东土科技工控安全管理平台是面向工控系统网络设计的、提供集安全可视化、监测、预警和响应处置于一体的信息安全产品,在不影响生产业务的前提下,实现对安全设备的集中监控与策略配置,通过融合网络中的安全设备、网络设备、应用系统、操作系统等安全要素数据,消除安全孤岛,并采用大数据技术实现整体安全分析及检测。工控安全管理平台采用组件化开发技术,专注于安全管理和安全分析。产品支持以下功能模块:
收集并存储安全相关的资产、运行状态、日志等数据,及时发现威胁并预警。
平台内置大数据和智能分析引擎,融合多种情境数据,在发现网络内部的违规资产、行为、策略、威胁以及外部的攻击和威胁时及时预警,并提供多种响应方式,使安全防护和管理工作规范化流程化。
可对安全设备进行统一管理,提供统一事件管理、统一策略管理、运行状态监测等。
通过丰富的仪表板将网络安全态势呈现给客户。
提供功能界面定制和模块开发接口,便于用户快速部署、配置和开发一系列的安全管理相关应用。
工控安全管理平台具备快速的、自定义条件的事件检索能力,为用户提供了一套灵活方便的交互式事件调查工具,通过事件调查工具,管理员可以对日志中的重要或全部信息进行查询搜索。
系统提供强大的混合搜索能力,用户不仅可以对固定的日志范化字段进行搜索,也可以通过关键字进行全文检索,将传统基于范化的日志分析和基于全文索引的日志搜索技术完美的结合起来,为安全分析师提供强大的分析工具。
用户可通过查询范化后的字段内容获取原始日志中不存在的内容信息,这些信息经过范化和丰富,提高了日志的可读性,易于理解,并可快速查询到用户关心的内容,降低安全日志对用户专业能力的要求。同时,基于大数据全文索引技术,系统提供了类似搜索引擎的查询能力,用户不需要关注日志是否范化,只需输入关键字即可查询到所有包含关键字的日志。系统支持迭代查询和渐进式分析,通过范化和全文检索的综合使用,分析师可快速发现安全事件和异常,为进一步处置提供基础。
用户可通过交互式查询对比,逐渐收敛事件范围,通过用时间、关键字和复杂流程拼接及迭代嵌套等,发现关联事件和异常事件。
平台具备完善的基于规则的关联分析引擎,能够提供逻辑关联、统计关联的关联分析能力。
其中,逻辑关联支持与、或、非逻辑,支持丰富的逻辑表达式(包括并不限于大于、大于等于、小于、小于等于、不等于、包含、在……之间、属于、开始于、结束于、是否为空、通配符匹配、正则匹配等),支持逻辑嵌套。统计关联支持在统计时针对特定的一个或多个字段进行相同计数和不同计数,支持统计时长设置和触发次数设置,具备重复触发的抑制设置功能。
系统具备全文检索的大数据处理能力。平台能够对安全事件进行非格式化的文本式处理,可将原始信息进行自动索引,快速搜索分析各类安全事件。平台提供即席搜索功能,支持输入关键字搜索,从海量事件原始信息中获取与关键字匹配或部分匹配的所有事件。系统支持即席在线查询,支持嵌套查询,可针对查询结果任意回退,收敛事件范围。系统具备丰富的事件可视化展示能力,具备多种展现手段,至少包括动态事件移动图、事件统计图、饼状图、折线图等。
基于对网络通信数据的实时分析,平台可自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,在拓扑图上提供可视化的异常展示与告警。
工控安全管理平台提供对企业资产的集中管理功能。资产管理可以从多种维度和标准对资产进行分组、分域管理,这些分类标准包括资产类型、业务系统、安全等级、地理位置、所属部门等。
具备对本地网络中各种资产数据的采集能力,能够通过手动编辑、导入方式录入资产数据;管理员可对资产的多种属性进行管理,包括基本属性(名称、类型、厂商、序列号、IP/MAC、地理位置、联系人等)、安全属性(机密性、完整性和可用性)等内容。在资产属性中,如果该资产具备多个IP,则可以录入多个IP和MAC信息;管理员可以方便的进行资产检索,支持基于关键字、资产组、资产类型、资产价值、资产标签等信息进行快速搜索。
工控安全管理平台能对工控系统中的安全设备进行统一管理,建立设备清单,对设备运行状态及运行参数进行实时监测。可实时监视设备运行状态,包括在线/离线状态、CPU负荷、内存占用率、磁盘使用率等,并可根据需要进行用户自定义配置扩展;针对同一技术指标,不同厂商设备上报的数据单位等存在差异,平台通过提供内部计算功能对数据进行加工,满足客户统一格式要求。可对同品牌安全设备进行统一安全策略管理,如防火墙、监测审计等。
