?

?

產(chǎn)品簡(jiǎn)介

? ? ? ? 東土科技工控安全監(jiān)測(cè)審計(jì)系統(tǒng)是針對(duì)工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的信息安全產(chǎn)品，監(jiān)測(cè)審計(jì)系統(tǒng)提供網(wǎng)絡(luò)監(jiān)測(cè)、協(xié)議分析和安全審計(jì)功能，廣泛應(yīng)用于電力、石油、石化、軌道交 通、煙草、煤炭、鋼鐵及先進(jìn)制造等行業(yè)。

? ? ? ? 通過(guò)對(duì)工控網(wǎng)絡(luò)流量進(jìn)行采集、分析和監(jiān)測(cè)，并結(jié)合特定的安全策略，監(jiān)測(cè)審計(jì)系統(tǒng)可快速識(shí)別網(wǎng)絡(luò)中的異常、攻擊行為，并實(shí)時(shí)告警；同時(shí)記錄所有網(wǎng)絡(luò)通信行為，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。

? ? ? ? 監(jiān)測(cè)審計(jì)系統(tǒng)采用分布式部署，對(duì)工業(yè)生產(chǎn)過(guò)程“零擾動(dòng)”影響，廣泛應(yīng)用于各類網(wǎng)絡(luò)應(yīng)用環(huán)境。

? ? ? ? 監(jiān)測(cè)審計(jì)系統(tǒng)滿足工業(yè)應(yīng)用場(chǎng)景，系統(tǒng)采用的冗余電源、無(wú)風(fēng)扇、全鋁封閉設(shè)計(jì)使產(chǎn)品滿足以下要求，且同時(shí)具有滿足 EN50155 的車載級(jí)產(chǎn)品。

? ? ? ? ? ? ? ? 達(dá)到 IP40 防護(hù)等級(jí)

? ? ? ? ? ? ? ? 工業(yè)級(jí)的可靠性、穩(wěn)定性、實(shí)時(shí)性要求。

? ? ? ? ? ? ? ? 具備架構(gòu)高擴(kuò)展性和兼容性。

? ? ? ? ? ? ? ? 支持工作寬溫-40℃ ~ +85℃，并具備三防（防潮濕、防鹽霧、防霉菌）和抗電磁干擾能力。

? ? ? ? ? ? ? ? 支持機(jī)架式、導(dǎo)軌式兩種安裝方式，滿足工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣性要求。

? ? ? ? 監(jiān)測(cè)審計(jì)系統(tǒng)支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、 S7Comm PLus、Modbus-TCP、Profinet、CIP 等眾多工業(yè)協(xié)議字段級(jí)的深度解析，有效實(shí)現(xiàn)在線監(jiān)測(cè)審計(jì)分析。

?

產(chǎn)品架構(gòu)

? ? ? ? 工控安全監(jiān)測(cè)審計(jì)系統(tǒng)由監(jiān)測(cè)審計(jì)引擎和監(jiān)測(cè)審計(jì)平臺(tái)組成，一個(gè)監(jiān)測(cè)審計(jì)平臺(tái)可以管理多臺(tái)監(jiān)測(cè)審計(jì)引擎。

?

• 工控安全監(jiān)測(cè)審計(jì)引擎

? ? ? ? 工控安全監(jiān)測(cè)審計(jì)引擎通過(guò)旁路部署在交換機(jī)側(cè)，實(shí)時(shí)監(jiān)聽系統(tǒng)內(nèi)數(shù)據(jù)。工控安全監(jiān)測(cè)審計(jì)平臺(tái)對(duì)監(jiān)測(cè)審計(jì)引擎反饋的數(shù)據(jù)進(jìn)行記錄、分析、展現(xiàn)，并對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)拓?fù)溥M(jìn)行可視化管理。監(jiān)測(cè)審計(jì)平臺(tái)支持白名單、黑名單策略推送機(jī)制，通過(guò)對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)流量進(jìn)行機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析，自動(dòng)創(chuàng)建生成防護(hù)策略，生成的策略可以推送到各監(jiān)測(cè)審計(jì)引擎，用于現(xiàn)場(chǎng)通信數(shù)據(jù)包的實(shí)時(shí)監(jiān)測(cè)。

?

