安全产品


新一代工业网络安全领航者

国密改造产品线

服务器密码机

国密改造产品线

VPN安全网关

国密改造产品线

签名验签服务器

物联网安全产品线

物联网安全管理系统

物联网安全产品线

供热专用数采网装置

物联网安全产品线

二供泵房专用安全网关

物联网安全产品线

分布式能源安全数采装置

智慧运维产品线

IT安全运维服务平台

平台管理产品线

集团级安全运营平台

监测审计产品线

网络准入管理系统

监测审计产品线

数据库审计系统

监测审计产品线

工控安全审计平台

监测审计产品线

日志审计与分析系统

防护隔离产品线

USB安全隔离系统

防护隔离产品线

入侵防御系统

防护隔离产品线

主机安全卫士

防护隔离产品线

工控防火墙

检测评估产品线

高级威胁检测系统

检测评估产品线

入侵检测系统

工控安全审计平台HX-IMAP

工控安全审计平台

浏览量:

1000


所属分类

工控安全审计平台是针对工业控制网络设计的一款能够提供实时网络监测、安全审计的工控安全产品。采用旁路部署的方式接入核心交换机,通过“智能学习+手动配置”结合的方式建立工控网络安全通信模型,实时监测工控网络的状态。通过对工业控制网络流量的采集、分析和监测,快速识别、实时告警在工业控制网络中存在的网络异常事件和网络攻击行为,为工业控制系统的连续运行提供有利的保障。

副标题

工控安全审计平台HX-IMAP

+
  • 审计平台.jpg
  • 工控安全审计2.png
  • 详细描述
  • 产品特点
  • 客户价值
    • 商品名称: 工控安全审计平台
    • 副标题: 工控安全审计平台HX-IMAP

    工控安全审计平台是针对工业控制网络设计的一款能够提供实时网络监测、安全审计的工控安全产品。采用旁路部署的方式接入核心交换机,通过“智能学习+手动配置”结合的方式建立工控网络安全通信模型,实时监测工控网络的状态。通过对工业控制网络流量的采集、分析和监测,快速识别、实时告警在工业控制网络中存在的网络异常事件和网络攻击行为,为工业控制系统的连续运行提供有利的保障。

    产品功能
    网络接入

    ◆支持旁路方式部署,不会对工业控制系统自身产生任何影响;

    ◆支持管理接口IP配置,流量镜像口无需配置IP;

    ◆支持IPv6;

    ◆支持工控安全设备IP/MAC地址绑定;

    ◆支持工业控制设备的MAC地址绑定。
    系统管理

    ◆支持用户名/口令和USB-KEY组合的双因子认证方式;

    ◆基于SSH、HTTPS安全协议的配置交互界面;

    ◆支持配置三权分立用户:系统管理员、安全管理员、审计管理员;

    ◆支持B/S架构的自我管理和安管平台的集中管理两种工作模式;

    ◆支持系统资源、硬件状态、网络流量、安全事件的可视化监控;

    ◆采用Syslog日志格式,支持分级和按类型输出以及日志加密传输;

    ◆支持图形界面与命令行方式进行系统升级;

    ◆提供时钟同步和系统健康记录;

    ◆支持自动删除策略,存储管理配置和定期删除信息;

    ◆支持系统调试功能,包括在线抓包和调试信息采集;

    ◆支持系统备份与系统还原;

    ◆支持白名单、漏洞库、IP/MAC、MAC过滤、审计策略、自定义协议配置、报告生成设置、系统管理及其它配置的导入导出;

    ◆支持系统恢复功能,恢复到出厂默认的账号和密码。
    规则管理

    ◆支持审计策略的配置和下发;

    ◆支持协议开关的配置和下发;

    ◆支持应用协议白名单规则,网络通信白名单规则,二层协议白名单规则的自学习以及规则的配置和下发,支持modbus工控协议白名单自定义;

    ◆支持MAC过滤规则的配置和下发;

    ◆支持数据采集策略的IP地址范围配置。
    流量管理

    ◆支持通过IP地址、MAC地址、平均输入速度、平均输出速度和平均流量百分比等参数对流量进行正确的统计;

