默设备、穿透 NAT、获取详细硬件信息
能发现什么	被动无法看到的沉默设备 + 更详细的属性（如 Rockwell 的 Slot/Module 信息、S7 的 Module 列表）
核心特点	• 闭环驱动：被动发现先识别协议类型，主动扫描仅发送该设备"懂"的协议请求 • 广播+单播：先广播探测（如 Ethernet/IP ListIdentity），再针对性单播 • 可穿透 NAT：因为主动请求从 OT 子网本地发起
默认状态	需手动开启 — 由管理员在 Center 上按需触发或调度

🔑 "闭环"的精妙之处：Cyber Vision 的主动发现不是盲目的全端口扫描—— 它先通过被动监听"学习"网络中存在哪些协议，然后仅使用设备已经在用的工业协议进行有针对性的查询。例如，如果被动发现看到了 PROFINET DCP 广播，主动扫描就只会发送 PROFINET Identify 请求，而不会发送 Modbus 请求。这种"先看、再问、只问它听得懂的"策略，最大限度降低了对产线的干扰。^[18]

5.6 基线与异常检测工作流

发现资产只是起点。Cyber Vision 的真正价值在于持续监控——建立"什么是正常的"（基线），然后实时检测"什么偏离了正常"（异常）。

多基线管理：适应 OT 的复杂运行状态

工厂不是 7×24 始终如一的——生产班次、维护窗口、换线调试期间的"正常"截然不同。 Cyber Vision 支持为同一网络创建多个基线，并按场景切换：^[19]

🏭 生产基线

正常生产期间的通信模式。任何偏离立即告警——例如工程站不应在此时段连接 PLC。

🔧 维护基线

计划维护窗口的模式。允许工程站连接 PLC、固件更新等操作，但仍监控非预期行为。

🔄 换线基线

产线切换产品配方时的模式。允许参数批量下发，但监控写入值是否在合理范围内。

5.7 完整数据流水线总览

最后，让我们把所有环节串联起来，形成 Cyber Vision 从"数据包到决策"的完整视图：

📌 第 5 节要点回顾：
1. DPI 引擎以 IOx 容器运行在交换机专用核心上，通过 ERSPAN 获取流量副本，零干扰
2. 400+ 工业协议解码器可深入 L7 语义层，区分"读"与"写"、"正常运行"与"固件篡改"
3. 双维 Tag 系统（设备标签 + 活动标签）是自动分类、评分、策略联动的基石
4. 风险评分 = Impact × Likelihood，可定制权重以适配业务优先级
5. 被动发现（默认）零注入；主动发现（可选）采用闭环策略，仅发送设备可理解的协议请求
6. 多基线管理适配生产/维护/换线等不同运行状态，减少误报
7. 从"抓包→解码→建模→评分→基线→告警"的全链路在边缘完成预处理，仅上传结构化元数据

第六章

部署指南 — 从规划到上线

Cyber Vision 的核心设计哲学是 "不再为安全单独建网"——利用已有的工业交换机作为传感器，将部署成本与复杂度降至最低。
本章将按 规划 → 准备 → 部署 → 验证 四步，提供可直接落地的实施指引。

6.1 部署前规划 — "四问清单"

正式部署前，IT/OT 联合项目组需回答以下四个核心问题。这些问题的答案直接决定架构选型与资源投入。

🏭

Q1 · 范围多大？

需要监测几个工厂/产线？每个工厂多少台工业交换机？是否需要跨站统一视图？
决策输出：Center 规格（Small / Medium / Large）、是否启用 Global Center 或 v5.5 Site Manager^[20]。

🔌

Q2 · 网络设备是什么？

现场已部署哪些交换机型号？IOS-XE 版本是否满足最低要求？是否配有 SD 卡或 SSD？
决策输出：选择 Network Sensor 或 Hardware / Docker / VM Sensor。

📡

Q3 · 流量怎么看到？

交换机是否支持 ERSPAN / RSPAN / 本地 SPAN？拓扑是树形、环形（REP/G.8032）还是星形？
决策输出：镜像策略（ERSPAN vs RSPAN vs 本地 SPAN）、是否需要汇聚层补盲。

🔐

Q4 · 安全基线在哪？

是否已完成 IEC 62443 区域 / 管道划分？是否有 ISE、Firewall 可联动？
决策输出：是否启用 ISE pxGrid、CSDAC、XDR 集成（第七章详述）。

6.2 Center 部署规划

Cyber Vision Center 是整个平台的大脑，通常部署在 IT DMZ 或 L3.5 层。根据监控资产规模，可选不同部署形态^[20]：

部署形态	规格	资产上限	vCPU / RAM / 磁盘	典型场景
虚拟机 (VM)	Small	≤ 10,000	8 vCPU · 16 GB · 200 GB	单工厂 / PoC
	Medium	≤ 30,000	16 vCPU · 32 GB · 500 GB	多产线 / 中型园区
	Large	≤ 100,000	24 vCPU · 64 GB · 1 TB	超大工厂 / 跨区域
硬件一体机	—	≤ 30,000	预装服务器	无虚拟化基础设施的工厂
云 / SaaS	—	视订阅	Cisco 托管	快速上线 / 无本地 IT
Global Center	—	聚合多个 Center	独立 VM（同上）	跨工厂统一视图

v5.5 新增 · Site Manager
在 v5.5 中，Cisco 引入了 Site Manager（站点管理器）角色，可在 Global Center 之下为每个工厂创建独立管理域，简化多站点权限管理与策略下发，适合集团级统一运维^[21]。

