产品概述
事实上,目前国内工业控制系统相对封闭的环境,使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。
因此,对生产网络的访问行为、特定控制协议内容的真实性、完整性进行监控、管理与审计是非常必要的。
三中工控安全监测与审计系统,是专门针对工业控制网络的信息安全审计系统。
它采用旁路部署,对工业生产过程“零风险”,基于对工业控制协议(如Modbus TCP、OPC、DNP3、IEC 60870-5-104等)的通信报文进行深度解析(DPI,Deep Packet Inspection),能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
三中工控安全监测与审计系统,广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等各个行业。
产品优势
(1)工控协议指令级检测与审计
三中工控安全监测与审计系统搭载了三中自研的深度数据包解析引擎,可对工控协议做指令级检测与审计,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。
对不同行业的工业控制系统,可以采取相应针对性的数据包探测机制和解析策略。
在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。
深度数据包解析引擎支持涵盖OPC Classic、Modbus TCP、IEC 60870-5-104、DNP3、S7等在内的各大主流工控网络协议。
(2)支持私有工控协议的扩展接口
工业控制系统的特点之一,是存在大量的私有工控协议,如果不能够支持这些私有的工控协议,会大大影响工控安全审计产品的检测与审计能力。
三中工控安全监测与审计系统提供SDK,开放的平台接口可以方便客户自行扩展支持私有工控协议,以及做定制化的二次开发。
(3)高性能的深度解析及检测能力
三中工控安全监测与审计系统具备先进的硬件架构,采用专门适用于网络处理的 MIPS多核CPU,而不是通用的x86架构CPU,为高性能的工控协议深度解析与检测提供了坚实的基础保障。
高性能的软件架构及高性能多模式匹配算法,进一步保证了工控协议深度解析与检测的性能。
(4)专为工控环境设计的工业级硬件
智能监测终端设备,严格按照工业级硬件的要求进行设计,能够满足各种工业现场的环境要求。
具体包括:
2.9-36V DC,电源采用1+1冗余供电;
无风扇全封闭设计,防护等级:IP40;
硬件产品达到工业三级B以上指标;
工作环境可满足温度:-40~70℃,湿度:5%~95% 无凝结;
转发平面与控制平面分离设计;
多种灵活的安装方式,包括导轨安装、机柜安装等。
(5)自主可控的工控安全操作系统
三中工控安全监测与审计系统在专用工业级、高性能网络安全硬件平台基础上,构筑了自主知识产权的智能工控安全操作系统(即:Intelligent Industry Control Security Operating System 简称:IICS-OS),IICS-OS对流经的数据报文做深度的协议解析和匹配,并对数据流做智能调度转发,以及对七层以上的内容做深度检查,为上层的特色的安全功能的扩展提供了的坚实的基础保障。
(6)针对工控行业用户习惯设计的使用体验
三中工控安全监测与审计系统以提高工业控制网络的日常安全管理、信息统计数据的易读性和可操作性为设计核心,降低操作复杂度,避免误操作。
系统充分利用人工智能技术,大幅度简化分析、管理、控制流程,并提供简单易学的用户界面,方便管理人员日常操作管理。
安全监测与审计管理中心支持实时可视化呈现工控网络链路的连通性和服务状态,提供多类历史监控数据对比分析,系统日志、配置 日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。
主要功能
(1)工控网络异常检测
网络异常检测功能,基于对工控协议(例如Modbus TCP、DNP3、IEC 60870-5-104等)的通信报文进行采集与深度解析,利用人工智能算法自学习建立工控通信模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。
例如:异常指令操作、新出现的设备(IP地址)、异常访问关系(网络 连接)等告警。
三中工控安全监测与审计系统,支持管理员对智能学习建立的通信模型基线进行人工调校,并支持对告警事件一键加入白名单。
三中工控安全监测与审计系统,支持对工控协议连接的异常断开及断开后重新连接进行检测并告警。
(2)工控网络攻击检测
三中工控安全监测与审计系统,支持对多种类型的工控网络攻击行为进行检测并告警:
