北京東土拓明科技有限公司 > 產(chǎn)品中心 > 工業(yè)安全產(chǎn)品系列 > Agate7001工控安全監(jiān)測審計系統(tǒng)

Agate7001 工控安全監(jiān)測審計系統(tǒng)

?

產(chǎn)品簡介

? ? ? ? 東土科技工控安全監(jiān)測審計系統(tǒng)是針對工業(yè)控制網(wǎng)絡(luò)設(shè)計的信息安全產(chǎn)品，監(jiān)測審計系統(tǒng)提供網(wǎng)絡(luò)監(jiān)測、協(xié)議分析和安全審計功能，廣泛應(yīng)用于電力、石油、石化、軌道交通、煙草、煤炭、鋼鐵及先進(jìn)制造等行業(yè)。

? ? ? ? 通過對工控網(wǎng)絡(luò)流量進(jìn)行采集、分析和監(jiān)測，并結(jié)合特定的安全策略，監(jiān)測審計系統(tǒng)可快速識別網(wǎng)絡(luò)中的異常、攻擊行為，并實(shí)時告警；同時記錄所有網(wǎng)絡(luò)通信行為，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實(shí)的基礎(chǔ)。

? ? ? ? 監(jiān)測審計系統(tǒng)采用分布式部署，對工業(yè)生產(chǎn)過程“零擾動”影響，廣泛應(yīng)用于各類網(wǎng)絡(luò)應(yīng)用環(huán)境。

? ? ? ? 監(jiān)測審計系統(tǒng)滿足工業(yè)應(yīng)用場景，系統(tǒng)采用的冗余電源、無風(fēng)扇、全鋁封閉設(shè)計使產(chǎn)品滿足以下要求，且同時具有滿足 EN50155 的車載級產(chǎn)品。

? ? ? ? ? ? ? ? 達(dá)到 IP40 防護(hù)等級

? ? ? ? ? ? ? ? 工業(yè)級的可靠性、穩(wěn)定性、實(shí)時性要求。

? ? ? ? ? ? ? ? 具備架構(gòu)高擴(kuò)展性和兼容性。

? ? ? ? ? ? ? ? 支持工作寬溫-40℃ ~ +85℃，并具備三防（防潮濕、防鹽霧、防霉菌）和抗電磁干擾能力。

? ? ? ? ? ? ? ? 支持機(jī)架式、導(dǎo)軌式兩種安裝方式，滿足工業(yè)現(xiàn)場環(huán)境惡劣性要求。

? ? ? ? 監(jiān)測審計系統(tǒng)支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、 S7Comm PLus、Modbus-TCP、Profinet、CIP 等眾多工業(yè)協(xié)議字段級的深度解析，有效實(shí)現(xiàn)在線監(jiān)測審計分析。

產(chǎn)品架構(gòu)

? ? ? ? 工控安全監(jiān)測審計系統(tǒng)由監(jiān)測審計引擎和監(jiān)測審計平臺組成，一個監(jiān)測審計平臺可以管理多臺監(jiān)測審計引擎。

工控安全監(jiān)測審計引擎

? ? ? ? 工控安全監(jiān)測審計引擎通過旁路部署在交換機(jī)側(cè)，實(shí)時監(jiān)聽系統(tǒng)內(nèi)數(shù)據(jù)。工控安全監(jiān)測審計平臺對監(jiān)測審計引擎反饋的數(shù)據(jù)進(jìn)行記錄、分析、展現(xiàn)，并對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)拓?fù)溥M(jìn)行可視化管理。監(jiān)測審計平臺支持白名單、黑名單策略推送機(jī)制，通過對實(shí)際現(xiàn)場數(shù)據(jù)流量進(jìn)行機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析，自動創(chuàng)建生成防護(hù)策略，生成的策略可以推送到各監(jiān)測審計引擎，用于現(xiàn)場通信數(shù)據(jù)包的實(shí)時監(jiān)測。

工控安全監(jiān)測審計平臺

? ? ? ? 工控安全監(jiān)測審計平臺由應(yīng)用服務(wù)、WEB 服務(wù)和前端頁面組成，負(fù)責(zé)管理多個工控安全監(jiān)測審計引擎。

? ? ? ? 應(yīng)用服務(wù)對各公開檢測與審計引擎的審計和報警數(shù)據(jù)進(jìn)行匯總分析，進(jìn)而生成統(tǒng)計報表和拓?fù)鋽?shù)據(jù)，同時也進(jìn)行各單元的策略下發(fā)。

? ? ? ? WEB 服務(wù)對外提供審計、報警、拓?fù)?、策略、協(xié)議、設(shè)備等數(shù)據(jù)的訪問接口，便于前端頁面的數(shù)據(jù)展示和操作。