Center 部署位置示意 — 单接口 vs 双接口模式

⚠ 防火墙放行端口清单（Center ↔ Sensor 通信）

📥 TLS 443 — 数据上报 📥 AMQPS 5671 — 消息队列 📤 Syslog 10514 — 日志 📤 NTP 123 — 时钟同步 🔧 SSH 22 — 管理 🔧 HTTPS 443 / 8443 — Web 管理

如使用单接口模式，以上端口需在 IT/OT 防火墙上放行（传感器→Center 方向）^[22]。

6.3 传感器硬件前提与平台兼容性

Network Sensor 以 IOx 容器形式运行在 Cisco 工业交换机中。部署前需确认 三项前提：平台型号、IOS-XE 版本、存储介质^[22]。

平台系列	最低 IOS-XE	存储要求	最大采集速率 (pps)	备注
IE3300	17.02.01	SD 卡（工业级）	~5,000	入门首选；10GE 型号性能更高
IE3400	17.02.01	SD 卡	~5,000	支持 L2NAT；支持 RSPAN & ERSPAN
IE3500 (Cat)	17.14.01	SD 卡	~5,000	紧凑型 DIN 导轨安装
IE9300	17.12.01	内置 SSD	~15,000	大带宽场景 / 高密度汇聚
IE9400 系列	17.16.01	内置 SSD	~15,000+	模块化机箱 / 骨干级
Catalyst 9300 / 9400	17.03.01	SSD-240G 或 bootflash^★	~20,000	汇聚层；★v4.4 起可免 SSD
IR1100 / IR1800	17.08.01	内置闪存 / SD 卡	~3,000	远程站点 / 边缘网关
IR8340	17.11.01	内置 SSD	~8,000	严苛环境 / IP67 需求

💡 关于 SD 卡
工业环境温度波动大，务必使用 Cisco 认证的 工业级 SD 卡（SD-IE-1G 或更高）。消费级卡在高温 (>60 °C) 下极易出现写入失败，导致传感器容器崩溃。 SD 卡在首次使用前需在 IOS-XE CLI 中执行 format sdflash: 初始化^[22]。

6.4 部署四步流程

以 IE3400 + Network Sensor（最常见的车间接入场景）为例，完整部署只需四个步骤。整个过程可在 15 分钟内完成单台交换机的传感器上线^[23]。

Step 1 启用 IOx 运行时 & 格式化存储

IOx 是 Cisco IOS-XE 内置的边缘计算框架，Cyber Vision 传感器以 IOx App 形式运行。

        ! 1. 格式化 SD 卡（首次）

        Switch# format sdflash:

        Format operation will destroy all data. Continue? [confirm] y

        ! 2. 启用 IOx

        Switch(config)# iox

        ! 3. 验证 IOx 状态

        Switch# show iox-service

        IOxService     : Running

        dockerService : Running

        Libvirtd      : Running

⏱ IOx 启动约需 60-90 秒，期间不影响正常数据转发。

Step 2 配置流量镜像（ERSPAN / RSPAN）

传感器通过分析镜像流量来识别资产和威胁。推荐优先使用 ERSPAN（IP 封装 GRE 镜像），因为它不需要中间链路传输 RSPAN VLAN，配置更灵活^[23]。

ERSPAN（推荐）

基于 GRE 隧道，跨 L3 传输
无需 RSPAN VLAN，配置简单
目的地 = IOx 容器 IP
适合树形 & 多跳拓扑

RSPAN

基于 RSPAN VLAN 传输
需配置 remote-span VLAN
L2 域内有效
IE3400 支持良好

        ! ── 方案 A：ERSPAN（以 IE3400 为例）──

        Switch(config)# monitor session 1 type erspan-source

        Switch(config-mon-erspan-src)# source interface Gi1/0/1 - 24 both

        Switch(config-mon-erspan-src)# destination

        Switch(config-mon-erspan-src-dst)# erspan-id 1

        Switch(config-mon-erspan-src-dst)# ip address 10.x.x.x ← IOx 容器 IP

        Switch(config-mon-erspan-src-dst)# origin ip address 10.x.x.y

        Switch(config-mon-erspan-src-dst)# no shutdown

        ! ── 方案 B：RSPAN（IE3400）──

        Switch(config)# vlan 2508

        Switch(config-vlan)# remote-span

        Switch(config)# monitor session 1 source interface Gi1/0/1 - 24 both

        Switch(config)# monitor session 1 destination remote vlan 2508

        ! AppGigabitEthernet 1/1 连接 IOx 容器

        Switch(config)# interface AppGigabitEthernet1/1

        Switch(config-if)# switchport mode trunk

        Switch(config-if)# switchport trunk allowed vlan 2508,<mgmt-vlan>

Step 3 安装传感器 — 推荐使用 Sensor Management Extension (SME)

Cisco 提供三种传感器安装方式。SME（Sensor Management Extension）是官方推荐路径，它通过 Center 的 Web UI 自动完成固件推送、证书注入和容器启动，无需逐台 CLI 操作^[23]。

安装方式	原理	适用场景	推荐度
SME（推荐）	Center UI → 发现交换机 → 一键推送传感器固件 → 自动配置	批量部署 / 日常运维	⭐⭐⭐
手动 CLI	通过 IOS-XE CLI (`app-hosting`) 手动安装 IOx 包	网络受限 / 特殊调试	⭐⭐
ZTP (零接触)	交换机首次开机自动从 DHCP/TFTP 拉取配置 + 传感器包	全新工厂 / 大规模绿地部署	⭐⭐

