産品簡介

        東(dōng)土(tǔ)科(kē)技(jì)工(ε₽‌•gōng)控安全監測審計(jì)系統是(shì)針δ§對(duì)工(gōng)業(yè)控制(zhì↓•≠)網絡設計(jì)的(de)信息安全産品，監測¥¶審計(jì)系統提供網絡監測、協議(yì)分(fēn)析和(h₹ε∞é)安全審計(jì)功能(néng)，廣泛應用(yòng)于電(diàn)力☆"¥、石油、石化(huà)、軌道(dào)交 通(tōng)、煙(yān)草(® ♠→cǎo)、煤炭、鋼鐵(tiě)及先進制(zhì)造等行(xíng)業(yè♥←£↕)。

        通(tōng)過對(duì)♥£工(gōng)控網絡流量進行(xíng)采集、分(fēn)析和(★≠♥"hé)監測，并結合特定的(de)安全策略，監測審計(jì)系≈​¶統可(kě)快(kuài)速識别網絡中的(de)β  異常、攻擊行(xíng)為(wèi)，并實時(shí)告警；同時(s§®₽βhí)記錄所有(yǒu)網絡通(tōng)信行(xíng)為(¥ δwèi)，為(wèi)工(gōng)業(yè)控制(zhì)系統的(d∞ ↑∏e)安全事(shì)故調查提供堅實的(de)基礎。

        監測審計(jì)系統采用(yòng)分(fēn)布式部署，對§✔(duì)工(gōng)業(yè)生(shēng)産過程“零擾動”影(yǐ∑Ω×¥ng)響，廣泛應用(yòng)于各類網絡應用(yòng)環境。

        監測審計(jì)系統滿足工(gōng)業(yè)✔®≈應用(yòng)場(chǎng)景，系統采用♦✔(yòng)的(de)冗餘電(diàn)源、無風(fēng)扇、全鋁封閉設計¥‍™γ(jì)使産品滿足以下(xià)要(yào)求，且同≠♠<≥時(shí)具有(yǒu)滿足 EN50155 的(de)車(cε "φhē)載級産品。

                達到(dào) ∑‍ IP40 防護等級

                工(gōng)業(yè)級的(de)✔↕₹×可(kě)靠性、穩定性、實時(shí)性β←<要(yào)求。

                具備架構高(gāo)擴展性和(hé)兼容性™↑σ₹。

                支持工(gōng)作♣≤(zuò)寬溫-40℃ ~ +85℃，并具×​ ε備三防（防潮濕、防鹽霧、防黴菌）和(hé)抗電(di↑™$àn)磁幹擾能(néng)力。

                支持機(jī)架式、導軌式兩種安裝方式，滿足工"©≠(gōng)業(yè)現(xiàn)場(chǎng)環境惡劣性要(yào)求。♠£δ∏

        監測審計(jì)系統支持IEC✘∏61850、IEC60870-5-104、DNP3、OPC、S7Coε✘mm、 S7Comm PLus、Modbus-TCP、Profinet λσ☆、CIP 等衆多(duō)工(gōng)業(y✘₹ ₹è)協議(yì)字段級的(de)深度解析，有(yǒu)效實現£¶ (xiàn)在線監測審計(jì)分(fēn)析。

産品架構

        工(gōng)控安全監測‍<¶審計(jì)系統由監測審計(jì)引擎和(hé)監測​¶審計(jì)平台組成，一(yī)個(gè)監測審計(←•jì)平台可(kě)以管理(lǐ)多(duō)台監測審計(jì)引擎。

