Cisco Industrial Security 2025
Cisco Cyber Vision 深度解析
从一起真实的工厂安全事件出发,深入解读工业运营技术(OT)面临的安全挑战,全面拆解 Cisco Cyber Vision 的架构、能力与部署实践——帮助 IT 与 OT 团队协同守护每一条生产线。
在深入 Cyber Vision 之前,我们先花几分钟建立一个共同认知基础——什么是 OT?它和 IT 有什么不同?为什么制造业的安全问题如此特殊?
OT(Operational Technology,运营技术)是指用于监控和控制物理过程的硬件与软件系统。在一座工厂里,OT 就是那些让机械手臂焊接、让传送带运转、让化学反应维持精确温度的技术集合。
如果说 IT 管理的是"信息的流动",那么 OT 管理的是"物质和能量的流动"。IT 的世界是屏幕、服务器和数据库;OT 的世界是 PLC(可编程逻辑控制器)、SCADA(数据采集与监控系统)、DCS(分布式控制系统)和无数传感器与执行器。
| 维度 | IT(信息技术) | OT(运营技术) |
|---|---|---|
| 首要目标 | 机密性(Confidentiality) | 可用性(Availability) |
| 停机容忍度 | 可接受分钟级维护窗口 | 零容忍——每分钟数万元损失 |
| 生命周期 | 3–5 年更换 | 15–25 年,甚至更久 |
| 典型操作系统 | Windows 11、Linux 最新版 | Windows XP/7、VxWorks、专有 RTOS |
| 补丁策略 | 月度/季度滚动更新 | 以年计,甚至不补丁 |
| 通信协议 | TCP/IP、HTTP/S、DNS | Modbus、EtherNet/IP、PROFINET、S7comm |
| 安全工具 | EDR、SIEM、NAC、防火墙 | 几乎没有;部分装了过时杀毒软件 |
| 资产清单 | CMDB 覆盖率 ~95% | Excel 表格 / "老师傅脑子里" |
一座现代化工厂的数字系统通常按 Purdue 模型(ISA-95)分为多个层级,从上到下依次是:
了解了 IT 与 OT 的差异,以及制造业数字系统的层级结构后,让我们看看当安全防线失守时,会发生什么——
2024 年某日凌晨,华东某汽车零部件工厂的 MES 系统突然无响应,整条产线在 12 分钟内全线停机。这不是设备故障——而是一次精心策划的网络攻击。
该工厂拥有 4 条自动化产线、320+ 台工业设备,年产值超过 8 亿元。IT 部门负责企业网络及 ERP/MES 系统,但工业网络(OT 网络)一直由产线运维团队"自行管理"——事实上,没有人真正了解 OT 网络中有多少设备、运行着什么协议、存在哪些漏洞。
一台暴露在互联网的远程维护终端(VNC)被利用,攻击者获取域管理员凭证。由于 IT 与 OT 网络之间缺乏有效隔离,攻击者横向移动至 OT VLAN。
攻击者在 OT 网络中扫描 Modbus/TCP、EtherNet/IP 和 OPC UA 端口,识别出 SCADA 服务器和 HMI 工作站。他们在多台 Windows XP/7 工程师站上部署了后门——这些系统已经十多年没有打过补丁。
勒索软件同时加密 MES 数据库、SCADA 服务器和历史数据库。所有 HMI 界面显示勒索信息。PLC 虽未被直接攻击,但由于失去上位机指令,安全联锁触发,4 条产线全部停产。
由于缺乏 OT 资产清单,恢复团队无法确认哪些设备已被感染。每台设备需要逐一排查,部分 PLC 程序需从纸质备份手动重新加载。全面恢复耗时 11 天。
接下来,让我们系统性地了解:OT 安全的威胁有多严峻?IT 团队该如何行动?Cisco Cyber Vision 能提供什么帮助?
制造业正面临前所未有的网络安全压力——攻击手段升级、攻击面扩大、合规要求趋严。理解这三重挑战,是制定有效防御策略的第一步。
如果说十年前针对工业控制系统(ICS)的攻击还是少数国家级黑客组织的"专属能力"——想想 2010 年的 Stuxnet 或 2017 年的 TRITON——那么今天,OT 攻击已经完全"民主化"。暗网市场上可以买到现成的 ICS 漏洞利用工具包,勒索软件即服务(RaaS)团伙已将制造业列为首要目标。更令人担忧的是,AI 正在加速这一趋势。
生成式 AI 正在从三个维度彻底改变工业网络攻击的游戏规则:
Industry 4.0 和 IIoT 转型正在打破传统 OT 网络的"空气隔离"(air-gap)神话。据 Cisco 统计,一座典型的现代化工厂平均拥有 5,000 至 30,000 个联网 OT 资产,但大多数安全团队对其中不足 40% 具有可见性 [5]。
2024 至 2025 年是全球 OT 安全合规的转折之年。欧盟 NIS2 指令已于 2024 年 10 月正式生效,IEC 62443 被越来越多的行业标准和采购要求引用,中国《关键信息基础设施安全保护条例》持续深化执行。对于在全球运营的制造企业,合规已从"锦上添花"变为"生存前提"。
IEC 62443 的核心是将工业网络划分为不同安全等级的区域(Zone),区域之间的通信通过受控的管道(Conduit)连接。这就像城市规划中的"功能分区 + 交通管制"——住宅区、工业区、商业区各有边界,进出需要经过检查站。
| 法规/标准 | 地区 | 适用行业 | 核心要求 | 处罚 |
|---|---|---|---|---|
| NIS2 指令 | 🇪🇺 欧盟 | 制造、能源、运输等 18 个行业 | 风险管理、事件报告、供应链安全 | €10M / 2% 营业额 |
| IEC 62443 | 🌐 国际 | 所有工业自动化领域 | Zone & Conduit、安全等级、生命周期 | 非强制(但被法规引用) |
| 关保条例 | 🇨🇳 中国 | 关键信息基础设施运营者 | 安全检测评估、应急预案、数据保护 | 最高 ¥100 万 / 责任人处罚 |