Step 4 验证上线 & 初步调优

传感器安装完成后，登录 Center Web UI 执行以下检查：

✅ 传感器状态

Admin → Sensors 页面，确认状态为 Connected，版本与 Center 一致。

✅ 资产发现

Explore → Components，检查是否出现 PLC / HMI / SCADA 等 OT 资产及其协议标签。

✅ 基线学习

建议让系统运行 7-14 天学习正常行为基线后，再开启告警策略，避免误报洪泛。

✅ 风险评分

Dashboard → Risk 视图，确认资产风险分布合理；高分资产需优先复核漏洞与暴露情况。

6.5 拓扑场景与传感器布放策略

制造业车间网络拓扑多样，不同拓扑对传感器位置的选择有直接影响。下图展示三种典型场景及其最佳布放策略^[24]。

每台环上交换机均需传感器 • 或在环上 2 点部署以覆盖两侧盲区风险：中等 → 需逐台部署 C · 棕地（非 Cisco 设备）第三方汇聚交换机第三方 SW 第三方 SW IC3000 / Docker Hardware Sensor SPAN 网络 TAP 被动无源分光 ✅ 布放策略 • 使用 Hardware Sensor（IC3000）或 Docker / VM Sensor 接 SPAN • 可配合物理 TAP（无源分光） • PCAP 上传也可用于快速 PoC 无需更换现有交换机！

💡 "先汇聚层、后接入层" 的渐进部署策略
对于拥有数百台接入交换机的大型工厂，不必一次性全部部署。Cisco 的最佳实践是：
Phase 1：仅在汇聚层 Catalyst 9300 部署传感器 → 获得 70-80% 的资产可见性
Phase 2：在关键产线的接入层 IE3x00 部署 → 获得深度协议解析与变量级洞察
Phase 3：补盲棕地区域 → Hardware Sensor / TAP → 达到近 100% 覆盖^[24]

6.6 NAT 穿越与特殊场景

制造业中 NAT（网络地址转换）普遍存在——不同产线使用相同的 IP 段是常态。传感器的 部署位置相对于 NAT 边界 至关重要^[24]。

✅ 传感器在 NAT 下游（推荐）

传感器看到的是真实 OT IP 地址，资产清单准确，通信矩阵无失真。 IE3400 支持 L2NAT 功能，可在同一交换机上同时完成 NAT 和传感器部署。

⚠ 传感器在 NAT 上游

传感器看到的是NAT 转换后的 IP，多条产线的设备会映射为同一 IP 段，导致资产合并、通信关系混淆。应尽量避免，或结合多个 NAT 下游传感器联合去重。

6.7 PCAP 上传 — 零部署快速 PoC

对于需要快速评估价值但尚未获得产线停机窗口的项目，Cyber Vision 支持 直接上传 PCAP 文件进行离线分析——无需在任何交换机上安装传感器^[25]。

📦

Step 1

在车间交换机上用 monitor capture 或外置 TAP + Wireshark 抓取 PCAP 文件（建议 ≥ 1 小时）

⬆️

Step 2

在 Center UI 中选择 Admin → PCAP Upload，上传 .pcap / .pcapng 文件

📊

Step 3

系统自动执行 DPI 解析，生成资产清单、通信矩阵、风险评分——与在线传感器效果一致

PoC 小技巧：在 PoC 阶段上传 3-5 个不同产线的 PCAP，即可快速形成全厂资产概览报告，用于向管理层证明部署价值。许多客户在 2 天内就能完成从抓包到出具报告的全过程。

6.8 SEA 集成 — 传感器与端点安全二合一

自 v5.3 起，Cisco 推出了 Cyber Vision + Secure Equipment Access（SEA）一体化 IOx 应用。在同一台工业交换机的 IOx 容器中，同时运行 CV 传感器（OT 可见性）和 SEA 代理（安全远程访问网关），无需额外硬件^[25]。

🔍

CV Sensor 功能

资产发现 · 协议解析 · 威胁检测 · 风险评分

🔐

SEA Agent 功能

零信任远程访问 · 会话录制 · 最小权限 · MFA

💰

共享价值

零额外硬件 · 单一 IOx 部署 · 统一运维 · 降低 TCO

6.9 部署上线清单（Checklist）

将本章所有要点提炼为可打印的部署清单，便于现场工程师逐项勾选。

📋 Cyber Vision 部署上线清单 v1.0

A · 规划阶段

☐ 确定监测范围（工厂/产线/设备数）
☐ 盘点现有交换机型号 & IOS 版本
☐ 确认存储介质（SD 卡 / SSD / bootflash）
☐ 选择 Center 部署模式 & 规格
☐ 选择单接口 / 双接口网络模式
☐ 确定防火墙放行端口列表
☐ 定义集成目标（ISE / FW / XDR / SIEM）

B · 准备阶段

☐ 升级交换机 IOS-XE 至最低版本
☐ 安装 / 格式化 SD 卡或 SSD
☐ 在交换机启用 IOx（iox）
☐ 配置 NTP 时钟同步
☐ 部署 Center VM / 硬件 / SaaS
☐ 验证 Center Web UI 可访问
☐ 准备 ERSPAN / RSPAN 配置模板

C · 部署阶段

☐ 在 Center 中添加交换机（SME 发现）
☐ 通过 SME 推送传感器固件
☐ 配置流量镜像（ERSPAN / RSPAN）
☐ 确认传感器状态为 Connected
☐ 棕地区域部署 HW Sensor / TAP
☐ （可选）部署 SEA 一体化应用
☐ 检查 AppGigabitEthernet trunk 配置

D · 验证 & 调优

☐ 核实资产清单完整性（≥ 预期 80%）
☐ 确认协议标签正确识别
☐ 运行基线学习 7-14 天
☐ 调优告警阈值（降低误报）
☐ 启用风险评分 & 漏洞匹配
☐ 配置 RBAC（角色权限分离）
☐ 生成首份 OT 安全态势报告

