东土科技工控安全监测审计系统是针对工业控制网络设计的信息安全产品,监测审计系统提供网络监测、协议分析和安全审计功能,广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业。
东土科技工控安全监测审计系统是针对工业控制网络设计的信息安全产品,监测审计系统提供网络监测、协议分析和安全审计功能,广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业。
通过对工控网络流量进行采集、分析和监测,并结合特定的安全策略,监测审计系统可快速识别网络中的异常、攻击行为,并实时告警;同时记录所有网络通信行为,为工业控制系统的安全事故调查提供坚实的基础。
监测审计系统采用“监测审计终端+安全监管平台”方式统一管理,采用旁路监听部署,对工业生产过程“零风险”影响,广泛应用于各类网络应用环境。
监测审计系统的硬件采用了工业级芯片、IP40防护、无风扇、电源冗余重负荷铝合金全封闭设计,使产品满足了下列要求:
工业级的可靠性、稳定性、实时性要求。
具备架构高扩展性和兼容性。
支持工作宽温-40℃ ~ +85℃,并具备三防(防潮湿、防盐雾、防霉菌)和抗电磁干扰能力。
支持机架式安装方式,满足工业现场环境恶劣性要求。
监测审计系统的软件支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等众多工业协议字段级的深度解析,有效实现在线监测审计分析。
产品架构
工控安全监测审计系统由监测审计引擎和监测审计平台组成,一个监测审计平台可以管理多台监测审计引擎。
工控安全监测审计系统架构
工控安全监测审计引擎
工控安全监测审计引擎通过旁路部署在交换机侧,实时监听系统内数据。工控安全监测审计平台对监测审计引擎反馈的数据进行记录、分析、展现,并对工业控制系统网络拓扑进行可视化管理。监测审计平台支持白名单、黑名单策略推送机制,通过对实际现场数据流量进行机器学习、大数据分析,自动创建生成防护策略,生成的策略可以推送到各监测审计引擎,用于现场通信数据包的实时监测。
工控安全监测审计平台
工控安全监测审计平台由应用服务、WEB服务和前端页面组成,负责管理多个工控安全监测审计引擎。
应用服务对各公开检测与审计引擎的审计和报警数据进行汇总分析,进而生成统计报表和拓扑数据,同时也进行各单元的策略下发。
WEB服务对外提供审计、报警、拓扑、策略、协议、设备等数据的访问接口,便于前端页面的数据展示和操作。
前端页面从WEB服务获取各类数据进行展示,同时提供必要的操作入口方便用户对数据进行操作和修改。
产品部署
工控安全监测审计系统采用旁路部署方式,深度解析交换机镜像端口流量,识别工控网络异常通信;系统采用无IP设计,对工控系统网络“零扰动”。系统典型部署如下:
工控安全监测审计系统产品部署
产品功能
流量监测
监测审计系统采用被动方式从网络采集数据包,通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及异常活动告警,帮助用户实时掌握工控网络运行状况,发现潜在的网络安全问题。
关键事件监测与告警
基于工控协议解析和工控通信特征库,监测审计系统可实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警。如:在变电站中,可通过对IEC61850协议簇、IEC 104协议等进行深度解析,分析对应场景下的关键操作行为(遥控操作、改定值操作)等。监测审计系统可针对常见工业场景设置通用行业场景,深度解析Modbus TCP、S7 Comm等常见协议规约。
网络状态监测与告警
监测审计系统支持网络流量及状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。
用户可通过图标排列的方式显示系统设备的在线状态和工作状态。
动态资产管理
通过协议分析和庞大的资产库资源,监测审计系统可快速识别工控网络中的设备,自动生成通讯拓扑图,在界面上对整个工控网络资产进行可视化展现(包括IP地址、通讯节点间使用的工业协议等),并对设备的资源状况、端口工作状况等进行监测。
