東土科技工控安全監(jiān)測審計(jì)系統(tǒng)通過對工控網(wǎng)絡(luò)流量進(jìn)行采集、分析和監(jiān)測,并結(jié)合特定的安全策略,監(jiān)測審計(jì)系統(tǒng)可快速識(shí)別網(wǎng)絡(luò)中的異常、攻擊行為,并實(shí)時(shí)告警;同時(shí)記錄所有網(wǎng)絡(luò)通信行為,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。
監(jiān)測審計(jì)系統(tǒng)采用分布式部署,對工業(yè)生產(chǎn)過程“零擾動(dòng)”影響,廣泛應(yīng)用于各類網(wǎng)絡(luò)應(yīng)用環(huán)境。
監(jiān)測審計(jì)系統(tǒng)滿足工業(yè)應(yīng)用場景,系統(tǒng)采用的冗余電源、無風(fēng)扇、全鋁封閉設(shè)計(jì)使產(chǎn)品滿足以下要求。
--達(dá)到IP40防護(hù)等級
--工業(yè)級的可靠性、穩(wěn)定性、實(shí)時(shí)性要求。
--具備架構(gòu)高擴(kuò)展性和兼容性。
--支持工作寬溫-40℃ ~ +85℃,并具備三防(防潮濕、防鹽霧、防霉菌)和抗電磁干擾能力。
監(jiān)測審計(jì)系統(tǒng)支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等眾多工業(yè)協(xié)議字段級的深度解析,有效實(shí)現(xiàn)在線監(jiān)測審計(jì)分析。
流量監(jiān)測與審計(jì)
系統(tǒng)支持旁路部署,采用被動(dòng)方式從網(wǎng)絡(luò)采集數(shù)據(jù)包,通過解析工控網(wǎng)絡(luò)流量、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫和設(shè)備對象進(jìn)行智能匹配,實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)測及威脅活動(dòng)告警,幫助用戶實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況,發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全威脅。
系統(tǒng)支持基于預(yù)置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測:
--系統(tǒng)預(yù)置入侵檢測規(guī)則庫,規(guī)則庫支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類。
--支持用戶根據(jù)威脅特征自定義與其相匹配的規(guī)則,并可將此自定義的規(guī)則應(yīng)用到流量探針中使用,當(dāng)檢測到與規(guī)則相匹配的流量時(shí),產(chǎn)生用戶自定義的告警信息,并采取用戶自定義的處置措施。
動(dòng)態(tài)資產(chǎn)管理
通過協(xié)議分析和龐大的資產(chǎn)庫資源,快速識(shí)別工控網(wǎng)絡(luò)中的設(shè)備,智能化分析資產(chǎn)屬性等基礎(chǔ)信息,自動(dòng)生成通訊拓?fù)鋱D,在界面上對整個(gè)工控網(wǎng)絡(luò)資產(chǎn)進(jìn)行可視化展現(xiàn)(包括IP地址、通訊節(jié)點(diǎn)間使用的工業(yè)協(xié)議等),并對設(shè)備的資源狀況、端口工作狀況等進(jìn)行監(jiān)測。
策略管理
監(jiān)測審計(jì)系統(tǒng)支持策略集中管理和在線下裝;支持黑名單導(dǎo)入和白名單自學(xué)習(xí)功能,黑名單可實(shí)時(shí)檢測工控系統(tǒng)安全風(fēng)險(xiǎn),白名單實(shí)現(xiàn)信任管理,通過智能學(xué)習(xí)技術(shù),自動(dòng)生成白名單庫。
拓?fù)淅L制
