工控安全监测审计系统

立思辰工控安全监测审计系统

一、产品简介

立思辰公司的工控安全监测审计系统(xSecAudit)旁路部署在工控网络中,实现网络流量监测、协议分析、资产识别、安全审计等功能,广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业。

通过对工控网络流量的采集、分析和监测,快速识别网络异常行为,并实时告警;支持IEC61850、IEC60870-5-104、DNP3、Modbus TCP、S7Comm、CIP、OPC等众多工业协议寄存器级的深度解析,实现资产自动识别、通信可视化展现、异常通信行为事中告警事后审计等功能。

二、产品功能

  • 流量监测

通过采集工控网络流量及深度分析工控协议,并与内置的协议特征库进行智能匹配,实现实时流量监测及异常活动告警,帮助用户实时掌握工控网络运行状况,发现潜在的网络安全问题。

  • 关键事件监测与告警

基于工控协议解析和工控通信特征库,实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警。

  • 网络状态监测与告警

支持网络流量及状态白名单基线,当有未知设备接入网络或现有设备间通信异常时,可触发实时告警信息。

  • 动态资产管理

通过协议分析和庞大的资产库资源,快速识别工控网络中的设备,自动绘制通讯拓扑图,可视化展现整个工控网络资产的通信情况,实时监测设备的资源状况、端口工作状况。

  • 工控网络审计

基于工控协议解析结果,对工控网络中的所有活动提供协议和流量审计,并生成完整记录。

  • 安全基线管理

提供链路、流量、协议三个维度的安全基线定义,用户不仅可以手动定义这些安全基线,也支持白名单自学习功能,通过智能学习技术,自动创建这些安全基线。

支持对分布式部署的多个工控安全监测单元,提供安全策略集中管理和在线下装功能。

  • 日志与报表

自动将各类告警数据和系统操作数据生成日志,提供多种格式的报表输出,便于工控网络行为审计,提供与第三方系统日志信息采集接口。

三、产品优势

  • 全面的异常检测

记录所有指令和指令执行结果,进行全面异常行为检测,实现恶意入侵活动报警。

  • 支持众多工控协议

支持50余种工业协议的深度报文解析,如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS、DDE等协议。

  • 白名单基线自学习

基于机器学习及大数据技术,对工业控制系统的网络数据进行智能分析和自主学习,一键自动创建白名单安全基线。

持续监视网络流量,自动识别合规数据,及时发现违规行为并实时告警。

  • 基于通信流量的网络拓扑图

基于网络通信数据的深度分析绘制独特的工控系统通信拓扑图,直观展示工控网络中各个设备节点间的通信连接情况,便于及时发现有异常行为的工业资产,并提供可视化的异常展示与告警。

  • 强大的工控漏洞库入侵检测能力

内置海量已知工控漏洞库,当监测到发生利用工控漏洞的入侵行为时自动产生告警并提醒安全运营人员。

支持与多个SIEM平台无缝集成,便于实时分析网络数据。

  • 实用的资产发现与管理

基于通讯数据的资产自动发现和自动链路绘制,识别国内外主流的IT设备和OT设备,并通过通讯拓扑和报表两种方式进行展示。

  • 支持用户自定义协议

只需在界面上进行简单的协议配置即可实现对该协议的解析和规则匹配,操作灵活,并可保证用户私有协议的隐私性和安全性。

  • 强大的横向扩展能力

工控安全监测审计引擎支持任务横向扩展,满足千兆以太网高流量数据报文的实时深度解析和告警。

  • 大数据与云计算

采用大数据处理技术,提高系统的数据处理能力和效率。

支持云部署(阿里云、微软Azure、AWS云),支持存储、计算资源的动态扩容。

  • 自我管理及数据加密

系统具有完善的自我管理功能,包括用户管理、权限管理、日志管理、告警管理、报表管理等。

所有的审计数据在网络中传输均采用加密方式,确保审计数据在传输过程中不被篡改和窃取。

四、典型部署

工控安全监测审计系统采用旁路部署方式,深度解析交换机镜像端口流量,识别工控网络异常通 信;系统采用无IP设计,对工控系统网络“零扰动”。

 

工控安全监测审计系统-典型部署