Agate7001 下一代工控審計(jì)
東土科技工控安全監(jiān)測(cè)審計(jì)系統(tǒng)是針對(duì)工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的信息安全產(chǎn)品,監(jiān)測(cè)審計(jì)系統(tǒng)提供網(wǎng)絡(luò)監(jiān)測(cè)�、協(xié)議分析和安全審計(jì)功能,廣泛應(yīng)用于電力���、石油��、石化�、軌道交通��、煙草���、煤炭����、鋼鐵及先進(jìn)制造等行業(yè)。
東土科技工控安全監(jiān)測(cè)審計(jì)系統(tǒng)是針對(duì)工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的信息安全產(chǎn)品�,監(jiān)測(cè)審計(jì)系統(tǒng)提供網(wǎng)絡(luò)監(jiān)測(cè)、協(xié)議分析和安全審計(jì)功能��,廣泛應(yīng)用于電力�����、石油�、石化、軌道交通�、煙草、煤炭�、鋼鐵及先進(jìn)制造等行業(yè)。
通過(guò)對(duì)工控網(wǎng)絡(luò)流量進(jìn)行采集���、分析和監(jiān)測(cè)�,并結(jié)合特定的安全策略����,監(jiān)測(cè)審計(jì)系統(tǒng)可快速識(shí)別網(wǎng)絡(luò)中的異常、攻擊行為�����,并實(shí)時(shí)告警;同時(shí)記錄所有網(wǎng)絡(luò)通信行為�����,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)����。
監(jiān)測(cè)審計(jì)系統(tǒng)采用“監(jiān)測(cè)審計(jì)終端+安全監(jiān)管平臺(tái)”方式統(tǒng)一管理,采用旁路監(jiān)聽(tīng)部署��,對(duì)工業(yè)生產(chǎn)過(guò)程“零風(fēng)險(xiǎn)”影響�����,廣泛應(yīng)用于各類(lèi)網(wǎng)絡(luò)應(yīng)用環(huán)境����。
監(jiān)測(cè)審計(jì)系統(tǒng)的硬件采用了工業(yè)級(jí)芯片�、IP40防護(hù)、無(wú)風(fēng)扇���、電源冗余重負(fù)荷鋁合金全封閉設(shè)計(jì)�����,使產(chǎn)品滿足了下列要求:
工業(yè)級(jí)的可靠性����、穩(wěn)定性、實(shí)時(shí)性要求�。
具備架構(gòu)高擴(kuò)展性和兼容性。
支持工作寬溫-40℃ ~ +85℃��,并具備三防(防潮濕���、防鹽霧���、防霉菌)和抗電磁干擾能力。
支持機(jī)架式安裝方式��,滿足工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣性要求��。
監(jiān)測(cè)審計(jì)系統(tǒng)的軟件支持IEC61850�����、IEC60870-5-104��、DNP3、OPC�����、S7Comm����、S7Comm PLus、Modbus-TCP���、Profinet�、CIP等眾多工業(yè)協(xié)議字段級(jí)的深度解析��,有效實(shí)現(xiàn)在線監(jiān)測(cè)審計(jì)分析�。
產(chǎn)品架構(gòu)
工控安全監(jiān)測(cè)審計(jì)系統(tǒng)由監(jiān)測(cè)審計(jì)引擎和監(jiān)測(cè)審計(jì)平臺(tái)組成,一個(gè)監(jiān)測(cè)審計(jì)平臺(tái)可以管理多臺(tái)監(jiān)測(cè)審計(jì)引擎�����。
工控安全監(jiān)測(cè)審計(jì)系統(tǒng)架構(gòu)
