东土科技工控安全监测审计系统是针对工业控制网络设计的信息安全产品,监测审计系统提供网络监测、协议分析和安全审计功能,广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业。
通过对工控网络流量进行采集、分析和监测,并结合特定的安全策略,监测审计系统可快速识别网络中的异常、攻击行为,并实时告警;同时记录所有网络通信行为,为工业控制系统的安全事故调查提供坚实的基础。
监测审计系统采用分布式部署,对工业生产过程“零扰动”影响,广泛应用于各类网络应用环境。
监测审计系统满足工业应用场景,系统采用的冗余电源、无风扇、全铝封闭设计使产品满足以下要求,且同时具有满足EN50155的车载级产品。
--达到IP40防护等级
--工业级的可靠性、稳定性、实时性要求。
--具备架构高扩展性和兼容性。
--支持工作宽温-40℃ ~ +85℃,并具备三防(防潮湿、防盐雾、防霉菌)和抗电磁干扰能力。
--支持机架式、导轨式两种安装方式,满足工业现场环境恶劣性要求。
监测审计系统支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等众多工业协议字段级的深度解析,有效实现在线监测审计分析。
产品架构
工控安全监测审计系统由监测审计引擎和监测审计平台组成,一个监测审计平台可以管理多台监测审计引擎。
工控安全监测审计系统架构
工控安全监测审计引擎通过旁路部署在交换机侧,实时监听系统内数据。工控安全监测审计平台对监测审计引擎反馈的数据进行记录、分析、展现,并对工业控制系统网络拓扑进行可视化管理。监测审计平台支持白名单、黑名单策略推送机制,通过对实际现场数据流量进行机器学习、大数据分析,自动创建生成防护策略,生成的策略可以推送到各监测审计引擎,用于现场通信数据包的实时监测。
工控安全监测审计平台由应用服务、WEB服务和前端页面组成,负责管理多个工控安全监测审计引擎。
应用服务对各公开检测与审计引擎的审计和报警数据进行汇总分析,进而生成统计报表和拓扑数据,同时也进行各单元的策略下发。
WEB服务对外提供审计、报警、拓扑、策略、协议、设备等数据的访问接口,便于前端页面的数据展示和操作。
前端页面从WEB服务获取各类数据进行展示,同时提供必要的操作入口方便用户对数据进行操作和修改。
流量监测与审计
系统支持旁路部署,采用被动方式从网络采集数据包,通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及威胁活动告警,帮助用户实时掌握工控网络运行状况,发现潜在的网络安全威胁。
系统支持基于预置协议和用户自定义协议的自定义规则检测:
--系统预置入侵检测规则库,规则库支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、Web漏洞、工控系统漏洞、工控协议漏洞等规则分类。
--支持用户根据威胁特征自定义与其相匹配的规则,并可将此自定义的规则应用到流量探针中使用,当检测到与规则相匹配的流量时,产生用户自定义的告警信息,并采取用户自定义的处置措施。
动态资产管理
通过协议分析和庞大的资产库资源,快速识别工控网络中的设备,智能化分析资产属性等基础信息,自动生成通讯拓扑图,在界面上对整个工控网络资产进行可视化展现(包括IP地址、通讯节点间使用的工业协议等),并对设备的资源状况、端口工作状况等进行监测。
策略管理
监测审计系统支持策略集中管理和在线下装;支持黑名单导入和白名单自学习功能,黑名单可实时检测工控系统安全风险,白名单实现信任管理,通过智能学习技术,自动生成白名单库。
拓扑绘制
通过流量分析,识别系统中所有通信链路,并收集通信链路中的源IP/目的IP、源端口/目的端口、通信协议、链路最早建立时间、链路最新通信时间、包吞吐量等信息。利用基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,在拓扑图上提供可视化的异常展示与告警。
支持“拓扑视图保存”功能,用户可保存拓扑图上的节点位置,便于后续查看。
关键事件监测与告警
基于工控协议解析和工控通信特征库,监测审计系统可实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警。
如:在变电站中,可通过对IEC61850协议簇、IEC 104协议等进行深度解析,分析对应场景下的关键操作行为(遥控操作、改定值操作)等。
监测审计系统可针对常见工业场景设置通用行业场景,深度解析Modbus TCP、S7 Comm等常见协议规约。
网络状态监测与告警
监测审计系统支持网络流量及状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。