• 工(gōng)控安全監測審計(jì)引擎

        工(gōng)控安全監測審計(jì)引擎通(γ↑ tōng)過旁路(lù)部署在交換機(jī)側•♦，實時(shí)監聽(tīng)系統內(nèi)數(shù)£'據。工(gōng)控安全監測審計(jì)平台對(duì)監測審計γ₹♣★(jì)引擎反饋的(de)數(shù)據進行(xíng)記錄、分(f≤ε'ēn)析、展現(xiàn)，并對(duì)工(gōng)↔&≤業(yè)控制(zhì)系統網絡拓撲進行(xíng)可(kě)視(s>≈‍<hì)化(huà)管理(lǐ)。監測審計(jì)平台支持白(bái)名∑≤®單、黑(hēi)名單策略推送機(jī)制(zhì)，通(tōng)過‌≠對(duì)實際現(xiàn)場(chǎ →₽∑ng)數(shù)據流量進行(xíng)機(jī)器(qì)學習(xí​™α)、大(dà)數(shù)據分(fēn)↓ ↕≈析，自(zì)動創建生(shēng)成防護策略，生(‍ε©shēng)成的(de)策略可(kě)以推送到(dào)各監測審計(jì)→♣$π引擎，用(yòng)于現(xiàn)場(chǎng)通(>₩ ‌tōng)信數(shù)據包的(de)實¥"∏時(shí)監測。

• 工(gōng)控安全監測審計(jì)平台

        工(gōng)控安全監測審計₹∑&♣(jì)平台由應用(yòng)服務、WEB 服務和(hé)前端頁面組成φ→₩，負責管理(lǐ)多(duō)個(gè)工(gōng)控安全β☆監測審計(jì)引擎。

        應用(yòng)服務對(duì)各公開(÷ ♦ kāi)檢測與審計(jì)引擎的(de)審計(jì)和(h$πé)報(bào)警數(shù)據進行(xíng)彙總分(fēγ¥±n)析，進而生(shēng)成統計(jì)報(bào)表和(hé)拓£→€≠撲數(shù)據，同時(shí)也(yě)進行(♦∑±xíng)各單元的(de)策略下(xià)發。

        WEB 服務對(duì)外(w✘ ∏ài)提供審計(jì)、報(bào)警、拓撲♠'™、策略、協議(yì)、設備等數(shù)據的(de)訪問(wèn)♠‌‍​接口，便于前端頁面的(de)數(shù)據展示§→≈和(hé)操作(zuò)。

        前端頁面從(cóng)WEB 服務獲取各類數(sh↓©∏↑ù)據進行(xíng)展示，同時(shí)提供÷↕∞必要(yào)的(de)操作(zuò)入口方便用(yòng)戶×₽對(duì)數(shù)據進行(xíng)操作(zuò)和(hé≈₽₩£)修改。

關鍵特性

流量監測與審計(jì)

系統支持旁路(lù)部署，采用(yòng)被動方式從(cóng)網 ♠絡采集數(shù)據包，通(tōng)過解析工(gōng₽σ™)控網絡流量、深度分(fēn)析工(gō©≥≠≥ng)控協議(yì)、與系統內(nèi)置的(de)協議(yì)特征α↔&₹庫和(hé)設備對(duì)象進行(xíng)智能(nσΩéng)匹配，實現(xiàn)實時(shí)流量監測及威脅活動↓ ©告警，幫助用(yòng)戶實時(shí)掌握工(gōng)控網絡運行(xε íng)狀況，發現(xiàn)潛在的(de)網絡安全威脅± ♠。

系統支持基于預置協議(yì)和(hé)用(yòng÷‍≠€)戶自(zì)定義協議(yì)的(de)自♣α↔(zì)定義規則檢測：

系統預置入侵檢測規則庫，規則庫支持 windows 系統漏洞、Linux 系"$統漏洞、Unix 系統漏洞、Web 漏洞©Ω"、工(gōng)控系統漏洞、工(gōng)控協議(yì)漏洞等規則分(> ✔fēn)類。

支持用(yòng)戶根據威脅特征自(zì)定義與其相♥​(xiàng)匹配的(de)規則，并可(kě)将此自(zì)εγ↑★定義的(de)規則應用(yòng)到(dào)流量探針中使用(yòn≤≠>g)，當檢測到(dào)與規則相(xiàng)匹配的(de)流量時±§•(shí)，産生(shēng)用(yòng)戶自(zì)定義的(de)®≥告警信 息，并采取用(yòng)戶自(zì©φ)定義的(de)處置措施。

動态資産管理(lǐ)