📌 第六章小结

4 步

从零到上线：IOx → 镜像 → 安装 → 验证

15 分钟

单台交换机传感器部署时间

3 种拓扑

树形 / 环形 / 棕地均有覆盖策略

0 硬件

Network Sensor 运行在已有交换机中

传感器部署完成后，Cyber Vision 的价值才真正释放。下一章将展示如何通过 ISE · Secure Firewall · XDR · Splunk 四大生态集成，将 OT 可见性转化为 可执行的安全策略。

第七章

生态集成：从可见到可控的闭环

Cyber Vision 不是孤岛——它是 Cisco 安全架构的 OT 数据引擎

🔗

核心理念：Cyber Vision 的终极价值不在于自身的仪表盘，而在于把 OT 资产与威胁情报实时注入到企业已有的安全基础设施中——ISE、Firewall、XDR、SIEM——让每一条 OT 洞察都能触发一次安全动作。

Cyber Vision 生态集成全景

🔍

Cyber Vision

OT 资产 & 威胁

⬇ ⬇ ⬇ ⬇ ⬇

🛡️

ISE

微分段

🔥

Secure Firewall

虚拟补丁

🎯

XDR

联合调查

📊

Splunk / SIEM

合规审计

🔐

SEA

安全远程访问

🛡️ 7.1 ISE 集成：pxGrid + SGT 微分段

为什么 ISE 集成是"最高优先级"？

在第四章的安全旅程中，阶段二——网络分段被 Cisco 视为工业安全 ROI 最高的投资。而 ISE（Identity Services Engine）正是实现分段策略的核心平台。Cyber Vision 与 ISE 的集成，解决了一个根本性难题：OT 设备不做 802.1X 认证，ISE 怎么知道它们是什么？

答案是：Cyber Vision 充当 OT 世界的"身份提供者"，通过 pxGrid 协议把丰富的资产属性推送给 ISE，让 ISE 能够对 OT 设备执行基于身份的策略——即使这些设备从未做过任何认证。

集成架构与数据流

Cyber Vision
资产标签 & 漏洞

→ pxGrid →

ISE
Endpoint Context

→ Policy →

交换机 / 无线
SGT / dACL 执行

关键数据字段（Cyber Vision → ISE）：

属性	示例值	ISE 用途
Asset Name	`Siemens S7-1500 CPU 1516F`	设备识别 / 终端分组
Device Type Tag	`PLC`, `HMI`, `VFD`	授权策略条件匹配
Vendor	`Siemens`, `Rockwell`	供应商分组策略
Firmware Version	`V2.9.4`	合规检查
CVE List	`CVE-2023-46590`	风险评估 / 隔离触发
Risk Score	`8.7 / 10`	动态策略调整
Network Group	`Line-3-Welding`	区域划分
MAC / IP	`00:1A:2B:xx:xx:xx`	终端绑定

SGT 微分段实战流程

以 IEC 62443 Zone & Conduit 模型为目标，典型的 ISE 微分段实施分 4 步：

资产分组（Cyber Vision 侧）

利用 Cyber Vision 的 Group 功能，按照生产线 / 工站 / 功能区将设备分组。例如：Zone-Welding、Zone-Paint、Zone-Assembly。这些分组通过 pxGrid 同步到 ISE。

SGT 标签映射（ISE 侧）

在 ISE 中创建对应的 SGT 标签（如 SGT_OT_Welding = 1001），编写授权策略：当 Cyber Vision Device Type = PLC 且 Network Group = Zone-Welding 时，分配 SGT 1001。

SGACL 矩阵（ISE TrustSec 策略）

定义 SGT 之间的访问规则。例如：SGT_OT_Welding ↔ SGT_OT_Paint = Deny（不同产线间隔离），SGT_OT_Welding ↔ SGT_IT_SCADA = Permit SCADA Protocols Only。

策略下发（交换机执行）

ISE 通过 RADIUS/CoA 将 SGT 标签推送到 IE3300/IE3400 等工业交换机，交换机在硬件层面执行标签转发和 SGACL 过滤。OT 设备无需任何改动，网络即成为执行层。

💡 Monitor Mode 先行

Cisco 强烈建议在正式执行前，先以 Monitor Mode 运行 2–4 周。在此模式下，ISE 仅记录"如果策略生效，哪些流量会被阻断"，而不实际执行。这让运维团队可以精细调整规则，避免误阻断生产流量。Cyber Vision 的流量基线数据可辅助确认：哪些跨区通信是合法的生产需求。

配置要点速查

配置项	说明
pxGrid 版本	推荐 pxGrid 2.0（基于 WebSocket / REST），ISE 3.1+ 默认支持
证书	Cyber Vision Center 需要在 ISE 注册为 pxGrid Client，需安装 ISE Root CA 签发的客户端证书
同步方向	单向：Cyber Vision → ISE（CV 发布，ISE 订阅）
同步频率	近实时（设备发现/变更后数秒内推送）
ISE 版本要求	ISE 3.1 Patch 1 及以上（推荐 3.3+）
CV 版本要求	Cyber Vision 5.0+（推荐 5.4+）
许可要求	Cyber Vision Advantage 许可（pxGrid 集成为 Advantage 功能）

🔥 7.2 Secure Firewall 集成：CSDAC + 动态对象

问题：防火墙规则如何跟上 OT 资产变化？

传统防火墙策略基于静态 IP 地址，但 OT 环境的现实是：

设备可能使用 DHCP（尤其是移动工站、AGV）
生产线扩容时，新设备不断上线
CVE 披露后，需要紧急对受影响设备实施"虚拟补丁"