| NERC CIP | 🇺🇸 北美 | 电力行业 | 电子安全边界、访问控制、事件响应 | $1M/天 |
| Cyber Resilience Act | 🇪🇺 欧盟 | 数字产品制造商(含工业设备) | 产品全生命周期安全、漏洞管理 | €15M / 2.5% 营业额 |
前两重挑战——攻击升级和合规压力——都指向同一个根本问题:可见性缺失。这是制造业 OT 安全的"阿喀琉斯之踵"。
可见性 → 资产清单 → 风险评估 → 策略制定 → 执行与响应
没有第一步,后面全是空中楼阁。这正是 Cisco Cyber Vision 要解决的起点问题。
AI 赋能攻击者,ICS 攻击民主化,制造业成为 RaaS 首要目标
NIS2 正式生效,IEC 62443 成为事实标准,管理层承担个人责任
IT 工具无法理解 OT 协议,60%+ 资产处于安全监控盲区
OT 安全不再是"工厂的事"——当 IT 与 OT 网络深度融合,威胁便沿着以太网线缆自由穿梭。真正的问题不是"要不要管",而是"从哪里开始管"。
在工业 4.0 时代,MES(制造执行系统)、Historian(历史数据库)和远程运维网关已将 IT 与 OT 紧密相连 [8]。传统"气隙"名存实亡——超过 89% 的制造企业已部署某种形式的 IT/OT 互联 [9]。攻击者只需在 IT 侧获得一个立足点,便可沿 Purdue 模型逐层渗透到车间级控制器。
| 维度 | IT 团队视角 | OT 团队视角 |
|---|---|---|
| 首要目标 | 机密性(Confidentiality) | 可用性(Availability) |
| 补丁策略 | 月度/季度滚动更新 | "别碰能跑的系统"— 补丁周期以年计 |
| 典型 OS | Windows 11 / Linux 最新版 | Windows XP/7、VxWorks、专有 RTOS |
| 安全工具 | EDR、SIEM、NAC、防火墙 | 几乎没有;部分 Historian 装了杀毒 |
| 网络协议 | TCP/IP、HTTP/S、DNS | Modbus、EtherNet/IP、PROFINET、S7comm |
| 停机容忍 | 分钟级可接受(维护窗口) | 零容忍 — 每分钟数万元损失 |
| 资产清单 | CMDB 覆盖率 ~95% | Excel 表格 / "老师傅脑子里" |
Cisco 的答案:IT 拥有安全专业能力,OT 拥有工艺知识——Cyber Vision 提供一个双方都能理解的共同语言,将 OT 资产的"方言"翻译成 IT 安全团队熟悉的 CMDB、CVE、风险评分语言 [10]。
保护 OT 环境不是一蹴而就的"大爆炸"项目,而是一段渐进式旅程。Cisco 将其归纳为四个递进阶段,每一步都构建在前一步的基础之上 [11]。
部署 Cyber Vision,发现所有 OT 资产、通信关系和已知漏洞。这是一切后续安全措施的基石——"You cannot protect what you cannot see." [12]
利用 ISE + TrustSec SGT 和 Secure Firewall,根据 IEC 62443 Zone & Conduit 模型对 OT 网络实施微分段,限制横向移动。
通过 Secure Equipment Access(SEA)实施零信任远程访问,取代不安全的 VPN / TeamViewer / VNC 等工具,实现最小权限 + 会话录制。
集成 XDR + Splunk + SOAR,建立 IT/OT 统一的威胁检测与自动化响应能力,满足 NIS2 的 24 小时事件上报要求。
| 阶段 | Cisco 方案 | NIST CSF 2.0 | NIS2 关键条款 | IEC 62443 映射 |
|---|---|---|---|---|
| ① 可视化 | Cyber Vision | 识别(ID):资产管理、风险评估 | Art.21(2)(a) — 风险分析 | FR 1 — 标识与认证 SR 1.1 |
| ② 分区分段 | ISE + Firewall + TrustSec | 保护(PR):访问控制、数据安全 | Art.21(2)(b) — 事件处置 | FR 5 — Zone / Conduit |
| ③ 安全远程 | SEA(ZTNA) | 保护(PR):身份管理、远程访问 | Art.21(2)(d) — 供应链安全 | FR 2 / FR 4 — 使用控制 |
| ④ 检测响应 | XDR + Splunk + SOAR | 检测(DE)+ 响应(RS) | Art.23 — 24h 上报 | FR 6 / FR 7 — 及时响应 |
Cisco 的核心理念是将安全能力嵌入已有网络基础设施——工业交换机 IE3400/IE9300 既是数据传输设备,也是安全传感器、策略执行点和远程访问网关 [13]。
这意味着 IT 网络团队不需要在车间部署全新的安全架构,而是通过软件激活(Cyber Vision 传感器 App)和策略配置(ISE + TrustSec),就能将 OT 环境纳入统一的安全管理体系。
既然"可视化"是一切的起点,那 Cyber Vision 究竟是什么?它如何工作?下一章,我们将深入 Cisco Cyber Vision 的产品架构与核心能力。
Cyber Vision 采用经典的边缘计算 + 集中分析双层架构。传感器(Sensor)部署在尽可能靠近 OT 设备的网络接入层,执行深度包检测(DPI),仅将轻量级元数据(约占原始流量的 2–5%)上传至中心(Center)[8]。中心负责聚合、关联分析、漏洞匹配、IDS 规则比对,并提供统一 Web UI 和北向 API。
"Don't build a second highway to watch traffic — activate cameras on the roads you already have."