针对工控协议的攻击:例如针对 Modbus 通讯协议的违规端口传输、功能 码错误、功能码携带数据异常等多项异常检测规则;针对 IEC 60870-5-104 协议的启动字符错误、asdu 长度越界、PSCADA 通讯遥控类 别标识异常等多项异常检测规则;
工控协议畸形报文攻击:对工控协议报文不符合其规约规定的格式进行检测并告警;
针对TCP/IP协议层的攻击:针对网络 TCP/IP 协议栈报文进行各种典型违规的检测,及时发现恶意伪造的异常畸形报文,检测出入侵行为;
基于参数阈值的攻击检测:对特定过程状态参数、控制信号设定检测阈值,对超阈值的事件进行告警;
TCP/IP协议层风暴攻击:基于IP地址的阈值检测Syn Flood、Ping Flood、UDP Flood攻击,支持默认的全局阈值,也支持对某个IP或IP范围配置个性化的阈值;
工控协议层风暴攻击:基于IP地址某工控协议的接收报文速率阈值检测,对超阈值的事件进行告警;
针对用户自定义攻击规则:允许管理员自定义工控协议通信告警规则,对符合告警规则的通信行为进行告警。
例如:XX 时间 XX 设备对 XX 设备 发出Modbus XX 功能码,XX 时间 XX 设备到 XX 设备遥控指令行为。
(3)工控关键事件检测
三中工控安全监测与审计系统,支持对生产工艺中的关键事件进行检测。
例如:
工艺关键事件检测:对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警;
IP无流量事件检测:在设定的时间内,单IP某服务(如Modbus)的接收报文为零,需要告警。
(4)工控网络连接视图
工控网络连接实时视图,实时图形化显示监控范围内的所有网络连接(源IP、 目的IP),并对异常的网络连接标红显示。
工控网络连接历史视图,图形化显示一定时间段监控范围内的所有网络连接(源IP、目的IP),并对异常的网络连接标红显示。
支持基于IP地址过滤,仅显示与某个IP地址有关的连接视图。
(5)告警事件统计
三中工控安全监测与审计系统,支持对各类告警事件进行多维度的统计。
例如:
TOP 告警事件统计:统计一定时间范围内,TOP N告警事件类型;
告警事件数量趋势:统计告警事件数量随时间变化的趋势,默认是所有类型告警事件的数量,也可以选择某个特定的事件类型。
(6)网络连接统计
三中工控安全监测与审计系统,支持对网络连接进行多维度的统计。
例如:
基于连接数TOP IP地址:统计某个协议(如Modbus)或全部协议网络连接数最多的IP地址;
基于报文数TOP IP地址:统计某个协议(如Modbus)或全部协议网络报文数最多的IP地址;
基于流量TOP IP地址:统计某个协议(如Modbus)或全部协议网络流量最多的IP地址;
基于连接数TOP协议:统计某个IP或全部IP,网络连接数最多的协议(如Modbus);
基于报文数TOP协议:统计某个IP或全部IP,网络报文数最多的协议(如Modbus);
基于流量TOP协议:统计某个IP或全部IP,网络流量最多的协议(如Modbus)。
(7)网络通信记录回溯
三中工控安全监测与审计系统,支持对工控网络通信记录进行回溯,根据时间、IP地址、端口号、功能码等条件查询通信记录,为工业控制系统的安全事故调查提供详实的依据。
(8)短信告警
三中工控安全监测与审计系统的事件告警,可以根据告警类型或级别,实时发送告警短信给相关负责人,方便安全事故得到及时处理。
典型部署
以一个SCADA网络为例,三中工控安全监测与审计系统的典型部署如下图:
首先,在站控层的工业以太网中,每个工业交换机位置旁路部署一台“智能监测终端”,“智能监测终端”通过交换机镜像口复制一份经过该交换机的所有网络流量。
因为是旁路部署,且智能监测终端只接收网络流量,不会对工控网络发生任何干扰报文,所以对生产工艺过程不会造成任何影响。
其次,在控制中心网络中,部署一台“安全监测与审计管理中心”,实现对分布式部署在站控层的多台“智能监测终端”的集中管理。
通过以上的部署,实现了对该SCADA网络所有站控层网络流量的全网监控与审计,能够检测出针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录。
如果在以上网络中,还关注控制中心网络中的网络事件,则只需要在控制中心网络的每个交换机位置旁路部署一台“智能监测终端”,则可以覆盖整个控制中心网络。
应用场景
可以应用在多个行业不同工控厂商设备中,支持的工控系统的通信协议包括Modbus、OPC、S7、Profinet、DNP3、IEC-104等。
支持应用的行业场景包括:
电力发电、电力输送
石油开采、石油运输、石化炼油
煤矿开采、煤化工
烟草制丝、卷包
钢铁炼化
制造业生产