工控安全監(jiān)測(cè)審計(jì)引擎通過(guò)旁路部署在交換機(jī)側(cè)�����,實(shí)時(shí)監(jiān)聽(tīng)系統(tǒng)內(nèi)數(shù)據(jù)����。工控安全監(jiān)測(cè)審計(jì)平臺(tái)對(duì)監(jiān)測(cè)審計(jì)引擎反饋的數(shù)據(jù)進(jìn)行記錄、分析�����、展現(xiàn)���,并對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)拓?fù)溥M(jìn)行可視化管理��。監(jiān)測(cè)審計(jì)平臺(tái)支持白名單�����、黑名單策略推送機(jī)制����,通過(guò)對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)流量進(jìn)行機(jī)器學(xué)習(xí)����、大數(shù)據(jù)分析,自動(dòng)創(chuàng)建生成防護(hù)策略����,生成的策略可以推送到各監(jiān)測(cè)審計(jì)引擎�����,用于現(xiàn)場(chǎng)通信數(shù)據(jù)包的實(shí)時(shí)監(jiān)測(cè)��。
工控安全監(jiān)測(cè)審計(jì)平臺(tái)由應(yīng)用服務(wù)��、WEB服務(wù)和前端頁(yè)面組成����,負(fù)責(zé)管理多個(gè)工控安全監(jiān)測(cè)審計(jì)引擎�����。
應(yīng)用服務(wù)對(duì)各公開(kāi)檢測(cè)與審計(jì)引擎的審計(jì)和報(bào)警數(shù)據(jù)進(jìn)行匯總分析���,進(jìn)而生成統(tǒng)計(jì)報(bào)表和拓?fù)鋽?shù)據(jù)�����,同時(shí)也進(jìn)行各單元的策略下發(fā)���。
WEB服務(wù)對(duì)外提供審計(jì)、報(bào)警�、拓?fù)洹⒉呗?����、協(xié)議��、設(shè)備等數(shù)據(jù)的訪問(wèn)接口��,便于前端頁(yè)面的數(shù)據(jù)展示和操作���。
前端頁(yè)面從WEB服務(wù)獲取各類(lèi)數(shù)據(jù)進(jìn)行展示��,同時(shí)提供必要的操作入口方便用戶對(duì)數(shù)據(jù)進(jìn)行操作和修改�����。
產(chǎn)品部署
工控安全監(jiān)測(cè)審計(jì)系統(tǒng)采用旁路部署方式�,深度解析交換機(jī)鏡像端口流量����,識(shí)別工控網(wǎng)絡(luò)異常通信;系統(tǒng)采用無(wú)IP設(shè)計(jì)��,對(duì)工控系統(tǒng)網(wǎng)絡(luò)“零擾動(dòng)”��。系統(tǒng)典型部署如下:
工控安全監(jiān)測(cè)審計(jì)系統(tǒng)產(chǎn)品部署
產(chǎn)品功能
監(jiān)測(cè)審計(jì)系統(tǒng)采用被動(dòng)方式從網(wǎng)絡(luò)采集數(shù)據(jù)包,通過(guò)解析工控網(wǎng)絡(luò)流量�、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫(kù)和設(shè)備對(duì)象進(jìn)行智能匹配����,實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)測(cè)及異常活動(dòng)告警�����,幫助用戶實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況����,發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問(wèn)題。
基于工控協(xié)議解析和工控通信特征庫(kù)���,監(jiān)測(cè)審計(jì)系統(tǒng)可實(shí)現(xiàn)對(duì)組態(tài)變更����、異常操控指令���、PLC程序下裝等關(guān)鍵事件進(jìn)行識(shí)別和告警���。如:在變電站中��,可通過(guò)對(duì)IEC61850協(xié)議簇�、IEC 104協(xié)議等進(jìn)行深度解析����,分析對(duì)應(yīng)場(chǎng)景下的關(guān)鍵操作行為(遙控操作����、改定值操作)等。監(jiān)測(cè)審計(jì)系統(tǒng)可針對(duì)常見(jiàn)工業(yè)場(chǎng)景設(shè)置通用行業(yè)場(chǎng)景�,深度解析Modbus TCP、S7 Comm等常見(jiàn)協(xié)議規(guī)約����。
