威努特工控安全监测与审计系统产品白皮书

工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。

随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。

●安全漏洞难以及时处理,系统存在巨大安全隐患工业控制系统由于设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,造成工业控制系统的补丁管理困难,系统安全漏洞难以及时修复,系统长期存在巨大安全隐患。

●缺乏对用户操作、网络行为的审计,事故分析困难现实环境中通常缺乏针对工业控制系统的安全日志审计及配置变更管理,导致安全事故的分析难以进行。

这是因为部分工业控制系统可能不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能所造成的结果。

同时目前的IT安全审计产品因缺乏对工业控制协议的解析能力而不能直接用于工业控制系统中。

由于工业控制协议缺乏统一的标准,使得审计工业控制协议的工作代价巨大且不能通用也是造成工业控制系统中违规操作行为审计缺乏的原因之一。

●无线通信网络,普遍缺乏必要的安全防护一些行业工业控制系统中大量使用无线网络,例如城市轨道交通的信号系统中广泛采用WLAN实现车地通信。

●面对新型的APT攻击,缺乏有效的应对措施APT(高级可持续性威胁)的攻击目标更为明确,攻击时会利用最新的0-day漏洞,强调攻击技术的精心组合与攻击者之间的协同;而且是为不达目的不罢休的持久性攻击。

近年来以“震网”为代表的针对工业控制系统的攻击事件都呈现了这些攻击技术特征。

但是针对这种APT攻击,现有的安全防护手段均显得有些无力,使其在面临APT攻击时将会遭到不可估量的安全损失。

●没有足够的安全政策、管理制度,人员安全意识缺乏工业控制系统在设计时也多考虑系统的可用性,普遍对安全性问题的考虑不足,更不用提制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养了。

在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生,和平日久造成人员的安全意识淡薄。

北京威努特工控安全监测与审计系统产品白皮书1.2工控安全审计平台能够解决哪些问题威努特工控安全审计平台,是专门针对工业控制网络的信息安全审计系统,它能够帮助工业控制系统用户解决以下问题:●像飞机“黑匣子”一样忠实记录工业控制网络通信行为,为安全事故/故障调查提供详实的记录;●提供对网络行为异常、工业协议攻击、工业控制关键事件的实时检测与报警能力。

二.威努特工控安全审计平台2.1产品概述实事上,目前国内工业控制系统相对封闭的环境,使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。

因此,对生产网络的访问行为、特定控制协议内容的真实性、完整性进行监控、管理与审计是非常必要的。

威努特工控安全审计平台,是专门针对工业控制网络的信息安全审计系统。

它采用旁路部署,对工业生产过程“零风险”,基于对工业控制协议(如ModbusTCP、OPC、DNP3、IEC60870-5-104等)的通信报文进行深度解析(DPI,DeepPacketInspection),能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。

威努特工控安全审计平台,广泛应用于电力、石油、石化、轨道交通、烟草、钢铁及先进制造等各个行业。

2.2产品架构威努特工控安全审计平台包括两个组件:工控网络审计探针(简称“审计探针”):为一个嵌入式硬件设备,旁路部署在工控网络中,通过交换机镜像获取工控网络流量,进行初步处理后上报给安全审计管理平台。

安全审计管理平台:为一个硬件服务器,负责接收各个工控网络审计探针上报的数据,进行统一地分析检测,并将结果展现给管理员。

威努特工控安全审计平台采用分布式部署、集中管理,多台工控网络审计探针分布式部署在各个工业交换机的旁边,由安全审计管理平台进行统一的管理。

如下图:图表1工控安全审计平台部署架构威努特工控安全审计平台的逻辑架构划分为数据采集层、分析检测层、可视化/告警层。

如下图:图表2工控安全审计平台逻辑架构数据采集层:负责原始报文的采集、协议解析(包括TCP/IP协议栈的解析及工业控制协议的深度解析)、初步攻击检测及信息汇聚与统计。

分析检测层:综合来自数据采集层的报文解析结果、初步检测结果及汇总统计信息,进行工控网络通信行为建模,并进行TCP/IP异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测等各类安全检测,并支持基于用户自定义规则的检测。