    ◆支持以柱状图形式实时展现流量统计结果;

    ◆支持全流量审计和告警,对流量超过预警值的行为进行告警;

    ◆支持根据实时流量和历史流量组合方式对流量状态进行可视化展示和查询;

    ◆支持流量告警开关控制和流量告警检测时间自定义;

    ◆支持通用协议、数据库协议和工控协议Modbus,S7、OPC、IEC104等协议的流量审计功能;
    资产管理

    ◆基于安全事件分布对设备进行评分(安全指数);

    ◆支持安全事件归并统计;

    ◆支持工控协议关键事件操作功能,包括上传、下载、PLC(可编程逻辑控制器)启动、PLC冷启动、PLC热启动、PLC停止等功能;

    ◆支持以CSV格式批量导入/导出资产信息;

    ◆支持清空学习时删除自动学习并且不在资产拓扑图中的资产;

    ◆支持根据资产信息添加IPMAC规则设置;

    ◆支持手动编辑添加资产的设备类型,实现了设备类型自定义功能;

    ◆支持查看单个资产的详细状态关系,包括资产关系、规则详情、安全事件、历史流量、实时流量和审计图表;

    ◆支持资产定位功能,通过配置的名称、IP、类型、位置、snmp配置信息和ssh配置信息,获取交换机Mac地址和接口信息进行交换机管理。
    威胁感知

    ◆支持对满足地址对象条件的信息流进行异常识别,对异常值大于配置的置信度值的信息流判断为威胁流信息;

    ◆支持对威胁感知模型升级,支持配置置信度、地址对象。
    工控拓扑可视化

    ◆支持网络资产自动发现功能,统计资产在线率,资产信息包括厂家,型号,流量和通信状况;

    ◆支持资产网络拓扑图手动编辑,根据实际的网络部署情况,手动编辑网络拓扑图,可查看各主机之间的网络连接情况;

    ◆支持在手动修改资产详细信息,包括设备名称、设备类型、接入状态、厂商信息和设备型号等;

    ◆支持在网络拓扑中自动显示资产告警状态,包括安全事件总数、黑名单告警、白名单告警、IP/MAC告警、MAC过滤告警、流量告警和资产告警等。
    工控协议深度解析

    ◆支持OPC、Ethernet/IP、Modbus S7plus、IEC 61850、IEC104、DNP3、Profinet、S7、GOOSE、MMS和SV等工控协议;

    ◆支持OPC深度协议解析,包括支持OPC的读写权限控制和支持动态端口识别;

    ◆支持Modbus,S7、DNP3等深度协议解析,包括支持协议合规性检查和支持基于功能码、地址范围的细粒度访问控制;

    ◆内置100+种常见工业协议,供制定专业工业安全策略引用;支持协议规则自定义,可针对二层、三层协议自由定义过滤策略;

    ◆支持自定义协议,通过自定义协议配置模板配置自定义协议,可以定义协议名称、协议类型、端口和协议规则,协议规则包含特征码、偏移、长度、字段名和内容描述的自定义;

    ◆支持工控协议自定义报文解析,自定义协议识别可精确至位,提供基于自然语言描述、可扩展的数据内容检测引擎,提供全面自定义安全防护扩展能力。
    安全事件告警

    ◆支持黑白名单、IP/MAC、流量告警、MAC过滤和资产告警,检测业务流量中不合规的工控网络行为,对不合规行为进行实时的告警和响应,留存网络数据;

    ◆支持通过五元组、应用层协议、时间来源、危险级别搜索安全事件;◆支持按照高、中、低三个层次对安全事件进行分级;
     

    ◆支持安全事件的数据导出,查看详细的安全事件信息;

    ◆提供工控设备漏洞、工控协议漏洞、工业以太网漏洞、工控系统漏洞等工控特征库;实时检测工控网络中的攻击行为,利用内置的工控特征库,根据已知的威胁特征实时对网络中的入侵行为进行告警;

    ◆支持自学习功能,自动学习当前工控协议通信行为,形成可信工控协议“白名单”,采用工控“白名单”检测技术,对异常工控协议进行告警;

