SMA-YH-5612工控安全監(jiān)測與審計系統(tǒng) 

產(chǎn)品概述

 SMA-YH-5612工控安全監(jiān)測與審計系統(tǒng)是專門針對工業(yè)控制網(wǎng)絡(luò)的信息安全審計平臺，采用旁路模式部署，具備物理層純單向的特性，對工業(yè)生產(chǎn)過程“零風險”。基于對近50種工業(yè)控制協(xié)議（如OPC、Siemens S7、Modbus TCP、Ethernet/IP（CIP）、IEC61850 MMS、IEC104、DNP3、Profinet、OMRON Fins等），的通信報文進行深度解析（DPI，Deep Packet Inspection），能夠?qū)崟r檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲病毒等惡意軟件的傳播并實時報警，同時詳實記錄一切網(wǎng)絡(luò)通信行為，包括值域級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。

產(chǎn)品亮點

基于DPI的工控協(xié)議深度解析

識別10000多種知名端口協(xié)議，提供近50種工業(yè)協(xié)議的深度報文解析，有效識別協(xié)議動態(tài)端口，提供報文格式檢查，完整性檢查，指令檢查等功能，支持OPC UA/DA、Modbus TCP/RTU、S7等近50種主流工控協(xié)議支持超過1000種的功能碼識別。

細粒度協(xié)議值域檢測與審計

通過工控協(xié)議的深度解析能力，結(jié)合“白名單+智能學習”機制，對各類工控協(xié)議數(shù)據(jù)包進行快速捕獲和值域級解析。利用智能算法學習建立工控通信基線，對網(wǎng)絡(luò)中工控協(xié)議通信行為與基線進行對比分析，不符合工控通信基線的異常指令操作、新設(shè)備（IP地址）、異常連接行為、異常通信地址/端口等將觸發(fā)告警。

多種便捷的白名單生成方式

工控安全監(jiān)測與審計系統(tǒng)內(nèi)置智能學習引擎，根據(jù)當前的學習情況，智能判斷白名單的學習進度，在保證學習質(zhì)量的情況下最少化學習時間開銷。支持對學習數(shù)據(jù)進行去重，對學習后的白名單進行智能合并，防止白名單過多，造成資源浪費。支持基于組態(tài)工程文件直接生產(chǎn)白名單規(guī)則，用戶僅需將已經(jīng)編譯好的組態(tài)工程文件導入到工控安全監(jiān)測與審計系統(tǒng)中，即可以直接生成白名單規(guī)則，極大減少工業(yè)白名單學習時間，盡快發(fā)揮工控安全監(jiān)測與審計系統(tǒng)的安全檢測能力。

黑白名單結(jié)合的綜合防護能力

工控安全監(jiān)測與審計系統(tǒng)的DPI引擎能夠深度解析近50種工業(yè)協(xié)議，IDS規(guī)則庫具備工控類和非工控類規(guī)則共10000條。依托于強大的工業(yè)協(xié)議深度解析引擎和IDS規(guī)則庫，首先建立適配工業(yè)現(xiàn)場業(yè)務(wù)的白名單，在業(yè)務(wù)流量通過白名單基線檢測后，黑名單規(guī)則庫可針對關(guān)鍵事件進一步對流量進行檢查，黑白名單結(jié)合，進一步保障現(xiàn)場業(yè)務(wù)安全。

業(yè)務(wù)工藝異常檢測

針對邏輯性、時序性強的業(yè)務(wù)流程，工業(yè)協(xié)議深度解析引擎能夠配置通訊周期和工藝序列，如果報文提前或超時到來、到來時序不符合預期，監(jiān)測審計平臺能夠立即發(fā)出告警。同時業(yè)務(wù)工藝異常檢測模塊也能夠?qū)υ吹刂泛湍康牡刂贰f(xié)議字段、報文長度、包長度進行檢測，全方位監(jiān)測業(yè)務(wù)是否正常運行。

全方位的服務(wù)監(jiān)測

工控安全監(jiān)測與審計系統(tǒng)能夠?qū)φＭㄐ判袨檫M行建模，形成通信行為基線，對于基線外的通信行為、設(shè)備無流量、網(wǎng)絡(luò)攻擊、異常掃描、工控關(guān)鍵事件、服務(wù)中斷以及斷鏈重練等事件，具備全方位的監(jiān)測告警能力。

基于IPv6的工控網(wǎng)絡(luò)安全監(jiān)測與審計

支持基于IPv6地址的工控網(wǎng)絡(luò)安全監(jiān)測與審計，滿足用戶IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的平滑過渡以及純IPv6網(wǎng)絡(luò)的建設(shè)需要。

工業(yè)環(huán)境硬件設(shè)計

硬件平臺設(shè)計遵循工業(yè)標準，采用高性能工業(yè)級ARM處理器，無風扇設(shè)計，關(guān)鍵部件冗余設(shè)計，硬件平臺達到工業(yè)三級B以上指標，能夠滿足工業(yè)環(huán)境下寬溫、防塵、防潮和高可靠性要求，支持導軌安裝、壁掛式、機柜安裝等多種安裝方式。

支持私有工控協(xié)議開發(fā)定制

產(chǎn)品內(nèi)置工業(yè)協(xié)議解碼引擎，提供軟件SDK開發(fā)工具包，可基于協(xié)議語言描述規(guī)范自行定義私有協(xié)議，支持私有工控協(xié)議定制化二次開發(fā)。

物理層純單向硬件設(shè)計

“只聽不說”對控制網(wǎng)絡(luò)“真零影響”的工控安全監(jiān)測與審計系統(tǒng)，該設(shè)備從硬件設(shè)計上著手，通過更改邏輯鏈路層設(shè)計，做到流量收發(fā)單向，從硬件上杜絕報文回注的可能性。

硬件級安全策略寫保護

工業(yè)現(xiàn)場生產(chǎn)業(yè)務(wù)確定后，工控安全監(jiān)測與審計系統(tǒng)安全防護策略也一并確定，和生產(chǎn)業(yè)務(wù)共頻，通過硬件鎖設(shè)計，物理上保證安全防護策略無法被非授權(quán)更改。

產(chǎn)品功能

硬件規(guī)格

 應(yīng)用場景 

過程監(jiān)控層異常通訊行為檢測

• 以旁路方式部署在過程監(jiān)控層或生產(chǎn)執(zhí)行層

• 基于智能學習模式，自動建立通信模型基線，對不符合通信模型基線的通信行為進行告警

• 監(jiān)測過程監(jiān)控層設(shè)備的流入流出流量，并設(shè)置基線值，超出基線值將產(chǎn)生告警

• 對工控系統(tǒng)工程師站組態(tài)變更、操控指令變更、PLC下裝、所有寫操作、負載變更等關(guān)鍵事件進行實時監(jiān)控

現(xiàn)場控制層異常操作指令檢測

• 以旁路方式部署在現(xiàn)場控制層

• 監(jiān)測現(xiàn)場控制層設(shè)備流量，當設(shè)備出現(xiàn)端口、軟件、網(wǎng)絡(luò)、協(xié)議故障導致無流量時，產(chǎn)生告警信息

• 基于工控協(xié)議通信記錄，智能學習通信關(guān)系、功能碼和參數(shù)，對正常通信行為建模，實現(xiàn)違規(guī)行為監(jiān)測審計

• 詳細記錄網(wǎng)絡(luò)中的連接信息，包括開始時間、結(jié)束時間、源MAC、目的MAC、報文數(shù)（上行、下行）、字節(jié)數(shù)（上行、下行）、端口號、功能碼等