• 工控安全監(jiān)測(cè)審計(jì)平臺(tái)

? ? ? ? 工控安全監(jiān)測(cè)審計(jì)平臺(tái)由應(yīng)用服務(wù)、WEB 服務(wù)和前端頁(yè)面組成，負(fù)責(zé)管理多個(gè)工控安全監(jiān)測(cè)審計(jì)引擎。

? ? ? ? 應(yīng)用服務(wù)對(duì)各公開檢測(cè)與審計(jì)引擎的審計(jì)和報(bào)警數(shù)據(jù)進(jìn)行匯總分析，進(jìn)而生成統(tǒng)計(jì)報(bào)表和拓?fù)鋽?shù)據(jù)，同時(shí)也進(jìn)行各單元的策略下發(fā)。

? ? ? ? WEB 服務(wù)對(duì)外提供審計(jì)、報(bào)警、拓?fù)洹⒉呗?、協(xié)議、設(shè)備等數(shù)據(jù)的訪問(wèn)接口，便于前端頁(yè)面的數(shù)據(jù)展示和操作。

? ? ? ? 前端頁(yè)面從WEB 服務(wù)獲取各類數(shù)據(jù)進(jìn)行展示，同時(shí)提供必要的操作入口方便用戶對(duì)數(shù)據(jù)進(jìn)行操作和修改。

?

關(guān)鍵特性

流量監(jiān)測(cè)與審計(jì)

系統(tǒng)支持旁路部署，采用被動(dòng)方式從網(wǎng)絡(luò)采集數(shù)據(jù)包，通過(guò)解析工控網(wǎng)絡(luò)流量、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫(kù)和設(shè)備對(duì)象進(jìn)行智能匹配，實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)測(cè)及威脅活動(dòng)告警，幫助用戶實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全威脅。

系統(tǒng)支持基于預(yù)置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測(cè)：

系統(tǒng)預(yù)置入侵檢測(cè)規(guī)則庫(kù)，規(guī)則庫(kù)支持 windows 系統(tǒng)漏洞、Linux 系統(tǒng)漏洞、Unix 系統(tǒng)漏洞、Web 漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類。

支持用戶根據(jù)威脅特征自定義與其相匹配的規(guī)則，并可將此自定義的規(guī)則應(yīng)用到流量探針中使用，當(dāng)檢測(cè)到與規(guī)則相匹配的流量時(shí)，產(chǎn)生用戶自定義的告警信 息，并采取用戶自定義的處置措施。

動(dòng)態(tài)資產(chǎn)管理

通過(guò)協(xié)議分析和龐大的資產(chǎn)庫(kù)資源，快速識(shí)別工控網(wǎng)絡(luò)中的設(shè)備，智能化分析資產(chǎn)屬性等基礎(chǔ)信息，自動(dòng)生成通訊拓?fù)鋱D，在界面上對(duì)整個(gè)工控網(wǎng)絡(luò)資產(chǎn)進(jìn)行可視化展現(xiàn)（包括 IP地址、通訊節(jié)點(diǎn)間使用的工業(yè)協(xié)議等），并對(duì)設(shè)備的資源狀況、端口工作狀況等進(jìn)行監(jiān)測(cè)。

策略管理

監(jiān)測(cè)審計(jì)系統(tǒng)支持策略集中管理和在線下裝；支持黑名單導(dǎo)入和白名單自學(xué)習(xí)功能，黑名單可實(shí)時(shí)檢測(cè)工控系統(tǒng)安全風(fēng)險(xiǎn)，白名單實(shí)現(xiàn)信任管理，通過(guò)智能學(xué)習(xí)技術(shù)，自動(dòng)生成白名單庫(kù)。

拓?fù)淅L制

通過(guò)流量分析，識(shí)別系統(tǒng)中所有通信鏈路，并收集通信鏈路中的源 IP/目的IP、源端口/目的端口、通信協(xié)議、鏈路最早建立時(shí)間、鏈路最新通信時(shí)間、包吞吐量等信息。利用基于對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)的實(shí)時(shí)分析，自動(dòng)以拓?fù)鋱D的形式直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)之間的通信連接情況，對(duì)于存在入侵等告警信息的通信鏈路，在拓?fù)鋱D上提供可視化的異常展示與告警。

支持“拓?fù)湟晥D保存”功能，用戶可保存拓?fù)鋱D上的節(jié)點(diǎn)位置，便于后續(xù)查看。

關(guān)鍵事件監(jiān)測(cè)與告警

基于工控協(xié)議解析和工控通信特征庫(kù)，監(jiān)測(cè)審計(jì)系統(tǒng)可實(shí)現(xiàn)對(duì)組態(tài)變更、異常操控指令、PLC 程序下裝等關(guān)鍵事件進(jìn)行識(shí)別和告警。

如：在變電站中，可通過(guò)對(duì) IEC61850 協(xié)議簇、IEC 104 協(xié)議等進(jìn)行深度解析，分析對(duì)應(yīng)場(chǎng)景下的關(guān)鍵操作行為（遙控操作、改定值操作）等。

監(jiān)測(cè)審計(jì)系統(tǒng)可針對(duì)常見工業(yè)場(chǎng)景設(shè)置通用行業(yè)場(chǎng)景，深度解析 Modbus TCP、S7 Comm 等常見協(xié)議規(guī)約。