手动维护 IP 列表 = 运维噩梦 + 安全延迟。CSDAC（Cisco Secure Dynamic Attributes Connector）解决了这个问题。

CSDAC 架构与数据流

Cyber Vision
资产标签 / 漏洞

→ REST API →

CSDAC
属性 → 动态对象

→ API →

FMC / cdFMC
动态对象引用

→ Policy →

Secure Firewall
执行规则

CSDAC 做了什么？

拉取：定期从 Cyber Vision REST API 查询资产列表及其属性（设备类型、供应商、漏洞、风险分数等）
转换：根据预定义的映射规则，将 OT 资产属性转换为 FMC 的动态对象（Dynamic Objects）
推送：将动态对象更新至 FMC / cloud-delivered FMC
自动生效：引用动态对象的防火墙规则无需重新部署即可自动更新

虚拟补丁（Virtual Patching）实战场景

🎯 场景：2024 年 6 月，Siemens 发布 CVE-2024-XXXXX，影响 S7-1500 FW < V3.1.0。你的工厂有 47 台受影响 PLC，补丁需要停产窗口才能安装。

传统方式：安全团队手动查找 47 台 PLC 的 IP 地址 → 编写防火墙规则 → 等待变更审批 → 部署。耗时：3–7 天。

Cyber Vision + CSDAC 方式：

Cyber Vision 在漏洞数据库更新后自动标记 47 台 PLC 为"CVE-2024-XXXXX-Affected"
CSDAC 在下一个同步周期（默认 30 秒）自动创建动态对象 OT-Vuln-CVE2024XXXXX，包含 47 个 IP
FMC 中预设的虚拟补丁规则（阻断已知利用端口/协议）自动匹配该动态对象
无需人工干预，从 CVE 发布到防护生效 < 5 分钟

动态对象映射示例

Cyber Vision 属性	FMC 动态对象名	典型策略用途
Device Type = PLC	`OT-PLCs-All`	限制仅允许 SCADA 协议
Device Type = HMI	`OT-HMIs-All`	阻断出站互联网访问
Vendor = Siemens && CVE ≠ null	`OT-Siemens-Vulnerable`	虚拟补丁规则
Risk Score ≥ 8.0	`OT-HighRisk`	增强监控 / 限制通信
Group = Zone-Paint	`OT-Zone-Paint`	区域间隔离规则

📌 OT 专用 IPS 签名

Secure Firewall（Snort 3 引擎）包含专门针对工业协议的 IPS 签名集，包括 Modbus 异常命令、S7comm 非法写入、EtherNet/IP CIP 路由攻击等。结合 Cyber Vision 提供的资产上下文，FMC 可以仅对特定设备类型启用相关签名，大幅降低误报率。这就是"上下文感知的虚拟补丁"。

部署与配置要点

配置项	说明
CSDAC 部署位置	Docker 容器（Linux VM 上运行），或 FMC 7.4+ 内置 CSDAC 功能
连接方式	CSDAC → Cyber Vision Center REST API（HTTPS，Token 认证）
同步间隔	可配置（默认 30 秒），近实时
FMC 版本	FMC 7.2+（推荐 7.4+，原生支持 OT Dynamic Attributes）
CV 版本	Cyber Vision 5.0+（REST API v3）
许可要求	CV Essentials 即可（REST API 为基础功能）；IPS 功能需 Firewall Threat License

🎯 7.3 XDR 集成：IT/OT 统一威胁管理

Cisco XDR：统一检测与响应平台

Cisco XDR（原 SecureX）是 Cisco 的扩展检测与响应平台，旨在将多个安全产品的告警、上下文和响应能力统一到一个界面。Cyber Vision 与 XDR 的集成，实现了OT 威胁事件在企业级 SOC 的可见性。

集成能力概览

📡

Ribbon 集成

Cyber Vision 的关键 OT 指标（资产数量、高风险设备、活跃告警）直接显示在 XDR Dashboard 的 Ribbon 区域，让 SOC 分析师一眼看到 OT 安全态势。

🔎

事件调查（Investigation）

在 XDR Incident 中，可直接查看 Cyber Vision 提供的 OT 资产详情：设备类型、固件版本、已知漏洞、通信伙伴。无需在多个控制台之间切换。

⚡

自动化响应（Playbook）

利用 XDR 的 Workflow / Playbook 功能，可编排自动化响应流程。例如：当 Cyber Vision 检测到 PLC 固件被篡改 → 自动创建 XDR Incident → 通知 SOC → 联动 ISE 隔离设备。

IT + OT 联合调查场景

🔍 场景：SOC 分析师在 XDR 中看到一个 Incident：某工程师笔记本（IT 终端）出现了异常行为——该终端在非工作时间连接到了 OT 网段，并发起了 S7comm 通信。

XDR 联合调查流程：

Secure Endpoint 提供：该笔记本上运行了未知进程 svc_update.exe，哈希值匹配已知 RAT 工具
Umbrella / Secure Access 提供：该终端在过去 24 小时内访问了 3 个已知 C2 域名
Cyber Vision 提供：该 IP 地址对 PLC-Zone3-Robot-Arm-07（Siemens S7-1516F）发起了 S7comm 读/写请求，这不是该设备的正常通信模式
XDR 关联：将以上三个数据源的事件合并为一个高优先级 Incident："疑似 APT 横向移动至 OT 网络"
响应：Playbook 自动触发——Secure Endpoint 隔离笔记本，ISE 将 PLC 所在交换机端口加入隔离 VLAN，同时通知 OT 运维团队

