私有工控协议审计“你定义,我实现”
发布时间:
2019-11-26
来源:
作者:
访问量:
91
工业控制系统(ICS)广泛应用于国家关键生产设施和基础设施,它是系统运行的“中枢”,从工控系统自身来看,工控网络有着专用的通信协议和通信机制,如常见的OPC、MODBUS、IEC104、S7等工业协议,天地和兴工控审计类产品对这些工控协议都能进行深度解析。
- 工业控制系统设备众多,常用的工控协议安全厂商都能解析,在一些极少出现的工控协议需要现场开发,开发时间完全不可控,往往影响了项目的正常实施;
- 对于国外工控设备提供商,有较多的工控协议是不对外公开,协议规约无处查找,极大影响了安全设备对其监控审计;
-
对于安全非常敏感的行业,它们在工业控制系统网络中运行的协议完全是保密的、不公开的。即使是安全技术服务商,也不可以获得这些工业控制协议的任何细节。
针对以上情况,天地和兴深入业务场景,确保产品和客户业务场景高度融合,精心研发了自定义协议功能。客户根据私有工控协议的规约细节,可以按照格式填写描述方法,天地和兴工控安全审计平台就能解析网络中的私有工控协议,从而达到对这些协议审计的目的。
下面以客户现场实际应用IEC102和DL476协议为例,描述自定义协议功能的使用方法:
1. 打开协议审计功能,选择“自定义协议配置”。
2. 点击新增配置自定义协议,通过协议名称、协议类型、通信端口和规则模板,配置自定义协议模板。具体自定义协议审计内容见“规则模板”。
规则模板的使用
-
设定特征码过滤出需要审计的报文;
-
配置“偏移”和“长度”,确定审计的字段值;
-
配置内容描述模板,将原始字段值转换为协议规约中标准的描述;
-
用户可以配置多条“审计规则”,供不同配置的“自定义协议”选择。
自定义协议审计信息内容如下图所示:
自定义协议审计流量信息展示,如下图所示:
等保2.0标准在2019年5月正式发布,将于2019年12月开始实施。等保2.0标准中对安全审计做了详细要求。其中8.1.3.5提到“应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计”。那么要对用户的行为和安全事件进行审计的首要条件是识别到这些行为和事件,很显然对私有协议的识别尤为重要,只有识别到后方能进行审计。
天地和兴工控安全审计平台是针对工业控制网络设计的一款能够提供实时网络监测、安全审计的工控安全产品。采用旁路部署的方式接入核心交换机,通过“智能学习+手动配置”结合的方式建立工控网络安全通信模型,实时监测工控网络的状态。通过对工业控制网络流量的采集、分析和监测,实时告警在工业控制网络中存在的网络异常事件和网络攻击行为,为工业控制系统的连续运行提供有利的保障。
协议,审计,工控,网络,安全,工业,天地和兴
上一条:
下一条:
相关资讯
