東土科技工控安全監測審計系統通過對工控網絡流量進行采集、分析和監測,并結合特定的安全策略,監測審計系統可快速識別網絡中的異常、攻擊行為,并實時告警;同時記錄所有網絡通信行為,為工業控制系統的安全事故調查提供堅實的基礎。
監測審計系統采用分布式部署,對工業生產過程“零擾動”影響,廣泛應用于各類網絡應用環境。
監測審計系統滿足工業應用場景,系統采用的冗余電源、無風扇、全鋁封閉設計使產品滿足以下要求。
--達到IP40防護等級
--工業級的可靠性、穩定性、實時性要求。
--具備架構高擴展性和兼容性。
--支持工作寬溫-40℃ ~ +85℃,并具備三防(防潮濕、防鹽霧、防霉菌)和抗電磁干擾能力。
監測審計系統支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等眾多工業協議字段級的深度解析,有效實現在線監測審計分析。
流量監測與審計
系統支持旁路部署,采用被動方式從網絡采集數據包,通過解析工控網絡流量、深度分析工控協議、與系統內置的協議特征庫和設備對象進行智能匹配,實現實時流量監測及威脅活動告警,幫助用戶實時掌握工控網絡運行狀況,發現潛在的網絡安全威脅。
系統支持基于預置協議和用戶自定義協議的自定義規則檢測:
--系統預置入侵檢測規則庫,規則庫支持windows系統漏洞、Linux系統漏洞、Unix系統漏洞、Web漏洞、工控系統漏洞、工控協議漏洞等規則分類。
--支持用戶根據威脅特征自定義與其相匹配的規則,并可將此自定義的規則應用到流量探針中使用,當檢測到與規則相匹配的流量時,產生用戶自定義的告警信息,并采取用戶自定義的處置措施。
動態資產管理
通過協議分析和龐大的資產庫資源,快速識別工控網絡中的設備,智能化分析資產屬性等基礎信息,自動生成通訊拓撲圖,在界面上對整個工控網絡資產進行可視化展現(包括IP地址、通訊節點間使用的工業協議等),并對設備的資源狀況、端口工作狀況等進行監測。
策略管理
監測審計系統支持策略集中管理和在線下裝;支持黑名單導入和白名單自學習功能,黑名單可實時檢測工控系統安全風險,白名單實現信任管理,通過智能學習技術,自動生成白名單庫。
拓撲繪制
通過流量分析,識別系統中所有通信鏈路,并收集通信鏈路中的源IP/目的IP、源端口/目的端口、通信協議、鏈路最早建立時間、鏈路最新通信時間、包吞吐量等信息。利用基于對網絡通信數據的實時分析,自動以拓撲圖的形式直觀展示工控網絡中各個設備節點之間的通信連接情況,對于存在入侵等告警信息的通信鏈路,在拓撲圖上提供可視化的異常展示與告警。
支持“拓撲視圖保存”功能,用戶可保存拓撲圖上的節點位置,便于后續查看。
關鍵事件監測與告警
基于工控協議解析和工控通信特征庫,監測審計系統可實現對組態變更、異常操控指令、PLC程序下裝等關鍵事件進行識別和告警。
如:在變電站中,可通過對IEC61850協議簇、IEC 104協議等進行深度解析,分析對應場景下的關鍵操作行為(遙控操作、改定值操作)等。
監測審計系統可針對常見工業場景設置通用行業場景,深度解析Modbus TCP、S7 Comm等常見協議規約。
網絡狀態監測與告警
監測審計系統支持網絡流量及狀態白名單基線,當有未知設備接入網絡或網絡故障時,可觸發實時告警信息。
用戶可通過圖標排列的方式顯示系統設備(如:AMS、 TAA)的在線狀態和工作狀態。
工控網絡審計
基于工控協議解析結果,對工控網絡中的所有活動提供協議和流量審計,并生成完整記錄。
會話流量歷史查看
系統不僅支持通過“通信鏈路”查看鏈路的流量日志信息,還支持通過“歷史統計”查看鏈路的歷史流量統計。
數據外發
支持在指定的時間內自動生成告警歷史數據文件并外發至指定的地址、端口。
日志與報表
監測審計系統自動將各類告警數據(如:黑名單告警、白名單告警、關鍵事件告警等)和系統操作數據生成日志,并支持以Excel表格形式導出日志。
監測審計系統為審計日志、黑名單告警、白名單告警、關鍵事件等信息提供多種格式的報表輸出,提供與第三方系統日志信息采集接口。
| 軟件功能 | |
| 威脅識別 | 采用被動方式從網絡采集數據包,通過流量特征匹配,實現實時流量監測及威脅活動告警,幫助用戶實時掌握工控網絡運行狀況,發現潛在的網絡安全威脅 系統應預置入侵檢測規則庫,規則庫應至少支持windows系統漏洞、Linux系統漏洞、Unix系統漏洞、Web漏洞、工控系統漏洞、工控協議漏洞等規則分類 預置規則庫的規則條數應不少于1萬條 支持通過對網絡流量的深度解析、特征匹配,實現對組態變更,異常操控指令,PLC程序下裝等關鍵事件進行識別和告警,保證工控系統在正確配置下運行。比如對應變電站場景可通過對IEC61850協議簇,IEC 104協議等進行深度解析,分析對應特定場景下的關鍵操作行為(遙控操作、改定值操作)等 系統應支持用戶根據威脅特征自定義與其相匹配的規則,并可將此自定義的規則應用到流量探針中使用,當檢測到與規則相匹配的流量時,產生用戶自定義的告警信息,并采取用戶自定義的處置措施 系統支持基于系統預置協議和用戶自定義協議的自定義規則檢測 |
| 異常檢測 | 通過對正常歷史流量數據的學習,建立基于通信協議、通信協議關鍵字段的白名單安全基線,通過對網絡流量的實時監測與分析,發現異常通信流量并告警 業務基線自學習的字段應支持用戶自定義 通過對工控系統通信流量特征的學習,形成包含通信鏈路、通信協議、持續時間、源與目的等特征的正常通信流量基線,識別異常流量并主動告警 支持通過自學習建立通信服務基線,自動檢測違規外聯、鏈路中斷等可能影響工控系統正常運行的事件 |