網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)與告警

監(jiān)測(cè)審計(jì)系統(tǒng)支持網(wǎng)絡(luò)流量及狀態(tài)白名單基線，當(dāng)有未知設(shè)備接入網(wǎng)絡(luò)或網(wǎng)絡(luò)故障時(shí)，可觸發(fā)實(shí)時(shí)告警信息。

用戶可通過(guò)圖標(biāo)排列的方式顯示系統(tǒng)設(shè)備（如：AMS、 TAA）的在線狀態(tài)和工作狀態(tài)。

工控網(wǎng)絡(luò)審計(jì)

基于工控協(xié)議解析結(jié)果，對(duì)工控網(wǎng)絡(luò)中的所有活動(dòng)提供協(xié)議和流量審計(jì)，并生成完整記錄。

會(huì)話流量歷史查看

系統(tǒng)不僅支持通過(guò)“通信鏈路”查看鏈路的流量日志信息，還支持通過(guò)“歷史統(tǒng)計(jì)”查看鏈路的歷史流量統(tǒng)計(jì)。

數(shù)據(jù)外發(fā)

支持在指定的時(shí)間內(nèi)自動(dòng)生成告警歷史數(shù)據(jù)文件并外發(fā)至指定的地址、端口。日志與報(bào)表監(jiān)測(cè)審計(jì)系統(tǒng)自動(dòng)將各類告警數(shù)據(jù)（如：黑名單告警、白名單告警、關(guān)鍵事件告警等）和系統(tǒng)操作數(shù)據(jù)生成日志，并支持以 Excel 表格形式導(dǎo)出日志。

監(jiān)測(cè)審計(jì)系統(tǒng)為審計(jì)日志、黑名單告警、白名單告警、關(guān)鍵事件等信息提供多種格式的報(bào)表輸出，提供與第三方系統(tǒng)日志信息采集接口。

?

產(chǎn)品優(yōu)勢(shì)

全面的異常檢測(cè)

記錄發(fā)送到現(xiàn)場(chǎng)設(shè)備或來(lái)源于現(xiàn)場(chǎng)設(shè)備的所有指令和指令執(zhí)行結(jié)果，進(jìn)行全面的異常行為檢測(cè)和深度分析，提供現(xiàn)場(chǎng)設(shè)備故障報(bào)警和惡意入侵活動(dòng)報(bào)警。

支持眾多工控協(xié)議

支持 50 余種工業(yè)協(xié)議的深度報(bào)文解析，如 IEC60870-5-104、Modbus TCP/RTU、 IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE 等協(xié)議。

白名單策略基線自學(xué)習(xí)

系統(tǒng)基于機(jī)器學(xué)習(xí)及大數(shù)據(jù)技術(shù)，對(duì)工業(yè)控制系統(tǒng)運(yùn)行一段時(shí)間的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行智能分析和自主學(xué)習(xí)，一鍵自動(dòng)創(chuàng)建白名單策略；持續(xù)監(jiān)視網(wǎng)絡(luò)流量，自動(dòng)識(shí)別合規(guī)數(shù)據(jù)，及時(shí)發(fā)現(xiàn)違規(guī)行為并實(shí)施告警。

基于通信流量的網(wǎng)絡(luò)拓?fù)鋱D

系統(tǒng)基于網(wǎng)絡(luò)通信數(shù)據(jù)的深度分析繪制獨(dú)特的工控網(wǎng)絡(luò)拓?fù)鋱D，可直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)間的通信連接情況，便于發(fā)現(xiàn)工業(yè)資產(chǎn)，并提供可視化的異常展示與告警。當(dāng)存在潛在威脅時(shí)，節(jié)點(diǎn)間的連線高亮顯示。

基于工控系統(tǒng)應(yīng)用實(shí)際，拓?fù)鋱D繪制具有以下特點(diǎn)：基于通訊數(shù)據(jù)做資產(chǎn)發(fā)現(xiàn)（主要針對(duì)工控設(shè)備）。 針對(duì)工控系統(tǒng)中多IP 資產(chǎn)，有特殊的管理方式。

靈活的資產(chǎn)成組視圖，實(shí)現(xiàn)不同維度的拓?fù)湔宫F(xiàn)。

強(qiáng)大的工控漏洞庫(kù)入侵檢測(cè)能力

內(nèi)置海量已知工控漏洞庫(kù)，當(dāng)監(jiān)測(cè)到發(fā)生工控漏洞入侵行為時(shí)自動(dòng)產(chǎn)生告警并提醒系統(tǒng)運(yùn)營(yíng)人員。另外，系統(tǒng)支持與多個(gè)SIEM 平臺(tái)無(wú)縫集成，便于實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)。