    ◆支持报文内容不符合协议定义时,产生异常报文告警。如检查报文长度、功能码有效性(如Modbus、S7、OPC);

    ◆支持新增加的安全事件实时更新功能;

    ◆支持异常行为告警功能,异常行为包括异常攻击、异常流量、异常报文、总流量异常、总并发数异常、资产上下线、用户误操作、用户违规操作、非法指令和病毒蠕虫恶意软件传播等。
    日志审计

    ◆支持对服务器、工作站、网络设备、安全设备的日志进行采集;

    ◆支持单独配置日志采集接口IP,并支持路由配置;

    ◆支持对采集的日志进行事件等级划分;

    ◆支持对采集的设备日志进行展示,并支持按照时间、事件等级和设备类型进行搜索。
    报告管理 

    ◆支持事件报告、日志报告、审计报告、资产报告四大类报告;

    ◆支持报告的详情查看和下载,提高报告的可用性;

    ◆资产报告可按照IP地址范围、设备类型、是否包含二层设备条件来生成报告,报告以图像化的形式展示。内容包含设备在线数量、设备类型分布和设备身份状态;

    ◆事件报告支持按照五元组、协议、事件来源、危险级别自定义生成报告,报告以图像化的形式展示,内容包含源地址TOP5、目的地址TOP5、安全事件协议类型分布图、安全事件来源分布图和事件时间趋势分布图;

    ◆日志报告支持按照开始时间和结束时间生成报告,报告以图像化的形式展示,内容包含操作日志概述和系统日志概述;

    ◆审计报告支持按照五元组和协议类型自定义生成报告,报告以图像化的形式展示,内容包含协议类型分布图、源地址-目的地址TOP5和协议时间分布趋势图。

     

    产品特点

    全方位的协议行为审计

    工控安全审计平台针对客户环境中重点/敏感操控指令进行专门监测并记录。如通过S7协议监测PLC的行为(PLC操作信息、运行信息、FC功能块操作等)。对工程师站组态变更、操作指令变更、PLC下装、负载变更等操作行为进行记录和存储审计。

    全面的工控协议解析

    天地和兴凭借在工控领域多年的技术积累,自研了独有的工控协议深度分析引擎技术。工控协议深度分析引擎实现了工控以太网中常用控制协议的内容分析和完整性检查,能很好的监控工控协议的控制行为。通过对工控协议的深度分析,防止伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部,从而防止畸形代码攻击等多种发生在工控以太网络内部的攻击,可以针对工业网络协议的内容和数据进行细致的合规性检查。

    工控安全审计平台可以满足不同行业多种系统,支持OPC、Ethernet/IP 、Modbus、IEC 61850、IEC104、DNP3、Profinet、S7、S7plus 、MMS、PNRT-DCP、SIP、S7-PLUS、MQTT、CoAP、BACnet、POWERLINK、EtherCat、EGD、FINS、FOCAS、Hexagon、TRDP、ORACLE、Telnet、POP3、SQL-Server、GOOSE和SV等工控协议的深度解析,对特殊协议和私有协议天地和兴可以根据用户现场需要进行协议的快速开发,从而满足特殊工控系统的安全防护需求。

    精准的识别入侵行为 

    工控安全审计平台提供工控设备漏洞、工控协议漏洞、工业以太网漏洞、工控系统漏洞等。利用自有的工控威胁特征库建立检测规则,准确识别网络中的漏洞、漏洞攻击、恶意代码攻击等入侵行为并实时告警。

    全适应的协议自定义
    工业控制系统的特点之一,是存在大量的私有工控协议,如果不能够支持这些私有的工控协议,会大大影响工控安全审计产品的检测与审计能力。工控安全审计平台提供了开放的工控自定义协议配置模板,可以定义协议名称、协议类型、端口和协议规则,协议规则包含特征码、偏移、长度、字段名和内容描述的自定义,自定义协议识别可精确到位。方便用户自行扩展各种私有协议,满足用户对私有协议做到可审计可管理。

    基于白名单的异常检测

    工控安全审计平台基于智能规则学习引擎技术,可自动收集网络数据包并提取特征,智能学习基于工控协议的操作行为,生成适应当前工控网络环境的白名单安全规则。并通过这些行为和规则逐步建立防护模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。

