東土科技工控安全監(jiān)測審計系統(tǒng)通過對工控網絡流量進行采集、分析和監(jiān)測,并結合特定的安全策略,監(jiān)測審計系統(tǒng)可快速識別網絡中的異常、攻擊行為,并實時告警;同時記錄所有網絡通信行為,為工業(yè)控制系統(tǒng)的安全事故調查提供堅實的基礎。
監(jiān)測審計系統(tǒng)采用分布式部署,對工業(yè)生產過程“零擾動”影響,廣泛應用于各類網絡應用環(huán)境。
監(jiān)測審計系統(tǒng)滿足工業(yè)應用場景,系統(tǒng)采用的冗余電源、無風扇、全鋁封閉設計使產品滿足以下要求。
--達到IP40防護等級
--工業(yè)級的可靠性、穩(wěn)定性、實時性要求。
--具備架構高擴展性和兼容性。
--支持工作寬溫-40℃ ~ +85℃,并具備三防(防潮濕、防鹽霧、防霉菌)和抗電磁干擾能力。
監(jiān)測審計系統(tǒng)支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等眾多工業(yè)協(xié)議字段級的深度解析,有效實現(xiàn)在線監(jiān)測審計分析。
流量監(jiān)測與審計
系統(tǒng)支持旁路部署,采用被動方式從網絡采集數(shù)據包,通過解析工控網絡流量、深度分析工控協(xié)議、與系統(tǒng)內置的協(xié)議特征庫和設備對象進行智能匹配,實現(xiàn)實時流量監(jiān)測及威脅活動告警,幫助用戶實時掌握工控網絡運行狀況,發(fā)現(xiàn)潛在的網絡安全威脅。
系統(tǒng)支持基于預置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測:
--系統(tǒng)預置入侵檢測規(guī)則庫,規(guī)則庫支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類。
--支持用戶根據威脅特征自定義與其相匹配的規(guī)則,并可將此自定義的規(guī)則應用到流量探針中使用,當檢測到與規(guī)則相匹配的流量時,產生用戶自定義的告警信息,并采取用戶自定義的處置措施。
動態(tài)資產管理
通過協(xié)議分析和龐大的資產庫資源,快速識別工控網絡中的設備,智能化分析資產屬性等基礎信息,自動生成通訊拓撲圖,在界面上對整個工控網絡資產進行可視化展現(xiàn)(包括IP地址、通訊節(jié)點間使用的工業(yè)協(xié)議等),并對設備的資源狀況、端口工作狀況等進行監(jiān)測。
策略管理
監(jiān)測審計系統(tǒng)支持策略集中管理和在線下裝;支持黑名單導入和白名單自學習功能,黑名單可實時檢測工控系統(tǒng)安全風險,白名單實現(xiàn)信任管理,通過智能學習技術,自動生成白名單庫。
拓撲繪制
通過流量分析,識別系統(tǒng)中所有通信鏈路,并收集通信鏈路中的源IP/目的IP、源端口/目的端口、通信協(xié)議、鏈路最早建立時間、鏈路最新通信時間、包吞吐量等信息。利用基于對網絡通信數(shù)據的實時分析,自動以拓撲圖的形式直觀展示工控網絡中各個設備節(jié)點之間的通信連接情況,對于存在入侵等告警信息的通信鏈路,在拓撲圖上提供可視化的異常展示與告警。
支持“拓撲視圖保存”功能,用戶可保存拓撲圖上的節(jié)點位置,便于后續(xù)查看。
關鍵事件監(jiān)測與告警
基于工控協(xié)議解析和工控通信特征庫,監(jiān)測審計系統(tǒng)可實現(xiàn)對組態(tài)變更、異常操控指令、PLC程序下裝等關鍵事件進行識別和告警。
如:在變電站中,可通過對IEC61850協(xié)議簇、IEC 104協(xié)議等進行深度解析,分析對應場景下的關鍵操作行為(遙控操作、改定值操作)等。
監(jiān)測審計系統(tǒng)可針對常見工業(yè)場景設置通用行業(yè)場景,深度解析Modbus TCP、S7 Comm等常見協(xié)議規(guī)約。
網絡狀態(tài)監(jiān)測與告警
監(jiān)測審計系統(tǒng)支持網絡流量及狀態(tài)白名單基線,當有未知設備接入網絡或網絡故障時,可觸發(fā)實時告警信息。