传统 OT 可视化方案需要部署 SPAN/TAP + 独立采集器,相当于在原有网络旁边"重建一条公路来观察交通"。Cyber Vision 的做法完全不同——直接在已有的 Cisco 工业交换机内激活 DPI 传感器(IOx App),就像在现有公路上"打开监控摄像头"。这一设计带来三大优势:
Center 是 Cyber Vision 的集中管理与分析平台,负责接收传感器元数据,执行以下核心功能:
| 部署形态 | 型号 / 规格 | 最大资产数 | 最大传感器 | 适用场景 |
|---|---|---|---|---|
| 硬件一体机 | CV-CNTR-M6N UCS M6 工业级机架 | 50,000 | 300 | 大型制造基地,单站点高密度部署 |
| 虚拟机(VM) | Small — 4 vCPU / 8 GB | 1,000 | 10 | VMware ESXi 7.0+,灵活按需扩容 |
| Medium — 8 vCPU / 16 GB | 10,000 | 50 | ||
| Large — 16 vCPU / 32 GB | 50,000 | 300 | ||
| 云托管 | Cisco 托管 SaaS(需联网) | 按订阅 | 按订阅 | 分布式小型站点,缺乏本地运维能力 |
| Global Center | 多 Center 联邦 v5.5 Site Manager 增强 | 跨站汇总 | — | 全球多工厂统一视图,区域 Center + 总部 GC |
对于拥有多个工厂的制造企业,v5.5 新增的 Site Manager 功能提供:① 多站点 Center 健康状态集中监控(CPU / 内存 / 磁盘 / 证书有效期);② 自动推送知识库(KDB)更新到所有子 Center;③ IP 地理定位 + 站点地图一览。这让跨国制造企业的 IT 安全团队可以在总部 SOC 获得"一屏知全局"的 OT 安全态势感知 [9]。
传感器是 Cyber Vision 的"感知末梢",负责在网络边缘执行深度包检测(DPI),解码工业协议内容,提取设备属性、变量值、通信关系等元数据。
理解了 Center + Sensor 的基础架构后,让我们深入 Cyber Vision 提供的五大核心能力——也是制造业 OT 安全的"五步走"逻辑:先看清,再评估,然后监控,最后响应和协同。
被动 DPI(Passive Discovery):
主动发现(Active Discovery):
漏洞检测:
风险评分(Risk Score 0–100):
Cyber Vision 不仅是安全工具,也是 OT 运维的利器。它能捕获传统 IT 安全工具完全看不到的工业级上下文信息:
Snort IDS 引擎:
行为异常检测(Anomaly Detection):
Cyber Vision 不是一个"信息孤岛",而是 Cisco 安全架构的 OT 数据源。通过标准化接口,它将 OT 上下文(资产、漏洞、行为、风险)注入整个安全和运维技术栈:
| 集成目标 | 集成方式 | 核心价值 |
|---|---|---|
| ISE | pxGrid 资产画像 → SGT 分组 | 微分段 |
| Secure Firewall | CSDAC 动态对象 → 自动策略更新 | 虚拟补丁 |
| XDR | 事件上报 → 可视化调查 → 编排响应 | IT/OT 联合调查 |
| Splunk | REST API + Syslog → OT 仪表板 | 合规审计 / MITRE ICS |
| SEA 远程访问 | CV + SEA 统一 IOx App | ZTNA · 录屏 · 时间窗 |
※ 生态集成的详细架构和配置流程将在第七章中展开。
Cyber Vision 采用按端点(per-endpoint)而非按传感器计费的模型,分为两个层级:
适用场景:第一阶段——资产盘点 + 风险评估,适合预算有限、先建可见性的客户
适用场景:第二至四阶段——分段 + 远程 + 检测响应,适合需要完整安全闭环的成熟客户
了解了"是什么",接下来看"怎么运作"——第五章将深入 DPI 引擎、协议解码、标签系统和风险计算的技术细节。
从数据包到决策——逐层拆解 Cyber Vision 的技术引擎
如果说第四章回答了"是什么",本章将回答"怎么做到的"。Cyber Vision 的核心竞争力可以归纳为一条流水线:抓包 → 解码 → 建模 → 评分 → 告警。我们将沿着这条流水线,从交换机 ASIC 一直追踪到最终的风险仪表盘。
Cyber Vision 传感器的 DPI 引擎是整个系统的"感知层"。它以 IOx 容器的形式运行在 Cisco 工业交换机(如 IE3400、Catalyst 9300 系列)的专用 CPU 核心上,与交换转发面完全隔离,不占用数据面资源 [14]。
| 特性 | 说明 |
|---|---|
| ERSPAN 镜像 | 交换机 ASIC 将选定 VLAN/端口的流量以 ERSPAN(GRE 封装)格式送到内部 AppGigabitEthernet 接口,再由 IOx 容器接收。整个过程在芯片内部完成,不增加外部布线 [14]。 |
| 专用 CPU 核心 | IOx 容器被分配交换机 x86 CPU 的独立核心(IE3400 分配 1 核 + 最高 2GB 内存),确保 DPI 分析不影响交换面性能 [15]。 |
| 零注入(被动模式) | 默认工作模式下,传感器不向网络注入任何数据包——仅"看"不"说"。这对于要求零干扰的制药、半导体产线至关重要。 |
| 边缘预处理 | 传感器在边缘完成协议解码和元数据提取,仅将结构化元数据(非原始 PCAP)上传至 Center,极大减少 WAN 带宽消耗(通常 < 100 kbps)[14]。 |
IT 世界的流量大多是 HTTP/TLS/DNS——"标准普通话"。但 OT 世界是"方言的海洋":一条汽车产线可能同时跑着 EtherNet/IP(美系)、PROFINET(德系)、CC-Link(日系)、Modbus/TCP(通用)等截然不同的工业协议。Cyber Vision 的 DPI 引擎内置 400 余种工业及 IT 协议解码器,能够逐层解析到应用层语义——不仅知道"谁跟谁通信",还能理解"在做什么操作" [16]。
| 协议族 | 代表协议 | 解码深度示例 | 典型行业 |
|---|---|---|---|
| Modbus | Modbus/TCP, RTU over TCP | 功能码(读线圈/写寄存器)、寄存器地址、异常码 | 电力、水务、通用制造 |
| CIP | EtherNet/IP, DeviceNet | CIP 服务码、Object Class/Instance、设备身份对象(型号、序列号、固件) | 汽车、食品饮料(美系) |
| S7 | S7comm, S7comm Plus | CPU 运行/停止模式、DB 块读写、固件下载指令 | 汽车、化工(德系) |
| PROFINET | PROFINET IO, DCP | 设备名称、站号、I/O 数据交换状态、诊断帧 | 汽车、包装(德系) |
| OPC | OPC-UA, OPC-DA (Classic) | 节点浏览、订阅、读/写请求、安全策略 | 跨行业(IT/OT 桥梁) |
| 楼宇 | BACnet, LonWorks, KNX | 对象类型、属性读写、告警事件 | 智能楼宇、数据中心 |
| 电力 | DNP3, IEC 61850/MMS, IEC 104 | 数据对象类型、遥控/遥信、事件记录 | 电网、变电站 |
| IT 常见 | HTTP, TLS, DNS, SMB, RDP, SSH | 版本、加密套件、用户代理、文件操作 | 所有 IT/OT 混合环境 |
