工控安全審計系統

工控安全審計是面向工業(yè)控制網(wǎng)絡(luò ),實(shí)時(shí)監測網(wǎng)絡(luò )攻擊和異常行為的硬件產(chǎn)品,滿(mǎn)足國家等級保護的安全技術(shù)要求。產(chǎn)品采用工業(yè)級的硬件設計,專(zhuān)門(mén)針對工業(yè)控制網(wǎng)絡(luò )的信息安全審計平臺。采用旁路部署模式,對工業(yè)生產(chǎn)過(guò)程“零風(fēng)險”,利用黑名單、白名單、自定義規則等多種安全策略,通過(guò)內置的工控協(xié)議(如Modbus TCP, OPC、 Siemens S7、 DNP3、IEC104、Ethernet/IP、MMS、 PROFINET和BacNet等)深度解析引擎,實(shí)時(shí)監測工控網(wǎng)絡(luò )中違規行為、異常流量和不明設備接入,讓用戶(hù)實(shí)時(shí)全面掌握工控網(wǎng)絡(luò )安全運行狀況;通過(guò)完整的記錄并留存工控網(wǎng)絡(luò )流量,為事后取證和溯源分析提供依據。 產(chǎn)品可廣泛應用于電力、石油、石化、煙草、水利、軌道交通、智能制造等領(lǐng)域,為SCADA, DCS, PLC以及智能終端等系統提供高效可靠的安全監測,滿(mǎn)足行業(yè)政策法規及安全技術(shù)要求。

工控協(xié)議深度解析

支持OPC,Modbus TCP/UDP, IEC104, DNP3, Profinet, MMS,S7, GOOSE, SV,Ethernet/IP等數十種工控協(xié)議報文的深度解析和檢測。例如報文格式檢查、功能碼控制、寄存器控制,連接狀態(tài)控制等的檢測。

工控行為規則自學(xué)習

基于對工控協(xié)議的深度解析,分析工控協(xié)議通信行為過(guò)程,自動(dòng)學(xué)習基于工控協(xié)議的操作行為和規則,對正常工控協(xié)議的通信行為建立模型,以此作為可信白名單防護的基線(xiàn),并可通過(guò)自定規則進(jìn)行強化,可準確識別不合規操作等異常通信行為并產(chǎn)生告警。

多重規則自定義

支持自定義工控協(xié)議白名單,對指定協(xié)議的操作進(jìn)行細粒度檢測和審計。支持通過(guò)協(xié)議特征的方式添加新的協(xié)議,并可以對新添加的協(xié)議進(jìn)行識別,規則匹配,產(chǎn)生相關(guān)安全事件。

實(shí)時(shí)工控入侵檢測

實(shí)時(shí)檢測工控網(wǎng)絡(luò )中的攻擊行為,利用內置的工控威脅庫,根據己知的威脅特征建立檢測規則,對網(wǎng)絡(luò )中的工控漏洞攻擊、病毒攻擊等入侵行為進(jìn)行實(shí)時(shí)告警。

工控網(wǎng)絡(luò )異常狀態(tài)檢測

系統基于對工控協(xié)議(Modbus TCP/UDP、OPC. Siemens S7、DNP3、 IEC104,Ethernet/P,MMS、 PROFINET和FINS等)的通信報文進(jìn)行采集與深度解析,對協(xié)議、流量等元素進(jìn)行統計分析,實(shí)時(shí)顯示網(wǎng)絡(luò )的運行狀態(tài)。采用異常流量檢測方法,通過(guò)對網(wǎng)絡(luò )流量、通信行為建立模型基線(xiàn),識別異常流量和異常通信行為并產(chǎn)生告警,可準確識別如:異常指令操作、異常網(wǎng)絡(luò )連接、不明接入設備(IP地址)等異常狀態(tài)。支持工業(yè)協(xié)議無(wú)流量監測功能,可持續監測指定工業(yè)協(xié)議的通信狀態(tài),對流量異常中斷事件進(jìn)行實(shí)時(shí)報警。