工控安全管理平台提供网络安全防护能力评估功能,可对按照《工业控制系统信息安全防护指南》建立网络安全防护能力的企业,开展工控安全防护能力综合评价活动。通过创建评估任务、指定评估对象,防护能力评估功能利用工控安全管理平台构建的数据资源池,综合分析安全要素数据完成部分指标的自动评估,并支持用户对人工评估或对自动评估结果进行修正。防护能力评估任务管理功能既支持对系统或企业的整体评估,也支持对子系统或分支机构的独立评估。
工控安全管理平台内置丰富的报表模板,可以满足业务大部分场景需要,同时平台提供灵活的报表自定义功能,通过可视化的图表拖放,即可形成用户所需的报表。
平台提供自动生成网络安全报告功能,通过可视化插入图表或报表模板,即可按照设定时间计划生成包括封面、目录等文档属性的安全报告。
平台支持多种报表类型,包括一次性报表、日报、周报、月报、季报、年报、实时报表、即时报表等类型。生成的报表可导出为HTML、word、pdf等格式,并可通过邮件自动发送给报表报告接收人。
| 软件功能 | |
| 日志采集 | 具备对各类网络设备、安全设备、终端设备和服务器设备进行日志信息数据采集的能力,采集目标设备应包含交换机和路由器、虚拟化及云计算平台、蜜罐系统、终端管理系统、防火墙、VPN、防病毒网关、入侵检测系统、入侵防御系统、WAF、内容过滤网关、负载均衡设备、数据库设备、Windows/Linux操作系统、隔离交换设备等设备 可通过 SNMP Trap、Syslog、JDBC、文件\文件夹、FTP、SFTP等多种协议方式采集日志 |
| 日志范式化 | 系统必须具备日志范式化功能,实现对异构日志格式的统一描述 范式化字段至少应包括事件接收时间、事件产生时间、事件持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名称、事件摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等 针对不支持的日志做范化的时候不需改动代码,通过导入范化策略文件或者在系统页面可视化编辑修改,即可完成并生效 支持长安全事件格式 系统可自动识别收集的日志并自动选择范化策略,而无须人工指定 范式化字段可在分析过程中根据审计和分析的需要灵活扩展,并可参与关联分析及统计报表等 对于枚举类型的范化字段,其字典表可根据需要自定义扩展 对于原始日志的枚举字段,能够将原始的枚举值映射为系统统一的枚举值 |
| 日志储存 | 系统采用大数据技术,具备海量日志存储能力 系统内置全文索引引擎 系统具备日志数据的备份恢复功能 对于日志,系统同时保存原始日志和范式化后的日志 管理员可设置事件存储容量告警阈值 |
| 安全事件关联分析 | 具备完善的基于规则的关联分析引擎,能够提供逻辑关联、统计关联和情境关联的关联分析能力: 1,逻辑关联支持与、或、非逻辑,支持丰富的逻辑表达式(包括并不限于大于、大于等于、小于、小于等于、不等于、包含、在……之间、属于、开始于、结束于、是否为空、通配符匹配、正则匹配等),支持逻辑嵌套 2,统计关联支持在统计的时候针对特定的一个或多个字段进行相同计数和不同计数,支持统计时长设置和触发次数设置,具备重复触发的抑制设置功能 关联规则支持规则嵌套和引用,通过多规则联合,可精确识别复杂安全事件和场景 必须具备单事件关联和多事件关联,能够针对多个不同类型不同来源的安全事件进行综合关联分析 具备实时关联和历史关联能力。既能够对正在发生的事件进行近实时关联分析,也能对去过发生的历史安全事件进行回溯关联分析 具备可视化在线关联规则编辑器,能够对规则进行各种编辑和自定义 关联分析的结果输出支持事件重定义功能,能够对规则触发的告警时间和关联后事件的任意字段进行重定义,譬如修订事件的等级和类型等 每条关联规则都可以单独设定启动或者停止 |
| 通信拓朴图 | 基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,应在拓扑图上提供可视化的异常展示与告警 可根据协议、IP等条件对拓扑图进行过滤 |
