东土科技工控安全监测审计系统通过对工控网络流量进行采集、分析和监测,并结合特定的安全策略,监测审计系统可快速识别网络中的异常、攻击行为,并实时告警;同时记录所有网络通信行为,为工业控制系统的安全事故调查提供坚实的基础。
监测审计系统采用分布式部署,对工业生产过程“零扰动”影响,广泛应用于各类网络应用环境。
监测审计系统满足工业应用场景,系统采用的冗余电源、无风扇、全铝封闭设计使产品满足以下要求。
--达到IP40防护等级
--工业级的可靠性、稳定性、实时性要求。
--具备架构高扩展性和兼容性。
--支持工作宽温-40℃ ~ +85℃,并具备三防(防潮湿、防盐雾、防霉菌)和抗电磁干扰能力。
监测审计系统支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等众多工业协议字段级的深度解析,有效实现在线监测审计分析。
流量监测与审计
系统支持旁路部署,采用被动方式从网络采集数据包,通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及威胁活动告警,帮助用户实时掌握工控网络运行状况,发现潜在的网络安全威胁。
系统支持基于预置协议和用户自定义协议的自定义规则检测:
--系统预置入侵检测规则库,规则库支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、Web漏洞、工控系统漏洞、工控协议漏洞等规则分类。
--支持用户根据威胁特征自定义与其相匹配的规则,并可将此自定义的规则应用到流量探针中使用,当检测到与规则相匹配的流量时,产生用户自定义的告警信息,并采取用户自定义的处置措施。
动态资产管理
通过协议分析和庞大的资产库资源,快速识别工控网络中的设备,智能化分析资产属性等基础信息,自动生成通讯拓扑图,在界面上对整个工控网络资产进行可视化展现(包括IP地址、通讯节点间使用的工业协议等),并对设备的资源状况、端口工作状况等进行监测。
策略管理
监测审计系统支持策略集中管理和在线下装;支持黑名单导入和白名单自学习功能,黑名单可实时检测工控系统安全风险,白名单实现信任管理,通过智能学习技术,自动生成白名单库。
拓扑绘制
通过流量分析,识别系统中所有通信链路,并收集通信链路中的源IP/目的IP、源端口/目的端口、通信协议、链路最早建立时间、链路最新通信时间、包吞吐量等信息。利用基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,在拓扑图上提供可视化的异常展示与告警。
支持“拓扑视图保存”功能,用户可保存拓扑图上的节点位置,便于后续查看。
关键事件监测与告警
基于工控协议解析和工控通信特征库,监测审计系统可实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警。
如:在变电站中,可通过对IEC61850协议簇、IEC 104协议等进行深度解析,分析对应场景下的关键操作行为(遥控操作、改定值操作)等。
监测审计系统可针对常见工业场景设置通用行业场景,深度解析Modbus TCP、S7 Comm等常见协议规约。
网络状态监测与告警
监测审计系统支持网络流量及状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。
用户可通过图标排列的方式显示系统设备(如:AMS、 TAA)的在线状态和工作状态。
工控网络审计
基于工控协议解析结果,对工控网络中的所有活动提供协议和流量审计,并生成完整记录。
会话流量历史查看
系统不仅支持通过“通信链路”查看链路的流量日志信息,还支持通过“历史统计”查看链路的历史流量统计。
数据外发
支持在指定的时间内自动生成告警历史数据文件并外发至指定的地址、端口。
日志与报表
监测审计系统自动将各类告警数据(如:黑名单告警、白名单告警、关键事件告警等)和系统操作数据生成日志,并支持以Excel表格形式导出日志。
监测审计系统为审计日志、黑名单告警、白名单告警、关键事件等信息提供多种格式的报表输出,提供与第三方系统日志信息采集接口。
| 软件功能 | |
| 威胁识别 | 采用被动方式从网络采集数据包,通过流量特征匹配,实现实时流量监测及威胁活动告警,帮助用户实时掌握工控网络运行状况,发现潜在的网络安全威胁 系统应预置入侵检测规则库,规则库应至少支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、Web漏洞、工控系统漏洞、工控协议漏洞等规则分类 预置规则库的规则条数应不少于1万条 支持通过对网络流量的深度解析、特征匹配,实现对组态变更,异常操控指令,PLC程序下装等关键事件进行识别和告警,保证工控系统在正确配置下运行。比如对应变电站场景可通过对IEC61850协议簇,IEC 104协议等进行深度解析,分析对应特定场景下的关键操作行为(遥控操作、改定值操作)等 系统应支持用户根据威胁特征自定义与其相匹配的规则,并可将此自定义的规则应用到流量探针中使用,当检测到与规则相匹配的流量时,产生用户自定义的告警信息,并采取用户自定义的处置措施 系统支持基于系统预置协议和用户自定义协议的自定义规则检测 |