工控网络审计
基于工控协议解析结果,对工控网络中的所有活动提供协议和流量审计,并生成完整记录。
策略管理
监测审计系统支持策略集中管理和在线下装。
系统支持黑名单导入和白名单自学习功能,黑名单可实时检测工控系统安全风险,白名单实现信任管理,通过智能学习技术,自动生成白名单库。
日志与报表
监测审计系统自动将各类告警数据(如:黑名单告警、白名单告警、关键事件告警等)和系统操作数据生成日志,并支持以Excel表格形式导出日志。监测审计系统为审计日志、黑名单告警、白名单告警、关键事件等信息提供多种格式的报表输出,提供与第三方系统日志信息采集接口。
行业应用
工控安全监测审计系统可应用于多个行业、不同工控厂商设备中,支持主流的多达50种工控系统的通信协议的应用场景。
工控安全监测审计系统可应用于以下行业:
城市轨道交通
发电厂、输配电变电站
石油开采、石油管道、石化炼油
煤矿开采、煤化工
烟草制丝、卷包
钢铁炼化、轧钢
生产制造业、数控机床
全面的异常监测
记录发送到现场设备或来源于现场设备的所有指令和指令执行结果,进行全面的异常行为检测和深度分析,提供现场设备故障报警和恶意入侵活动报警。
支持众多工控协议
支持50余种工业协议的深度报文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE等协议。
白名单策略基线自学习
系统基于机器学习及大数据技术,对工业控制系统运行一段时间的网络数据进行智能分析和自主学习,一键自动创建白名单策略;持续监视网络流量,自动识别合规数据,及时发现违规行为并实施告警。
基于通信流量的网络拓扑图
系统基于网络通信数据的深度分析绘制独特的工控网络拓扑图,可直观展示工控网络中各个设备节点间的通信连接情况,便于发现工业资产,并提供可视化的异常展示与告警。当存在潜在威胁时,节点间的连线高亮显示。基于工控系统应用实际,拓扑图绘制具有以下特点:
基于通讯数据做资产发现(主要针对工控设备)。
针对工控系统中多IP资产,有特殊的管理方式。
灵活的资产成组视图,实现不同维度的拓扑展现。
强大的工控漏洞库入侵检测能力
内置海量已知工控漏洞库,当监测到发生工控漏洞入侵行为时自动产生告警并提醒系统运营人员。另外,系统支持与多个第三方安全信息和事件管理平台无缝集成,便于实时分析网络数据。
实时的资产发现与管理
基于通讯数据的资产自动发现和自动链路绘制,识别国内外主流的IT设备和工控设备,并通过通讯拓扑和报表两种方式进行展示。同时对工控网络中的多IP资产提供特殊管理方式,真实呈现工控网络实际情况。
支持用户自定义协议
专业用户只需在界面上进行协议配置即可实现对该协议的深度解析和规则匹配,操作灵活,且保证了用户私有协议的隐私性和安全性。
强大的横向扩展能力
工控安全监测审计平台既支持单机部署也支持集群化部署,通过横向扩展可支持任意数据规模,用户可在实际项目中根据数据规模的大小灵活选择部署方式。
单个工控安全监测审计引擎支持任务横向扩展,可以满足千兆以太网高流量数据报文的实时深度解析和告警。
大数据与云计算
系统中审计数据采集、存储、分析等多环节使用大数据处理技术,提高系统的数据处理能力和效率。
系统支持云部署,支持存储、计算资源的动态扩容。
自我管理及数据加密
系统具有完善的自我管理功能,包括用户管理、权限管理、日志管理、告警管理、报表管理等。
所有的审计数据在网络中传输均采用加密方式,确保审计数据在传输过程中不被篡改和窃取。
工控安全监测审计系统型号定义:
Series-Ports-PS1-PS2【命名格式】
Series:系列
Agate7001:工控安全监测审计系统
Ports:端口
5GE:5x10/100/1000Base-T(X)电口
PS1-PS2:电源输入
HV=220VAC(110-220VAC/DC)
工控安全监测审计系统服务定义:
Series-Service【命名格式】
Series:系列
Agate7001:工控安全监测审计系统
Service:服务
u:黑名单特征库升级服务