每个被发现的资产,Cyber Vision 都会自动赋予一组 Tag(标签)。Tag 是整个系统实现自动化分类、风险评估和策略联动的基石。Tag 分为两大类:
描述设备"是什么"的静态属性:
描述设备"在做什么"的动态行为:
Cyber Vision 为每个资产计算一个 0–100 分的风险评分,并在仪表盘中以颜色标识。分数越高,风险越大。其核心公式:
Risk Score = Impact × Likelihood
Cyber Vision 提供两种互补的资产发现方式。理解它们的差异是正确部署的关键。
| 项目 | 说明 |
|---|---|
| 原理 | 监听 ERSPAN 镜像流量,解析所有经过交换机的数据包 |
| 注入包数量 | 零 — 完全不向网络发送任何数据包 |
| 适用场景 | 所有 OT 环境,尤其是零干扰要求的产线(制药、半导体、核电) |
| 能发现什么 | 所有有网络通信行为的设备及其属性 |
| 盲区 | 不主动通信的"沉默"设备;NAT 后设备仅可见为 NAT IP;详细硬件属性可能缺失 |
| 默认状态 | 始终开启 — 基本工作模式 |
| 项目 | 说明 |
|---|---|
| 原理 | 通过传感器 eth2 接口向 OT 网络发送精心构造的工业协议请求包 |
| 注入包数量 | 极少 — 每次扫描仅数十至数百个包 |
| 适用场景 | 发现沉默设备、穿透 NAT、获取详细硬件信息 |
| 核心特点 | 闭环驱动(先被动后主动)、广播+单播、可穿透 NAT |
| 默认状态 | 需手动开启 — 由管理员按需触发或调度 |
发现资产只是起点。Cyber Vision 的真正价值在于持续监控——建立"什么是正常的"(基线),然后实时检测"什么偏离了正常"(异常)。
工厂不是 7×24 始终如一的——生产班次、维护窗口、换线调试期间的"正常"截然不同。Cyber Vision 支持为同一网络创建多个基线,并按场景切换 [19]:
正常生产期间的通信模式。任何偏离立即告警——例如工程站不应在此时段连接 PLC。
计划维护窗口的模式。允许工程站连接 PLC、固件更新等操作,但仍监控非预期行为。
产线切换产品配方时的模式。允许参数批量下发,但监控写入值是否在合理范围内。
最后,让我们把所有环节串联起来,形成 Cyber Vision 从"数据包到决策"的完整视图:
交换机 ASIC 通过 ERSPAN 将选定端口/VLAN 的流量镜像至 IOx 容器内部接口。
传感器 DPI 引擎对 400+ 工业/IT 协议进行 L2–L7 深度解析,提取设备属性与操作语义。
传感器生成结构化元数据(设备 Tag、通信关系、变量值),上传至 Center 聚合为统一资产模型。
Center 将资产属性与 CVE 知识库匹配,结合 Tag 权重计算 Risk Score(0–100)。
系统学习正常通信模式,建立多场景基线(生产/维护/换线)。
Snort IDS 规则匹配 + 行为偏离检测 → 生成告警事件 → 关联受影响资产 → 推送至 ISE/FW/XDR/SIEM。
Cyber Vision 的核心设计哲学是"不再为安全单独建网"——利用已有的工业交换机作为传感器,将部署成本与复杂度降至最低。本章将按规划 → 准备 → 部署 → 验证四步,提供可直接落地的实施指引。
正式部署前,IT/OT 联合项目组需回答以下四个核心问题。这些问题的答案直接决定架构选型与资源投入。
需要监测几个工厂/产线?每个工厂多少台工业交换机?是否需要跨站统一视图?
决策输出:Center 规格(Small / Medium / Large)、是否启用 Global Center 或 v5.5 Site Manager [20]。
现场已部署哪些交换机型号?IOS-XE 版本是否满足最低要求?是否配有 SD 卡或 SSD?
决策输出:选择 Network Sensor 或 Hardware / Docker / VM Sensor。
交换机是否支持 ERSPAN / RSPAN / 本地 SPAN?拓扑是树形、环形(REP/G.8032)还是星形?
决策输出:镜像策略(ERSPAN vs RSPAN vs 本地 SPAN)、是否需要汇聚层补盲。
是否已完成 IEC 62443 区域/管道划分?是否有 ISE、Firewall 可联动?
决策输出:是否启用 ISE pxGrid、CSDAC、XDR 集成(第七章详述)。
Cyber Vision Center 是整个平台的大脑,通常部署在 IT DMZ 或 L3.5 层。根据监控资产规模,可选不同部署形态 [20]:
| 部署形态 | 规格 | 资产上限 | vCPU / RAM / 磁盘 | 典型场景 |
|---|---|---|---|---|
| 虚拟机(VM) | Small | ≤ 10,000 | 8 vCPU · 16 GB · 200 GB | 单工厂 / PoC |
| Medium | ≤ 30,000 | 16 vCPU · 32 GB · 500 GB | 多产线 / 中型园区 | |
| Large | ≤ 100,000 | 24 vCPU · 64 GB · 1 TB | 超大工厂 / 跨区域 | |
| 硬件一体机 | — | ≤ 30,000 | 预装服务器 | 无虚拟化基础设施的工厂 |
| 云 / SaaS | — | 视订阅 | Cisco 托管 | 快速上线 / 无本地 IT |
| Global Center | — | 聚合多个 Center | 独立 VM(同上) | 跨工厂统一视图 |
Center 仅通过一个网络接口同时连接 IT 管理网络和 OT 传感器网络。部署简单,适合小型单站点。
Center 使用两个独立接口:一个面向 IT 管理网络(Web UI / API),一个面向 OT 传感器网络(数据接收)。安全隔离更佳,适合中大型部署。
| 方向 | 端口 | 协议 | 用途 |
|---|---|---|---|
| Sensor → Center | 443 | TLS | 数据上报 |
| Sensor → Center | 5671 | AMQPS | 消息队列 |
| Center → Sensor | 10514 | Syslog | 日志 |
| 双向 | 123 | NTP | 时钟同步 |
| 管理 | 22 | SSH | CLI 管理 |
| 管理 | 443 / 8443 | HTTPS | Web 管理界面 |
如使用单接口模式,以上端口需在 IT/OT 防火墙上放行(传感器→Center 方向)[22]。
Network Sensor 以 IOx 容器形式运行在 Cisco 工业交换机中。部署前需确认三项前提:平台型号、IOS-XE 版本、存储介质 [22]。
| 平台系列 | 最低 IOS-XE | 存储要求 | 最大采集速率 (pps) | 备注 |
|---|---|---|---|---|
| IE3300 | 17.02.01 | SD 卡(工业级) | ~5,000 | 入门首选;10GE 型号性能更高 |
| IE3400 | 17.02.01 | SD 卡 | ~5,000 | 支持 L2NAT;支持 RSPAN & ERSPAN |
| IE3500 (Cat) | 17.14.01 | SD 卡 | ~5,000 | 紧凑型 DIN 导轨安装 |
| IE9300 | 17.12.01 | 内置 SSD | ~15,000 | 大带宽场景 / 高密度汇聚 |
| IE9400 系列 | 17.16.01 | 内置 SSD | ~15,000+ | 模块化机箱 / 骨干级 |