可视化/告警层:接收来自分析检测层的数据及检测结果,一方面进行告警的展现,另一方面对数据进行持久化并进行多维度的统计分析和展现。

2.3产品优势2.3.1工控协议指令级检测与审计威努特工控安全审计平台搭载了威努特自研的深度数据包解析引擎,可对工控协议做指令级检测与审计,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。

对不同行业的工业控制系统,可以采取相应针对性的数据包探测机制和解析策略。

在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。

深度数据包解析引擎支持涵盖OPCClassic、ModbusTCP、IEC60870-5-104、DNP3、S7等在内的各大主流工控网络协议。

2.3.2支持私有工控协议的扩展接口工业控制系统的特点之一,是存在大量的私有工控协议,如果不能够支持这些私有的工控协议,会大大影响工控安全审计产品的检测与审计能力。

威努特工控安全审计平台提供SDK,开放的平台接口可以方便客户自行扩展支持私有工控协议,以及做定制化的二次开发。

2.3.3高性能的深度解析及检测能力威努特工控安全审计平台具备先进的硬件架构,采用专门适用于网络处理的MIPS多核CPU,而不是通用的x86架构CPU,为高性能的工控协议深度解析与检测提供了坚实的基础保障。

高性能的软件架构及高性能多模式匹配算法,进一步保证了工控协议深度解析与检测的性能。

2.3.4专为工控环境设计的工业级硬件工控网络审计探针设备,严格按照工业级硬件的要求进行设计,能够满足各种工业现场的环境要求。

具体包括:无风扇全封闭设计,防护等级:IP40;9-36VDC,电源采用1+1冗余供电;硬件产品达到工业三级B以上指标;工作环境可满足温度:-40~70℃,湿度:5%~95%无凝结;转发平面与控制平面分离设计;多种灵活的安装方式,包括导轨安装、机柜安装等。

2.3.5自主可控的工控安全操作系统威努特工控安全审计平台在专用工业级、高性能网络安全硬件平台基础上,构筑了自主知识产权的智能工控安全操作系统(即:IntelligentIndustryControlSecurityOperatingSystem简称:IICS-OS),IICS-OS对流经的数据报文做深度的协议解析和匹配,并对数据流做智能调度转发,以及对七层以上的内容做深度检查,为上层的特色的安全功能的扩展提供了的坚实的基础保障。

2.3.6针对工控行业用户习惯设计的使用体验威努特工控安全审计平台以提高工业控制网络的日常安全管理、信息统计数据的易读性和可操作性为设计核心,降低操作复杂度,避免误操作。

系统充分利用人工智能技术,大幅度简化分析、管理、控制流程,并提供简单易学的用户界面,方便管理人员日常操作管理。

安全审计管理平台支持实时可视化呈现工控网络链路的连通性和服务状态,提供多类历史监控数据对比分析,系统日志、配置日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。

2.4主要功能2.4.1工控网络异常检测图表3工控网络异常检测流程网络异常检测功能,基于对工控协议(例如ModbusTCP、DNP3、IEC60870-5-104等)的通信报文进行采集与深度解析,利用人工智能算法自学习建立工控通信模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。