通過流量分析,識(shí)別系統(tǒng)中所有通信鏈路,并收集通信鏈路中的源IP/目的IP、源端口/目的端口、通信協(xié)議、鏈路最早建立時(shí)間、鏈路最新通信時(shí)間、包吞吐量等信息。利用基于對網(wǎng)絡(luò)通信數(shù)據(jù)的實(shí)時(shí)分析,自動(dòng)以拓?fù)鋱D的形式直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)之間的通信連接情況,對于存在入侵等告警信息的通信鏈路,在拓?fù)鋱D上提供可視化的異常展示與告警。
支持“拓?fù)湟晥D保存”功能,用戶可保存拓?fù)鋱D上的節(jié)點(diǎn)位置,便于后續(xù)查看。
關(guān)鍵事件監(jiān)測與告警
基于工控協(xié)議解析和工控通信特征庫,監(jiān)測審計(jì)系統(tǒng)可實(shí)現(xiàn)對組態(tài)變更、異常操控指令、PLC程序下裝等關(guān)鍵事件進(jìn)行識(shí)別和告警。
如:在變電站中,可通過對IEC61850協(xié)議簇、IEC 104協(xié)議等進(jìn)行深度解析,分析對應(yīng)場景下的關(guān)鍵操作行為(遙控操作、改定值操作)等。
監(jiān)測審計(jì)系統(tǒng)可針對常見工業(yè)場景設(shè)置通用行業(yè)場景,深度解析Modbus TCP、S7 Comm等常見協(xié)議規(guī)約。
網(wǎng)絡(luò)狀態(tài)監(jiān)測與告警
監(jiān)測審計(jì)系統(tǒng)支持網(wǎng)絡(luò)流量及狀態(tài)白名單基線,當(dāng)有未知設(shè)備接入網(wǎng)絡(luò)或網(wǎng)絡(luò)故障時(shí),可觸發(fā)實(shí)時(shí)告警信息。
用戶可通過圖標(biāo)排列的方式顯示系統(tǒng)設(shè)備(如:AMS、 TAA)的在線狀態(tài)和工作狀態(tài)。
工控網(wǎng)絡(luò)審計(jì)
基于工控協(xié)議解析結(jié)果,對工控網(wǎng)絡(luò)中的所有活動(dòng)提供協(xié)議和流量審計(jì),并生成完整記錄。
會(huì)話流量歷史查看
系統(tǒng)不僅支持通過“通信鏈路”查看鏈路的流量日志信息,還支持通過“歷史統(tǒng)計(jì)”查看鏈路的歷史流量統(tǒng)計(jì)。
數(shù)據(jù)外發(fā)
支持在指定的時(shí)間內(nèi)自動(dòng)生成告警歷史數(shù)據(jù)文件并外發(fā)至指定的地址、端口。
日志與報(bào)表
監(jiān)測審計(jì)系統(tǒng)自動(dòng)將各類告警數(shù)據(jù)(如:黑名單告警、白名單告警、關(guān)鍵事件告警等)和系統(tǒng)操作數(shù)據(jù)生成日志,并支持以Excel表格形式導(dǎo)出日志。
監(jiān)測審計(jì)系統(tǒng)為審計(jì)日志、黑名單告警、白名單告警、關(guān)鍵事件等信息提供多種格式的報(bào)表輸出,提供與第三方系統(tǒng)日志信息采集接口。
軟件功能 | |
威脅識(shí)別 | 采用被動(dòng)方式從網(wǎng)絡(luò)采集數(shù)據(jù)包,通過流量特征匹配,實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)測及威脅活動(dòng)告警,幫助用戶實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況,發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全威脅 系統(tǒng)應(yīng)預(yù)置入侵檢測規(guī)則庫,規(guī)則庫應(yīng)至少支持windows系統(tǒng)漏洞、Linux系統(tǒng)漏洞、Unix系統(tǒng)漏洞、Web漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類 預(yù)置規(guī)則庫的規(guī)則條數(shù)應(yīng)不少于1萬條 支持通過對網(wǎng)絡(luò)流量的深度解析、特征匹配,實(shí)現(xiàn)對組態(tài)變更,異常操控指令,PLC程序下裝等關(guān)鍵事件進(jìn)行識(shí)別和告警,保證工控系統(tǒng)在正確配置下運(yùn)行。