威努特工控安全監(jiān)測與審計系統(tǒng)
| 工控安全監(jiān)測與審計系統(tǒng) |
| ICS信息安全 |
| 威努特 |
產(chǎn)品簡介:
目前國內(nèi)工業(yè)控制系統(tǒng)相對封閉的環(huán)境,使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險。
1.1產(chǎn)品概述
目前國內(nèi)工業(yè)控制系統(tǒng)相對封閉的環(huán)境,使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險。因此,對生產(chǎn)網(wǎng)絡(luò)的訪問行為、特定控制協(xié)議內(nèi)容的真實性、完整性進(jìn)行監(jiān)控、管理與審計是非常必要的。
威努特工控安全審計平臺,是專門針對工業(yè)控制網(wǎng)絡(luò)的信息安全審計系統(tǒng)。 它采用旁路部署,對工業(yè)生產(chǎn)過程“零風(fēng)險”,基于對工業(yè)控制協(xié)議(如Modbus TCP、 OPC、DNP3、IEC 60870-5-104等)的通信報文進(jìn)行深度解析(DPI,Deep Packet Inspection),能夠?qū)崟r檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī) 操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警,同時詳實記 錄一切網(wǎng)絡(luò)通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為工業(yè)控制系統(tǒng)的 安全事故調(diào)查提供堅實的基礎(chǔ)。
威努特工控安全審計平臺,廣泛應(yīng)用于電力、石油、石化、軌道交通、煙草、 鋼鐵及先進(jìn)制造等各個行業(yè)。
1.2產(chǎn)品架構(gòu)
威努特工控安全審計平臺包括兩個組件: 工控網(wǎng)絡(luò)審計探針(簡稱“審計探針”):為一個嵌入式硬件設(shè)備,旁路部署在工控網(wǎng)絡(luò)中,通過交換機鏡像獲取工控網(wǎng)絡(luò)流量,進(jìn)行初步處理后上報給安全審計管理平臺。
安全審計管理平臺:為一個硬件服務(wù)器,負(fù)責(zé)接收各個工控網(wǎng)絡(luò)審計探針上 報的數(shù)據(jù),進(jìn)行統(tǒng)一地分析檢測,并將結(jié)果展現(xiàn)給管理員。
威努特工控安全審計平臺采用分布式部署、集中管理,多臺工控網(wǎng)絡(luò)審計探 針分布式部署在各個工業(yè)交換機的旁邊,由安全審計管理平臺進(jìn)行統(tǒng)一的管理。
如下圖:
圖表 1 工控安全審計平臺部署架構(gòu)
威努特工控安全審計平臺的邏輯架構(gòu)劃分為數(shù)據(jù)采集層、分析檢測層、可視 化/告警層。
數(shù)據(jù)采集層:負(fù)責(zé)原始報文的采集、協(xié)議解析(包括TCP/IP協(xié)議棧的解析及 工業(yè)控制協(xié)議的深度解析)、初步攻擊檢測及信息匯聚與統(tǒng)計。
分析檢測層:綜合來自數(shù)據(jù)采集層的報文解析結(jié)果、初步檢測結(jié)果及匯總統(tǒng) 計信息,進(jìn)行工控網(wǎng)絡(luò)通信行為建模,并進(jìn)行TCP/IP異常檢測、工控指令異常檢測、工控關(guān)鍵事件檢測、網(wǎng)絡(luò)風(fēng)暴檢測、網(wǎng)絡(luò)會話異常檢測、基于閾值的檢測等各類安全檢測,并支持基于用戶自定義規(guī)則的檢測。
可視化/告警層:接收來自分析檢測層的數(shù)據(jù)及檢測結(jié)果,一方面進(jìn)行告警的 展現(xiàn),另一方面對數(shù)據(jù)進(jìn)行持久化并進(jìn)行多維度的統(tǒng)計分析和展現(xiàn)。
1.3產(chǎn)品優(yōu)勢
1.3.1工控協(xié)議指令級檢測與審計
威努特工控安全審計平臺搭載了威努特自研的深度數(shù)據(jù)包解析引擎,可對工 控協(xié)議做指令級檢測與審計,為解決針對工控網(wǎng)絡(luò)的安全問題提供了技術(shù)基礎(chǔ)保 障,其全面支持各大主流工業(yè)控制協(xié)議,并且能夠?qū)Ω黝悢?shù)據(jù)包進(jìn)行快速有針對 性的捕獲與深度解析。對不同行業(yè)的工業(yè)控制系統(tǒng),可以采取相應(yīng)針對性的數(shù)據(jù) 包探測機制和解析策略。在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ)上,能夠檢
