三中網安工控安全監測與審計系統
產品概述
事實上,目前國內工業控制系統相對封閉的環境,使得來自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操作成為工業控制系統所面臨的主要安全風險。因此,對生產網絡的訪問行為、特定控制協議內容的真實性、完整性進行監控、管理與審計是非常必要的。
三中網安工控安全監測與審計系統,是專門針對工業控制網絡的信息安全審計系統。它采用旁路部署,對工業生產過程“零風險”,基于對工業控制協議(如Modbus TCP、OPC、DNP3、IEC 60870-5-104等)的通信報文進行深度解析(DPI,Deep Packet Inspection),能夠實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,為工業控制系統的安全事故調查提供堅實的基礎。
三中網安工控安全監測與審計系統,廣泛應用于電力、石油、石化、軌道交通、煙草、煤炭、鋼鐵及先進制造等各個行業。
產品優勢
(1)工控協議指令級檢測與審計
三中網安工控安全監測與審計系統搭載了三中網安自研的深度數據包解析引擎,可對工控協議做指令級檢測與審計,為解決針對工控網絡的安全問題提供了技術基礎保障,其全面支持各大主流工業控制協議,并且能夠對各類數據包進行快速有針對性的捕獲與深度解析。對不同行業的工業控制系統,可以采取相應針對性的數據包探測機制和解析策略。在遵循工業控制系統可用性與完整性的基礎上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,如惡意軟件、具體數據和應用程序類型。
深度數據包解析引擎支持涵蓋OPC Classic、Modbus TCP、IEC 60870-5-104、DNP3、S7等在內的各大主流工控網絡協議。
(2)支持私有工控協議的擴展接口
工業控制系統的特點之一,是存在大量的私有工控協議,如果不能夠支持這些私有的工控協議,會大大影響工控安全審計產品的檢測與審計能力。三中網安工控安全監測與審計系統提供SDK,開放的平臺接口可以方便客戶自行擴展支持私有工控協議,以及做定制化的二次開發。
(3)高性能的深度解析及檢測能力
三中網安工控安全監測與審計系統具備先進的硬件架構,采用專門適用于網絡處理的 MIPS多核CPU,而不是通用的x86架構CPU,為高性能的工控協議深度解析與檢測提供了堅實的基礎保障。高性能的軟件架構及高性能多模式匹配算法,進一步保證了工控協議深度解析與檢測的性能。
(4)專為工控環境設計的工業級硬件
智能監測終端設備,嚴格按照工業級硬件的要求進行設計,能夠滿足各種工業現場的環境要求。具體包括:
2.9-36V DC,電源采用1+1冗余供電;
無風扇全封閉設計,防護等級:IP40;
硬件產品達到工業三級B以上指標;
工作環境可滿足溫度:-40~70℃,濕度:5%~95% 無凝結;
轉發平面與控制平面分離設計;
多種靈活的安裝方式,包括導軌安裝、機柜安裝等。
(5)自主可控的工控安全操作系統
三中網安工控安全監測與審計系統在專用工業級、高性能網絡安全硬件平臺基礎上,構筑了自主知識產權的智能工控安全操作系統(即:Intelligent Industry Control Security Operating System 簡稱:IICS-OS),IICS-OS對流經的數據報文做深度的協議解析和匹配,并對數據流做智能調度轉發,以及對七層以上的內容做深度檢查,為上層的特色的安全功能的擴展提供了的堅實的基礎保障。
(6)針對工控行業用戶習慣設計的使用體驗
三中網安工控安全監測與審計系統以提高工業控制網絡的日常安全管理、信息統計數據的易讀性和可操作性為設計核心,降低操作復雜度,避免誤操作。系統充分利用人工智能技術,大幅度簡化分析、管理、控制流程,并提供簡單易學的用戶界面,方便管理人員日常操作管理。安全監測與審計管理中心支持實時可視化呈現工控網絡鏈路的連通性和服務狀態,提供多類歷史監控數據對比分析,系統日志、配置 日志、流量日志、攻擊日志、訪問日志等類型日志的查詢與備份。
主要功能
(1)工控網絡異常檢測
網絡異常檢測功能,基于對工控協議(例如Modbus TCP、DNP3、IEC
60870-5-104等)的通信報文進行采集與深度解析,利用人工智能算法自學習建立工控通信模型基線,對當前工控協議通信行為與基線進行對比,對偏離基線的行為進行檢測并告警。例如:異常指令操作、新出現的設備(IP地址)、異常訪問關系(網絡
連接)等告警。
三中網安工控安全監測與審計系統,支持管理員對智能學習建立的通信模型基線進行人工調校,并支持對告警事件一鍵加入白名單。
三中網安工控安全監測與審計系統,支持對工控協議連接的異常斷開及斷開后重新連接進行檢測并告警。
(2)工控網絡攻擊檢測