用戶可通過圖標排列的方式顯示系統(tǒng)設備(如:AMS、 TAA)的在線狀態(tài)和工作狀態(tài)。
工控網絡審計
基于工控協(xié)議解析結果,對工控網絡中的所有活動提供協(xié)議和流量審計,并生成完整記錄。
會話流量歷史查看
系統(tǒng)不僅支持通過“通信鏈路”查看鏈路的流量日志信息,還支持通過“歷史統(tǒng)計”查看鏈路的歷史流量統(tǒng)計。
數(shù)據外發(fā)
支持在指定的時間內自動生成告警歷史數(shù)據文件并外發(fā)至指定的地址、端口。
日志與報表
監(jiān)測審計系統(tǒng)自動將各類告警數(shù)據(如:黑名單告警、白名單告警、關鍵事件告警等)和系統(tǒng)操作數(shù)據生成日志,并支持以Excel表格形式導出日志。
監(jiān)測審計系統(tǒng)為審計日志、黑名單告警、白名單告警、關鍵事件等信息提供多種格式的報表輸出,提供與第三方系統(tǒng)日志信息采集接口。
軟件功能 | |
威脅識別 | 采用被動方式從網絡采集數(shù)據包,通過流量特征匹配,實現(xiàn)實時流量監(jiān)測及威脅活動告警,幫助用戶實時掌握工控網絡運行狀況,發(fā)現(xiàn)潛在的網絡安全威脅 系統(tǒng)應預置入侵檢測規(guī)則庫,規(guī)則庫應至少支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類 預置規(guī)則庫的規(guī)則條數(shù)應不少于1萬條 支持通過對網絡流量的深度解析、特征匹配,實現(xiàn)對組態(tài)變更,異常操控指令,PLC程序下裝等關鍵事件進行識別和告警,保證工控系統(tǒng)在正確配置下運行。比如對應變電站場景可通過對IEC61850協(xié)議簇,IEC 104協(xié)議等進行深度解析,分析對應特定場景下的關鍵操作行為(遙控操作、改定值操作)等 系統(tǒng)應支持用戶根據威脅特征自定義與其相匹配的規(guī)則,并可將此自定義的規(guī)則應用到流量探針中使用,當檢測到與規(guī)則相匹配的流量時,產生用戶自定義的告警信息,并采取用戶自定義的處置措施 系統(tǒng)支持基于系統(tǒng)預置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測 |
異常檢測 | 通過對正常歷史流量數(shù)據的學習,建立基于通信協(xié)議、通信協(xié)議關鍵字段的白名單安全基線,通過對網絡流量的實時監(jiān)測與分析,發(fā)現(xiàn)異常通信流量并告警 業(yè)務基線自學習的字段應支持用戶自定義 通過對工控系統(tǒng)通信流量特征的學習,形成包含通信鏈路、通信協(xié)議、持續(xù)時間、源與目的等特征的正常通信流量基線,識別異常流量并主動告警 支持通過自學習建立通信服務基線,自動檢測違規(guī)外聯(lián)、鏈路中斷等可能影響工控系統(tǒng)正常運行的事件 |
資產發(fā)現(xiàn)與管理 | 通過協(xié)議分析和龐大的資產庫資源,系統(tǒng)能夠動態(tài)識別網絡中的工控設備,識別資產必備屬性等信息,如IP、MAC、設備種類、設備廠商、設備型號等 應具備識別多IP資產的能力 理員可對資產的多種屬性進行管理,包括名稱、類型、廠商、IP/MAC、地理位置、聯(lián)系人等內容 通過資產發(fā)現(xiàn)功能發(fā)現(xiàn)的資產定義為待定資產,提供對待定資產的管理功能 具備待定資產的合并功能,以適應工控環(huán)境中普遍存在的多網卡設備需求 待定資產可以方便的轉換成正式的固定資產 管理員可以方便的進行資產檢索??梢曰陉P鍵字、資產類型等信息進行快速搜索 支持批量導出資產 |
通信拓撲 | 通過對流量分析和協(xié)議深度解析,并結合資產指紋庫資源,應可以動態(tài)識別網絡中的工控通信設備 能夠支持對多IP通信設備的自動判別,并提供多IP通信節(jié)點的管理 應可以通過流量分析識別系統(tǒng)中所有通信鏈路,并可提供通信鏈路中的源/目的IP、源/目的端口、通信協(xié)議、鏈路最早建立時間、鏈路最新通信時間、包吞吐量等信息 基于對網絡通信數(shù)據的實時分析,自動以拓撲圖的形式直觀展示工控網絡中各個設備節(jié)點之間的通信連接情況,對于存在入侵等告警信息的通信鏈路,應在拓撲圖上提供可視化的異常展示與告警 基于工控系統(tǒng)應用實際,拓撲圖繪制還需具備如下能力: 1,基于通信數(shù)據自動發(fā)現(xiàn)通信節(jié)點 2,支持針對工控系統(tǒng)中多IP資產的管理 3,可根據協(xié)議、IP等條件對拓撲圖進行過濾 |