? ? ? ? 前端頁面從WEB 服務(wù)獲取各類數(shù)據(jù)進(jìn)行展示，同時提供必要的操作入口方便用戶對數(shù)據(jù)進(jìn)行操作和修改。

關(guān)鍵特性

流量監(jiān)測與審計

系統(tǒng)支持旁路部署，采用被動方式從網(wǎng)絡(luò)采集數(shù)據(jù)包，通過解析工控網(wǎng)絡(luò)流量、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫和設(shè)備對象進(jìn)行智能匹配，實(shí)現(xiàn)實(shí)時流量監(jiān)測及威脅活動告警，幫助用戶實(shí)時掌握工控網(wǎng)絡(luò)運(yùn)行狀況，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全威脅。

系統(tǒng)支持基于預(yù)置協(xié)議和用戶自定義協(xié)議的自定義規(guī)則檢測：

系統(tǒng)預(yù)置入侵檢測規(guī)則庫，規(guī)則庫支持 windows 系統(tǒng)漏洞、Linux 系統(tǒng)漏洞、Unix 系統(tǒng)漏洞、Web 漏洞、工控系統(tǒng)漏洞、工控協(xié)議漏洞等規(guī)則分類。

支持用戶根據(jù)威脅特征自定義與其相匹配的規(guī)則，并可將此自定義的規(guī)則應(yīng)用到流量探針中使用，當(dāng)檢測到與規(guī)則相匹配的流量時，產(chǎn)生用戶自定義的告警信息，并采取用戶自定義的處置措施。

動態(tài)資產(chǎn)管理

通過協(xié)議分析和龐大的資產(chǎn)庫資源，快速識別工控網(wǎng)絡(luò)中的設(shè)備，智能化分析資產(chǎn)屬性等基礎(chǔ)信息，自動生成通訊拓?fù)鋱D，在界面上對整個工控網(wǎng)絡(luò)資產(chǎn)進(jìn)行可視化展現(xiàn)（包括 IP地址、通訊節(jié)點(diǎn)間使用的工業(yè)協(xié)議等），并對設(shè)備的資源狀況、端口工作狀況等進(jìn)行監(jiān)測。

策略管理

監(jiān)測審計系統(tǒng)支持策略集中管理和在線下裝；支持黑名單導(dǎo)入和白名單自學(xué)習(xí)功能，黑名單可實(shí)時檢測工控系統(tǒng)安全風(fēng)險，白名單實(shí)現(xiàn)信任管理，通過智能學(xué)習(xí)技術(shù)，自動生成白名單庫。

拓?fù)淅L制

通過流量分析，識別系統(tǒng)中所有通信鏈路，并收集通信鏈路中的源 IP/目的IP、源端口/目的端口、通信協(xié)議、鏈路最早建立時間、鏈路最新通信時間、包吞吐量等信息。利用基于對網(wǎng)絡(luò)通信數(shù)據(jù)的實(shí)時分析，自動以拓?fù)鋱D的形式直觀展示工控網(wǎng)絡(luò)中各個設(shè)備節(jié)點(diǎn)之間的通信連接情況，對于存在入侵等告警信息的通信鏈路，在拓?fù)鋱D上提供可視化的異常展示與告警。

支持“拓?fù)湟晥D保存”功能，用戶可保存拓?fù)鋱D上的節(jié)點(diǎn)位置，便于后續(xù)查看。

關(guān)鍵事件監(jiān)測與告警

基于工控協(xié)議解析和工控通信特征庫，監(jiān)測審計系統(tǒng)可實(shí)現(xiàn)對組態(tài)變更、異常操控指令、PLC 程序下裝等關(guān)鍵事件進(jìn)行識別和告警。

如：在變電站中，可通過對 IEC61850 協(xié)議簇、IEC 104 協(xié)議等進(jìn)行深度解析，分析對應(yīng)場景下的關(guān)鍵操作行為（遙控操作、改定值操作）等。

監(jiān)測審計系統(tǒng)可針對常見工業(yè)場景設(shè)置通用行業(yè)場景，深度解析 Modbus TCP、S7 Comm 等常見協(xié)議規(guī)約。

網(wǎng)絡(luò)狀態(tài)監(jiān)測與告警

監(jiān)測審計系統(tǒng)支持網(wǎng)絡(luò)流量及狀態(tài)白名單基線，當(dāng)有未知設(shè)備接入網(wǎng)絡(luò)或網(wǎng)絡(luò)故障時，可觸發(fā)實(shí)時告警信息。