三中網安工控安全監測與審計系統,支持對多種類型的工控網絡攻擊行為進行檢測并告警:
針對工控協議的攻擊:例如針對 Modbus 通訊協議的違規端口傳輸、功能 碼錯誤、功能碼攜帶數據異常等多項異常檢測規則;針對 IEC 60870-5-104 協議的啟動字符錯誤、asdu 長度越界、PSCADA 通訊遙控類 別標識異常等多項異常檢測規則;
工控協議畸形報文攻擊:對工控協議報文不符合其規約規定的格式進行檢測并告警;
針對TCP/IP協議層的攻擊:針對網絡 TCP/IP 協議棧報文進行各種典型違規的檢測,及時發現惡意偽造的異常畸形報文,檢測出入侵行為;
基于參數閾值的攻擊檢測:對特定過程狀態參數、控制信號設定檢測閾值,對超閾值的事件進行告警;
TCP/IP協議層風暴攻擊:基于IP地址的閾值檢測Syn Flood、Ping Flood、UDP Flood攻擊,支持默認的全局閾值,也支持對某個IP或IP范圍配置個性化的閾值;
工控協議層風暴攻擊:基于IP地址某工控協議的接收報文速率閾值檢測,對超閾值的事件進行告警;
針對用戶自定義攻擊規則:允許管理員自定義工控協議通信告警規則,對符合告警規則的通信行為進行告警。例如:XX 時間 XX 設備對 XX 設備 發出Modbus XX 功能碼,XX 時間 XX 設備到 XX 設備遙控指令行為。
(3)工控關鍵事件檢測
三中網安工控安全監測與審計系統,支持對生產工藝中的關鍵事件進行檢測。例如:
工藝關鍵事件檢測:對工程師站組態變更、操控指令變更、PLC下裝、負載變更等關鍵事件告警;
IP無流量事件檢測:在設定的時間內,單IP某服務(如Modbus)的接收報文為零,需要告警。
(4)工控網絡連接視圖
工控網絡連接實時視圖,實時圖形化顯示監控范圍內的所有網絡連接(源IP、 目的IP),并對異常的網絡連接標紅顯示。
工控網絡連接歷史視圖,圖形化顯示一定時間段監控范圍內的所有網絡連接(源IP、目的IP),并對異常的網絡連接標紅顯示。
支持基于IP地址過濾,僅顯示與某個IP地址有關的連接視圖。
(5)告警事件統計
三中網安工控安全監測與審計系統,支持對各類告警事件進行多維度的統計。例如:
TOP 告警事件統計:統計一定時間范圍內,TOP N告警事件類型;
告警事件數量趨勢:統計告警事件數量隨時間變化的趨勢,默認是所有類型告警事件的數量,也可以選擇某個特定的事件類型。
(6)網絡連接統計
三中網安工控安全監測與審計系統,支持對網絡連接進行多維度的統計。例如:
基于連接數TOP IP地址:統計某個協議(如Modbus)或全部協議網絡連接數最多的IP地址;
基于報文數TOP IP地址:統計某個協議(如Modbus)或全部協議網絡報文數最多的IP地址;
基于流量TOP IP地址:統計某個協議(如Modbus)或全部協議網絡流量最多的IP地址;
基于連接數TOP協議:統計某個IP或全部IP,網絡連接數最多的協議(如Modbus);
基于報文數TOP協議:統計某個IP或全部IP,網絡報文數最多的協議(如Modbus);
基于流量TOP協議:統計某個IP或全部IP,網絡流量最多的協議(如Modbus)。
(7)網絡通信記錄回溯
三中網安工控安全監測與審計系統,支持對工控網絡通信記錄進行回溯,根據時間、IP地址、端口號、功能碼等條件查詢通信記錄,為工業控制系統的安全事故調查提供詳實的依據。
(8)短信告警
三中網安工控安全監測與審計系統的事件告警,可以根據告警類型或級別,實時發送告警短信給相關負責人,方便安全事故得到及時處理。
典型部署
以一個SCADA網絡為例,三中網安工控安全監測與審計系統的典型部署如下圖:
首先,在站控層的工業以太網中,每個工業交換機位置旁路部署一臺“智能監測終端”,“智能監測終端”通過交換機鏡像口復制一份經過該交換機的所有網絡流量。因為是旁路部署,且智能監測終端只接收網絡流量,不會對工控網絡發生任何干擾報文,所以對生產工藝過程不會造成任何影響。
其次,在控制中心網絡中,部署一臺“安全監測與審計管理中心”,實現對分布式部署在站控層的多臺“智能監測終端”的集中管理。
通過以上的部署,實現了對該SCADA網絡所有站控層網絡流量的全網監控與審計,能夠檢測出針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄。如果在以上網絡中,還關注控制中心網絡中的網絡事件,則只需要在控制中心網絡的每個交換機位置旁路部署一臺“智能監測終端”,則可以覆蓋整個控制中心網絡。
應用場景
可以應用在多個行業不同工控廠商設備中,支持的工控系統的通信協議包括Modbus、OPC、S7、Profinet、DNP3、IEC-104等。
支持應用的行業場景包括:
電力發電、電力輸送;
石油開采、石油運輸、石化煉油;
煤礦開采、煤化工;
煙草制絲、卷包;
鋼鐵煉化;
制造業生產。