比如對應(yīng)變電站場景可通過對IEC61850協(xié)議簇,IEC 104協(xié)議等進(jìn)行深度解析,分析對應(yīng)特定場景下的關(guān)鍵操作行為(遙控操作、改定值操作)等 系統(tǒng)應(yīng)支持用戶根據(jù)威脅特征自定義與其相匹配的規(guī)則,并可將此自定義的規(guī)則應(yīng)用到流量探針中使用,當(dāng)檢測到與規(guī)則相匹配的流量時(shí),產(chǎn)生用戶自定義的告警信息,并采取用戶自定義的處置措施 系統(tǒng)支持基于系統(tǒng)預(yù)置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測 |
異常檢測 | 通過對正常歷史流量數(shù)據(jù)的學(xué)習(xí),建立基于通信協(xié)議、通信協(xié)議關(guān)鍵字段的白名單安全基線,通過對網(wǎng)絡(luò)流量的實(shí)時(shí)監(jiān)測與分析,發(fā)現(xiàn)異常通信流量并告警 業(yè)務(wù)基線自學(xué)習(xí)的字段應(yīng)支持用戶自定義 通過對工控系統(tǒng)通信流量特征的學(xué)習(xí),形成包含通信鏈路、通信協(xié)議、持續(xù)時(shí)間、源與目的等特征的正常通信流量基線,識(shí)別異常流量并主動(dòng)告警 支持通過自學(xué)習(xí)建立通信服務(wù)基線,自動(dòng)檢測違規(guī)外聯(lián)、鏈路中斷等可能影響工控系統(tǒng)正常運(yùn)行的事件 |
資產(chǎn)發(fā)現(xiàn)與管理 | 通過協(xié)議分析和龐大的資產(chǎn)庫資源,系統(tǒng)能夠動(dòng)態(tài)識(shí)別網(wǎng)絡(luò)中的工控設(shè)備,識(shí)別資產(chǎn)必備屬性等信息,如IP、MAC、設(shè)備種類、設(shè)備廠商、設(shè)備型號等 應(yīng)具備識(shí)別多IP資產(chǎn)的能力 理員可對資產(chǎn)的多種屬性進(jìn)行管理,包括名稱、類型、廠商、IP/MAC、地理位置、聯(lián)系人等內(nèi)容 通過資產(chǎn)發(fā)現(xiàn)功能發(fā)現(xiàn)的資產(chǎn)定義為待定資產(chǎn),提供對待定資產(chǎn)的管理功能 具備待定資產(chǎn)的合并功能,以適應(yīng)工控環(huán)境中普遍存在的多網(wǎng)卡設(shè)備需求 待定資產(chǎn)可以方便的轉(zhuǎn)換成正式的固定資產(chǎn) 管理員可以方便的進(jìn)行資產(chǎn)檢索??梢曰陉P(guān)鍵字、資產(chǎn)類型等信息進(jìn)行快速搜索 支持批量導(dǎo)出資產(chǎn) |
通信拓?fù)?/td> | 通過對流量分析和協(xié)議深度解析,并結(jié)合資產(chǎn)指紋庫資源,應(yīng)可以動(dòng)態(tài)識(shí)別網(wǎng)絡(luò)中的工控通信設(shè)備 能夠支持對多IP通信設(shè)備的自動(dòng)判別,并提供多IP通信節(jié)點(diǎn)的管理 應(yīng)可以通過流量分析識(shí)別系統(tǒng)中所有通信鏈路,并可提供通信鏈路中的源/目的IP、源/目的端口、通信協(xié)議、鏈路最早建立時(shí)間、鏈路最新通信時(shí)間、包吞吐量等信息 基于對網(wǎng)絡(luò)通信數(shù)據(jù)的實(shí)時(shí)分析,自動(dòng)以拓?fù)鋱D的形式直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)之間的通信連接情況,對于存在入侵等告警信息的通信鏈路,應(yīng)在拓?fù)鋱D上提供可視化的異常展示與告警 基于工控系統(tǒng)應(yīng)用實(shí)際,拓?fù)鋱D繪制還需具備如下能力: 1,基于通信數(shù)據(jù)自動(dòng)發(fā)現(xiàn)通信節(jié)點(diǎn) 2,支持針對工控系統(tǒng)中多IP資產(chǎn)的管理 3,可根據(jù)協(xié)議、IP等條件對拓?fù)鋱D進(jìn)行過濾 |