例如:异常指令操作、新出现的设备(IP地址)、异常访问关系(网络连接)等告警。

威努特工控安全审计平台,支持管理员对智能学习建立的通信模型基线进行人工调校,并支持对告警事件一键加入白名单。

威努特工控安全审计平台,支持对工控协议连接的异常断开及断开后重新连接进行检测并告警。

2.4.2工控网络攻击检测威努特工控安全审计平台,支持对多种类型的工控网络攻击行为进行检测并告警:针对工控协议的攻击:例如针对Modbus通讯协议的违规端口传输、功能码错误、功能码携带数据异常等多项异常检测规则;针对IEC60870-5-104协议的启动字符错误、asdu长度越界、PSCADA通讯遥控类别标识异常等多项异常检测规则;工控协议畸形报文攻击:对工控协议报文不符合其规约规定的格式进行检测并告警;针对TCP/IP协议层的攻击:针对网络TCP/IP协议栈报文进行各种典型违规的检测,及时发现恶意伪造的异常畸形报文,检测出入侵行为;基于参数阈值的攻击检测:对特定过程状态参数、控制信号设定检测阈值,对超阈值的事件进行告警;TCP/IP协议层风暴攻击:基于IP地址的阈值检测SynFlood、PingFlood、UDPFlood攻击,支持默认的全局阈值,也支持对某个IP或IP范围配置个性化的阈值;工控协议层风暴攻击:基于IP地址某工控协议的接收报文速率阈值检测,对超阈值的事件进行告警;针对用户自定义攻击规则:允许管理员自定义工控协议通信告警规则,对符合告警规则的通信行为进行告警。

2.4.3工控关键事件检测威努特工控安全审计平台,支持对生产工艺中的关键事件进行检测。

2.4.4工控网络连接视图工控网络连接实时视图,实时图形化显示监控范围内的所有网络连接(源IP、目的IP),并对异常的网络连接标红显示。

图表4工控网络全网连接视图支持基于IP地址过滤,仅显示与某个IP地址有关的连接视图。

图表5工控网络某IP连接视图2.4.5告警事件统计威努特工控安全审计平台,支持对各类告警事件进行多维度的统计。

2.4.6网络连接统计威努特工控安全审计平台,支持对网络连接进行多维度的统计。

例如:基于连接数TOPIP地址:统计某个协议(如Modbus)或全部协议网络连接数最多的IP地址;基于报文数TOPIP地址:统计某个协议(如Modbus)或全部协议网络报文数最多的IP地址;北京威努特工控安全监测与审计系统产品白皮书基于流量TOPIP地址:统计某个协议(如Modbus)或全部协议网络流量最多的IP地址;基于连接数TOP协议:统计某个IP或全部IP,网络连接数最多的协议(如Modbus);基于报文数TOP协议:统计某个IP或全部IP,网络报文数最多的协议(如Modbus);基于流量TOP协议:统计某个IP或全部IP,网络流量最多的协议(如Modbus)。

2.5典型部署以一个SCADA网络为例,威努特工控安全审计平台的典型部署如下图:图表6审计平台在SCADA网络中的典型部署首先,在站控层的工业以太网中,每个工业交换机位置旁路部署一台“审计探针”,“审计探针”通过交换机镜像口复制一份经过该交换机的所有网络流量。

因为是旁路部署,且审计探针只接收网络流量,不会对工控网络发生任何干扰报文,所以对生产工艺过程不会造成任何影响。

其次,在控制中心网络中,部署一台“安全审计管理平台”,实现对分布式部署在站控层的多台“审计探针”的集中管理。

通过以上的部署,实现了对该SCADA网络所有站控层网络流量的全网监控与审计,能够检测出针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,不仅支持几乎所有通用协议DNP3、MMS、FF、IEEE1588、IEC-104等,还支持主流工控厂家Modbus、OPC、ABBMI、S7、Profibus、HoneywellCDA、ABBCNCP、RockwellCSP、DeltaV、GESRTP、MOSTAPI等协议,目前已在电力、石油石化、煤炭、冶炼、烟草、先进制造业等行业投入使用,为工业控制系统的安全事故调查提供坚实的基础。

3.2为安全事故的调查,提供详实的数据支持威努特工控安全审计平台能够详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,并且提供了简便易用的回溯功能,为工业控制系统的安全事故调查提供了坚实的基础和手段,改变以往工业控制系统出了安全事故无法取证、调查无从下手的被动局面。

3.3通过网络通信可视化,提高工控网络运维效率威努特工控安全审计平台通过将工控网络的通信行为可视化,并提供友好的用户界面,人性化的统计报表,极大的提高了企业工控网络管理的效率,使企业工控网络管理简单易行,从而降低工控网络的运维成本。