通(tōng)過協議(yì)分(fēn)析和(hé)龐大→&(dà)的(de)資産庫資源，快(kuài)速識别工(gōng)控網絡♦±¶中的(de)設備，智能(néng)化(huà)分(fēn)析資産屬性等基礎信‍±息，自(zì)動生(shēng)成通(tōng)訊拓撲圖<∑，在界面上(shàng)對(duì)整個(gè)工(g'©ōng)控網絡資産進行(xíng)可(kě)視(shì)化(huα∞à)展現(xiàn)（包括 IP地(dì)址、± £↔通(tōng)訊節點間(jiān)使用(yòng)的(de)工(gōng)業≤≠(yè)協議(yì)等），并對(duì)設備的(de)資源狀況、≤β↔↕端口工(gōng)作(zuò)狀況等進行( &xíng)監測。

策略管理(lǐ)

監測審計(jì)系統支持策略集中管理(lǐ)和(hé)在線下(xià<∑)裝；支持黑(hēi)名單導入和(hé)白(bái)名單自(zì)學±>σ>習(xí)功能(néng)，黑(hēi)名單可(kě)實時(shí)檢測工(←₽∞gōng)控系統安全風(fēng)險，白(bái  "★)名單實現(xiàn)信任管理(lǐ)，通(tōng)過智能(néng)學習‌"↓(xí)技(jì)術(shù)，自(zì)動生(sh&¥πēng)成白(bái)名單庫。

拓撲繪制(zhì)

通(tōng)過流量分(fēn)析，識别系統中所有(yǒ •u)通(tōng)信鏈路(lù)，并收集通(tōng)信鏈路(lù)中©λ÷↔的(de)源 IP/目的(de)IP、源端口/目的(de)端口>®​§、通(tōng)信協議(yì)、鏈路(lù)最早建立時(shí)間(ji♦λ₽ān)、鏈路(lù)最新通(tōng)信時(shí)間(jiān)、包吞←γ≈©吐量等信息。利用(yòng)基于對(duì)網絡通(tōn<÷g)信數(shù)據的(de)實時(shí)分(₩¶fēn)析，自(zì)動以拓撲圖的(de)形式>&$直觀展示工(gōng)控網絡中各個(gè)設±​備節點之間(jiān)的(de)通(tō<∞'ng)信連接情況，對(duì)于存在入侵等告警信✔σ息的(de)通(tōng)信鏈路(lù)，在拓撲圖上(shàng)提供可(k↑≠∏ě)視(shì)化(huà)的(de)異常展示與告警。

支持“拓撲視(shì)圖保存”功能(néng)，用←γ× (yòng)戶可(kě)保存拓撲圖上(shàng)的↑♠®(de)節點位置，便于後續查看(kàn)。

關鍵事(shì)件(jiàn)監測與告警

基于工(gōng)控協議(yì)解析和(hé)工(gōng↓™₹≤)控通(tōng)信特征庫，監測審計(jì)系統可(kě)實現≠∞(xiàn)對(duì)組态變更、異常操控指令、PLC Ω←±€程序下(xià)裝等關鍵事(shì)件(jiàn)進行(xíng)識别↔λ←和(hé)告警。

如(rú)：在變電(diàn)站(zhàn)中，可(kě)∞♦'通(tōng)過對(duì) IEC61850 協議(yì)簇、I₹←♥≠EC 104 協議(yì)等進行(xíng)深度解析，§​≤分(fēn)析對(duì)應場(chǎng)景下(& σ‌xià)的(de)關鍵操作(zuò)行(xín∏∏☆​g)為(wèi)（遙控操作(zuò)、改定值操作(zuò)）等。

監測審計(jì)系統可(kě)針對(duì)常見(jià♦ εn)工(gōng)業(yè)場(chǎng)景∏₹設置通(tōng)用(yòng)行(xíng)業(yè)¥©♠×場(chǎng)景，深度解析 Modbus TCP、 ‌'S7 Comm 等常見(jiàn)協議(yì)規約βε。

網絡狀态監測與告警

監測審計(jì)系統支持網絡流量及狀态白(bá→₩≠i)名單基線，當有(yǒu)未知(zhī)設備接入網絡或網絡故障時(s≤ ≥hí)，可(kě)觸發實時(shí)告警信息。