    面向资产的审计管理

    资产管理是安全团队需要首要解决的问题,明确网络中的资产是建立网络安全体系的第一步。工控安全审计平台支持自动发现及设备指纹识别工控设备类型、品牌型号、系统平台等关键资产信息,同时也支持手动编辑资产信息。围绕发现资产输出全方位的相关信息,包括资产与资产之间关系、规则详情、安全事件、流量状态、审计信息。

    专业的安全审计报告

    工控安全审计平台提供事件报告、日志报告、资产报告和审计报告,每种类型的报告提供在线预览、导出和删除功能。审计报告内容是为解决用户阅读可视化而设计,以安全事件报告为例,可视化报表展示了攻击源/目标TOP5,安全事件协议分布图,安全事件来源分布图,以及安全事件总数随时间分布趋势图。
    工控安全审计平台可定期生成日报表、周报表和月报表,提供细粒度分析;也可以根据用户自定义规则,如指定IP,指定时间段、指定工控协议、事件来源危险级别等生成即时报表,有效解决了报告的可用性和可读性。

    支持可信管理

    该版本的审计平台,集成了可信主动免疫的模块,最大程度的提高了设备自身的安全性,拥有了较高的自我防护能力。

    ◆可信控制

    控制自身可信功能的开启/关闭,以及控制对“未知程序”的管控方式,网络管理员可根据实际场景的需要进行设置。

    ◆静态度量

    静态度量为对全系统的ELF文件以及脚本文件进行签名保护,在这里可查看所有的已添加的静态度量规则;对已有的度量规则进行管理、模式设置等操作。

    ◆动态度量

    按照可信的概念,可信是一级一级传递的。动态度量相当于让对程序的信任传递到运行态。保护的是程序的运行环境:中断向量表、系统调用表和内存中的程序(也就是进程)。动态度量包含动态度量策略配置和触发度量策略产生的日志两个功能模块;动态度量策略配置是针对于系统调用(调用类型为system_call),内核代码(类型为kernel_code_section),中断向量表(类型为idt,仅支持x86平台)和内核模块的内存定期检查的设置,当设置为功能开启状态会定时上报度量日志。

    ◆应用防护
    通过设计“文件防篡改”策略,禁止非授权的用户和程序对业务和系统的关键资源进行修改。同时,为了保证业务系统的正常运行,业务程序对自身资源的合法访问需要配置“特权控制”策略。

    ◆可信报告

    对一段时间内的可信事件(目前为每一个小时统计一次)进行统计,并形成报告。并提供了对历史报告的查询功能。

    ◆可信日志管理

    可信系统会把所有监测到的可信事件记录为日志,在这里可以对所有的可信事件进行查询,并提供导出功能;并控制可信日志的保存时限。

     

    客户价值

    掌握工控系统信息安全运行状态
    工控安全审计平台采用旁路部署,对工业控制网络的流量信息进行实时采集。通过开启工控协议深度解析、网络资产自动梳理和业务规则功能,可提供直观清晰的网络拓扑、事件告警和异常流量展示,极大的提高了企业对工控网络管理的效率,从而降低了工控网络的运维成本。

    预警工控现场安全事件
    工控安全审计平台通过审计策略匹配和智能流量学习建模,发现内部工作人员的违规操作、误操作和外部的网络渗透攻击,使得恶意的攻击意图实时的告警和响应。

    满足工控安全合规要求
    工控安全审计平台通过对工控系统的安全审计监测,轻松满足等保和工业行业安全的基本合规要求,可追溯安全事件的轨迹,为还原事故真相提供了有效的技术手段,从而降低安全责任风险。

     

    关键词:
    • 安全
    • 企业
    • 工控
    • 认证
    • 天地
    • 首家
    • 投入
    • 通过
    • 覆盖
  • 关键词:
    • 安全
    • 企业
    • 工控
    • 认证
    • 天地
    • 首家
    • 投入
    • 通过
    • 覆盖

上一条:

下一条:

在线咨询


产品名称:

立即提交
返回
在线留言
联系电话
企业邮箱

版权所有 © 2022 北京天地和兴科技有限公司