| Catalyst 9300/9400 | 17.03.01 | SSD-240G 或 bootflash | ~20,000 | 汇聚层;v4.4 起可免 SSD |
| IR1100 / IR1800 | 17.08.01 | 内置闪存 / SD 卡 | ~3,000 | 远程站点 / 边缘网关 |
| IR8340 | 17.11.01 | 内置 SSD | ~8,000 | 严苛环境 / IP67 需求 |
format sdflash: 初始化 [22]。
以 IE3400 + Network Sensor(最常见的车间接入场景)为例,完整部署只需四个步骤。整个过程可在 15 分钟内完成单台交换机的传感器上线 [23]。
IOx 是 Cisco IOS-XE 内置的边缘计算框架,Cyber Vision 传感器以 IOx App 形式运行。
! 1. 格式化 SD 卡(首次)
Switch# format sdflash:
Format operation will destroy all data. Continue? [confirm] y
! 2. 启用 IOx
Switch(config)# iox
! 3. 验证 IOx 状态
Switch# show iox-service
IOxService : Running
dockerService : Running
Libvirtd : Running⏱ IOx 启动约需 60–90 秒,期间不影响正常数据转发。
传感器通过分析镜像流量来识别资产和威胁。推荐优先使用 ERSPAN(IP 封装 GRE 镜像),因为它不需要中间链路传输 RSPAN VLAN,配置更灵活 [23]。
! ── 方案 A:ERSPAN(以 IE3400 为例)──
Switch(config)# monitor session 1 type erspan-source
Switch(config-mon-erspan-src)# source interface Gi1/0/1 - 24 both
Switch(config-mon-erspan-src)# destination
Switch(config-mon-erspan-src-dst)# erspan-id 1
Switch(config-mon-erspan-src-dst)# ip address 10.x.x.x ← IOx 容器 IP
Switch(config-mon-erspan-src-dst)# origin ip address 10.x.x.y
Switch(config-mon-erspan-src-dst)# no shutdown
! ── 方案 B:RSPAN(IE3400)──
Switch(config)# vlan 2508
Switch(config-vlan)# remote-span
Switch(config)# monitor session 1 source interface Gi1/0/1 - 24 both
Switch(config)# monitor session 1 destination remote vlan 2508
! AppGigabitEthernet 1/1 连接 IOx 容器
Switch(config)# interface AppGigabitEthernet1/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 2508,<mgmt-vlan>Cisco 提供三种传感器安装方式。SME(Sensor Management Extension)是官方推荐路径,它通过 Center 的 Web UI 自动完成固件推送、证书注入和容器启动,无需逐台 CLI 操作 [23]。
| 安装方式 | 原理 | 适用场景 | 推荐度 |
|---|---|---|---|
| SME(推荐) | Center UI → 发现交换机 → 一键推送传感器固件 → 自动配置 | 批量部署 / 日常运维 | ⭐⭐⭐ |
| 手动 CLI | 通过 IOS-XE CLI(app-hosting)手动安装 IOx 包 |
网络受限 / 特殊调试 | ⭐⭐ |
| ZTP(零接触) | 交换机首次开机自动从 DHCP/TFTP 拉取配置 + 传感器包 | 全新工厂 / 大规模绿地部署 | ⭐⭐ |
传感器安装完成后,登录 Center Web UI 执行以下检查:
Connected,版本与 Center 一致。制造业车间网络拓扑多样,不同拓扑对传感器位置的选择有直接影响。以下是三种典型场景及其最佳布放策略 [24]:
最常见的分层接入架构。在每台接入层 IE3x00 上部署 Network Sensor,获得最大东西向可见性。汇聚层 Cat9300 可补充南北向视图。
REP / G.8032 环网常见于高可用产线。建议在环内每台交换机部署传感器,因为环形流量路径随拓扑变化而改变,单点部署可能遗漏。
非 Cisco 交换机环境。使用 Hardware Sensor(IC3000)或 Docker/VM Sensor 通过 SPAN/TAP 接入。也可在汇聚层 Cisco 设备上部署 Network Sensor 作为补充。
制造业中 NAT(网络地址转换)普遍存在——不同产线使用相同的 IP 段是常态。传感器的部署位置相对于 NAT 边界至关重要 [24]。
传感器看到的是真实 OT IP 地址,资产清单准确,通信矩阵无失真。IE3400 支持 L2NAT 功能,可在同一交换机上同时完成 NAT 和传感器部署。
传感器看到的是 NAT 转换后的 IP,多条产线的设备会映射为同一 IP 段,导致资产合并、通信关系混淆。应尽量避免,或结合多个 NAT 下游传感器联合去重。
对于需要快速评估价值但尚未获得产线停机窗口的项目,Cyber Vision 支持直接上传 PCAP 文件进行离线分析——无需在任何交换机上安装传感器 [25]。
在车间交换机上用 monitor capture 或外置 TAP + Wireshark 抓取 PCAP 文件(建议 ≥ 1 小时)
在 Center UI 中选择 Admin → PCAP Upload,上传 .pcap / .pcapng 文件
系统自动执行 DPI 解析,生成资产清单、通信矩阵、风险评分——与在线传感器效果一致
自 v5.3 起,Cisco 推出了 Cyber Vision + Secure Equipment Access(SEA)一体化 IOx 应用。在同一台工业交换机的 IOx 容器中,同时运行 CV 传感器(OT 可见性)和 SEA 代理(安全远程访问网关),无需额外硬件 [25]。
资产发现 · 协议解析 · 威胁检测 · 风险评分
零信任远程访问 · 会话录制 · 最小权限 · MFA
零额外硬件 · 单一 IOx 部署 · 统一运维 · 降低 TCO
将本章所有要点提炼为可打印的部署清单,便于现场工程师逐项勾选。
iox)传感器部署完成后,Cyber Vision 的价值才真正释放。下一章将展示如何通过 ISE · Secure Firewall · XDR · Splunk 四大生态集成,将 OT 可见性转化为可执行的安全策略。
Cyber Vision 不是孤岛——它是 Cisco 安全架构的 OT 数据引擎
在第三章的安全旅程中,阶段二——网络分段被 Cisco 视为工业安全 ROI 最高的投资。而 ISE(Identity Services Engine)正是实现分段策略的核心平台。Cyber Vision 与 ISE 的集成,解决了一个根本性难题:OT 设备不做 802.1X 认证,ISE 怎么知道它们是什么?