用(yòng)戶可(kě)通(tōng)過圖标♠§☆排列的(de)方式顯示系統設備（如(rú)：AMS、 TAA）的(de)在§Ωβ線狀态和(hé)工(gōng)作(zuò)狀态。

工(gōng)控網絡審計(jì)

基于工(gōng)控協議(yì)解析結果，對(duì)工(gōn₩↑g)控網絡中的(de)所有(yǒu)活動提供協™β 議(yì)和(hé)流量審計(jì)，并生(shēng)成完整記錄。

會(huì)話(huà)流量曆史查看(kàn)

系統不(bù)僅支持通(tōng)過“通♣♥♥©(tōng)信鏈路(lù)”查看(kàn)鏈路(lù)的(de)流量γ★φ日(rì)志(zhì)信息，還(hái)支持通(tō¥☆$ng)過“曆史統計(jì)”查看(kàn)鏈路(lù)→∞的(de)曆史流量統計(jì)。

數(shù)據外(wài)發

支持在指定的(de)時(shí)間(jiān)內(nèi)自(z$'ì)動生(shēng)成告警曆史數(shù)據✘"σ文(wén)件(jiàn)并外(wài)發至指定的δ☆₽(de)地(dì)址、端口。日(rì)志(zhì)與報(bào)表監測審計(j≥"™§ì)系統自(zì)動将各類告警數(shù)據（如(rú)：黑(hεεφ‍ēi)名單告警、白(bái)名單告警、關鍵事(shγ≤ì)件(jiàn)告警等）和(hé)系統操作(zuò)數(shβ ù)據生(shēng)成日(rì)志(zhì↔✘♠‌)，并支持以 Excel 表格形式導出日(rì)志(zhì)。

監測審計(jì)系統為(wèi)審計(jì)日(rì)志(zhì)∑♥、黑(hēi)名單告警、白(bái)名單告警、關鍵事(shì)件(jià≈¥≈n)等信息提供多(duō)種格式的(de)報(bào)表輸出，提供₽& 與第三方系統日(rì)志(zhì)信息采集接口。

産品優勢

全面的(de)異常檢測

記錄發送到(dào)現(xiàn)場(chǎng)§∏€‌設備或來(lái)源于現(xiàn)場(chǎng)設備的(de)>β所有(yǒu)指令和(hé)指令執行(xíng)結 ↓果，進行(xíng)全面的(de)異常行(x×♠δ íng)為(wèi)檢測和(hé)深度分(fēn)析，提供現(xiàn✔ε)場(chǎng)設備故障報(bào)警和(hé)惡意入侵活動報(bào)警。Ω<

支持衆多(duō)工(gōng)控協議(yì)

支持 50 餘種工(gōng)業(yè)協議(yì)的(de)深度報¥↕(bào)文(wén)解析，如(rú) IE'§®C60870-5-104、Modbus TCP/RT★✔δ↕U、 IEC61850、S7Comm、S7Com​&m-Plus、Profinet、DNP3、MMS、Ethe∞ <rNet/IP、CIP、OPC-DA、OP ♦₹→C-UA、OMRON-FINS、DDE 等↑ ¥協議(yì)。

白(bái)名單策略基線自(zì)學習(xí)

系統基于機(jī)器(qì)學習(xí)及大(dà)<>數(shù)據技(jì)術(shù)，對(duì)工(gōng)業←♥‌(yè)控制(zhì)系統運行(xíng)一(yī)段時(shí)間(jiā•∞n)的(de)網絡數(shù)據進行(xíng)智能(néng)Ω∑​§分(fēn)析和(hé)自(zì)主學習(xí)，一(yī)鍵自(zì→£)動創建白(bái)名單策略；持續監視(shì)網絡流量ε≈，自(zì)動識别合規數(shù)據，及時(shí​→₽)發現(xiàn)違規行(xíng)為(wèi)并實施告警。