| 资产管理 | 具备对本地网络中各种资产数据的采集能力,能够通过手动编辑或同步方式【需定制开发】录入资产数据 系统支持网络资产自动发现与识别功能,至少包括网络流量【需配置监测审计系统】导入方式 系统对新发现的资产及相应属性信息保存入预备资产库中,管理员可编辑预备库中的资产并添加至资产库 系统能够将被管理资产按照多种维度进行分组、分域管理,如地理位置、组织结构、业务系统等,并显示分组资产总数等信息 管理员对多个资产批量的从一个分组移动到另一个分组 支持批量导出资产 管理员可对资产的多种属性进行管理,包括基本属性(名称、类型、厂商、序列号、IP/MAC、地理位置、联系人等)、安全属性(机密性、完整性和可用性)等内容 在资产属性中,如果该资产具备多个IP,则可以录入多个IP和MAC信息 在资产属性中,管理员可以自定义资产标签 管理员还可以对多个资产批量设置标签 管理员可以对资产标签进行分组管理 管理员可以按标签对资产进行搜索 管理员可以查看每个资产的详情,不仅可以看到资产的相关基本属性,也能看到该资产相关的攻击入侵事件、告警、登录事件等动态信息 管理员可以方便的进行资产检索。可以基于关键字、资产组、资产类型、资产标签等信息进行快速搜索 |
| 安全设备管理 | 管理平台能对工控系统中的安全设备进行统一管理,建立设备清单,对设备运行状态及运行参数进行实时监测;可实时监视设备运行状态,包括在线/离线状态、CPU负荷、内存占用率、磁盘使用率等,并可根据需要进行配置扩展 单点登录:平台提供统一的登录认证服务,用户一次登录操作,可免除对权限范围内的安全设备重复登录过程 统一升级管理:安全管理平台可对纳管安全设备进行系统软件、规则库等系统预置组件的版本管理,包括升级包管理、设备版本摘要与设备升级 |
| 设备运行状态监测 | 安全管理平台支持通过SNMP、客户端代理等方式对企业资产运行状态进行统一监控,对超过限值的指标进行告警 针对同一技术指标,不同厂商设备上报的数据单位等存在差异,平台通过提供内部计算功能对数据进行加工,满足客户统一格式要求 可实时监视设备运行状态,包括在线/离线状态、CPU负荷、内存占用率、磁盘使用率等,并可根据需要进行配置扩展 |
| 防护能力评估 | 可根据评估需要,由人工创建评估任务,并可指定评估任务所依据的评估规范 评估任务可以指定评估对象的范围,既可以是企业整体评估,也可以单独针对某个分支组织机构进行评估。进行整体评估时,可以指定开展评估工作的用户组织机构 对于进行中的评估任务,用户可随时查看评估任务进度 支持评估任务的下发、撤销与关闭 |
| 产品规格 | |
| 性能 | 日志源授权(默认/最大):50/100(L型),50/200(H型) 安全卫士客户端授权(默认/最大):0/200(L型),0/400(H型) |
| 接口 | 2GE:2x10/100/1000Base-T(X)电口 |
| 机械结构 | 外壳:金属 重量:12kg 尺寸(WxHxD):430mm×90mm×500mm 安装方式:2U机架安装 |
| 电源 | 电压:H3-H3=220VAC 双电源输入 功率:550W |
| 质保 | 质保期:1年(升级版3年) |
工控安全管理平台:
工控安全管理平台推荐型号:
|
产品型号 |
型号说明 |
|
Agate7010-L-2GE-H3-H3 |
低性能,2x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
|
Agate7010-H-2GE-H3-H3 |
高性能,2x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
工控安全管理平台推荐服务:
|
服务型号 |
型号说明 |
|
Agate7010-uAUDIT |
日志源授权升级服务 |
|
Agate7010-uTERMINAL |
主机卫士客户端授权升级服务 |
工控安全管理平台推荐选购扩展端口:
|
扩展端口型号 |
型号说明 |
|
AM7010-4GE |
4x10/100/1000Base-T(X)电口 |
|
AM7010-4GX |
4x1000Base-X SFP接口 |
Kyland-Agate7010-Datasheet-CN 工控安全管理平台_用户手册