没有 Cyber Vision 的第三步，SOC 分析师永远不会知道这次攻击已经触达了生产设备。

配置要点

配置项	说明
连接方式	Cyber Vision Center → Cisco XDR Cloud（HTTPS REST API）
数据类型	资产清单、事件告警、风险评分、Syslog 转发
XDR 模块	需启用 "Cisco Cyber Vision" 集成模块（XDR Integration Catalog）
许可	CV Advantage（XDR 集成为高级功能）；XDR 需有效订阅
v5.5 增强	Cyber Vision 5.5 增强了对 XDR Incident 的原生告警推送，减少了自定义配置

📊 7.4 Splunk / SIEM 集成：合规与审计

为什么需要 SIEM 集成？

对于许多制造企业而言，Splunk 或其他 SIEM 平台（QRadar、Sentinel 等）才是安全运营的"真正中心"。SOC 团队的日常工作流在 SIEM 中完成，合规审计报告从 SIEM 中导出。因此，Cyber Vision 的数据必须能够流入 SIEM，才能真正被消费。

集成方式：多通道

方式	协议	适用场景	数据内容
Syslog 转发	Syslog (UDP/TCP/TLS)	通用 SIEM，快速集成	事件告警、系统日志
REST API 拉取	HTTPS REST	需要丰富资产数据的 SIEM	资产清单、漏洞、标签、流量统计
Splunk OT Security Add-on	REST API（专用）	Splunk 用户的最佳方案	预构建 Dashboard、CIM 映射、OT 资产索引

Splunk OT Security Add-on 亮点

Cisco 为 Splunk 提供了专门的 OT Security Add-on for Splunk（可从 Splunkbase 下载），其优势包括：

预构建 Dashboard：OT 资产总览、漏洞热力图、协议分布、风险趋势等开箱即用的面板
CIM 映射：Cyber Vision 事件自动映射到 Splunk 的 Common Information Model，可被 Splunk Enterprise Security 的 Notable Events 引用
OT 资产索引：独立索引 OT 设备数据，支持跨 IT/OT 的关联搜索（例如："查找所有与高风险 PLC 通信过的 IT 终端"）
合规报告模板：预定义的 IEC 62443 / NIS2 合规检查报告

📌 通用 SIEM 集成

对于非 Splunk 的 SIEM（如 Microsoft Sentinel、IBM QRadar、Elastic SIEM），通常使用 Syslog 转发 + REST API 组合。Cyber Vision 的 Syslog 支持 CEF（Common Event Format）格式，大多数 SIEM 可直接解析。v5.4 起还支持将告警以 JSON 格式通过 Webhook 推送，便于与现代 SOAR 平台集成。

🔐 7.5 Secure Equipment Access (SEA) 集成

什么是 SEA？

Cisco Secure Equipment Access（SEA）是 Cisco 专为 OT 环境设计的零信任远程访问（ZTNA）解决方案。它解决了工业环境中一个长期痛点：第三方供应商和远程工程师需要访问产线设备进行维护，但传统 VPN 提供的是"一旦连接就全网可达"的粗粒度访问。

SEA 提供的是基于身份、时间、设备的细粒度远程访问：特定人员，只能在特定时间窗口内，访问特定的 OT 设备，且所有操作被完整记录。

Cyber Vision + SEA 的协同价值

🎯 共享 IOx 平台

SEA 的网关代理（Gateway Agent）和 Cyber Vision Sensor 都以 IOx 应用的形式运行在 IE3300/IE3400/IE9300 等工业交换机上。一台交换机同时承载两个应用，无需额外硬件，部署成本最低。

👁️ 远程会话可见性

当远程工程师通过 SEA 访问 PLC/HMI 时，Cyber Vision Sensor 同时监控该会话的 OT 协议层行为。如果工程师执行了超出授权范围的操作（如意外修改 PLC 程序），Cyber Vision 会立即告警。

📋 双重审计记录

SEA 记录"谁在什么时间访问了什么设备"，Cyber Vision 记录"该访问中实际执行了什么 OT 操作"。两者结合，构成完整的远程维护审计链，满足 IEC 62443 对远程访问的严格要求。

SEA 集成架构

远程工程师 (Browser)

↓ HTTPS / ZTNA

SEA Cloud Gateway

↓ mTLS Tunnel

IE3400 / IE9300 工业交换机

IOx App 1: SEA Agent

IOx App 2: CV Sensor

↓ OT 协议

PLC

HMI

Robot Controller

SEA 关键特性

特性	说明
零信任访问	每次会话单独验证身份（支持 SSO / MFA），基于策略授权到具体设备和协议
无需 VPN 客户端	远程用户通过 Web 浏览器访问，支持 RDP、VNC、SSH、HTTP/S 等协议代理
时间窗口控制	可设定访问时间窗口（如"周三 02:00-06:00 维护窗口"），超时自动断开
会话录制	完整录制远程操作画面（视频回放），满足审计合规要求
审批工作流	远程访问请求需经 OT 运维人员审批，支持多级审批链
IOx 共存	与 Cyber Vision Sensor 共享同一交换机的 IOx 资源，需注意 CPU/RAM 分配

⚠️ IOx 资源规划

当 SEA Agent 和 CV Sensor 同时运行在一台交换机上时，需要确认该平台的 IOx 资源（CPU、RAM、存储）能够支撑两个应用。以 IE3400 为例：推荐至少 8GB RAM 的 SSD 模块。部署前务必参考最新的 Cisco Cyber Vision Deployment Guide 和 SEA Compatibility Matrix。