監(jiān)測(cè)審計(jì)系統(tǒng)支持網(wǎng)絡(luò)流量及狀態(tài)白名單基線,當(dāng)有未知設(shè)備接入網(wǎng)絡(luò)或網(wǎng)絡(luò)故障時(shí)�,可觸發(fā)實(shí)時(shí)告警信息。
用戶可通過(guò)圖標(biāo)排列的方式顯示系統(tǒng)設(shè)備的在線狀態(tài)和工作狀態(tài)����。
通過(guò)協(xié)議分析和龐大的資產(chǎn)庫(kù)資源,監(jiān)測(cè)審計(jì)系統(tǒng)可快速識(shí)別工控網(wǎng)絡(luò)中的設(shè)備��,自動(dòng)生成通訊拓?fù)鋱D����,在界面上對(duì)整個(gè)工控網(wǎng)絡(luò)資產(chǎn)進(jìn)行可視化展現(xiàn)(包括IP地址�、通訊節(jié)點(diǎn)間使用的工業(yè)協(xié)議等)���,并對(duì)設(shè)備的資源狀況�����、端口工作狀況等進(jìn)行監(jiān)測(cè)��。
基于工控協(xié)議解析結(jié)果��,對(duì)工控網(wǎng)絡(luò)中的所有活動(dòng)提供協(xié)議和流量審計(jì)����,并生成完整記錄�����。
監(jiān)測(cè)審計(jì)系統(tǒng)支持策略集中管理和在線下裝�。
系統(tǒng)支持黑名單導(dǎo)入和白名單自學(xué)習(xí)功能,黑名單可實(shí)時(shí)檢測(cè)工控系統(tǒng)安全風(fēng)險(xiǎn)��,白名單實(shí)現(xiàn)信任管理,通過(guò)智能學(xué)習(xí)技術(shù)�,自動(dòng)生成白名單庫(kù)。
監(jiān)測(cè)審計(jì)系統(tǒng)自動(dòng)將各類(lèi)告警數(shù)據(jù)(如:黑名單告警�����、白名單告警��、關(guān)鍵事件告警等)和系統(tǒng)操作數(shù)據(jù)生成日志�����,并支持以Excel表格形式導(dǎo)出日志����。監(jiān)測(cè)審計(jì)系統(tǒng)為審計(jì)日志���、黑名單告警��、白名單告警�、關(guān)鍵事件等信息提供多種格式的報(bào)表輸出�,提供與第三方系統(tǒng)日志信息采集接口。
行業(yè)應(yīng)用
工控安全監(jiān)測(cè)審計(jì)系統(tǒng)可應(yīng)用于多個(gè)行業(yè)��、不同工控廠商設(shè)備中,支持主流的多達(dá)50種工控系統(tǒng)的通信協(xié)議的應(yīng)用場(chǎng)景�����。
工控安全監(jiān)測(cè)審計(jì)系統(tǒng)可應(yīng)用于以下行業(yè):
城市軌道交通
發(fā)電廠���、輸配電變電站
石油開(kāi)采�����、石油管道�、石化煉油
煤礦開(kāi)采��、煤化工
煙草制絲��、卷包
鋼鐵煉化����、軋鋼
生產(chǎn)制造業(yè)、數(shù)控機(jī)床
全面的異常監(jiān)測(cè)
記錄發(fā)送到現(xiàn)場(chǎng)設(shè)備或來(lái)源于現(xiàn)場(chǎng)設(shè)備的所有指令和指令執(zhí)行結(jié)果�,進(jìn)行全面的異常行為檢測(cè)和深度分析,提供現(xiàn)場(chǎng)設(shè)備故障報(bào)警和惡意入侵活動(dòng)報(bào)警����。
支持眾多工控協(xié)議
支持50余種工業(yè)協(xié)議的深度報(bào)文解析,如IEC60870-5-101/104、Modbus TCP/RTU����、IEC61850、S7Comm�、S7Comm-Plus、Profinet��、DNP3��、MMS��、EtherNet/IP����、CIP�、OPC-DA、OPC-UA�、OMRON-FINS、DDE等協(xié)議�。
白名單策略基線自學(xué)習(xí)
系統(tǒng)基于機(jī)器學(xué)習(xí)及大數(shù)據(jù)技術(shù),對(duì)工業(yè)控制系統(tǒng)運(yùn)行一段時(shí)間的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行智能分析和自主學(xué)習(xí)�����,一鍵自動(dòng)創(chuàng)建白名單策略;持續(xù)監(jiān)視網(wǎng)絡(luò)流量�,自動(dòng)識(shí)別合規(guī)數(shù)據(jù),及時(shí)發(fā)現(xiàn)違規(guī)行為并實(shí)施告警���。