基于通(tōng)信流量的(de)網絡拓撲圖

系統基于網絡通(tōng)信數(shù)據的(de)深度分(fēn)析繪制(z♦₽hì)獨特的(de)工(gōng)控網絡拓撲圖，可(kě)直觀展示工(gō↓"ng)控網絡中各個(gè)設備節點間(jiān)的(de)通(tōng♣σσ♥)信連接情況，便于發現(xiàn)工(gōn'♦ g)業(yè)資産，并提供可(kě)視(shì)化(huà)的(de)異常展示βγ←與告警。當存在潛在威脅時(shí)，節點間(jiān)的(de)連線高(gāoφ€→>)亮(liàng)顯示。

基于工(gōng)控系統應用(yòng)實際，拓撲圖繪制(zhì)具有(y‍↔ǒu)以下(xià)特點：基于通(tōng)訊數(shù)據做(zuò)¶£♠©資産發現(xiàn)（主要(yào)針對(duì)∞÷​♣工(gōng)控設備）。 針對(duì)工(gōng)控系統ε 中多(duō)IP 資産，有(yǒu)特殊的(de)管理(lǐ)<↓方式。

靈活的(de)資産成組視(shì)圖，實現(xiàn)不×♦£(bù)同維度的(de)拓撲展現(xiàn)。

強大(dà)的(de)工(gōng)控漏洞庫入侵檢測能(≈©→∞néng)力

內(nèi)置海(hǎi)量已知(zhī)工(gō★→ Ωng)控漏洞庫，當監測到(dào)發生(shēng)工 §↕♣(gōng)控漏洞入侵行(xíng)為(wèi)時(ΩΩshí)自(zì)動産生(shēng)告警并提醒系統運營人(rén•→±)員(yuán)。另外(wài)，系統支持與多(duō)α₹∏個(gè)SIEM 平台無縫集成，便于實時(shí)分(fēn)析網絡™>£↑數(shù)據。

實用(yòng)的(de)資産發現(xiàn)與"‍&♥管理(lǐ)

基于通(tōng)訊數(shù)據的(de)資産自  δ(zì)動發現(xiàn)和(hé)自(™∏zì)動鏈路(lù)繪制(zhì)，識别國(guó)內(nèi)外(wài÷×☆✔)主流的(de) IT 設備和(hé)工(gōng)控設備，并通(tōng  )過通(tōng)訊拓撲和(hé)報(bào)表兩種方式進行(xí∑γng)展示。同時(shí)對(duì)工(g"∞®¥ōng)控網絡中的(de)多(duō) IP 資産提供特殊管理(lǐ)方↔↓&式，真實呈現(xiàn)工(gōng)控網絡實際情況 ​。

支持用(yòng)戶自(zì)定義協議(yì)

專業(yè)用(yòng)戶隻需在界面上(shàng)進行(   xíng)協議(yì)配置即可(kě)實現(xiàn)對(duì)該協議(≠¥yì)的(de)深度解析和(hé)規則匹配，操作(zuò)靈活，且保證了(le'ε$')用(yòng)戶私有(yǒu)協議(yì)的(de)隐私性和(hé"×α)安全性。

高(gāo)效的(de)策略下(xià)發

通(tōng)過調整下(xià)發的(de)策略數(shù)據結構，減$§σ±少(shǎo)重複數(shù)據，減少(shǎo)下(xià)↕♥​★發數(shù)據量，大(dà)大(dà)提高¥≠☆(gāo)下(xià)發效率。高(gāo)性能(néng)通(tōng)過'δ₹♥調整TAA 處理(lǐ)邏輯，探針處理(lǐ)性能(nén€☆→₽g)提高(gāo) 50%以上(shàng) φ→✘。

強大(dà)的(de)橫向擴展能(néng)力

工(gōng)控安全監測審計(jì)平台既δ✘支持單機(jī)部署也(yě)支持集群化(huà)部署，通(Ωσtōng)過橫向擴展可(kě)支持任意數(shù)據規模，用(yòng)戶↓₹可(kě)在實際項目中根據數(shù)據規模的∑Ω(de)大(dà)小(xiǎo)靈活選擇部署方式。