🗺️ 7.6 集成能力总览与选型建议

集成能力矩阵

集成目标	集成方式	核心价值	CV 许可	优先级建议
ISE	pxGrid 2.0	OT 微分段（SGT）	Advantage	⭐⭐⭐⭐⭐
Secure Firewall	CSDAC + REST API	虚拟补丁、动态策略	Essentials	⭐⭐⭐⭐⭐
XDR	REST API / Cloud	IT/OT 联合调查与响应	Advantage	⭐⭐⭐⭐
Splunk	OT Security Add-on	合规审计、关联分析	Essentials	⭐⭐⭐⭐
其他 SIEM	Syslog + REST API	事件聚合、合规日志	Essentials	⭐⭐⭐
SEA	IOx 共存 + 审计联动	安全远程访问 + OT 监控	Essentials	⭐⭐⭐⭐
Cisco DNA Center / Catalyst Center	API	网络管理统一视图	Essentials	⭐⭐⭐

分阶段集成建议

Phase 1

可见先行（Day 0–90）

部署 Cyber Vision Sensor & Center → 建立资产清单 & 通信基线 → 接入 Splunk / SIEM（Syslog）实现事件可见。此阶段无需 Advantage 许可，Essentials 即可起步。

Phase 2

策略落地（Day 90–180）

集成 ISE（pxGrid）实现微分段 + 集成 Secure Firewall（CSDAC）实现虚拟补丁。升级至 Advantage 许可。同步部署 SEA 管控第三方远程访问。

Phase 3

闭环运营（Day 180+）

集成 XDR 实现 IT/OT 联合调查 → 构建自动化 Playbook → 持续优化分段策略和告警规则。目标：从被动监控到主动防御的转变。

💡

记住：Cyber Vision 的价值不在于替代你现有的安全工具，而在于成为它们的"OT 眼睛"。每一次集成都让你的安全基础设施多了一个维度的可见性。正如 Cisco 在 Cisco Live 演讲中反复强调的——"You can't secure what you can't see, and you can't enforce what you don't understand."

08 总结与行动指南

🔄 回到文章开头的那家工厂……

还记得第一章里那个因勒索软件瘫痪 11 天、损失 3200 万日元的制造工厂吗？让我们重新审视那个时间线，这次假设工厂已部署了 Cisco Cyber Vision——看看结局会如何改变。

相同的攻击手法，截然不同的结局——差异在于是否拥有 OT 网络的可视化与自动化响应能力。

8.1 核心要点回顾

纵观全文，我们可以提炼出五个关键认知：

🎯

OT 已成为攻击首选目标

AI 降低攻击门槛、勒索软件瞄准关基行业——制造业每次停机平均损失超百万美元。"空气隔离"已是过去式。^[1][2]

📜

合规不是选项，而是底线

NIS2、IEC 62443、等保 2.0 等法规要求企业必须具备 OT 资产可视化、风险评估与事件响应能力。罚款金额高达营业额的 2%。^[3][4]

🔍

可视化是一切安全的基石

你无法保护你看不见的东西。Cyber Vision 通过网络交换机内嵌传感器实现 100% 被动发现，无需加装额外硬件。^[8][9]

🌐

网络即平台，传感器无处不在

利用已有 Cisco IE/Catalyst 交换机作为传感器，零额外采购、零停机部署。与 ISE、Firewall、XDR、Splunk 形成闭环生态。^[10][26][27]

🚀

分阶段推进，不求一步到位

Cisco 工业安全四阶段路线（可视化→分段→远程访问→检测响应）允许按需演进，每一步都产生即时价值。^[12][13]

8.2 部署前后价值对比

以下 KPI 基于行业基准数据和 Cisco 客户案例，展示部署 Cyber Vision 后的典型改善效果：

OT 资产可见率

~20%

部署前

→

98%+

部署后

平均威胁检测时间 (MTTD)

~200 天

行业平均

→

< 1 小时

部署后

合规审计准备时间

数周

手工盘点

→

数分钟

一键报告

停机恢复时间 (MTTR)

11 天

事件案例

→

< 4 小时

自动化响应

💰 投资回报速算

年均 OT 安全事件成本 (行业)

$2.8M / 起

Cyber Vision 许可年费 (典型)

$50-150K / 工厂

预期 ROI 回收期

< 6 个月首次告警即回本

* 数据来源：Ponemon Institute 2024、Cisco 客户案例。实际 ROI 因企业规模和行业而异。^[35]

8.3 推荐行动路线图

无论您是刚开始关注 OT 安全的 IT 团队，还是已有一定基础的制造企业，以下三阶段行动路线图可供参考：

8.4 常见问题速答 (FAQ)

Q1. 部署传感器会影响生产吗？

不会。 网络传感器以 IOx 容器运行在交换机上，使用独立 CPU 核心处理镜像流量（ERSPAN/SPAN），不接触、不修改任何生产数据包。部署过程无需重启交换机，对产线零影响。^[14][20]

Q2. 如果网络不是 Cisco 设备怎么办？

Cyber Vision 同时支持硬件传感器（独立设备，接入任意品牌交换机的 SPAN 端口）和 Docker/VM 传感器。即使是纯第三方网络环境，也可以通过这些方式实现部署。此外，v5.5 支持 PCAP 文件上传进行离线分析，实现零接触 PoC。^[10][23]

Q3. Essentials 和 Advantage 许可如何选？

Essentials（包含在多数 IE 交换机 DNA 许可中）提供资产发现、漏洞评估和基本告警——足够完成阶段一验证。Advantage 增加基线异常检测、高级风险评分、XDR/SIEM 集成和 PCAP 下载——适合进入阶段二/三的企业。建议从 Essentials 起步，验证价值后升级。^[11]