實(shí)用的資產(chǎn)發(fā)現(xiàn)與管理

基于通訊數(shù)據(jù)的資產(chǎn)自動(dòng)發(fā)現(xiàn)和自動(dòng)鏈路繪制，識(shí)別國(guó)內(nèi)外主流的 IT 設(shè)備和工控設(shè)備，并通過(guò)通訊拓?fù)浜蛨?bào)表兩種方式進(jìn)行展示。同時(shí)對(duì)工控網(wǎng)絡(luò)中的多 IP 資產(chǎn)提供特殊管理方式，真實(shí)呈現(xiàn)工控網(wǎng)絡(luò)實(shí)際情況。

支持用戶自定義協(xié)議

專業(yè)用戶只需在界面上進(jìn)行協(xié)議配置即可實(shí)現(xiàn)對(duì)該協(xié)議的深度解析和規(guī)則匹配，操作靈活，且保證了用戶私有協(xié)議的隱私性和安全性。

高效的策略下發(fā)

通過(guò)調(diào)整下發(fā)的策略數(shù)據(jù)結(jié)構(gòu)，減少重復(fù)數(shù)據(jù)，減少下發(fā)數(shù)據(jù)量，大大提高下發(fā)效率。高性能通過(guò)調(diào)整TAA 處理邏輯，探針處理性能提高 50%以上。

強(qiáng)大的橫向擴(kuò)展能力

工控安全監(jiān)測(cè)審計(jì)平臺(tái)既支持單機(jī)部署也支持集群化部署，通過(guò)橫向擴(kuò)展可支持任意數(shù)據(jù)規(guī)模，用戶可在實(shí)際項(xiàng)目中根據(jù)數(shù)據(jù)規(guī)模的大小靈活選擇部署方式。

單個(gè)工控安全監(jiān)測(cè)審計(jì)引擎支持任務(wù)橫向擴(kuò)展，可以滿足千兆以太網(wǎng)高流量數(shù)據(jù)報(bào)文的實(shí)時(shí)深度解析和告警。

大數(shù)據(jù)與云計(jì)算

系統(tǒng)中審計(jì)數(shù)據(jù)采集、存儲(chǔ)、分析等多環(huán)節(jié)使用大數(shù)據(jù)處理技術(shù)，提高系統(tǒng)的數(shù)據(jù)處理能力和效率。系統(tǒng)天然支持云部署（阿里云、微軟 Azure、AWS 云），支持存儲(chǔ)、計(jì)算資源的動(dòng)態(tài)擴(kuò)容。

自我管理及數(shù)據(jù)加密

系統(tǒng)具有完善的自我管理功能，包括用戶管理、權(quán)限管理、日志管理、告警管理、報(bào)表管理等。所有的審計(jì)數(shù)據(jù)在網(wǎng)絡(luò)中傳輸均采用加密方式，確保審計(jì)數(shù)據(jù)在傳輸過(guò)程中不被篡改和竊取。

?

機(jī)械尺寸

工控安全監(jiān)測(cè)審計(jì)系統(tǒng)：

?

訂購(gòu)信息

工控安全監(jiān)測(cè)審計(jì)系統(tǒng)型號(hào)定義：

?

工控安全監(jiān)測(cè)審計(jì)系統(tǒng)服務(wù)定義：

?

工控安全監(jiān)測(cè)審計(jì)系統(tǒng)選購(gòu)擴(kuò)展端口定義：

?

客戶價(jià)值

通過(guò)部署工控安全監(jiān)測(cè)審計(jì)系統(tǒng)，幫助用戶獲得以下收益：

發(fā)現(xiàn)、映射整個(gè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)資產(chǎn)，可視化網(wǎng)絡(luò)拓?fù)洹?/p>

建立工控網(wǎng)絡(luò)的流量基線和通信基線，及時(shí)發(fā)現(xiàn)生產(chǎn)控制系統(tǒng)中潛在的攻擊行為，快速定位異常位置，協(xié)助相關(guān)人員快速解決故障及事件。

對(duì)網(wǎng)絡(luò)數(shù)據(jù)、事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)和警告，幫助用戶實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò)運(yùn)行狀況。為工業(yè)控制系統(tǒng)威脅事件提供取證、調(diào)查及分析溯源。

加強(qiáng)工業(yè)網(wǎng)絡(luò)的可信、可靠性，滿足能源局 36 號(hào)文、發(fā)改委 14 號(hào)令、工控等保等合規(guī)性要求，確保工控系統(tǒng)安全防護(hù)符合國(guó)家、企業(yè)安全生產(chǎn)規(guī)定。

深度融合業(yè)務(wù)場(chǎng)景的異常行為檢測(cè)。電力、石化、軌道交通、煙草、煤炭、鋼鐵及先進(jìn)制造等各個(gè)行業(yè)的工業(yè)控制系統(tǒng)千差萬(wàn)別，本工控安全監(jiān)測(cè)裝置融入了針對(duì)不同行業(yè)的業(yè)務(wù)安全告警。