答案是:Cyber Vision 充当 OT 世界的"身份提供者",通过 pxGrid 协议把丰富的资产属性推送给 ISE,让 ISE 能够对 OT 设备执行基于身份的策略——即使这些设备从未做过任何认证。
Cyber Vision 资产标签 & 漏洞 → pxGrid → ISE Endpoint Context → Policy → 交换机 SGT / dACL 执行
| 属性 | 示例值 | ISE 用途 |
|---|---|---|
| Asset Name | Siemens S7-1500 CPU 1516F | 设备识别 / 终端分组 |
| Device Type Tag | PLC, HMI, VFD | 授权策略条件匹配 |
| Vendor | Siemens, Rockwell | 供应商分组策略 |
| Firmware Version | V2.9.4 | 合规检查 |
| CVE List | CVE-2023-46590 | 风险评估 / 隔离触发 |
| Risk Score | 8.7 / 10 | 动态策略调整 |
| Network Group | Line-3-Welding | 区域划分 |
| MAC / IP | 00:1A:2B:xx:xx:xx | 终端绑定 |
以 IEC 62443 Zone & Conduit 模型为目标,典型的 ISE 微分段实施分 4 步:
利用 Cyber Vision 的 Group 功能,按照生产线 / 工站 / 功能区将设备分组。例如:Zone-Welding、Zone-Paint、Zone-Assembly。这些分组通过 pxGrid 同步到 ISE。
在 ISE 中创建对应的 SGT 标签(如 SGT_OT_Welding = 1001),编写授权策略:当 Cyber Vision Device Type = PLC 且 Network Group = Zone-Welding 时,分配 SGT 1001。
定义 SGT 之间的访问规则。例如:SGT_OT_Welding ↔ SGT_OT_Paint = Deny(不同产线间隔离),SGT_OT_Welding ↔ SGT_IT_SCADA = Permit SCADA Protocols Only。
ISE 通过 RADIUS/CoA 将 SGT 标签推送到 IE3300/IE3400 等工业交换机,交换机在硬件层面执行标签转发和 SGACL 过滤。OT 设备无需任何改动,网络即成为执行层。
| 配置项 | 说明 |
|---|---|
| pxGrid 版本 | 推荐 pxGrid 2.0(基于 WebSocket / REST),ISE 3.1+ 默认支持 |
| 证书 | CV Center 需在 ISE 注册为 pxGrid Client,需安装 ISE Root CA 签发的客户端证书 |
| 同步方向 | 单向:Cyber Vision → ISE(CV 发布,ISE 订阅) |
| 同步频率 | 近实时(设备发现/变更后数秒内推送) |
| ISE 版本要求 | ISE 3.1 Patch 1 及以上(推荐 3.3+) |
| CV 版本要求 | Cyber Vision 5.0+(推荐 5.4+) |
| 许可要求 | Cyber Vision Advantage 许可(pxGrid 集成为 Advantage 功能) |
传统防火墙策略基于静态 IP 地址,但 OT 环境的现实是:设备可能使用 DHCP(尤其是移动工站、AGV);生产线扩容时新设备不断上线;CVE 披露后需要紧急对受影响设备实施"虚拟补丁"。手动维护 IP 列表 = 运维噩梦 + 安全延迟。CSDAC(Cisco Secure Dynamic Attributes Connector)解决了这个问题。
Cyber Vision 资产标签 / 漏洞 → REST API → CSDAC 动态对象 → API → FMC / cdFMC → Policy → Secure Firewall 执行
🎯 场景:2024 年 6 月,Siemens 发布 CVE-2024-XXXXX,影响 S7-1500 FW < V3.1.0。你的工厂有 47 台受影响 PLC,补丁需要停产窗口才能安装。
传统方式:安全团队手动查找 47 台 PLC 的 IP 地址 → 编写防火墙规则 → 等待变更审批 → 部署。耗时:3–7 天。
Cyber Vision + CSDAC 方式:
OT-Vuln-CVE2024XXXXX,包含 47 个 IP| Cyber Vision 属性 | FMC 动态对象名 | 典型策略用途 |
|---|---|---|
| Device Type = PLC | OT-PLCs-All | 限制仅允许 SCADA 协议 |
| Device Type = HMI | OT-HMIs-All | 阻断出站互联网访问 |
| Vendor = Siemens && CVE ≠ null | OT-Siemens-Vulnerable | 虚拟补丁规则 |
| Risk Score ≥ 8.0 | OT-HighRisk | 增强监控 / 限制通信 |
| Group = Zone-Paint | OT-Zone-Paint | 区域间隔离规则 |
| 配置项 | 说明 |
|---|---|
| CSDAC 部署位置 | Docker 容器(Linux VM 上运行),或 FMC 7.4+ 内置 CSDAC 功能 |
| 连接方式 | CSDAC → Cyber Vision Center REST API(HTTPS,Token 认证) |
| 同步间隔 | 可配置(默认 30 秒),近实时 |
| FMC 版本 | FMC 7.2+(推荐 7.4+,原生支持 OT Dynamic Attributes) |
| CV 版本 | Cyber Vision 5.0+(REST API v3) |
| 许可要求 | CV Essentials 即可(REST API 为基础功能);IPS 功能需 Firewall Threat License |
Cisco XDR(原 SecureX)是 Cisco 的扩展检测与响应平台,旨在将多个安全产品的告警、上下文和响应能力统一到一个界面。Cyber Vision 与 XDR 的集成,实现了 OT 威胁事件在企业级 SOC 的可见性。
Cyber Vision 的关键 OT 指标(资产数量、高风险设备、活跃告警)直接显示在 XDR Dashboard 的 Ribbon 区域,让 SOC 分析师一眼看到 OT 安全态势。
在 XDR Incident 中,可直接查看 Cyber Vision 提供的 OT 资产详情:设备类型、固件版本、已知漏洞、通信伙伴。无需在多个控制台之间切换。
利用 XDR 的 Workflow / Playbook 功能,可编排自动化响应流程。例如:CV 检测到 PLC 固件被篡改 → 自动创建 Incident → 通知 SOC → 联动 ISE 隔离设备。
🔍 场景:SOC 分析师在 XDR 中看到一个 Incident:某工程师笔记本(IT 终端)出现了异常行为——该终端在非工作时间连接到了 OT 网段,并发起了 S7comm 通信。
XDR 联合调查流程:
svc_update.exe,哈希值匹配已知 RAT 工具| 配置项 | 说明 |
|---|---|
| 连接方式 | Cyber Vision Center → Cisco XDR Cloud(HTTPS REST API) |