單個(gè)工(gōng)控安全監測審計(jìσσ )引擎支持任務橫向擴展，可(kě)以滿足千兆以太網高(gā♣₩∞o)流量數(shù)據報(bào)文(wén)"≤的(de)實時(shí)深度解析和(hé)告警。

大(dà)數(shù)據與雲計(jì)算(suàn)

系統中審計(jì)數(shù)據采集、存儲、分(fēn)析等π©• 多(duō)環節使用(yòng)大(dà)數↔>(shù)據處理(lǐ)技(jì)術(shù) ​，提高(gāo)系統的(de)數(shù)據處理(lǐ)能(néng)力和(h₹±é)效率。系統天然支持雲部署（阿裡(lǐ)雲、微(wēi→®φ)軟 Azure、AWS 雲），支持存儲、計(jì)算(suàn☆§)資源的(de)動态擴容。

自(zì)我管理(lǐ)及數(shù)據加密

系統具有(yǒu)完善的(de)自(zì)我管理(lǐ)功能(néng)↔™÷←，包括用(yòng)戶管理(lǐ)、權限管理(lǐδ ♣‍)、日(rì)志(zhì)管理(lǐ)、告警管理(lǐ)、報(bà €o)表管理(lǐ)等。所有(yǒu)的(de)審§∞♠↑計(jì)數(shù)據在網絡中傳輸均采用(yòng)加密方式，>‌确保審計(jì)數(shù)據在傳輸過程中不(bù)被篡 φ改和(hé)竊取。

機(jī)械尺寸

工(gōng)控安全監測審計(jì)系統：

訂購(gòu)信息

工(gōng)控安全監測審計(jì)系統型号定義：

工(gōng)控安全監測審計(jì)系統服務定義：

工(gōng)控安全監測審計(jì)系統選購(gòu)擴展端口定義：

客戶價值

通(tōng)過部署工(gōng)控安全監測審計(jì)系統，↓↓幫助用(yòng)戶獲得(de)以下(xià)收益：

發現(xiàn)、映射整個(gè)工(gōng)業(yè ≤€‍)控制(zhì)系統網絡資産，可(kě)視(s♣ λαhì)化(huà)網絡拓撲。

建立工(gōng)控網絡的(de)流量基線和(hé)通(tōng)☆σ信基線，及時(shí)發現(xiàn)生(shēng)産控制(zhì↑✔☆)系統中潛在的(de)攻擊行(xíng)♦±∏為(wèi)，快(kuài)速定位異常位置，協助相>≈(xiàng)關人(rén)員(yuán)快(kuài)速解決故障及↔≠✘π事(shì)件(jiàn)。

對(duì)網絡數(shù)據、事(shì)件(jiàn)進行(xíng)≠¥♠實時(shí)監測和(hé)警告，幫助用(yòng)戶實時(shí)掌握λ≤ ↓工(gōng)業(yè)控制(zhì)網絡運行(x→'&σíng)狀況。為(wèi)工(gōng)業(yè)控制(zh★≤★↕ì)系統威脅事(shì)件(jiàn)提供取證、調查及分(fēn)析溯源。

加強工(gōng)業(yè)網絡的(de)可(kě)信、可(γ>✔ kě)靠性，滿足能(néng)源局 36 号文®‍(wén)、發改委 14 号令、工(gōng)控等保等合規性要(yào)¶≥求，确保工(gōng)控系統安全防護符合國(guó)家(jiā)、企業(yè)≥ 安全生(shēng)産規定。

深度融合業(yè)務場(chǎng)景的(de)異常行☆‌✘(xíng)為(wèi)檢測。電(diàn)力、石化(huà)、軌Ω♣♣★道(dào)交通(tōng)、煙(yānα∞φ<)草(cǎo)、煤炭、鋼鐵(tiě)及先進☆‍>÷制(zhì)造等各個(gè)行(xíng)業(ε✘Ωyè)的(de)工(gōng)業(yè)控制(zhγ£$ì)系統千差萬别，本工(gōng)控安全監測裝置融入了(le)針對(duì)不€∏↑(bù)同行(xíng)業(yè)的(de)業(yè)務安全告警。