| 資產發現與管理 | 通過協議分析和龐大的資產庫資源,系統能夠動態識別網絡中的工控設備,識別資產必備屬性等信息,如IP、MAC、設備種類、設備廠商、設備型號等 應具備識別多IP資產的能力 理員可對資產的多種屬性進行管理,包括名稱、類型、廠商、IP/MAC、地理位置、聯系人等內容 通過資產發現功能發現的資產定義為待定資產,提供對待定資產的管理功能 具備待定資產的合并功能,以適應工控環境中普遍存在的多網卡設備需求 待定資產可以方便的轉換成正式的固定資產 管理員可以方便的進行資產檢索。可以基于關鍵字、資產類型等信息進行快速搜索 支持批量導出資產 |
| 通信拓撲 | 通過對流量分析和協議深度解析,并結合資產指紋庫資源,應可以動態識別網絡中的工控通信設備 能夠支持對多IP通信設備的自動判別,并提供多IP通信節點的管理 應可以通過流量分析識別系統中所有通信鏈路,并可提供通信鏈路中的源/目的IP、源/目的端口、通信協議、鏈路最早建立時間、鏈路最新通信時間、包吞吐量等信息 基于對網絡通信數據的實時分析,自動以拓撲圖的形式直觀展示工控網絡中各個設備節點之間的通信連接情況,對于存在入侵等告警信息的通信鏈路,應在拓撲圖上提供可視化的異常展示與告警 基于工控系統應用實際,拓撲圖繪制還需具備如下能力: 1,基于通信數據自動發現通信節點 2,支持針對工控系統中多IP資產的管理 3,可根據協議、IP等條件對拓撲圖進行過濾 |
| 審計 | 基于工控協議深度解析結果,可以對工控網絡中的所有活動提供協議和流量審計,生成完整記錄。至少支持以下工業協議的深度報文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等協議 為保護用戶私有協議的隱私性和安全性,系統應支持圖形化的用戶自定義協議功能,實現對用戶私有協議的深度解析和規則匹配 應具備按照審計日志可解析的任意字段進行檢索的能力 系統應將對系統策略等配置信息的修改操作記錄下來,并提供查詢手段 系統應提供對自身運行監視的功能,實時監視系統工作狀態,并記錄超出設定預置的告警 |
| 流量態勢感知 | 支持對網絡環境中的流量總大小進行統計 支持從協議、IP、鏈路等角度對流量進行分析、統計和排序 支持以可視化技術在大屏上展現網絡流量的安全總態勢 從引擎、協議、時間等維度進行流量大小、安全告警的統計、分析與可視化 支持用戶定制流量態勢感知的可視化頁面 |
| 產品規格 | |
| 性能 | 數據包處理能力:2000pps,極限4000pps(機架式4GX4GE);5000pps,極限8000pps(機架式4GX6GE) 三層吞吐量:500Mbps(機架式4GX4GE),1Gbps(機架式4GX6GE);4Gbps(簡版4GX6GE) |
| 接口 | USB: 2*USB Type-A接口 Console: 1*RJ45接口 網口: 4GX4GE:4x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口 4GX6GE:4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口 |
| 機械結構 | 外殼:金屬 重量:7kg 尺寸(WxHxD): 435mm×44mm×401mm(機架式4GX4GE,機架式4GX6GE) 440mm×44mm×440mm(簡版4GX6GE) IP等級:IP40 散熱方式:無風扇自然散熱 安裝方式:1U機架安裝 |
| 電源 | 電壓:H3-H3=220VAC 雙電源輸入 功率:120W |
| 環境 | 工作溫度:-40~70℃ 相對濕度:10%~85%無凝露 存儲溫度:-40~70℃ |
| 質保 | 質保期:1年(升級版3年) MTBF:100000h |
工控安全監測審計系統:
|
產品型號 |
型號說明 |
|
Agate7001-4GX6GE-H3-H3 |
簡版,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
|
Agate7001-M-4GX4GE-H3-H3 |
一體機,4x1000Base-X SFP接口,4x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
|
Agate7001-M-4GX6GE-H3-H3 |
一體機,4x1000Base-X SFP接口,6x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控安全監測審計系統推薦服務:
|
服務型號 |
型號說明 |
|
Agate7001- uIDS |
入侵檢測特征庫升級服務 |
工控安全監測審計系統推薦選購擴展端口:
|
擴展端口型號 |
型號說明 |
|
AM7001-4GE |
4x10/100/1000Base-T(X)電口 |
|
AM7001-4GX |
4x1000Base-X SFP接口 |
|
AM7001-8GE |
8x10/100/1000Base-T(X)電口 |
|
AM7001-2X |
2x10G SFP+接口 |
Kyland-Agate7001-Datasheet-CN-V2 工控安全監測審計系統_用戶手冊