| 数据类型 | 资产清单、事件告警、风险评分、Syslog 转发 |
| XDR 模块 | 需启用 "Cisco Cyber Vision" 集成模块(XDR Integration Catalog) |
| 许可 | CV Advantage(XDR 集成为高级功能);XDR 需有效订阅 |
| v5.5 增强 | Cyber Vision 5.5 增强了对 XDR Incident 的原生告警推送,减少了自定义配置 |
对于许多制造企业而言,Splunk 或其他 SIEM 平台(QRadar、Sentinel 等)才是安全运营的"真正中心"。SOC 团队的日常工作流在 SIEM 中完成,合规审计报告从 SIEM 中导出。因此,Cyber Vision 的数据必须能够流入 SIEM,才能真正被消费。
| 方式 | 协议 | 适用场景 | 数据内容 |
|---|---|---|---|
| Syslog 转发 | Syslog (UDP/TCP/TLS) | 通用 SIEM,快速集成 | 事件告警、系统日志 |
| REST API 拉取 | HTTPS REST | 需要丰富资产数据的 SIEM | 资产清单、漏洞、标签、流量统计 |
| Splunk OT Security Add-on | REST API(专用) | Splunk 用户的最佳方案 | 预构建 Dashboard、CIM 映射、OT 资产索引 |
Cisco 为 Splunk 提供了专门的 OT Security Add-on for Splunk(可从 Splunkbase 下载),其优势包括:
Cisco Secure Equipment Access(SEA)是 Cisco 专为 OT 环境设计的零信任远程访问(ZTNA)解决方案。它解决了工业环境中一个长期痛点:第三方供应商和远程工程师需要访问产线设备进行维护,但传统 VPN 提供的是"一旦连接就全网可达"的粗粒度访问。
SEA 提供的是基于身份、时间、设备的细粒度远程访问:特定人员,只能在特定时间窗口内,访问特定的 OT 设备,且所有操作被完整记录。
SEA Gateway Agent 和 CV Sensor 都以 IOx 应用形式运行在 IE3300/IE3400/IE9300 等工业交换机上。一台交换机同时承载两个应用,无需额外硬件。
当远程工程师通过 SEA 访问 PLC/HMI 时,CV Sensor 同时监控该会话的 OT 协议层行为。如果执行了超出授权范围的操作,Cyber Vision 会立即告警。
SEA 记录"谁在什么时间访问了什么设备",CV 记录"该访问中实际执行了什么 OT 操作"。两者结合,构成完整的远程维护审计链。
| 特性 | 说明 |
|---|---|
| 零信任访问 | 每次会话单独验证身份(支持 SSO / MFA),基于策略授权到具体设备和协议 |
| 无需 VPN 客户端 | 远程用户通过 Web 浏览器访问,支持 RDP、VNC、SSH、HTTP/S 等协议代理 |
| 时间窗口控制 | 可设定访问时间窗口(如"周三 02:00–06:00 维护窗口"),超时自动断开 |
| 会话录制 | 完整录制远程操作画面(视频回放),满足审计合规要求 |
| 审批工作流 | 远程访问请求需经 OT 运维人员审批,支持多级审批链 |
| IOx 共存 | 与 CV Sensor 共享同一交换机的 IOx 资源,需注意 CPU/RAM 分配 |
| 集成目标 | 集成方式 | 核心价值 | CV 许可 | 优先级 |
|---|---|---|---|---|
| ISE | pxGrid 2.0 | OT 微分段(SGT) | Advantage | ⭐⭐⭐⭐⭐ |
| Secure Firewall | CSDAC + REST API | 虚拟补丁、动态策略 | Essentials | ⭐⭐⭐⭐⭐ |
| XDR | REST API / Cloud | IT/OT 联合调查与响应 | Advantage | ⭐⭐⭐⭐ |
| Splunk | OT Security Add-on | 合规审计、关联分析 | Essentials | ⭐⭐⭐⭐ |
| 其他 SIEM | Syslog + REST API | 事件聚合、合规日志 | Essentials | ⭐⭐⭐ |
| SEA | IOx 共存 + 审计联动 | 安全远程访问 + OT 监控 | Essentials | ⭐⭐⭐⭐ |
| DNA Center / Catalyst Center | API | 网络管理统一视图 | Essentials | ⭐⭐⭐ |
部署 Cyber Vision Sensor & Center → 建立资产清单 & 通信基线 → 接入 Splunk / SIEM(Syslog)实现事件可见。此阶段无需 Advantage 许可,Essentials 即可起步。
集成 ISE(pxGrid)实现微分段 + 集成 Secure Firewall(CSDAC)实现虚拟补丁。升级至 Advantage 许可。同步部署 SEA 管控第三方远程访问。
集成 XDR 实现 IT/OT 联合调查 → 构建自动化 Playbook → 持续优化分段策略和告警规则。目标:从被动监控到主动防御的转变。
还记得第一章里那个因勒索软件瘫痪 11 天、损失 3,200 万元的制造工厂吗?让我们重新审视那个时间线,这次假设工厂已部署了 Cisco Cyber Vision——看看结局会如何改变。
攻击者通过 VNC 渗入 IT 网络,无人察觉
OT 网络扫描与后门植入,完全不可见
勒索软件引爆,4 条产线全线停产 11 天
损失 ¥3,200 万,2 家 OEM 客户流失,监管罚款 ¥180 万
VNC 暴露面在资产清单中已标记为高风险,ISE 策略限制其访问范围
异常 Modbus/S7 扫描行为触发实时告警,SOC 团队介入调查
ISE 联动自动隔离可疑终端,Firewall 阻断横向移动,攻击被遏制
零停产,安全团队在数小时内完成取证与加固
纵观全文,我们可以提炼出五个关键认知:
AI 降低攻击门槛、勒索软件瞄准关基行业——制造业每次停机平均损失超百万美元。"空气隔离"已是过去式 [1][2]。
NIS2、IEC 62443、等保 2.0 等法规要求企业必须具备 OT 资产可视化、风险评估与事件响应能力。罚款金额高达营业额的 2% [3][4]。
你无法保护你看不见的东西。Cyber Vision 通过网络交换机内嵌传感器实现 100% 被动发现,无需加装额外硬件 [8][9]。
利用已有 Cisco IE/Catalyst 交换机作为传感器,零额外采购、零停机部署。与 ISE、Firewall、XDR、Splunk 形成闭环生态 [10][26][27]。
Cisco 工业安全四阶段路线(可视化→分段→远程访问→检测响应)允许按需演进,每一步都产生即时价值 [12][13]。
以下 KPI 基于行业基准数据和 Cisco 客户案例,展示部署 Cyber Vision 后的典型改善效果:
| 关键指标 | 部署前 | 部署后 |
|---|---|---|
| OT 资产可见率 | ~20% | 98%+ |
| 平均威胁检测时间 (MTTD) | ~200 天(行业平均) | < 1 小时 |
| 合规审计准备时间 | 数周(手工盘点) | 数分钟(一键报告) |
| 停机恢复时间 (MTTR) | 11 天(事件案例) | < 4 小时(自动化响应) |
数据来源:Ponemon Institute 2024、Cisco 客户案例。实际 ROI 因企业规模和行业而异 [35]。