審計(jì) | 基于工控協(xié)議深度解析結(jié)果,可以對工控網(wǎng)絡(luò)中的所有活動(dòng)提供協(xié)議和流量審計(jì),生成完整記錄。至少支持以下工業(yè)協(xié)議的深度報(bào)文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等協(xié)議 為保護(hù)用戶私有協(xié)議的隱私性和安全性,系統(tǒng)應(yīng)支持圖形化的用戶自定義協(xié)議功能,實(shí)現(xiàn)對用戶私有協(xié)議的深度解析和規(guī)則匹配 應(yīng)具備按照審計(jì)日志可解析的任意字段進(jìn)行檢索的能力 系統(tǒng)應(yīng)將對系統(tǒng)策略等配置信息的修改操作記錄下來,并提供查詢手段 系統(tǒng)應(yīng)提供對自身運(yùn)行監(jiān)視的功能,實(shí)時(shí)監(jiān)視系統(tǒng)工作狀態(tài),并記錄超出設(shè)定預(yù)置的告警 |
流量態(tài)勢感知 | 支持對網(wǎng)絡(luò)環(huán)境中的流量總大小進(jìn)行統(tǒng)計(jì) 支持從協(xié)議、IP、鏈路等角度對流量進(jìn)行分析、統(tǒng)計(jì)和排序 支持以可視化技術(shù)在大屏上展現(xiàn)網(wǎng)絡(luò)流量的安全總態(tài)勢 從引擎、協(xié)議、時(shí)間等維度進(jìn)行流量大小、安全告警的統(tǒng)計(jì)、分析與可視化 支持用戶定制流量態(tài)勢感知的可視化頁面 |
產(chǎn)品規(guī)格 | |
性能 | 數(shù)據(jù)包處理能力:2000pps,極限4000pps(機(jī)架式4GX4GE);5000pps,極限8000pps(機(jī)架式4GX6GE) 三層吞吐量:500Mbps(機(jī)架式4GX4GE),1Gbps(機(jī)架式4GX6GE);4Gbps(簡版4GX6GE) |
接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 網(wǎng)口: 4GX4GE:4x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口 |
機(jī)械結(jié)構(gòu) | 外殼:金屬 重量:7kg 尺寸(WxHxD): 435mm×44mm×401mm(機(jī)架式4GX4GE,機(jī)架式4GX6GE) 440mm×44mm×440mm(簡版4GX6GE) IP等級:IP40 散熱方式:無風(fēng)扇自然散熱 安裝方式:1U機(jī)架安裝 |
電源 | 電壓:H3-H3=220VAC 雙電源輸入 功率:120W |
環(huán)境 | 工作溫度:-40~70℃ 相對濕度:10%~85%無凝露 存儲(chǔ)溫度:-40~70℃ |
質(zhì)保 | 質(zhì)保期:1年(升級版3年) MTBF:100000h |
工控安全監(jiān)測審計(jì)系統(tǒng):
工控安全監(jiān)測審計(jì)系統(tǒng)推薦型號:
產(chǎn)品型號 |
型號說明 |
Agate7001-4GX6GE-H3-H3 |
簡版,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7001-M-4GX4GE-H3-H3 |
一體機(jī),4x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
Agate7001-M-4GX6GE-H3-H3 |
一體機(jī),4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控安全監(jiān)測審計(jì)系統(tǒng)推薦服務(wù):
服務(wù)型號 |
型號說明 |
Agate7001- uIDS |
入侵檢測特征庫升級服務(wù) |
工控安全監(jiān)測審計(jì)系統(tǒng)推薦選購擴(kuò)展端口:
擴(kuò)展端口型號 |
型號說明 |
AM7001-4GE |
4x10/100/1000Base-T(X)電口 |
AM7001-4GX |
4x1000Base-X SFP接口 |
AM7001-8GE |
8x10/100/1000Base-T(X)電口 |
AM7001-2X |
2x10G SFP+接口 |