工控安全审计

　产互知识图谱

　 工控安全审计

　产互知识图谱 目录 1. 工控安全审计系统

　....................................................... 错误! 未定义书签。

　1.1. 客户资料 ......................................................................................................... 3 1.1.1. 产品背景 ................................................................................................................. 3 1.1.2. 需求分析

　...................................................................................................... 3

　1.1.3.

　产品内容

　...................................................................................................... 4

　1.1.4.

　产品 优势

　..................................................................................................... 6

　1.1.5.

　产品价格

　...................................................................................................... 6

　1.1.6.

　相关案例

　...................................................................................................... 6

　1.2. 内部机制 ......................................................................................................... 6

　1.2.1.

　商务 模式

　..................................................................................................... 6

　1.2.2.

　支撑 流程 ..................................................................................................... 6

　产互知识图谱 1. 工控安全审计系统 1.1. 客户资料 1.1.1. 产品背景 1) 产品定义 针对工控系统可能发生的异常行为进行安全监测研究，深入解析不同行业工控系统使用的工控协议，重点研发了新版本的工控安全审计系统。

　2) 产品政策背景 [工信部]《工业控制系统信息安全防护指南》 [工信部]《工业控制系统信息安全事件应急管理工作指南》 [工信部 451] 关于加强工业控制系统信息安全管理的通知，工信部协[2011]451 号 [国能安全 36 号文]《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》 [发改委]

　 第 14 号令《电力监控系统安全防护规定》 [电监会 2013] 电监会 2013 年 50 号文，《电力工控信息安全专项监管工作方案》 [国家能源局,2013] 国家能源局国家能源局关于近期重点专项监管工作的通知（国能监管〔2013〕432 号）

　3) 行业发展情况 结合不同工业业务场景，其工艺特性中的离散型和连续性，为保证其业务系统所搭载的网络信息系统就是工业网络系统。

　对工业网络信息系统安全的定义：

　保护系统所采取的措施； 由建立和维保保护系统的措施所得到的系统状态； 能够免于对系统资源的非授权访问和非授权或意外的变更，破坏和损失； 基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据又无法访问系统功能，却保证授权人员和系统不受阻； 防止对工业系统的非法或有害入侵，或者干扰其正确或者计划的操作。

　1.1.2. 需求分析 1) 适用范围

　产互知识图谱 适用于客户对于实现应用白名单（Application Whitelisting，AWL）、确保合适的配置和补丁管理、系统减少攻击面以及想要建立一个可防御的环境的需求客户群体。

　2) 痛点分析 客户在实现工业过程审计时往往过程繁琐，内容复制，也标准众多难以做到真正的认真管理。因此，工控安全审计系统可以帮助企事业客户完成客户权限管理认证、无障碍实现安全远程访问、以及全程监测和响应。

　1.1.3. 产品内容 1.1.3.1. 产品功能 工控安全审计系统，是专门针对工业控制网络的安全审计系统。不仅包括网络安全层面的异常监测，还融入了不同行业的业务安全告警，如智能变电站场景下的遥控操作、定值切区操作、定值修改操作等关键业务行为告警。工控安全审计系统采用旁路部署模式，对工业生产过程“零风险”，基于对工业控制协议（7COMM、S7COMMPLUS、IEC101、IEC104、IEC61580MMS、ENIP、CIP、CIP_PCCC、MELSEC-Q、PROFINET_DCP、PROFINET_RPC、Telnet、OPC_DA、OPC_AE、OPC_UA、Ethercat、Modbus、RTSP、SIP、DNP3、Bacnet、ONVIF）的通信报文进行深度解析（DPI，Deep Packet Inspection），能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

　1.1.3.2. 技术方案 1) 全流量学习 工业网络中设备众多、网络通信复杂，用户很难全面的掌握网络中所必须的业务通信需求，这会给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置，提高规则配置的准确性，减少规则配置的工作量，绿盟工控安全审计系统检测采用全流量学习。该功能采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能的与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，帮助用户以最捷的方式了解和掌握网络中的业务通信状态，发现网络潜在的安全。全面的全流量学习，可自动生成颗粒度精细的资产属性，客户可自由搭配自由属性选择审计方案。智能化的全流量学习规则，还可以辅助系统自动生成相关的异常检测规则，对现有的规则进行自定义调优等。可自定义协议级别的黑白名单属性。