| 异常检测 | 通过对正常历史流量数据的学习,建立基于通信协议、通信协议关键字段的白名单安全基线,通过对网络流量的实时监测与分析,发现异常通信流量并告警 业务基线自学习的字段应支持用户自定义 通过对工控系统通信流量特征的学习,形成包含通信链路、通信协议、持续时间、源与目的等特征的正常通信流量基线,识别异常流量并主动告警 支持通过自学习建立通信服务基线,自动检测违规外联、链路中断等可能影响工控系统正常运行的事件 |
| 资产发现与管理 | 通过协议分析和庞大的资产库资源,系统能够动态识别网络中的工控设备,识别资产必备属性等信息,如IP、MAC、设备种类、设备厂商、设备型号等 应具备识别多IP资产的能力 理员可对资产的多种属性进行管理,包括名称、类型、厂商、IP/MAC、地理位置、联系人等内容 通过资产发现功能发现的资产定义为待定资产,提供对待定资产的管理功能 具备待定资产的合并功能,以适应工控环境中普遍存在的多网卡设备需求 待定资产可以方便的转换成正式的固定资产 管理员可以方便的进行资产检索。可以基于关键字、资产类型等信息进行快速搜索 支持批量导出资产 |
| 通信拓扑 | 通过对流量分析和协议深度解析,并结合资产指纹库资源,应可以动态识别网络中的工控通信设备 能够支持对多IP通信设备的自动判别,并提供多IP通信节点的管理 应可以通过流量分析识别系统中所有通信链路,并可提供通信链路中的源/目的IP、源/目的端口、通信协议、链路最早建立时间、链路最新通信时间、包吞吐量等信息 基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,应在拓扑图上提供可视化的异常展示与告警 基于工控系统应用实际,拓扑图绘制还需具备如下能力: 1,基于通信数据自动发现通信节点 2,支持针对工控系统中多IP资产的管理 3,可根据协议、IP等条件对拓扑图进行过滤 |
| 审计 | 基于工控协议深度解析结果,可以对工控网络中的所有活动提供协议和流量审计,生成完整记录。至少支持以下工业协议的深度报文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等协议 为保护用户私有协议的隐私性和安全性,系统应支持图形化的用户自定义协议功能,实现对用户私有协议的深度解析和规则匹配 应具备按照审计日志可解析的任意字段进行检索的能力 系统应将对系统策略等配置信息的修改操作记录下来,并提供查询手段 系统应提供对自身运行监视的功能,实时监视系统工作状态,并记录超出设定预置的告警 |
| 流量态势感知 | 支持对网络环境中的流量总大小进行统计 支持从协议、IP、链路等角度对流量进行分析、统计和排序 支持以可视化技术在大屏上展现网络流量的安全总态势 从引擎、协议、时间等维度进行流量大小、安全告警的统计、分析与可视化 支持用户定制流量态势感知的可视化页面 |
| 产品规格 | |
| 性能 | 数据包处理能力:2000pps,极限4000pps(机架式4GX4GE);5000pps,极限8000pps(机架式4GX6GE) 三层吞吐量:500Mbps(机架式4GX4GE),1Gbps(机架式4GX6GE);4Gbps(简版4GX6GE) |
| 接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 网口: 4GX4GE:4x1000Base-X SFP接口,4x10/100/1000Base-T(X)电口 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口 |
| 机械结构 | 外壳:金属 重量:7kg 尺寸(WxHxD): 435mm×44mm×401mm(机架式4GX4GE,机架式4GX6GE) 440mm×44mm×440mm(简版4GX6GE) IP等级:IP40 散热方式:无风扇自然散热 安装方式:1U机架安装 |
| 电源 | 电压:H3-H3=220VAC 双电源输入 功率:120W |
| 环境 | 工作温度:-40~70℃ 相对湿度:10%~85%无凝露 存储温度:-40~70℃ |
| 质保 | 质保期:1年(升级版3年) MTBF:100000h |
工控安全监测审计系统:
|
产品型号 |
型号说明 |
|
Agate7001-4GX6GE-H3-H3 |
简版,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
|
Agate7001-M-4GX4GE-H3-H3 |
一体机,4x1000Base-X SFP接口,4x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
|
Agate7001-M-4GX6GE-H3-H3 |
一体机,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)电口,220VAC 双电源输入 |
工控安全监测审计系统推荐服务:
|
服务型号 |
型号说明 |
|
Agate7001- uIDS |
入侵检测特征库升级服务 |
工控安全监测审计系统推荐选购扩展端口:
|
扩展端口型号 |
型号说明 |
|
AM7001-4GE |
4x10/100/1000Base-T(X)电口 |
|
AM7001-4GX |
4x1000Base-X SFP接口 |
|
AM7001-8GE |
8x10/100/1000Base-T(X)电口 |
|
AM7001-2X |
2x10G SFP+接口 |
Kyland-Agate7001-Datasheet-CN-V2 工控安全监测审计系统_用户手册
