需求分析

工业互联网是“新基建”重要支点,随着物联网、人工智能、大数据、5G等在工业领域应用程度的不断深入,原本相对封闭的工业网络本就相对脆弱的工业安全防护措施,无法满足新形势下的安全风险,工业互联网安全产业也将从以“应急响应”为代表的单点防御向以“持续响应”为代表的纵深防御转变。无论是从等保要求还是工业内生安全角度来看,工控安全监测审计成为安全防护的重要设备。

工业网络系统普遍缺乏现场上下位机之间以及生产管理系统之间网络审计安全措施,不能对生产控制网络中通信流量入侵和病毒识别、不能识别违规操作、程序下载、IP变更、组态变更、PLC启停等关键事件,病毒、木马、黑客等攻击行为,以及非法访问、违规操作等异常行为。通过部署工控安全监测审计系统可有效发现工控指令异常、基于工控协议的攻击行为及关键事件,同时记录所有网络通信行为,提供安全监测告警功能。

应用场景

山石网科工控安全监测审计系统IDA系列是专门为工业网络安全设计、开发的监测审计产品。采用无风扇、耐高湿、防尘、抗电磁、抗震、冗余供电设计,保证高可靠性;支持多核并行控制、优化的软硬件架构多种技术,全方位保证设备的高可用性与高可靠性。

针对工业网络环境特点,山石网科工控安全监测审计系统提供旁路端口镜像方式获取工控网络全流量,通过工业深度协议解析以及工控资产测绘,基于白名单实现动态资产管理,通讯行为画像,实现异常通信行为事中告警、事后审计,实现精确访问控制和细致指令内容过滤的同时达到较高的性能水平,工业威胁检测等。

山石网科工控安全监测审计系统产品适合部署在过程监控层节点交换机以及生产管理层节点交换机上。通过在工控网不同网络层级部署工控安全监测审计系统提供上下位机到PLC及DCS的安全审计、上下位机通信协议的审计、OPC业务通信审计、程序异常行为检测及审计、审计报表生成等功能。

产品特点

  • 高可用性:无风扇设计、冗余电源、宽温应用设计。

  • 工业入侵检测:内置工控特征规则库,可检测和防御针对工控系统的网络攻击,全面提升工业网络安全防护能力。

  • 流量监测与审计:实时流量监测及威胁活动告警。

  • 关键事件监测与告警:基于工控协议解析和工控通信特征库,监测审计系统可实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警,深度解析Modbus TCP、S7 Comm等常见协议规约。

  • 网络状态监测与告警:工控安全监测审计系统支持网络流量及状态白名单基线,当有未知设备接入网络或网络故障时,可触发实时告警信息。

  • 动态资产管理:识别工控网络中的设备,智能化分析资产属性等基础信息,自动生成通讯拓扑图。

技术优势

  • 细粒度的工业协议内容检测与解析:基于白名单的工业指令级深度检测技术,可对工业协议的内容进行深度解析和过滤,如功能码、地址范围和遥信、遥调等。

  • 工业级硬件品控:采用工业级硬件平台、无风扇设计、冗余电源、抗电磁、适于高湿、宽温应用,完美匹配严苛的工业环境。

  • 基于通信流量的网络拓扑图:系统基于网络通信数据的深度分析绘制独特的工控网络拓扑图,可直观展示工控网络中各个设备节点间的通信连接情况,便于发现工业资产,并提供可视化的异常展示与告警。

  • 机器学习及大数据技术:系统基于机器学习及大数据技术,对工业控制系统运行一段时间的网络数据进行智能分析和自主学习,一键自动创建白名单策略;持续监视网络流量,自动识别合规数据,及时发现违规行为并实施告警。

  • 丰富工业协议支持:预置多种工控协议,支持OPC、IEC60870-5-104、Modbus_TCP、Siemens S7等深度解析。

应用场景

山石网科工控安全监测审计系统采用旁路部署方式,深度解析交换机镜像端口流量,识别工控网络异常通信;系统采用无IP设计,对工控系统网络“零扰动”。系统典型部署如下:

用户价值

山石网科工控安全监测审计系统可以为用户提供:

1、发现、映射整个工业控制系统网络资产,可视化网络拓扑;
2、为工业控制系统威胁事件提供取证、调查及分析溯源;
3、建立工控网络的流量基线和通信基线,及时发现生产控制系统中潜在的攻击行为,快速定位异常位置,协助相关人员快速解决故障及事件。

最终达到增强网络抵御安全风险能力、满足网络政策合规性要求、提升企业安全生产水平。

山石网科工控安全监测审计系统可广泛应用在电力、能源、石油石化、交通(铁路、城市轨道交通、民航)、天然气、先进制造、水利枢纽、环境保护、市政供水供气供热以及其它与国计民生紧密相关领域的工业网络。