　2) 工控协议深度解析 基于对工控环境的理解，针对工控环境使用的规约进行了相关的分析和研究，对于协议的内容进行了完全的解码，可以深入到指令级别的分析，对于从上位机控制端到下位机操控指令进行有效的合规性定义。通过镜

　产互知识图谱 像方式对流量进行深入解码，分析其中的操作是否符合定义的操作要求，如发现其中有任何的违规操作，及时进行报警，有管理员来进行相关的处理。

　当前支持的的工控协议 20+，包括了 7COMM、S7COMMPLUS、IEC101、IEC104、IEC61580MMS、ENIP、CIP、CIP_PCCC、MELSEC-Q、PROFINET_DCP、PROFINET_RPC、Telnet、OPC_DA、OPC_AE、OPC_UA、Ethercat、Modbus、RTSP、SIP、DNP3、Bacnet、ONVIF工业网络协议深度解析 基于对工控环境的理解，针对工控环境使用的规约进行了相关的分析和研究，对于协议的内容进行了完全的解码，可以深入到指令级别的分析，对于从上位机指令下发控制端到下位机指令接受操控端的通讯过程进行全面细致的解析。如对 Modbus Tcp 协议，可以深入到功能码寄存器层面进行细致的监测审计（写多个寄存器、读保持寄存器等）。

　NSFOCUS SAS-ICS 通过镜像方式对流量进行深入解码，分析其中的操作是否符合定义的操作要求，如发现其中有任何的违规操作，及时进行报警，由管理员来进行相关的处理。

　3) 入侵检测智能协议识别和辅助规则生成 工业网络中设备众多、网络通信复杂，用户很难全面的掌握网络中所必须的业务通信需求，这会给防火墙的规则配置带来很大的困难。为了方便用户进行入侵检测规则的配置，提高规则配置的准确性，减少规则配置的工作量，该产品开发了智能协议识别和辅助规则生成功能。智能协议识别功能采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能的与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，通过对协议分布和流量信息的匹配，帮助用户以最捷的方式了解和掌握网络中的业务通信状态，发现网络潜在的安全。智能化全流量学习规则，还可以辅助系统自动生成相关的异常检测规则，对现有的规则进行调优等。

　4) 工业控制系统行业场景网络拓扑 在部分工业控制系统环境中，由于系统使用者和系统管理者很有可能分属于两个部门，所以没有相关人员对工业控制系统进行过资产的梳理，拓扑的更新等操作，并且由于工控设备大多数部署在工控现场，可能位于不同机柜甚至位于不同的地区，在进行工业控制系统资产梳理和拓扑编制的过程中存在较多困难点。

　针对此种情况，绿盟工控安全审计系统以资产管理为导向，预制了不同工业环境下的工业网络分层拓扑结构图，展示被监听的工业网络场景下的网络资产。

　1.1.3.3. 建设方案 先期根据客户需求，与专家一同进入厂区对客户现有的厂房、办公系统、ERP、MES、APS、MOM 等系统进行全面了解。之后开始针对客户目前所存在的状况和未来需要改造的方面制作定制化方案，按照需求的轻重缓急进行分期改

　产互知识图谱 造。之后安排施工以及平台部署团队对客户厂房和办公管理系统全面升级改造。最后实现按期交付并做好测试工作。

　1.1.3.4. 服务方案  硬件故障先行替换  产品安装  产品巡检服务 1.1.4. 产品优势  全流量学习  工控协议深度解析  工控网络异常行为监测告警  入侵检测智能协议识别和辅助规则生成  工业控制系统行业场景网络拓扑  支持传统 IT 网络行为审计  高可靠的自身安全性 1.1.5. 产品价格 非标准产品：此产品无标准报价，采取一事一议的方式进行支撑 1.1.6. 相关案例 暂无 1.2. 内部机制 1.2.1. 商务模式 价格以软件开发以及运维费用组成，前期了解客户需求和目前存在的问题，进行定制化开发打造，最后交付成品。

　1.2.2. 支撑流程 1.2.2.1. 内部业务流程 1) 销售线上报商机 2) 项目需求沟通

　产互知识图谱 3) 设计产品方案 4) 签署收入合同 5) 产品部署交付 1.2.2.2. 支撑联系人 王栋浩 17600902778

　邮箱：wangdh119@chinaunicom.cn 1.2.2.3. 应用展示 暂无。

相关热词搜索： 工控 审计