用户可通过图标排列的方式显示系统设备(如:AMS、 TAA)的在线状态和工作状态。
工控网络审计
基于工控协议解析结果,对工控网络中的所有活动提供协议和流量审计,并生成完整记录。
会话流量历史查看
系统不仅支持通过“通信链路”查看链路的流量日志信息,还支持通过“历史统计”查看链路的历史流量统计。
数据外发
支持在指定的时间内自动生成告警历史数据文件并外发至指定的地址、端口。
日志与报表
监测审计系统自动将各类告警数据(如:黑名单告警、白名单告警、关键事件告警等)和系统操作数据生成日志,并支持以Excel表格形式导出日志。
监测审计系统为审计日志、黑名单告警、白名单告警、关键事件等信息提供多种格式的报表输出,提供与第三方系统日志信息采集接口。
产品优势
全面的异常检测
记录发送到现场设备或来源于现场设备的所有指令和指令执行结果,进行全面的异常行为检测和深度分析,提供现场设备故障报警和恶意入侵活动报警。
支持众多工控协议
支持50余种工业协议的深度报文解析,如IEC60870-5-104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE等协议。
白名单策略基线自学习
系统基于机器学习及大数据技术,对工业控制系统运行一段时间的网络数据进行智能分析和自主学习,一键自动创建白名单策略;持续监视网络流量,自动识别合规数据,及时发现违规行为并实施告警。
基于通信流量的网络拓扑图
系统基于网络通信数据的深度分析绘制独特的工控网络拓扑图,可直观展示工控网络中各个设备节点间的通信连接情况,便于发现工业资产,并提供可视化的异常展示与告警。当存在潜在威胁时,节点间的连线高亮显示。
基于工控系统应用实际,拓扑图绘制具有以下特点:
基于通讯数据做资产发现(主要针对工控设备)。
针对工控系统中多IP资产,有特殊的管理方式。
灵活的资产成组视图,实现不同维度的拓扑展现。
强大的工控漏洞库入侵检测能力
内置海量已知工控漏洞库,当监测到发生工控漏洞入侵行为时自动产生告警并提醒系统运营人员。另外,系统支持与多个SIEM平台无缝集成,便于实时分析网络数据。
实用的资产发现与管理
基于通讯数据的资产自动发现和自动链路绘制,识别国内外主流的IT设备和工控设备,并通过通讯拓扑和报表两种方式进行展示。同时对工控网络中的多IP资产提供特殊管理方式,真实呈现工控网络实际情况。
支持用户自定义协议
专业用户只需在界面上进行协议配置即可实现对该协议的深度解析和规则匹配,操作灵活,且保证了用户私有协议的隐私性和安全性。
高效的策略下发
通过调整下发的策略数据结构,减少重复数据,减少下发数据量,大大提高下发效率。
高性能
通过调整TAA处理逻辑,探针处理性能提高50%以上。
强大的横向扩展能力
工控安全监测审计平台既支持单机部署也支持集群化部署,通过横向扩展可支持任意数据规模,用户可在实际项目中根据数据规模的大小灵活选择部署方式。
单个工控安全监测审计引擎支持任务横向扩展,可以满足千兆以太网高流量数据报文的实时深度解析和告警。
大数据与云计算
系统中审计数据采集、存储、分析等多环节使用大数据处理技术,提高系统的数据处理能力和效率。系统天然支持云部署(阿里云、微软Azure、AWS云),支持存储、计算资源的动态扩容。
自我管理及数据加密
系统具有完善的自我管理功能,包括用户管理、权限管理、日志管理、告警管理、报表管理等。所有的审计数据在网络中传输均采用加密方式,确保审计数据在传输过程中不被篡改和窃取。
| 软件功能 | |
| 入侵检测 | 采用被动方式从网络采集数据包,通过流量特征匹配,实现实时流量监测及威胁活动告警,帮助用户实时掌握工控网络运行状况,发现潜在的网络安全威胁。 系统应预置入侵检测规则库,规则库应至少支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、Web漏洞、工控系统漏洞、工控协议漏洞等规则分类。 预置规则库的规则条数应不少于1万条。 |
| 关键事件识别 | 支持通过对网络流量的深度解析、特征匹配,实现对组态变更,异常操控指令,PLC程序下装等关键事件进行识别和告警,保证工控系统在正确配置下运行。比如对应变电站场景可通过对IEC61850协议簇,IEC 104协议等进行深度解析,分析对应特定场景下的关键操作行为(遥控操作、改定值操作)等。 |
| 资产发现与管理 | 通过协议分析和庞大的资产库资源,系统能够动态识别网络中的工控设备,识别资产必备属性等信息,如IP、MAC、设备种类、设备厂商、设备型号等。 应具备识别多IP资产的能力。 管理员可对资产的多种属性进行管理,包括名称、类型、厂商、IP/MAC、地理位置、联系人等内容。 通过资产发现功能发现的资产定义为待定资产,提供对待定资产的管理功能。 具备待定资产的合并功能,以适应工控环境中普遍存在的多网卡设备需求。 待定资产可以方便的转换成正式的固定资产。 管理员可以方便的进行资产检索。可以基于关键字、资产类型等信息进行快速搜索。 支持批量导出资产。 |