THE END
1.威努特入侵检测系统 工业互联防火墙 网络保护一体机 安全配置核查系统 网络威胁感知系统 USB综合保护装置 工控安全监测与审计系统 网络准入系统 安全隔离与信息交换系统 工控主机卫士 威努特上网行为管理系统 威努特数据库审计系统 安全管理类 统一安全管理平台 日志审计与分析系统 https://www.winicssec.com/index.php/module/action/param1/images/server/images/
2.绿盟EDRAESNX3HD1000F终端检测与响应系统绿盟EDR-AESNX3-HD1000-F终端检测与响应系统-攻击诱捕系统(简称:NSFOCUS EDR-AES) 详细介绍 产品概述 攻击诱捕系统是一款基于欺骗技术,部署仿真蜜罐,欺骗、诱捕攻击,实时告警、取证和溯源,化被动防御为主动防御的网络安全产品。 威胁诱捕 诱骗、吸引攻击者,同时,威胁引流、牵制攻击,扰乱攻击者视角。 捕获取证 打造多https://www.gkzhan.com/st306206/product_13138865.html
3.深信服终端检测响应平台EDR在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。货号:G5C3E92501162C 品牌:SANGFOR深信服产品概述 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更http://www.itbuy365.com/?product-2489.html
4.工业互联网安全能力指南(防护及检测审计)结合水电站业务特点与网络结构,安全专家提出了整体安全建设框架,基于安全防护体系和安全运维感知体系,构建对水电站生产控制区中的安全防护、安全检测、安全审计、安全运维、威胁识别、安全场景分析能力,形成基于工业控制系统的纵向防御架构。 安全防护体系 安全防护体系包含网络中的安全防护设备、检测设备、审计设备、终端管理https://www.dwcon.cn/post/1015
5.CVERC亚信安全信舷防毒墙系统AISEDGE/V7.0(2024-05-10) 亚信科技(成都)有限公司 主机防勒索系统 xHRP/V2.0(2024-05-10) 杭州中电安科现代科技有限公司 鸿泰高科防病毒网关系统REDSEC2000/V3.0(2024-05-10) 北京鸿泰高科科技有限公司 威努特终端检测与响应系统(防病毒)V3.0(2024-05-11) https://www.cverc.org.cn/
6.《电力监控系统网络安全防护导则》解读加强重点防护:通过业务分区和安全分级梳理重点防护的安全对象,对重要业务系统加强防护,包括横向隔离、纵向认证和综合防护。同时需要关注安全接入区的设置和防护架构。设置安全接入区的技术场景为如果生产控制大区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等http://www.fjminjia.com/news/61.html
7.《信息安全技术重要工业控制系统网络安全防护导则》解读加强重点防护:通过业务分区和安全分级梳理重点防护的安全对象,对重要业务系统加强防护,包括横向隔离、纵向认证和综合防护。同时需要关注安全接入区的设置和防护架构。设置安全接入区的技术场景如果为生产控制区内个别业务系统或其功能模块(或子系统)需使用公用通信网络、无线通信网络以及处于非可控状态下的网络设备与终端等进https://www.secrss.com/articles/46257
8.互联网安全范文12篇(全文)智能设备系统安全领域早已是一片红海,安全产品内战的激烈程度与桌面端有过之而无不及。好在经历了几次“战火纷争”之后,用户已经明白这些安全产品争斗的实质,所以这类争斗的反面效果越来越明显,到现在战火虽未停息,但也不再像以前那样喧嚣。 人们需要安全的移动互联网,需要真正的终端安全,因此,一些标准化组织针对移动https://www.99xueshu.com/w/ikeyfweg0ki4.html
9.威努特高级威胁检测系统NTA网络异常行为检测系统特征检测对未知威胁失效 APT检测相关产品与技术 基于全流量的高级威胁检测系统(AAD) 构建针对攻击链的交叉检测交叉验证体系 全流量高级威胁检测系统业务处理流程 基于大数据+人工智能+安全的数据分析收敛降噪 核心技术:AI驱动的高级威胁检测分析 人工智能在网络安全领域的应用成果 https://www.yun88.com/product/6386.html
