?

?

產(chǎn)品簡介

? ? ? ? 東土科技工控安全監(jiān)測審計系統(tǒng)是針對工業(yè)控制網(wǎng)絡設計的信息安全產(chǎn)品，監(jiān)測審計系統(tǒng)提供網(wǎng)絡監(jiān)測、協(xié)議分析和安全審計功能，廣泛應用于電力、石油、石化、軌道交 通、煙草、煤炭、鋼鐵及先進制造等行業(yè)。

? ? ? ? 通過對工控網(wǎng)絡流量進行采集、分析和監(jiān)測，并結合特定的安全策略，監(jiān)測審計系統(tǒng)可快速識別網(wǎng)絡中的異常、攻擊行為，并實時告警；同時記錄所有網(wǎng)絡通信行為，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎。

? ? ? ? 監(jiān)測審計系統(tǒng)采用分布式部署，對工業(yè)生產(chǎn)過程“零擾動”影響，廣泛應用于各類網(wǎng)絡應用環(huán)境。

? ? ? ? 監(jiān)測審計系統(tǒng)滿足工業(yè)應用場景，系統(tǒng)采用的冗余電源、無風扇、全鋁封閉設計使產(chǎn)品滿足以下要求，且同時具有滿足 EN50155 的車載級產(chǎn)品。

? ? ? ? ? ? ? ? 達到 IP40 防護等級

? ? ? ? ? ? ? ? 工業(yè)級的可靠性、穩(wěn)定性、實時性要求。

? ? ? ? ? ? ? ? 具備架構高擴展性和兼容性。

? ? ? ? ? ? ? ? 支持工作寬溫-40℃ ~ +85℃，并具備三防（防潮濕、防鹽霧、防霉菌）和抗電磁干擾能力。

? ? ? ? ? ? ? ? 支持機架式、導軌式兩種安裝方式，滿足工業(yè)現(xiàn)場環(huán)境惡劣性要求。

? ? ? ? 監(jiān)測審計系統(tǒng)支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、 S7Comm PLus、Modbus-TCP、Profinet、CIP 等眾多工業(yè)協(xié)議字段級的深度解析，有效實現(xiàn)在線監(jiān)測審計分析。

?

產(chǎn)品架構

? ? ? ? 工控安全監(jiān)測審計系統(tǒng)由監(jiān)測審計引擎和監(jiān)測審計平臺組成，一個監(jiān)測審計平臺可以管理多臺監(jiān)測審計引擎。

?

• 工控安全監(jiān)測審計引擎

? ? ? ? 工控安全監(jiān)測審計引擎通過旁路部署在交換機側(cè)，實時監(jiān)聽系統(tǒng)內(nèi)數(shù)據(jù)。工控安全監(jiān)測審計平臺對監(jiān)測審計引擎反饋的數(shù)據(jù)進行記錄、分析、展現(xiàn)，并對工業(yè)控制系統(tǒng)網(wǎng)絡拓撲進行可視化管理。監(jiān)測審計平臺支持白名單、黑名單策略推送機制，通過對實際現(xiàn)場數(shù)據(jù)流量進行機器學習、大數(shù)據(jù)分析，自動創(chuàng)建生成防護策略，生成的策略可以推送到各監(jiān)測審計引擎，用于現(xiàn)場通信數(shù)據(jù)包的實時監(jiān)測。

?

• 工控安全監(jiān)測審計平臺

? ? ? ? 工控安全監(jiān)測審計平臺由應用服務、WEB 服務和前端頁面組成，負責管理多個工控安全監(jiān)測審計引擎。

? ? ? ? 應用服務對各公開檢測與審計引擎的審計和報警數(shù)據(jù)進行匯總分析，進而生成統(tǒng)計報表和拓撲數(shù)據(jù)，同時也進行各單元的策略下發(fā)。

? ? ? ? WEB 服務對外提供審計、報警、拓撲、策略、協(xié)議、設備等數(shù)據(jù)的訪問接口，便于前端頁面的數(shù)據(jù)展示和操作。

? ? ? ? 前端頁面從WEB 服務獲取各類數(shù)據(jù)進行展示，同時提供必要的操作入口方便用戶對數(shù)據(jù)進行操作和修改。

?

關鍵特性

流量監(jiān)測與審計

系統(tǒng)支持旁路部署，采用被動方式從網(wǎng)絡采集數(shù)據(jù)包，通過解析工控網(wǎng)絡流量、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫和設備對象進行智能匹配，實現(xiàn)實時流量監(jiān)測及威脅活動告警，幫助用戶實時掌握工控網(wǎng)絡運行狀況，發(fā)現(xiàn)潛在的網(wǎng)絡安全威脅。

系統(tǒng)支持基于預置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測：

系統(tǒng)預置入侵檢測規(guī)則庫，規(guī)則庫支持 windows 系統(tǒng)漏洞、Linux 系統(tǒng)漏洞、Unix 系統(tǒng)漏洞、Web 漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類。