用戶可通過圖標(biāo)排列的方式顯示系統(tǒng)設(shè)備（如：AMS、 TAA）的在線狀態(tài)和工作狀態(tài)。

工控網(wǎng)絡(luò)審計

基于工控協(xié)議解析結(jié)果，對工控網(wǎng)絡(luò)中的所有活動提供協(xié)議和流量審計，并生成完整記錄。

會話流量歷史查看

系統(tǒng)不僅支持通過“通信鏈路”查看鏈路的流量日志信息，還支持通過“歷史統(tǒng)計”查看鏈路的歷史流量統(tǒng)計。

數(shù)據(jù)外發(fā)

支持在指定的時間內(nèi)自動生成告警歷史數(shù)據(jù)文件并外發(fā)至指定的地址、端口。日志與報表監(jiān)測審計系統(tǒng)自動將各類告警數(shù)據(jù)（如：黑名單告警、白名單告警、關(guān)鍵事件告警等）和系統(tǒng)操作數(shù)據(jù)生成日志，并支持以 Excel 表格形式導(dǎo)出日志。

監(jiān)測審計系統(tǒng)為審計日志、黑名單告警、白名單告警、關(guān)鍵事件等信息提供多種格式的報表輸出，提供與第三方系統(tǒng)日志信息采集接口。

產(chǎn)品優(yōu)勢

全面的異常檢測

記錄發(fā)送到現(xiàn)場設(shè)備或來源于現(xiàn)場設(shè)備的所有指令和指令執(zhí)行結(jié)果，進(jìn)行全面的異常行為檢測和深度分析，提供現(xiàn)場設(shè)備故障報警和惡意入侵活動報警。

支持眾多工控協(xié)議

支持 50 余種工業(yè)協(xié)議的深度報文解析，如 IEC60870-5-104、Modbus TCP/RTU、 IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE 等協(xié)議。

白名單策略基線自學(xué)習(xí)

系統(tǒng)基于機(jī)器學(xué)習(xí)及大數(shù)據(jù)技術(shù)，對工業(yè)控制系統(tǒng)運(yùn)行一段時間的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行智能分析和自主學(xué)習(xí)，一鍵自動創(chuàng)建白名單策略；持續(xù)監(jiān)視網(wǎng)絡(luò)流量，自動識別合規(guī)數(shù)據(jù)，及時發(fā)現(xiàn)違規(guī)行為并實(shí)施告警。

基于通信流量的網(wǎng)絡(luò)拓?fù)鋱D

系統(tǒng)基于網(wǎng)絡(luò)通信數(shù)據(jù)的深度分析繪制獨(dú)特的工控網(wǎng)絡(luò)拓?fù)鋱D，可直觀展示工控網(wǎng)絡(luò)中各個設(shè)備節(jié)點(diǎn)間的通信連接情況，便于發(fā)現(xiàn)工業(yè)資產(chǎn)，并提供可視化的異常展示與告警。當(dāng)存在潛在威脅時，節(jié)點(diǎn)間的連線高亮顯示。

基于工控系統(tǒng)應(yīng)用實(shí)際，拓?fù)鋱D繪制具有以下特點(diǎn)：基于通訊數(shù)據(jù)做資產(chǎn)發(fā)現(xiàn)（主要針對工控設(shè)備）。針對工控系統(tǒng)中多IP 資產(chǎn)，有特殊的管理方式。

靈活的資產(chǎn)成組視圖，實(shí)現(xiàn)不同維度的拓?fù)湔宫F(xiàn)。

強(qiáng)大的工控漏洞庫入侵檢測能力

內(nèi)置海量已知工控漏洞庫，當(dāng)監(jiān)測到發(fā)生工控漏洞入侵行為時自動產(chǎn)生告警并提醒系統(tǒng)運(yùn)營人員。另外，系統(tǒng)支持與多個SIEM 平臺無縫集成，便于實(shí)時分析網(wǎng)絡(luò)數(shù)據(jù)。

實(shí)用的資產(chǎn)發(fā)現(xiàn)與管理

基于通訊數(shù)據(jù)的資產(chǎn)自動發(fā)現(xiàn)和自動鏈路繪制，識別國內(nèi)外主流的 IT 設(shè)備和工控設(shè)備，并通過通訊拓?fù)浜蛨蟊韮煞N方式進(jìn)行展示。同時對工控網(wǎng)絡(luò)中的多 IP 資產(chǎn)提供特殊管理方式，真實(shí)呈現(xiàn)工控網(wǎng)絡(luò)實(shí)際情況。

支持用戶自定義協(xié)議

專業(yè)用戶只需在界面上進(jìn)行協(xié)議配置即可實(shí)現(xiàn)對該協(xié)議的深度解析和規(guī)則匹配，操作靈活，且保證了用戶私有協(xié)議的隱私性和安全性。