基于通信流量的網(wǎng)絡(luò)拓?fù)鋱D
系統(tǒng)基于網(wǎng)絡(luò)通信數(shù)據(jù)的深度分析繪制獨(dú)特的工控網(wǎng)絡(luò)拓?fù)鋱D��,可直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)間的通信連接情況����,便于發(fā)現(xiàn)工業(yè)資產(chǎn)�,并提供可視化的異常展示與告警。當(dāng)存在潛在威脅時(shí)���,節(jié)點(diǎn)間的連線高亮顯示��?;诠た叵到y(tǒng)應(yīng)用實(shí)際���,拓?fù)鋱D繪制具有以下特點(diǎn):
基于通訊數(shù)據(jù)做資產(chǎn)發(fā)現(xiàn)(主要針對(duì)工控設(shè)備)�����。
針對(duì)工控系統(tǒng)中多IP資產(chǎn)����,有特殊的管理方式。
靈活的資產(chǎn)成組視圖���,實(shí)現(xiàn)不同維度的拓?fù)湔宫F(xiàn)�。
強(qiáng)大的工控漏洞庫(kù)入侵檢測(cè)能力
內(nèi)置海量已知工控漏洞庫(kù)���,當(dāng)監(jiān)測(cè)到發(fā)生工控漏洞入侵行為時(shí)自動(dòng)產(chǎn)生告警并提醒系統(tǒng)運(yùn)營(yíng)人員����。另外�����,系統(tǒng)支持與多個(gè)第三方安全信息和事件管理平臺(tái)無(wú)縫集成�,便于實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)��。
實(shí)時(shí)的資產(chǎn)發(fā)現(xiàn)與管理
基于通訊數(shù)據(jù)的資產(chǎn)自動(dòng)發(fā)現(xiàn)和自動(dòng)鏈路繪制��,識(shí)別國(guó)內(nèi)外主流的IT設(shè)備和工控設(shè)備�����,并通過(guò)通訊拓?fù)浜蛨?bào)表兩種方式進(jìn)行展示。同時(shí)對(duì)工控網(wǎng)絡(luò)中的多IP資產(chǎn)提供特殊管理方式��,真實(shí)呈現(xiàn)工控網(wǎng)絡(luò)實(shí)際情況�����。
支持用戶自定義協(xié)議
專(zhuān)業(yè)用戶只需在界面上進(jìn)行協(xié)議配置即可實(shí)現(xiàn)對(duì)該協(xié)議的深度解析和規(guī)則匹配��,操作靈活�,且保證了用戶私有協(xié)議的隱私性和安全性。
強(qiáng)大的橫向擴(kuò)展能力
工控安全監(jiān)測(cè)審計(jì)平臺(tái)既支持單機(jī)部署也支持集群化部署����,通過(guò)橫向擴(kuò)展可支持任意數(shù)據(jù)規(guī)模,用戶可在實(shí)際項(xiàng)目中根據(jù)數(shù)據(jù)規(guī)模的大小靈活選擇部署方式����。
單個(gè)工控安全監(jiān)測(cè)審計(jì)引擎支持任務(wù)橫向擴(kuò)展,可以滿足千兆以太網(wǎng)高流量數(shù)據(jù)報(bào)文的實(shí)時(shí)深度解析和告警����。
大數(shù)據(jù)與云計(jì)算
系統(tǒng)中審計(jì)數(shù)據(jù)采集、存儲(chǔ)���、分析等多環(huán)節(jié)使用大數(shù)據(jù)處理技術(shù)�����,提高系統(tǒng)的數(shù)據(jù)處理能力和效率�����。
系統(tǒng)支持云部署���,支持存儲(chǔ)����、計(jì)算資源的動(dòng)態(tài)擴(kuò)容�。
自我管理及數(shù)據(jù)加密
系統(tǒng)具有完善的自我管理功能,包括用戶管理����、權(quán)限管理、日志管理�����、告警管理��、報(bào)表管理等����。
所有的審計(jì)數(shù)據(jù)在網(wǎng)絡(luò)中傳輸均采用加密方式,確保審計(jì)數(shù)據(jù)在傳輸過(guò)程中不被篡改和竊取�����。