Q4. 多工厂 / 多国部署如何管理？

v5.5 新增的 Global Center 可将多个站点 Center 聚合为单一视图；搭配 Site Manager 模块可在一个界面完成传感器固件升级、配置下发和健康监控。对于 NAT 环境，传感器支持主动外连 Center，无需从 Center 侧穿透 NAT。^[22][25]

Q5. 从零开始，最快多久能看到第一批结果？

如果工厂已有 Cisco IE 交换机，一名工程师半天即可完成 Center 部署 + 首台传感器启用。传感器上线后数分钟内即开始发现资产并报告漏洞。许多客户在 PoC 第一天就发现了超出预期 30-40% 的"隐形设备"。^[20][21]

8.5 立即开始

🏭 您的工厂，是那 98% 还是那 2%？

每一天没有 OT 可视化，就是对未知风险的一天赌注。
好消息是——起步从未如此简单。

🌐 产品主页 🖥️ 预约演示 📄 数据手册

或联系您的 Cisco 客户经理 / 合作伙伴，申请免费 PoC 试用。

📖 结语：本文从一个真实的工厂停机事件开始，穿越了 OT 安全的威胁全景、合规要求、技术架构、部署实践，一直到生态集成。我们希望通过这段旅程，让每一位读者都清楚地看到——OT 安全不是未来的课题，而是今天的紧急任务；而 Cisco Cyber Vision，正是帮助您迈出第一步的最佳起点。

看见，才能保护。行动，从现在开始。🚀

📘 术语表 (Glossary)

本文中涉及的关键术语速查。按字母/拼音排序。

术语	英文全称	简要说明
BACnet	Building Automation and Control Networks	楼宇自动化通信协议，常见于 HVAC、照明等系统。
CIP	Common Industrial Protocol	Rockwell/Allen-Bradley PLC 使用的工业通信协议，运行于 EtherNet/IP 之上。
CSDAC	Cisco Secure Dynamic Attributes Connector	将 Cyber Vision 设备组自动映射为 Secure Firewall 动态对象的连接器。
CVE	Common Vulnerabilities and Exposures	公开漏洞编号系统，每个漏洞有唯一 CVE-ID。
CVSS	Common Vulnerability Scoring System	漏洞严重性评分体系（0-10 分），用于评估 CVE 的风险等级。
DNP3	Distributed Network Protocol 3	电力和水务行业 SCADA 系统常用的通信协议。
DPI	Deep Packet Inspection	深度包检测，Cyber Vision 的核心技术，解析 L2-L7 协议语义。
ERSPAN	Encapsulated Remote SPAN	将镜像流量封装在 GRE 隧道中远程传输到传感器，Cyber Vision 首选镜像方式。
HMI	Human-Machine Interface	人机界面，操作员用于监控和控制工业过程的图形化终端。
ICS	Industrial Control Systems	工业控制系统的总称，包括 SCADA、DCS、PLC 等。
IEC 62443	IEC 62443 Series	工业自动化和控制系统 (IACS) 安全的国际标准系列，定义了区域与管道模型。
IOx	Cisco IOx (IOS + Linux)	Cisco 交换机/路由器上的应用托管平台，Cyber Vision 传感器以 IOx 容器运行。
ISE	Cisco Identity Services Engine	Cisco 的身份与网络准入控制平台，通过 pxGrid 与 Cyber Vision 集成。
MES	Manufacturing Execution System	制造执行系统，连接 ERP 与车间层，管理生产调度、质量、设备等。
Modbus TCP	Modbus over TCP/IP	最广泛使用的工业串行通信协议之一，常见于 PLC 和传感器。
MTTD / MTTR	Mean Time to Detect / Respond	平均检测时间 / 平均响应时间，衡量安全运营效率的关键指标。
NIS2	Network and Information Security Directive 2	欧盟第二版网络与信息安全指令，2024 年 10 月生效，覆盖制造、能源等关基行业。
OPC-UA	Open Platform Communications Unified Architecture	跨平台工业通信标准，Industry 4.0 的核心协议之一。
OT	Operational Technology	运营技术，指用于监控和控制物理过程的硬件与软件（如 PLC、SCADA、DCS）。
PLC	Programmable Logic Controller	可编程逻辑控制器，工业自动化的核心执行设备。
PROFINET	Process Field Network	Siemens 主导的工业以太网协议，广泛用于欧洲制造业。
pxGrid	Platform Exchange Grid	Cisco ISE 的上下文共享框架，允许第三方/Cyber Vision 交换设备信息。
S7comm	S7 Communication Protocol	Siemens S7 系列 PLC 的专有通信协议。
SCADA	Supervisory Control and Data Acquisition	数据采集与监控系统，用于远程监控和控制分布式工业过程。
SEA	Secure Equipment Access	Cisco 安全远程访问解决方案，以 IOx 应用形式部署在 IE 交换机上。
SGT	Scalable Group Tag (TrustSec)	Cisco TrustSec 可扩展组标签，用于基于身份的网络微分段。
SME	Sensor Management Extension	Cyber Vision 传感器管理扩展，通过 Cisco DNA Center/Catalyst Center 批量管理传感器。
SPAN / RSPAN	Switched Port Analyzer / Remote SPAN	交换机端口镜像技术，将指定端口流量复制到监控端口。RSPAN 可跨 VLAN 镜像。
TrustSec	Cisco TrustSec	Cisco 基于 SGT 的软件定义分段框架，实现无需修改 ACL 的身份驱动策略。
XDR	Extended Detection and Response	扩展检测与响应平台，Cisco XDR 将 IT/OT 安全事件统一关联分析。
Zone / Conduit	安全区域 / 管道	IEC 62443 定义的 OT 网络分段模型：将资产分组为区域 (Zone)，区域间通信通过管道 (Conduit) 控制。