PRODUCT产品服务
当前位置: 首页 > 安恒信息
工控系列
工控安全监测审计平台
安恒工控安全监测审计平台主要用于监视并记录工控网络内各类操作行为及返回信息,并可以根据设置的规则,智能的判断出各种风险行为,并对违规行为进行告警(SYSLOG)等。有效地弥补现有工控网络安全审计上的不足,为工业控制系统的安全运行提供了有力保障。
1.概述
工控审计与监测平台是一款专门针对工业控制系统的审计和威胁监测平台。该平台能够识别多种工业控制协议,例如S7,Modbus/TCP,Profinet,Ethernet/IP、IEC104,DNP3、OPC等。平台采用审计监测终端配合统一监管平台的部署管理方式进行统一管理。审计监测终端采用旁路部署的方式接入生产控制层中的核心交换机,实时监测生产过程中产生的所有流量,完全不影响现有系统的生产运行。审计监测终端严格按照工业级硬件的要求进行设计,能够满足各种工业现场的环境要求,可广泛应用于各类网络应用环境。
工控审计与监测平台提供多种防御策略,帮助用户构建适用的专属工业控制网络安全防御体系。通过对协议的深度解析,识别网络中所有通信行为并详实记录。检测针对工业控制协议的网络攻击、工控协议畸形报文、用户异常操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警。平台提供直观清晰的网络拓扑图,显示工控系统中的设备间连接关系。平台能够建立工控系统正常运行情况下的基线模型,对于出现的偏差行为进行检测并集成网络告警信息,使用户在了解网络拓扑的同时获知网络告警分布,从而帮助用户实时掌握工业控制系统的运行情况 此外,工控审计与监测平台支持对工业控制系统中的通讯记录进行回溯,根据时间、IP地址、功能码等条件进行查询,为工业控制系统的安全事故调查提供坚实的基础。
产品外观图
图 1U标准机架式设备(ASICS-AM-1104)(1)工控系统攻击检测
工控审计与监测平台支持对多种针对工控系统攻击行为的监测并告警。
工控审计与监测平台内置丰富的检测规则,用户可利用内置规则或自定义规则进行配置。
(3)工控系统异常检测
工控审计与监测平台通过对通信数据进行长时间的监听,对工控协议的深度解析,结合特定算法建立工控网络的通信模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。
(4)工控关键时间检测
工控审计与监测平台提供多种配置策略,用户可以选择需要检测的关键行为。例如:工艺关键事件检测:对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警等。
(5)网络告警事件统计
工控审计与监测平台支持对各类告警事件进行多维度的统计。
(6)工控网络流量统计
对关键网络链路提供持续的图形化流量监控功能,能够对流量数据进行长期的统计分析。
支持按照不同的协议类型、不同的流量类型(包括广播流量、多播流量、单播流量)、OSI模型分布(包括链路层、网络层、传输层、会话层、表示层、应用层)进行工控数据流量统计。
(7)工控网络连接统计
工控安全审计平台,支持对网络连接进行多维度的统计。
(8)工控系统事件回溯
工控审计与监测平台通过详实的记录了工业控制现场网络所有的通信数据,支持对工控网络通信记录进行回溯,根据时间、IP地址、端口号、行为等条件查询通信记录,为工业控制系统的安全事故调查提供详实的依据。
工业防火墙
安恒工业防火墙是一款针对工控网络进行边界防护的专用防火墙产品,用于保护工业控制网络免受各类来自办公网或内部其它区域的攻击威胁。
1.概述
安恒工业防火墙产品通过深度解析OPC、Modbus、S7、Ethemet/IP(CIP)等数十种工控协议,建立工业网络通信“电子栅栏”,阻止任何来自安全区域外的非授权访问,有效抑制病毒、木马在工控网络中的传播和扩散,防护针对SCADA、PLC、DCS等重要控制系统的各类已知、未知的恶意攻击和破坏行为。