| 通信拓扑 | 通过对流量分析和协议深度解析,并结合资产指纹库资源,应可以动态识别网络中的工控通信设备。 能够支持对多IP通信设备的自动判别,并提供多IP通信节点的管理。 应可以通过流量分析识别系统中所有通信链路,并可提供通信链路中的源/目的IP、源/目的端口、通信协议、链路最早建立时间、链路最新通信时间、包吞吐量等信息。 基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,应在拓扑图上提供可视化的异常展示与告警。 基于工控系统应用实际,拓扑图绘制还需具备如下能力: 基于通信数据自动发现通信节点。 支持针对工控系统中多IP资产的管理。 可根据协议、IP等条件对拓扑图进行过滤。 |
| 流量及操作审计 | 基于工控协议深度解析结果,可以对工控网络中的所有活动提供协议和流量审计,生成完整记录。至少支持以下工业协议的深度报文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等协议。 为保护用户私有协议的隐私性和安全性,系统应支持图形化的用户自定义协议功能,实现对用户私有协议的深度解析和规则匹配。 应具备按照审计日志可解析的任意字段进行检索的能力。 系统应将对系统策略等配置信息的修改操作记录下来,并提供查询手段。 系统应提供对自身运行监视的功能,实时监视系统工作状态,并记录超出设定预置的告警。 |
| 流量分析 | 支持对网络环境中的流量总大小进行统计。 支持从协议、IP、链路等角度对流量进行分析、统计和排序。 |
| 流量态势感知 | 支持以可视化技术在大屏上展现网络流量的安全总态势。 从引擎、协议、时间等维度进行流量大小、安全告警的统计、分析与可视化。 支持用户定制流量态势感知的可视化页面。 |
| 产品规格 | |
| 性能 | 数据包处理能力:2000pps,极限4000pps(机架式4GX4GE);5000pps,极限8000pps(机架式4GX6GE); 三层吞吐量:500Mbps(机架式4GX4GE),1Gbps(机架式4GX6GE); |
| 接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 网口: 4GX4GE:4x1000Base-X SFP接口,4x10/100/1000Base-T(X)电口; 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口; |
| 机械结构 | 外壳:金属 重量: 7kg; 尺寸(WxHxD): 435mm×44mm×401mm; IP等级:IP40; 散热方式:无风扇自然散热; 安装方式:1U机架安装; |
| 电源 | 电压:H3-H3=220VAC 双电源输入 功率:120W; |
| 环境 | 工作温度:-40~70℃ 相对湿度:10%~85%无凝露 存储温度:-40~70℃ |
| 质保 | 质保期:1年(升级版3年) MTBF:100000h |
工控安全监测审计系统:
工控安全监测审计系统型号定义:
|
产品型号 |
Agate7001-Type-Ports-PS1-PS2 |
|
代码定义 |
代码选型 |
|
Type: |
A:探针(引擎) M:一体机(平台) |
|
Ports:端口 |
4GX4GE:4x1000Base-X SFP接口,4x10/100/1000Base-T(X)电口 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口 |
|
PS1-PS2: 电源输入 |
H3-H3=220VAC 双电源输入 |
工控安全监测审计系统服务定义:
|
产品型号 |
Agate7001-Service |
|
代码定义 |
代码选型 |
|
Service: 软件服务 |
uIDS:入侵检测特征库升级服务 |
工控安全监测审计系统选购扩展端口定义:
|
产品型号 |
Agate7001-Ports |
|
代码定义: |
代码选型: |
|
Ports: 端口 |
4GE:4x10/100/1000Base-T(X)电口; 4GX:4x1000Base-X SFP接口; 8GE:8x10/100/1000Base-T(X)电口; 2X:2x10G SFP+接口; |
Kyland-Agate7001-Datasheet-CN 工控安全监测审计系统_用户手册