測出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息,如惡意軟件、具體數(shù)據(jù)和應(yīng)用程序類型。
深度數(shù)據(jù)包解析引擎支持涵蓋OPC Classic、Modbus TCP、IEC 60870-5-104、DNP3、S7等在內(nèi)的各大主流工控網(wǎng)絡(luò)協(xié)議。
1.3.2支持私有工控協(xié)議的擴(kuò)展接口
工業(yè)控制系統(tǒng)的特點之一,是存在大量的私有工控協(xié)議,如果不能夠支持這 些私有的工控協(xié)議,會大大影響工控安全審計產(chǎn)品的檢測與審計能力。威努特工 控安全審計平臺提供SDK,開放的平臺接口可以方便客戶自行擴(kuò)展支持私有工控協(xié) 議,以及做定制化的二次開發(fā)。
1.3.3高性能的深度解析及檢測能力
威努特工控安全審計平臺具備先進(jìn)的硬件架構(gòu),采用專門適用于網(wǎng)絡(luò)處理的 MIPS多核CPU,而不是通用的x86架構(gòu)CPU,為高性能的工控協(xié)議深度解析與檢測提 供了堅實的基礎(chǔ)保障。高性能的軟件架構(gòu)及高性能多模式匹配算法,進(jìn)一步保證 了工控協(xié)議深度解析與檢測的性能。
1.3.4專為工控環(huán)境設(shè)計的工業(yè)級硬件
工控網(wǎng)絡(luò)審計探針設(shè)備,嚴(yán)格按照工業(yè)級硬件的要求進(jìn)行設(shè)計,能夠滿足各 種工業(yè)現(xiàn)場的環(huán)境要求。具體包括:
? 無風(fēng)扇全封閉設(shè)計,防護(hù)等級:IP40;
? 9-36V DC,電源采用1+1冗余供電;
? 硬件產(chǎn)品達(dá)到工業(yè)三級B以上指標(biāo);
? 工作環(huán)境可滿足溫度:-40~70℃,濕度:5%~95% 無凝結(jié);
? 轉(zhuǎn)發(fā)平面與控制平面分離設(shè)計;
? 多種靈活的安裝方式,包括導(dǎo)軌安裝、機柜安裝等。
1.3.5針對工控行業(yè)用戶習(xí)慣設(shè)計的使用體驗
威努特工控安全審計平臺以提高工業(yè)控制網(wǎng)絡(luò)的日常安全管理、信息統(tǒng)計數(shù) 據(jù)的易讀性和可操作性為設(shè)計核心,降低操作復(fù)雜度,避免誤操作。系統(tǒng)充分利 用人工智能技術(shù),大幅度簡化分析、管理、控制流程,并提供簡單易學(xué)的用戶界 面,方便管理人員日常操作管理。安全審計管理平臺支持實時可視化呈現(xiàn)工控網(wǎng) 絡(luò)鏈路的連通性和服務(wù)狀態(tài),提供多類歷史監(jiān)控數(shù)據(jù)對比分析,系統(tǒng)日志、配置 日志、流量日志、攻擊日志、訪問日志等類型日志的查詢與備份。
1.4主要功能
工控網(wǎng)絡(luò)異常檢測
工控網(wǎng)絡(luò)攻擊檢測
? 工控關(guān)鍵事件檢測
? 工控網(wǎng)絡(luò)連接視圖
? 告警事件統(tǒng)計
? 網(wǎng)絡(luò)連接統(tǒng)計
網(wǎng)絡(luò)通信記錄回溯
客戶價值
2.1及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊,減少系統(tǒng)停車時間
威努特工控安全審計平臺能夠?qū)崟r檢測出針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤 操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報 警,幫助客戶及時采取應(yīng)對措施,減少系統(tǒng)停車時間。
2.2為安全事故的調(diào)查,提供詳實的數(shù)據(jù)支持
威努特工控安全審計平臺能夠詳實記錄一切網(wǎng)絡(luò)通信行為,包括指令級的工 業(yè)控制協(xié)議通信記錄,并且提供了簡便易用的回溯功能,為工業(yè)控制系統(tǒng)的安全 事故調(diào)查提供了堅實的基礎(chǔ)和手段,改變以往工業(yè)控制系統(tǒng)出了安全事故無法取 證、調(diào)查無從下手的被動局面。
2.3通過網(wǎng)絡(luò)通信可視化,提高工控網(wǎng)絡(luò)運維效率
威努特工控安全審計平臺通過將工控網(wǎng)絡(luò)的通信行為可視化,并提供友好的 用戶界面,人性化的統(tǒng)計報表,極大的提高了企業(yè)工控網(wǎng)絡(luò)管理的效率,使企業(yè) 工控網(wǎng)絡(luò)管理簡單易行,從而降低工控網(wǎng)絡(luò)的運維成本