产品基于深度定制Linux平台,具有高性能、低延时、工业级可靠性等特点,满足工业网络物理环境适应性 要求和工控系统传输实时性的要求。目前在电力、石油、化工、市政、轨交、烟草等多个行业的工业网络现场进行了广泛应用和部署。
2.产品功能
(1)白名单管理
工业防火墙的一个重要创新,就是引入白名单形式的安全策略控制。由于工控网络通信固定化的特征,确定了使用白名单技术进行安全控制,是解决工业网络安全的一个重要且有效的方式。运用“通信白名单”机制,支持直通、测试、管控三种模式分别对应产品的部署、试运行和正式运行,满足工控网络对设备的高可靠要求。
(2)安全策略规则
工业防火墙作为防火墙类的产品,内置的防火墙管理功能是其基础功能之一,工业防火墙采用状态检测防火墙的机制实现相应的访问控制功能。
状态检测防火墙采用了状态检测包过滤技术,是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎,截获数据包并抽取出与应用层状态有关的信息,并以此为依据判断该连接接受或拒绝。
(3)工控协议深度解析
支持对OPC、Modbus、S7、Ethernet/IP(CIP)等数十种工控协议报文进行深度解析。
(4)攻击防护
支持对工控指网络Dos/DDos安全防护、异常数据包攻击防护、扫描防护等。
(5)安全域管理
支持将相同安全属性的物理网口划分到安全域中,通过安全域应用,实现了对相同安全需求的接口进行分类(划分到不同的域),实现了策略的分层管理。更易于对策略进行维护。
(6)日志管理
日志管理将发生的安全事件、包过滤的动作、产生的日志等信息 实时发送到管理中心。通过管理中心对日志进行关联分析,使安全管理员第一时间发现网络异常,了解什么时候有什么人试图违背安全策 略规则、白名单、或者进行网络攻击。
3.产品特点
(1)实时精准的工控协议指令级控制
安恒工业防火墙搭载安恒自主研发的深度数据包解析引擎,对工控协议做到实时和精准的识别,支持各大主流工控协议,并且能够对工控协议数据包进行快速有针对性的捕获与深度解析。对不同行业的工控系统,采取有针对性的数据包探测机制和策略解析。在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。
深度数据包解析引擎支持涵盖OPC、Modbus、IEC 60870-5-104、Siemens S7、Ethernet/IP (CIP)等十数种主 流工控协议,对OPC等工控协议做到指令级控制,对Modbus TCP协议做到值域控制。
(2)低时延满足实时性要求
安恒工业防火墙采用高性能多核处理器,满足工业现场低延时、高吞吐的数据处理要求。其中深度数据包解析引擎在实现稳定可靠的数据包深度解析的同时,既保证了工控系统的实时性要求也满足了工控系统对工控协议的安全要求。
工业防火墙结合软硬件加速能力,在开启深度报文检测(DPI)的情况下实现策略条目满配情况下时延小于60us。(3)高可靠的软硬件一体化架构
安恒工业防火墙集成硬件加密引擎,为监控层系统和控制层 系统数据加密传输提供了高安全性的保证。通过对电路设计、结构 设计、系统冗余、时延、可靠性、环境要求等方面严格要求,保证工业防火墙的可靠性。其中:
■ 支持硬/软件故障自动无缝旁路(Bypass)功能:一旦设备故障,设备自动旁路,保证正常业务流量的不中断;
■ 业务端口与管理端口分离设计;
■ 多种灵活的安装方式,包括导轨安装、机柜安装等。
(4)化繁为简的用户体验
工业防火墙以提高工业控制网络的日常安全管理、信息统计数据的易读性和可操作性为设计核心,降低操作复杂度,避免误操作。系统充分利用人工智能技术,大幅度简化分析、管理、控制流程,提供筒单易学的用户界面,方便管理人员日常操作。管理系统支持实时可视化,呈现工控网络链路的连通性和服务状态。提供多类历史数据对比分析,系统日志、配置日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。
