8、构建威胁情报框架：保障海事网络安全

构建威胁情报框架：保障海事网络安全

1. 威胁检测

在海事领域，保障网络安全至关重要，而威胁检测是其中的关键环节。MAINFRAME采用了基于开源解决方案OSSEC的SIEM系统，以应对船舶信息安全方面的固有问题。该SIEM系统经过配置，能够实现完整的船舶网络检测机制，满足海事行业的需求，对船舶的IT和OT系统进行全面监控。

1.1 事件监控（EMon）

EMon组件能够对船舶上的多种设备和系统进行监控，及时发现网络威胁。具体监控内容如下：
1. 网络和电信设备
2. 通过防火墙的进出连接及日志转发
3. 所有安装的操作系统
4. 文件完整性
5. 日志
6. 进程
7. 系统感染情况
8. 最重要的是，将收集到的所有信息安全相关日志填充到VERACITY的威胁情报数据库中

EMon通过VERACITY作为服务提供，有助于收集威胁情报，不仅对特定船舶或港口有益，还能提升整个海事生态系统的安全意识和稳健性。VERACITY作为第三方平台，能够公正地收集全球船队的信息。

1.2 事件检测（EDec）

EDec组件同样基于OSSEC，包含以下几个重要部分：
- 入侵检测 ：对各类系统进行实时监测，发现潜在的入侵行为。
- 威胁情报统一 ：保护船舶资产免受已知威胁，并且会根据VERACITY识别的新威胁或感染途径及时更新。
- 警报子系统 ：能够实时向相关人员（如IT部门、安全分析师）通报网络中发生的