流量分析可視化

支持圖形化的事件顯示、網(wǎng)絡(luò )流量監控，給用戶(hù)提供豐富的圖形報表。

安全審計及響應

完整記錄工業(yè)網(wǎng)絡(luò )的重要操作行為、網(wǎng)絡(luò )會(huì )話(huà)、異常告警、原始報文,對安全事件進(jìn)行審計,及時(shí)追溯安全事件的軌跡,便于事后調查取證和回溯分析。獨立的告警響應機制,可定義對不同安全級別的安全事件的響應方式。支持對報文進(jìn)行規約檢查,對不符合協(xié)議規約的報文,實(shí)時(shí)上報規約告警事件。支持對指定會(huì )話(huà)進(jìn)行審計,實(shí)時(shí)審計會(huì )話(huà)的IP,端口,協(xié)議,上下行報文數和字節數等信息;支持對組態(tài)變更,控制指令變更, PLC下裝,負載變更等所有寫(xiě)操作作為關(guān)鍵事件進(jìn)行審計。

網(wǎng)絡(luò )數據安全留存

系統默認對所有工控網(wǎng)絡(luò )的原始數據進(jìn)行加密存儲,審計數據可留存六個(gè)月及以上時(shí)間,也可根據用戶(hù)自定義設置數據留存事件,滿(mǎn)足行業(yè)相關(guān)的合規性要求。

貼合工業(yè)環(huán)境的硬件設計

產(chǎn)品硬件采用了適應工業(yè)環(huán)境的硬件設計。 防護等級IP40,滿(mǎn)足工控網(wǎng)絡(luò )應用環(huán)境要求。通過(guò)工業(yè)級寬溫測試，工作溫度、濕度滿(mǎn)足工業(yè)現場(chǎng)要求。低功耗、無(wú)風(fēng)扇、全封閉設計。

支持多重檢測機制

通過(guò)“黑名單+白名單”策略構建多重檢測機制,準確識別不合規操作等異常通信行為,并產(chǎn)生告警。采用以下手段進(jìn)行攻擊威脅防護： 1)支持對已知攻擊行為的檢測和防護,內置了龐大可升級的工控威脅庫； 2)支持自學(xué)習工控協(xié)議規則和行為,建立安全檢測模型; 3)可通過(guò)白名單防護阻止一切不明的威脅。

完整記錄工控安全事件

完整記錄工業(yè)網(wǎng)絡(luò )的重要操作行為、網(wǎng)絡(luò )會(huì )話(huà)、異常告警、原始報文,便于事后調查取證和回溯分析。

工業(yè)協(xié)議無(wú)流量檢測

支持工業(yè)協(xié)議無(wú)流量檢測功能,可持續監測指定工業(yè)協(xié)議和終端的通信狀態(tài),對流量異常中斷事件進(jìn)行實(shí)時(shí)報警。

產(chǎn)品可廣泛應用于電力、石油、石化、煙草、水利、軌道交通、智能制造等領(lǐng)域,為SCADA, DCS, PLC以及智能終端等系統提供高效可靠的安全監測,滿(mǎn)足行業(yè)政策法規及安全技術(shù)要求。

及時(shí)發(fā)現安全風(fēng)險,避免安全事故發(fā)生

持續監測工控網(wǎng)絡(luò )中的惡意攻擊、違規操作、非法設備接入并實(shí)時(shí)報警,協(xié)助企業(yè)及時(shí)采取處理措施,避免安全事故發(fā)生。

安全狀態(tài)可視化,提高工控網(wǎng)絡(luò )管理效率

可視化展現工控網(wǎng)絡(luò )的通信行為和安全狀況,方便安全運維人員快速、準確地定位安全事件,提高企業(yè)工控網(wǎng)絡(luò )安全管理效率。

為安全事故的調查,提供詳實(shí)的數據支撐

詳實(shí)記錄一切工控網(wǎng)絡(luò )通信行為,包括網(wǎng)絡(luò )協(xié)議、網(wǎng)絡(luò )會(huì )話(huà)、工控協(xié)議指令等,為安全事故調查取證和回溯分析提供數據支撐。

審計數據安全留存,滿(mǎn)足行業(yè)合規性要求

可對所有工控網(wǎng)絡(luò )的原始數據進(jìn)行加密存儲,審計數據可留存六個(gè)月及以上時(shí)間,助力滿(mǎn)足等級保護、網(wǎng)絡(luò )安全法以及行業(yè)相關(guān)的合規性要求。