三中網安工控入侵檢測系統
產品概述
隨著計算機和網絡技術的發展、特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和軟件,以各種方式與互聯網等公共網絡連接,網絡病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信安全問題日益突出。2010年發生的“震網”病毒事件,充分反映出工業控制系統信息安全面臨著嚴峻挑戰。與此同時,我國工業控制系統信息安全仍存在不少問題,如電力工控系統安全防護薄弱,控制協議無安全保護機制,存在安全控制漏洞和隱患,沒有針對工控系統的入侵檢測及主動預警和防御體系,一旦電力工控系統信息安全出現漏洞,將對電力電網的生產運行和國家經濟安全造成重大隱患。
三中網安研發的工控網絡安全綜合檢測系統采用深度網絡分析技術,以捕獲全網通訊數據包為基礎,精準識別工控網絡協議,實時檢測警報針對工控網絡的入侵行為,變被動防御變為主動防御,確保工控信息系統的平穩有效運行。
應用價值
(1)工控網絡入侵檢測
系統具備高效的入侵行為特征庫,能對工控網絡通訊中的協議、應用、通訊行為提供深入準確的分析、檢測及安全診斷,及時捕獲網絡異常行為,發現網絡入侵行為并分析出潛在的安全威脅。
(2)工控內網安全監視
對工控系統網絡全流量的采集,識別,存儲與診斷,能夠通過異常的網絡流量識別發現非法外聯,異常的網絡應用和通訊行為,從而發現工控內網中存在的安全隱患。通過深入的分析加以甄別判定,全面掌握內網主機、設備工作運行狀態。
(3)工控協議合規性檢測
對協議通訊內容進行鑒別與合規性檢查,及時發現協議違規使用、命令越權操作等各種行為并進行報警展示。
(4)工控網絡全流量審計
提供實時分析與長時間全流量數據保存及審計追溯能力
關鍵取證數據的數據包和統計信息永久保存
高效多角度的數據挖掘快速檢索能力
功能特點
(1)網絡流量監控
系統對關鍵網絡鏈路提供持續的圖形化流量監控功能,能夠對流量數據進行長期的統計分析,主動分析網絡和應用運行規律、網絡行為規律,以及運行的趨勢,從而幫助用戶確立網絡運行的基線,便于在網絡日常運行過程中發現異常情況。
(2)基于特征的深度協議識別與解碼
系統提供近千種種網絡通訊協議的準確識別、解碼與分析。其中包括以下專有工控協議,并支持到協議子操作一級。
(3)基于協議合規性檢查的入侵檢測
基于對工控協議的深度解碼以及對合規性的分析,可實時發現工業控制網絡內的危險指令、高風險指令、數據夾帶以及工控協議端口重用等異常業務數據。
工控協議合規性可以實時的發現工業控制網絡內的入侵行為,系統檢測到這些入侵行為,會實時給用戶提供警報展示。
(4)基于業務行為基線的入侵檢測
系統支持多視角、多層次對工控網絡內各工控協議的業務指令進行統計建模,建模的維度包括業務量、業務的平均響應時間、最長/最短響應時間、業務指令發生的時間、工控網絡內控制節點的互通狀態;系統經過一段時間的自動學習之后,建立好業務模型,這個業務模型就是工控網絡的業務基線。
通過業務基線,系統可以識別以下異常行為:
業務基線沒有業務交互的兩個控制節點產生了業務交互;
控制節點間發生了之前沒有發生的業務指令;
鍵業務產生的時間與基線有較大的差異;
業務指令的響應周期比基線值有較大幅度的增加;
控制節點間的業務指令交互頻率較大幅度的高于或者低于基線值;
這些異常行為意味著工控網絡很可能正在被入侵,基于業務行為基線能夠對新型和未知的攻擊進行識別。
(5)智能警報
支持全方位的網絡行為異常預警,用戶可以根據網絡狀況靈活調整警報參數,從而能夠更準確的發現異常網絡行為。系統能夠對產生警報的通訊數據進行深入的智能分析,并提供相應的數據依據。
工控網絡協議合規性檢查警報
KPI參數警報(用戶自定義關鍵流量閾值,診斷條件等)
警報設置,警報屬性定義,觸發條件,解除警報條件,觸發的警報信息可以通過E-mail發送給指定人員,或者是發送到指定的SYSLOG服務器。
(6)智能報表
提供豐富的內置報表,并支持用戶自定義新報表。包括全局流量報表、入侵警報報表、協議與應用統計報表、異常流量分析報表、異常行為分析報表、Top警報統計報表。
(7)網絡流量單向采集
提供嚴格的流量采集隔離,確保單向無反饋傳輸。所配單向接收網卡(適配器)只接收數據,無任何數據發送到生產控制區。
系統部署
在生產控制區(安全區I)內部署多個前端探針作為數據監測點,對來自計算機監控系統、輔助設備控制系統等設備通訊流量進行實時檢測與分析。管理員通過控制臺連接至分析中心實現對網絡入侵與內網安全監視管理 。
(1)前端探針
分布式多點部署,每臺設備配有采集口、管理口、大容量存儲介質及狀態自檢顯示屏。其負責工控系統業務網絡通訊數據采集并做持續存儲,實時將原始數據包上報至分析中心匯總,同時報告前端工作狀態及流量統計。
(2)分析中心服務器
分析中心負責收集所有探針節點上報的數據包并做長期保存。中心以每個探針節點為分析對象,對工控系統全流量通信數據進行入侵檢測分析和安全審計,同時提供回溯挖掘功能,深入展現數據細節及關聯關系,為安全事件追溯提供數據依據。