无论您是刚开始关注 OT 安全的 IT 团队,还是已有一定基础的制造企业,以下三阶段行动路线图可供参考:
不会。默认的被动发现模式完全不向网络注入任何数据包,传感器运行在交换机的独立 CPU 核心上,与数据转发面完全隔离。已在全球数千个产线环境中验证。
可使用 Hardware Sensor(IC3000)通过 SPAN/TAP 接入,或部署 Docker/VM Sensor。同时可在汇聚层 Cisco 设备上部署 Network Sensor 作为补充,获得 70–80% 可见性。
Essentials 许可按端点计费,100 端点起步即可覆盖一个车间。结合已有 Cisco 交换机,无需额外硬件投入。PCAP 上传 PoC 甚至零成本即可启动评估。
能看到:设备类型、厂商、型号、固件版本、序列号、通信关系、协议类型、变量读写、程序上下载、已知 CVE。看不到:加密流量的 payload 内容(但可识别加密协议类型)、不产生任何网络流量的离线设备(可通过主动发现部分弥补)。
单台交换机传感器部署 ~15 分钟。典型单工厂(50–100 台交换机)从规划到上线通常 2–4 周。PCAP PoC 可在 2 天内出具报告。
每一天没有 OT 可视化,就是对未知风险的一天赌注。
好消息是——起步从未如此简单。
或联系您的 Cisco 客户经理 / 合作伙伴,申请免费 PoC 试用。
看见,才能保护。行动,从现在开始。🚀
本文中涉及的关键术语速查,按字母排序。
| 术语 | 英文全称 | 简要说明 |
|---|---|---|
| BACnet | Building Automation and Control Networks | 楼宇自动化通信协议,常见于 HVAC、照明等系统。 |
| CIP | Common Industrial Protocol | Rockwell/Allen-Bradley PLC 使用的工业通信协议,运行于 EtherNet/IP 之上。 |
| CSDAC | Cisco Secure Dynamic Attributes Connector | 将 Cyber Vision 设备组自动映射为 Secure Firewall 动态对象的连接器。 |
| CVE | Common Vulnerabilities and Exposures | 公开漏洞编号系统,每个漏洞有唯一 CVE-ID。 |
| CVSS | Common Vulnerability Scoring System | 漏洞严重性评分体系(0–10 分),用于评估 CVE 的风险等级。 |
| DCS | Distributed Control System | 分布式控制系统,常见于化工、石油等流程工业。 |
| DNP3 | Distributed Network Protocol 3 | 电力和水务行业 SCADA 系统常用的通信协议。 |
| DPI | Deep Packet Inspection | 深度包检测,Cyber Vision 的核心技术,解析 L2–L7 协议语义。 |
| ERSPAN | Encapsulated Remote SPAN | 将镜像流量封装在 GRE 隧道中远程传输到传感器,Cyber Vision 首选镜像方式。 |
| HMI | Human-Machine Interface | 人机界面,操作员用于监控和控制工业过程的图形化终端。 |
| ICS | Industrial Control Systems | 工业控制系统的总称,包括 SCADA、DCS、PLC 等。 |
| IEC 62443 | IEC 62443 Series | 工业自动化和控制系统(IACS)安全的国际标准系列,定义了区域与管道模型。 |
| IOx | Cisco IOx (IOS + Linux) | Cisco 交换机/路由器上的应用托管平台,Cyber Vision 传感器以 IOx 容器运行。 |
| ISE | Cisco Identity Services Engine | Cisco 的身份与网络准入控制平台,通过 pxGrid 与 Cyber Vision 集成。 |
| MES | Manufacturing Execution System | 制造执行系统,连接 ERP 与车间层,管理生产调度、质量、设备等。 |
| Modbus TCP | Modbus over TCP/IP | 最广泛使用的工业串行通信协议之一,常见于 PLC 和传感器。 |
| MTTD / MTTR | Mean Time to Detect / Respond | 平均检测时间 / 平均响应时间,衡量安全运营效率的关键指标。 |
| NIS2 | Network and Information Security Directive 2 | 欧盟第二版网络与信息安全指令,2024 年 10 月生效,覆盖制造、能源等关基行业。 |
| OPC-UA | Open Platform Communications Unified Architecture | 跨平台工业通信标准,Industry 4.0 的核心协议之一。 |
| OT | Operational Technology | 运营技术,指用于监控和控制物理过程的硬件与软件(如 PLC、SCADA、DCS)。 |
| PLC | Programmable Logic Controller | 可编程逻辑控制器,工业自动化的核心执行设备。 |
| PROFINET | Process Field Network | Siemens 主导的工业以太网协议,广泛用于欧洲制造业。 |
| pxGrid | Platform Exchange Grid | Cisco ISE 的上下文共享框架,允许第三方/Cyber Vision 交换设备信息。 |
| S7comm | S7 Communication Protocol | Siemens S7 系列 PLC 的专有通信协议。 |
| SCADA | Supervisory Control and Data Acquisition | 数据采集与监控系统,用于远程监控和控制分布式工业过程。 |
| SEA | Secure Equipment Access | Cisco 安全远程访问解决方案,以 IOx 应用形式部署在 IE 交换机上。 |
| SGT | Scalable Group Tag (TrustSec) | Cisco TrustSec 可扩展组标签,用于基于身份的网络微分段。 |
| SME | Sensor Management Extension | Cyber Vision 传感器管理扩展,通过 Center UI 批量管理传感器。 |
| SPAN / RSPAN | Switched Port Analyzer / Remote SPAN | 交换机端口镜像技术,将指定端口流量复制到监控端口。RSPAN 可跨 VLAN 镜像。 |
| TrustSec | Cisco TrustSec | Cisco 基于 SGT 的软件定义分段框架,实现无需修改 ACL 的身份驱动策略。 |
| XDR | Extended Detection and Response | 扩展检测与响应平台,Cisco XDR 将 IT/OT 安全事件统一关联分析。 |
| Zone / Conduit | 安全区域 / 管道 | IEC 62443 定义的 OT 网络分段模型:将资产分组为区域,区域间通信通过管道控制。 |