工控安全审计是面向工业控制网络,实时监测网络攻击和异常行为的硬件产品,满足国家等级保护的安全技术要求。产品采用工业级的硬件设计,专门针对工业控制网络的信息安全审计平台。采用旁路部署模式,对工业生产过程“零风险”,利用黑名单、白名单、自定义规则等多种安全策略,通过内置的工控协议(如Modbus TCP, OPC、 Siemens S7、 DNP3、IEC104、Ethernet/IP、MMS、 PROFINET和BacNet等)深度解析引擎,实时监测工控网络中违规行为、异常流量和不明设备接入,让用户实时全面掌握工控网络安全运行状况;通过完整的记录并留存工控网络流量,为事后取证和溯源分析提供依据。 产品可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等领域,为SCADA, DCS, PLC以及智能终端等系统提供高效可靠的安全监测,满足行业政策法规及安全技术要求。

工控协议深度解析

支持OPC,Modbus TCP/UDP, IEC104, DNP3, Profinet, MMS,S7, GOOSE, SV,Ethernet/IP等数十种工控协议报文的深度解析和检测。例如报文格式检查、功能码控制、寄存器控制,连接状态控制等的检测。

工控行为规则自学习

基于对工控协议的深度解析,分析工控协议通信行为过程,自动学习基于工控协议的操作行为和规则,对正常工控协议的通信行为建立模型,以此作为可信白名单防护的基线,并可通过自定规则进行强化,可准确识别不合规操作等异常通信行为并产生告警。

多重规则自定义

支持自定义工控协议白名单,对指定协议的操作进行细粒度检测和审计。支持通过协议特征的方式添加新的协议,并可以对新添加的协议进行识别,规则匹配,产生相关安全事件。

实时工控入侵检测

实时检测工控网络中的攻击行为,利用内置的工控威胁库,根据己知的威胁特征建立检测规则,对网络中的工控漏洞攻击、病毒攻击等入侵行为进行实时告警。

工控网络异常状态检测

系统基于对工控协议(Modbus TCP/UDP、OPC. Siemens S7、DNP3、 IEC104,Ethernet/P,MMS、 PROFINET和FINS等)的通信报文进行采集与深度解析,对协议、流量等元素进行统计分析,实时显示网络的运行状态。采用异常流量检测方法,通过对网络流量、通信行为建立模型基线,识别异常流量和异常通信行为并产生告警,可准确识别如:异常指令操作、异常网络连接、不明接入设备(IP地址)等异常状态。支持工业协议无流量监测功能,可持续监测指定工业协议的通信状态,对流量异常中断事件进行实时报警。

流量分析可视化

支持图形化的事件显示、网络流量监控，给用户提供丰富的图形报表。

安全审计及响应

完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文,对安全事件进行审计,及时追溯安全事件的轨迹,便于事后调查取证和回溯分析。独立的告警响应机制,可定义对不同安全级别的安全事件的响应方式。支持对报文进行规约检查,对不符合协议规约的报文,实时上报规约告警事件。支持对指定会话进行审计,实时审计会话的IP,端口,协议,上下行报文数和字节数等信息;支持对组态变更,控制指令变更, PLC下装,负载变更等所有写操作作为关键事件进行审计。

网络数据安全留存

系统默认对所有工控网络的原始数据进行加密存储,审计数据可留存六个月及以上时间,也可根据用户自定义设置数据留存事件,满足行业相关的合规性要求。

贴合工业环境的硬件设计

产品硬件采用了适应工业环境的硬件设计。 防护等级IP40,满足工控网络应用环境要求。通过工业级宽温测试，工作温度、湿度满足工业现场要求。低功耗、无风扇、全封闭设计。

支持多重检测机制

通过“黑名单+白名单”策略构建多重检测机制,准确识别不合规操作等异常通信行为,并产生告警。采用以下手段进行攻击威胁防护： 1)支持对已知攻击行为的检测和防护,内置了庞大可升级的工控威胁库； 2)支持自学习工控协议规则和行为,建立安全检测模型; 3)可通过白名单防护阻止一切不明的威胁。

完整记录工控安全事件

完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文,便于事后调查取证和回溯分析。

工业协议无流量检测

支持工业协议无流量检测功能,可持续监测指定工业协议和终端的通信状态,对流量异常中断事件进行实时报警。

产品可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等领域,为SCADA, DCS, PLC以及智能终端等系统提供高效可靠的安全监测,满足行业政策法规及安全技术要求。

及时发现安全风险,避免安全事故发生

持续监测工控网络中的恶意攻击、违规操作、非法设备接入并实时报警,协助企业及时采取处理措施,避免安全事故发生。

安全状态可视化,提高工控网络管理效率

可视化展现工控网络的通信行为和安全状况,方便安全运维人员快速、准确地定位安全事件,提高企业工控网络安全管理效率。

为安全事故的调查,提供详实的数据支撑

详实记录一切工控网络通信行为,包括网络协议、网络会话、工控协议指令等,为安全事故调查取证和回溯分析提供数据支撑。

审计数据安全留存,满足行业合规性要求

可对所有工控网络的原始数据进行加密存储,审计数据可留存六个月及以上时间,助力满足等级保护、网络安全法以及行业相关的合规性要求。