審計 | 基于工控協(xié)議深度解析結果,可以對工控網絡中的所有活動提供協(xié)議和流量審計,生成完整記錄。至少支持以下工業(yè)協(xié)議的深度報文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等協(xié)議 為保護用戶私有協(xié)議的隱私性和安全性,系統(tǒng)應支持圖形化的用戶自定義協(xié)議功能,實現(xiàn)對用戶私有協(xié)議的深度解析和規(guī)則匹配 應具備按照審計日志可解析的任意字段進行檢索的能力 系統(tǒng)應將對系統(tǒng)策略等配置信息的修改操作記錄下來,并提供查詢手段 系統(tǒng)應提供對自身運行監(jiān)視的功能,實時監(jiān)視系統(tǒng)工作狀態(tài),并記錄超出設定預置的告警 |
流量態(tài)勢感知 | 支持對網絡環(huán)境中的流量總大小進行統(tǒng)計 支持從協(xié)議、IP、鏈路等角度對流量進行分析、統(tǒng)計和排序 支持以可視化技術在大屏上展現(xiàn)網絡流量的安全總態(tài)勢 從引擎、協(xié)議、時間等維度進行流量大小、安全告警的統(tǒng)計、分析與可視化 支持用戶定制流量態(tài)勢感知的可視化頁面 |
產品規(guī)格 | |
性能 | 數(shù)據包處理能力:2000pps,極限4000pps(機架式4GX4GE);5000pps,極限8000pps(機架式4GX6GE) 三層吞吐量:500Mbps(機架式4GX4GE),1Gbps(機架式4GX6GE);4Gbps(簡版4GX6GE) |
接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 網口: 4GX4GE:4x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口 |
機械結構 | 外殼:金屬 重量:7kg 尺寸(WxHxD): 435mm×44mm×401mm(機架式4GX4GE,機架式4GX6GE) 440mm×44mm×440mm(簡版4GX6GE) IP等級:IP40 散熱方式:無風扇自然散熱 安裝方式:1U機架安裝 |
電源 | 電壓:H3-H3=220VAC 雙電源輸入 功率:120W |
環(huán)境 | 工作溫度:-40~70℃ 相對濕度:10%~85%無凝露 存儲溫度:-40~70℃ |
質保 | 質保期:1年(升級版3年) MTBF:100000h |
工控安全監(jiān)測審計系統(tǒng):
產品型號 |
型號說明 |
Agate7001-4GX6GE-H3-H3 |
簡版,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7001-M-4GX4GE-H3-H3 |
一體機,4x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7001-M-4GX6GE-H3-H3 |
一體機,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控安全監(jiān)測審計系統(tǒng)推薦服務:
服務型號 |
型號說明 |
Agate7001- uIDS |
入侵檢測特征庫升級服務 |
工控安全監(jiān)測審計系統(tǒng)推薦選購擴展端口:
擴展端口型號 |
型號說明 |
AM7001-4GE |
4x10/100/1000Base-T(X)電口 |
AM7001-4GX |
4x1000Base-X SFP接口 |
AM7001-8GE |
8x10/100/1000Base-T(X)電口 |
AM7001-2X |
2x10G SFP+接口 |