三中網(wǎng)安工控入侵檢測系統(tǒng)
產(chǎn)品概述
隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展、特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,網(wǎng)絡(luò)病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)信安全問題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴峻挑戰(zhàn)。與此同時,我國工業(yè)控制系統(tǒng)信息安全仍存在不少問題,如電力工控系統(tǒng)安全防護薄弱,控制協(xié)議無安全保護機制,存在安全控制漏洞和隱患,沒有針對工控系統(tǒng)的入侵檢測及主動預(yù)警和防御體系,一旦電力工控系統(tǒng)信息安全出現(xiàn)漏洞,將對電力電網(wǎng)的生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患。
三中網(wǎng)安研發(fā)的工控網(wǎng)絡(luò)安全綜合檢測系統(tǒng)采用深度網(wǎng)絡(luò)分析技術(shù),以捕獲全網(wǎng)通訊數(shù)據(jù)包為基礎(chǔ),精準識別工控網(wǎng)絡(luò)協(xié)議,實時檢測警報針對工控網(wǎng)絡(luò)的入侵行為,變被動防御變?yōu)橹鲃臃烙_保工控信息系統(tǒng)的平穩(wěn)有效運行。
應(yīng)用價值
(1)工控網(wǎng)絡(luò)入侵檢測
系統(tǒng)具備高效的入侵行為特征庫,能對工控網(wǎng)絡(luò)通訊中的協(xié)議、應(yīng)用、通訊行為提供深入準確的分析、檢測及安全診斷,及時捕獲網(wǎng)絡(luò)異常行為,發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為并分析出潛在的安全威脅。
(2)工控內(nèi)網(wǎng)安全監(jiān)視
對工控系統(tǒng)網(wǎng)絡(luò)全流量的采集,識別,存儲與診斷,能夠通過異常的網(wǎng)絡(luò)流量識別發(fā)現(xiàn)非法外聯(lián),異常的網(wǎng)絡(luò)應(yīng)用和通訊行為,從而發(fā)現(xiàn)工控內(nèi)網(wǎng)中存在的安全隱患。通過深入的分析加以甄別判定,全面掌握內(nèi)網(wǎng)主機、設(shè)備工作運行狀態(tài)。
(3)工控協(xié)議合規(guī)性檢測
對協(xié)議通訊內(nèi)容進行鑒別與合規(guī)性檢查,及時發(fā)現(xiàn)協(xié)議違規(guī)使用、命令越權(quán)操作等各種行為并進行報警展示。
(4)工控網(wǎng)絡(luò)全流量審計
提供實時分析與長時間全流量數(shù)據(jù)保存及審計追溯能力
關(guān)鍵取證數(shù)據(jù)的數(shù)據(jù)包和統(tǒng)計信息永久保存
高效多角度的數(shù)據(jù)挖掘快速檢索能力
功能特點
(1)網(wǎng)絡(luò)流量監(jiān)控
系統(tǒng)對關(guān)鍵網(wǎng)絡(luò)鏈路提供持續(xù)的圖形化流量監(jiān)控功能,能夠?qū)α髁繑?shù)據(jù)進行長期的統(tǒng)計分析,主動分析網(wǎng)絡(luò)和應(yīng)用運行規(guī)律、網(wǎng)絡(luò)行為規(guī)律,以及運行的趨勢,從而幫助用戶確立網(wǎng)絡(luò)運行的基線,便于在網(wǎng)絡(luò)日常運行過程中發(fā)現(xiàn)異常情況。
(2)基于特征的深度協(xié)議識別與解碼
系統(tǒng)提供近千種種網(wǎng)絡(luò)通訊協(xié)議的準確識別、解碼與分析。其中包括以下專有工控協(xié)議,并支持到協(xié)議子操作一級。
(3)基于協(xié)議合規(guī)性檢查的入侵檢測
基于對工控協(xié)議的深度解碼以及對合規(guī)性的分析,可實時發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)內(nèi)的危險指令、高風(fēng)險指令、數(shù)據(jù)夾帶以及工控協(xié)議端口重用等異常業(yè)務(wù)數(shù)據(jù)。