10.工控安全自查工作报告6.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题 对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。 1.2 “两化融合”给工控系统带来的风险 工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足“两化融合”的需求和管理的方https://www.360wenmi.com/f/filep93tgdz4.html
11.中国网络安全厂商和测评机构大全(2017最新版)入侵检测/防御:中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏 漏洞扫描系统:中科神威、安恒信息 、绿盟科技 安全管理平台:启明星辰、中科神威、360 网闸/安全隔离与信息单向导入设备:国保金泰、中科神威、北京安盟、赛博兴安 加密机:江南天安 终端安全:北信源、江民科技、瑞星 http://www.cniteyes.com/archives/32216
12.?scada系统是什么?scada系统的构成SCADA系统与其他系统的区别在于: 分布区域广泛、主站与控制对象距离远、监控终端的工作条件苛刻、通讯系统复杂多变、通讯系统不保证可靠传输。 SCADA系统的构成 1、硬件结构 通常SCADA系统分为两个层面,即客户/服务器体系结构。服务器与硬件设备通信,进行数据处理何运算。而客户用于人机交互,如用文字、动画显示现场的状态https://maimai.cn/article/detail?fid=405887559&efid=-xKdo2Lkin0AOnWTVacXEg
13.工业4.0时代数控机床远程监控嘲下的安全风险与应对三是,通过态势分析与安全运营管理平台汇集流量侧、端点侧、日志侧等数据,进行关联分析和深度安全监测、研判和应急响应,并实现数控机床网络安全集中管理。 图7 威努特态势分析与安全运营管理平台能力 06 增强数控机床移动存储介质管控 通过在数控机床部署USB综合保护装置(以下简称“UIG”),UIG系统可以在物理上实现USB移动https://articles.e-works.net.cn/security/article152999.htm
14.威努特工业防火墙(TEG)和奇安信数据库防火墙哪个好4、威胁检测与响应。 集成多个防护引擎,再结合奇安信强大的攻防研究能力及丰富的规则库储备及生产能力,实现对可疑行为、已知病毒、未知病毒和各类攻击的实时拦截、高效检测、准确定位、完整溯源,并有效防御针对停服系统的漏洞利用攻击,确保终端始终安全。 5、终端数据防泄漏。 根据预先定义的策略,实时扫描存储和传输中的https://www.36dianping.com/vs/082.html
15.威努特有什么产品吗业界新闻2. 安全信息与事件管理 (SIEM) Vnus SIEM提供了一种集中收集、分析和报告安全事件的解决方案,它可以帮助管理员快速发现和响应潜在的安全威胁,提高企业的安全意识。 终端安全与管理 1. 端点检测与响应 (EDR) Vnus EDR可以实时监控和管理企业终端设备的安全状态,它可以检测和清除恶意软件,防止其对企业网络造成损害。 https://www.jindouyun.cn/document/industry/details/231820
16.一文详解工业现场网络风暴产生原因危害与防范方法一些攻击者利用网络剪刀手、终结者、执法官等软件进行恶意ARP攻击,向网络中发送大量ARP报文,使网络带宽被大量占用,终端CPU利用率上升无法响应正常请求,导致网络风暴。 消耗网络带宽的DDoS攻击也是目前流行的攻击手段,傀儡机向网络发送大量的UDP、ICMP等洪水攻击恶意数据流,充塞受害系统的网络带宽,使网络带宽被消耗殆尽,业务http://www.js-glwa.com/?m=home&c=View&a=index&aid=158
17.很多人问中国网络安全行业怎么样?这篇文看完让你彻底了解中国网络安全行2.8. 终端检测与响应 奇安信、亚信安全 AsiaInfo、网思科平 One Scorpion、杰思安全 MAJORSEC、恒安嘉新 EVERSEC、绿盟 NSFOCUS、明朝万达 WonderSoft、安恒信息 DAS-Security、安全狗、通付盾 2.9. 办公设施安全 奇安信、江南信安、立思辰、中孚信息、天融信 TopSec、恒安讯佳 HenSinder https://blog.csdn.net/2401_84208172/article/details/139053848