支持用戶根據(jù)威脅特征自定義與其相匹配的規(guī)則，并可將此自定義的規(guī)則應用到流量探針中使用，當檢測到與規(guī)則相匹配的流量時，產(chǎn)生用戶自定義的告警信 息，并采取用戶自定義的處置措施。

動態(tài)資產(chǎn)管理

通過協(xié)議分析和龐大的資產(chǎn)庫資源，快速識別工控網(wǎng)絡中的設備，智能化分析資產(chǎn)屬性等基礎信息，自動生成通訊拓撲圖，在界面上對整個工控網(wǎng)絡資產(chǎn)進行可視化展現(xiàn)（包括 IP地址、通訊節(jié)點間使用的工業(yè)協(xié)議等），并對設備的資源狀況、端口工作狀況等進行監(jiān)測。

策略管理

監(jiān)測審計系統(tǒng)支持策略集中管理和在線下裝；支持黑名單導入和白名單自學習功能，黑名單可實時檢測工控系統(tǒng)安全風險，白名單實現(xiàn)信任管理，通過智能學習技術，自動生成白名單庫。

拓撲繪制

通過流量分析，識別系統(tǒng)中所有通信鏈路，并收集通信鏈路中的源 IP/目的IP、源端口/目的端口、通信協(xié)議、鏈路最早建立時間、鏈路最新通信時間、包吞吐量等信息。利用基于對網(wǎng)絡通信數(shù)據(jù)的實時分析，自動以拓撲圖的形式直觀展示工控網(wǎng)絡中各個設備節(jié)點之間的通信連接情況，對于存在入侵等告警信息的通信鏈路，在拓撲圖上提供可視化的異常展示與告警。

支持“拓撲視圖保存”功能，用戶可保存拓撲圖上的節(jié)點位置，便于后續(xù)查看。

關鍵事件監(jiān)測與告警

基于工控協(xié)議解析和工控通信特征庫，監(jiān)測審計系統(tǒng)可實現(xiàn)對組態(tài)變更、異常操控指令、PLC 程序下裝等關鍵事件進行識別和告警。

如：在變電站中，可通過對 IEC61850 協(xié)議簇、IEC 104 協(xié)議等進行深度解析，分析對應場景下的關鍵操作行為（遙控操作、改定值操作）等。

監(jiān)測審計系統(tǒng)可針對常見工業(yè)場景設置通用行業(yè)場景，深度解析 Modbus TCP、S7 Comm 等常見協(xié)議規(guī)約。

網(wǎng)絡狀態(tài)監(jiān)測與告警

監(jiān)測審計系統(tǒng)支持網(wǎng)絡流量及狀態(tài)白名單基線，當有未知設備接入網(wǎng)絡或網(wǎng)絡故障時，可觸發(fā)實時告警信息。

用戶可通過圖標排列的方式顯示系統(tǒng)設備（如：AMS、 TAA）的在線狀態(tài)和工作狀態(tài)。

工控網(wǎng)絡審計

基于工控協(xié)議解析結果，對工控網(wǎng)絡中的所有活動提供協(xié)議和流量審計，并生成完整記錄。

會話流量歷史查看

系統(tǒng)不僅支持通過“通信鏈路”查看鏈路的流量日志信息，還支持通過“歷史統(tǒng)計”查看鏈路的歷史流量統(tǒng)計。

數(shù)據(jù)外發(fā)

支持在指定的時間內(nèi)自動生成告警歷史數(shù)據(jù)文件并外發(fā)至指定的地址、端口。日志與報表監(jiān)測審計系統(tǒng)自動將各類告警數(shù)據(jù)（如：黑名單告警、白名單告警、關鍵事件告警等）和系統(tǒng)操作數(shù)據(jù)生成日志，并支持以 Excel 表格形式導出日志。

監(jiān)測審計系統(tǒng)為審計日志、黑名單告警、白名單告警、關鍵事件等信息提供多種格式的報表輸出，提供與第三方系統(tǒng)日志信息采集接口。

?

產(chǎn)品優(yōu)勢

全面的異常檢測

記錄發(fā)送到現(xiàn)場設備或來源于現(xiàn)場設備的所有指令和指令執(zhí)行結果，進行全面的異常行為檢測和深度分析，提供現(xiàn)場設備故障報警和惡意入侵活動報警。

支持眾多工控協(xié)議

支持 50 余種工業(yè)協(xié)議的深度報文解析，如 IEC60870-5-104、Modbus TCP/RTU、 IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE 等協(xié)議。

白名單策略基線自學習

系統(tǒng)基于機器學習及大數(shù)據(jù)技術，對工業(yè)控制系統(tǒng)運行一段時間的網(wǎng)絡數(shù)據(jù)進行智能分析和自主學習，一鍵自動創(chuàng)建白名單策略；持續(xù)監(jiān)視網(wǎng)絡流量，自動識別合規(guī)數(shù)據(jù)，及時發(fā)現(xiàn)違規(guī)行為并實施告警。

基于通信流量的網(wǎng)絡拓撲圖

系統(tǒng)基于網(wǎng)絡通信數(shù)據(jù)的深度分析繪制獨特的工控網(wǎng)絡拓撲圖，可直觀展示工控網(wǎng)絡中各個設備節(jié)點間的通信連接情況，便于發(fā)現(xiàn)工業(yè)資產(chǎn)，并提供可視化的異常展示與告警。當存在潛在威脅時，節(jié)點間的連線高亮顯示。