工控協(xié)議合規(guī)性可以實時的發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)內(nèi)的入侵行為,系統(tǒng)檢測到這些入侵行為,會實時給用戶提供警報展示。
(4)基于業(yè)務(wù)行為基線的入侵檢測
系統(tǒng)支持多視角、多層次對工控網(wǎng)絡(luò)內(nèi)各工控協(xié)議的業(yè)務(wù)指令進行統(tǒng)計建模,建模的維度包括業(yè)務(wù)量、業(yè)務(wù)的平均響應(yīng)時間、最長/最短響應(yīng)時間、業(yè)務(wù)指令發(fā)生的時間、工控網(wǎng)絡(luò)內(nèi)控制節(jié)點的互通狀態(tài);系統(tǒng)經(jīng)過一段時間的自動學(xué)習(xí)之后,建立好業(yè)務(wù)模型,這個業(yè)務(wù)模型就是工控網(wǎng)絡(luò)的業(yè)務(wù)基線。
通過業(yè)務(wù)基線,系統(tǒng)可以識別以下異常行為:
業(yè)務(wù)基線沒有業(yè)務(wù)交互的兩個控制節(jié)點產(chǎn)生了業(yè)務(wù)交互;
控制節(jié)點間發(fā)生了之前沒有發(fā)生的業(yè)務(wù)指令;
鍵業(yè)務(wù)產(chǎn)生的時間與基線有較大的差異;
業(yè)務(wù)指令的響應(yīng)周期比基線值有較大幅度的增加;
控制節(jié)點間的業(yè)務(wù)指令交互頻率較大幅度的高于或者低于基線值;
這些異常行為意味著工控網(wǎng)絡(luò)很可能正在被入侵,基于業(yè)務(wù)行為基線能夠?qū)π滦秃臀粗墓暨M行識別。
(5)智能警報
支持全方位的網(wǎng)絡(luò)行為異常預(yù)警,用戶可以根據(jù)網(wǎng)絡(luò)狀況靈活調(diào)整警報參數(shù),從而能夠更準確的發(fā)現(xiàn)異常網(wǎng)絡(luò)行為。系統(tǒng)能夠?qū)Ξa(chǎn)生警報的通訊數(shù)據(jù)進行深入的智能分析,并提供相應(yīng)的數(shù)據(jù)依據(jù)。
工控網(wǎng)絡(luò)協(xié)議合規(guī)性檢查警報
KPI參數(shù)警報(用戶自定義關(guān)鍵流量閾值,診斷條件等)
警報設(shè)置,警報屬性定義,觸發(fā)條件,解除警報條件,觸發(fā)的警報信息可以通過E-mail發(fā)送給指定人員,或者是發(fā)送到指定的SYSLOG服務(wù)器。
(6)智能報表
提供豐富的內(nèi)置報表,并支持用戶自定義新報表。包括全局流量報表、入侵警報報表、協(xié)議與應(yīng)用統(tǒng)計報表、異常流量分析報表、異常行為分析報表、Top警報統(tǒng)計報表。
(7)網(wǎng)絡(luò)流量單向采集
提供嚴格的流量采集隔離,確保單向無反饋傳輸。所配單向接收網(wǎng)卡(適配器)只接收數(shù)據(jù),無任何數(shù)據(jù)發(fā)送到生產(chǎn)控制區(qū)。
系統(tǒng)部署
在生產(chǎn)控制區(qū)(安全區(qū)I)內(nèi)部署多個前端探針作為數(shù)據(jù)監(jiān)測點,對來自計算機監(jiān)控系統(tǒng)、輔助設(shè)備控制系統(tǒng)等設(shè)備通訊流量進行實時檢測與分析。管理員通過控制臺連接至分析中心實現(xiàn)對網(wǎng)絡(luò)入侵與內(nèi)網(wǎng)安全監(jiān)視管理 。
(1)前端探針
分布式多點部署,每臺設(shè)備配有采集口、管理口、大容量存儲介質(zhì)及狀態(tài)自檢顯示屏。其負責(zé)工控系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)通訊數(shù)據(jù)采集并做持續(xù)存儲,實時將原始數(shù)據(jù)包上報至分析中心匯總,同時報告前端工作狀態(tài)及流量統(tǒng)計。
(2)分析中心服務(wù)器
分析中心負責(zé)收集所有探針節(jié)點上報的數(shù)據(jù)包并做長期保存。中心以每個探針節(jié)點為分析對象,對工控系統(tǒng)全流量通信數(shù)據(jù)進行入侵檢測分析和安全審計,同時提供回溯挖掘功能,深入展現(xiàn)數(shù)據(jù)細節(jié)及關(guān)聯(lián)關(guān)系,為安全事件追溯提供數(shù)據(jù)依據(jù)。