高效的策略下發(fā)

通過調(diào)整下發(fā)的策略數(shù)據(jù)結(jié)構(gòu)，減少重復(fù)數(shù)據(jù)，減少下發(fā)數(shù)據(jù)量，大大提高下發(fā)效率。高性能通過調(diào)整TAA 處理邏輯，探針處理性能提高 50%以上。

強(qiáng)大的橫向擴(kuò)展能力

工控安全監(jiān)測審計平臺既支持單機(jī)部署也支持集群化部署，通過橫向擴(kuò)展可支持任意數(shù)據(jù)規(guī)模，用戶可在實(shí)際項(xiàng)目中根據(jù)數(shù)據(jù)規(guī)模的大小靈活選擇部署方式。

單個工控安全監(jiān)測審計引擎支持任務(wù)橫向擴(kuò)展，可以滿足千兆以太網(wǎng)高流量數(shù)據(jù)報文的實(shí)時深度解析和告警。

大數(shù)據(jù)與云計算

系統(tǒng)中審計數(shù)據(jù)采集、存儲、分析等多環(huán)節(jié)使用大數(shù)據(jù)處理技術(shù)，提高系統(tǒng)的數(shù)據(jù)處理能力和效率。系統(tǒng)天然支持云部署（阿里云、微軟 Azure、AWS 云），支持存儲、計算資源的動態(tài)擴(kuò)容。

自我管理及數(shù)據(jù)加密

系統(tǒng)具有完善的自我管理功能，包括用戶管理、權(quán)限管理、日志管理、告警管理、報表管理等。所有的審計數(shù)據(jù)在網(wǎng)絡(luò)中傳輸均采用加密方式，確保審計數(shù)據(jù)在傳輸過程中不被篡改和竊取。

機(jī)械尺寸

工控安全監(jiān)測審計系統(tǒng)：

訂購信息

工控安全監(jiān)測審計系統(tǒng)型號定義：

產(chǎn)品型號	Agate7001-Type-Ports-PS1-PS2
代碼定義	代碼選型
Type:	無:簡版（僅有部分功能） M:一體機(jī)（功能完整）
Ports：端口	4GX4GE：4x1000Base-X SFP 接口，4×10/100/1000Base- T(X)電口 4GX6GE：4x1000Base-X SFP 接口，6×10/100/1000Base- T(X)電口
PS1-PS2: 電源輸入	H3-H3=220VAC 雙電源輸入

工控安全監(jiān)測審計系統(tǒng)服務(wù)定義：

產(chǎn)品型號	Agate7001-Service
代碼定義	代碼選型
Service: 軟件服務(wù)	uIDS：入侵檢測特征庫升級服務(wù)

工控安全監(jiān)測審計系統(tǒng)選購擴(kuò)展端口定義：

產(chǎn)品型號	Agate7001-Ports
代碼定義	代碼選型
Ports: 端口	4GE：4×10/100/1000Base-T(X)電口； 4GX：4x1000Base-X SFP 接口； 8GE：8×10/100/1000Base-T(X)電口； 2X：2x10G SFP+接口；

客戶價值

通過部署工控安全監(jiān)測審計系統(tǒng)，幫助用戶獲得以下收益：

發(fā)現(xiàn)、映射整個工業(yè)控制系統(tǒng)網(wǎng)絡(luò)資產(chǎn)，可視化網(wǎng)絡(luò)拓?fù)洹?/p>

建立工控網(wǎng)絡(luò)的流量基線和通信基線，及時發(fā)現(xiàn)生產(chǎn)控制系統(tǒng)中潛在的攻擊行為，快速定位異常位置，協(xié)助相關(guān)人員快速解決故障及事件。

對網(wǎng)絡(luò)數(shù)據(jù)、事件進(jìn)行實(shí)時監(jiān)測和警告，幫助用戶實(shí)時掌握工業(yè)控制網(wǎng)絡(luò)運(yùn)行狀況。為工業(yè)控制系統(tǒng)威脅事件提供取證、調(diào)查及分析溯源。

加強(qiáng)工業(yè)網(wǎng)絡(luò)的可信、可靠性，滿足能源局 36 號文、發(fā)改委 14 號令、工控等保等合規(guī)性要求，確保工控系統(tǒng)安全防護(hù)符合國家、企業(yè)安全生產(chǎn)規(guī)定。

深度融合業(yè)務(wù)場景的異常行為檢測。電力、石化、軌道交通、煙草、煤炭、鋼鐵及先進(jìn)制造等各個行業(yè)的工業(yè)控制系統(tǒng)千差萬別，本工控安全監(jiān)測裝置融入了針對不同行業(yè)的業(yè)務(wù)安全告警。