基于工控系統(tǒng)應用實際，拓撲圖繪制具有以下特點：基于通訊數(shù)據(jù)做資產(chǎn)發(fā)現(xiàn)（主要針對工控設備）。 針對工控系統(tǒng)中多IP 資產(chǎn)，有特殊的管理方式。

靈活的資產(chǎn)成組視圖，實現(xiàn)不同維度的拓撲展現(xiàn)。

強大的工控漏洞庫入侵檢測能力

內(nèi)置海量已知工控漏洞庫，當監(jiān)測到發(fā)生工控漏洞入侵行為時自動產(chǎn)生告警并提醒系統(tǒng)運營人員。另外，系統(tǒng)支持與多個SIEM 平臺無縫集成，便于實時分析網(wǎng)絡數(shù)據(jù)。

實用的資產(chǎn)發(fā)現(xiàn)與管理

基于通訊數(shù)據(jù)的資產(chǎn)自動發(fā)現(xiàn)和自動鏈路繪制，識別國內(nèi)外主流的 IT 設備和工控設備，并通過通訊拓撲和報表兩種方式進行展示。同時對工控網(wǎng)絡中的多 IP 資產(chǎn)提供特殊管理方式，真實呈現(xiàn)工控網(wǎng)絡實際情況。

支持用戶自定義協(xié)議

專業(yè)用戶只需在界面上進行協(xié)議配置即可實現(xiàn)對該協(xié)議的深度解析和規(guī)則匹配，操作靈活，且保證了用戶私有協(xié)議的隱私性和安全性。

高效的策略下發(fā)

通過調(diào)整下發(fā)的策略數(shù)據(jù)結構，減少重復數(shù)據(jù)，減少下發(fā)數(shù)據(jù)量，大大提高下發(fā)效率。高性能通過調(diào)整TAA 處理邏輯，探針處理性能提高 50%以上。

強大的橫向擴展能力

工控安全監(jiān)測審計平臺既支持單機部署也支持集群化部署，通過橫向擴展可支持任意數(shù)據(jù)規(guī)模，用戶可在實際項目中根據(jù)數(shù)據(jù)規(guī)模的大小靈活選擇部署方式。

單個工控安全監(jiān)測審計引擎支持任務橫向擴展，可以滿足千兆以太網(wǎng)高流量數(shù)據(jù)報文的實時深度解析和告警。

大數(shù)據(jù)與云計算

系統(tǒng)中審計數(shù)據(jù)采集、存儲、分析等多環(huán)節(jié)使用大數(shù)據(jù)處理技術，提高系統(tǒng)的數(shù)據(jù)處理能力和效率。系統(tǒng)天然支持云部署（阿里云、微軟 Azure、AWS 云），支持存儲、計算資源的動態(tài)擴容。

自我管理及數(shù)據(jù)加密

系統(tǒng)具有完善的自我管理功能，包括用戶管理、權限管理、日志管理、告警管理、報表管理等。所有的審計數(shù)據(jù)在網(wǎng)絡中傳輸均采用加密方式，確保審計數(shù)據(jù)在傳輸過程中不被篡改和竊取。

?

機械尺寸

工控安全監(jiān)測審計系統(tǒng)：

?

訂購信息

工控安全監(jiān)測審計系統(tǒng)型號定義：

?

工控安全監(jiān)測審計系統(tǒng)服務定義：

?

工控安全監(jiān)測審計系統(tǒng)選購擴展端口定義：

?

客戶價值

通過部署工控安全監(jiān)測審計系統(tǒng)，幫助用戶獲得以下收益：

發(fā)現(xiàn)、映射整個工業(yè)控制系統(tǒng)網(wǎng)絡資產(chǎn)，可視化網(wǎng)絡拓撲。

建立工控網(wǎng)絡的流量基線和通信基線，及時發(fā)現(xiàn)生產(chǎn)控制系統(tǒng)中潛在的攻擊行為，快速定位異常位置，協(xié)助相關人員快速解決故障及事件。

對網(wǎng)絡數(shù)據(jù)、事件進行實時監(jiān)測和警告，幫助用戶實時掌握工業(yè)控制網(wǎng)絡運行狀況。為工業(yè)控制系統(tǒng)威脅事件提供取證、調(diào)查及分析溯源。

加強工業(yè)網(wǎng)絡的可信、可靠性，滿足能源局 36 號文、發(fā)改委 14 號令、工控等保等合規(guī)性要求，確保工控系統(tǒng)安全防護符合國家、企業(yè)安全生產(chǎn)規(guī)定。

深度融合業(yè)務場景的異常行為檢測。電力、石化、軌道交通、煙草、煤炭、鋼鐵及先進制造等各個行業(yè)的工業(yè)控制系統(tǒng)千差萬別，本工控安全監(jiān)測裝置融入了針對不同行業(yè)的業(yè)務安全告警。