工业控制系统网络安全现状
工控系统与传统IT系统区别
工控安全专用产品标准化现状
什么是监测审计系统?
监控摄像头与监测审计概念对照什么是工控监测审计系统?
工控安全监测与审计系统设计标准国标GB/T 37941-2019明确了使用在工业控制系统中的网络审计产品所要具备的功能,与传统的网络审计产品不同,工控审计除常规的流量审计能力外,国标特别强调了基于工业协议解析的审计和监测能力、基于白名单的防护策略。产品应用在工业场景中,需要适应苛刻的物理环境,产品要具备IP40防护等级、抗跌落、抗振动、抗冲击、CE、FCC、CB等资质,才能保障产品长久稳定运行。
威努特工控安全监测与审计系统核心卖点
工控安全监测与审计系统应用场景
威努特工控安全监测与审计系统硬件规格-SMA5600系列
威努特工控安全监测与审计系统硬件规格-SMA5610U
威努特工控安全监测与审计系统软件架构
威努特工控安全监测与审计系统功能全景
核心能力:网络+工业协议白名单基线
白环境建立-三重白名单固化
第一重固化-网络连接基线针对源和目的之间的正常流量建立基线,有效识别出攻击或异常导致的流量变化。
第二重固化-工业协议白名单基线针对工业控制现场的特点,能够对工业协议做到识别和深度解析,目前支持10000+种工业协议的识别、40+种的工业协议的深度解析,对于Modbus TCP/RTU、S7、OPC DA/UA等常见的工业协议,能够做到值域级细粒度的访问控制。
第二重固化-工业协议的深度钻取分析(值域级)
第二重固化-串口白名单工业通信网络的发展历程经历了从串口通信到工业以太网通信的过程,应用广泛的Modbus协议也可分成基于串口通信的Modbus RTU和基于以太网通信的Modbus TCP。串口通信由于布线简单、运维成本低、安装便捷的优势,适用于机房、机站动力、环境监控系统、低压配电监控系统、电能数据监控系统、工厂机器设备、生产线运行状态监控系统、生产信息采集系统等应用场景,时至今日串口通信在工业领域的应用依然非常广泛。
第二重固化-串口白名单解决问题:工业场景下串口通信行为的监测审计。 功能介绍: 我司工控安全监测与审计在硬件上提供2个RS-232/422/485串行总线接口,支持Modbus RTU协议的深度解析,可对Modbus RTU数据进行语法检查,做到值域级的细粒度行为审计,支持串口白名单的自学习。 工业现场应用方式: 支持1路Modbus RTU业务的深度解析; 支持通过“手牵手”接线方式接入多个串行接口设备。
第二重固化-串口白名单接口说明: 我司设备串口使用凤凰端子进行接线,可根据串口类型灵活更改接线顺序,适应更多场景。 部署方式: 将工控安全监测与审计系统部署在工业上位机/控制器与PLC等设备之间,分别接入设备上的一对串口。
第二重固化-串口白名单
第二重固化-工业协议自定义开发引擎通过特征模型化提高新协议适配效率, 通过将工业协议的签名、指纹、偏移量等各种特征抽象提炼成为各种标准化的语义标签,只要对照协议进行“填空”即可快速适配新的工业控制协议,大大简化新协议扩展过程。无论是冷门还是私有协议,在威努特自研的“伏羲引擎”加持下原先数月的适配时间统统压缩到数周,这不仅为第二层固化过程提供了坚实的技术保障,同时也为第三层业务白名单的建立铺平道路。
第三重固化-业务工艺行为基线
第三重固化-业务工艺行为基线
第三重固化-业务工艺行为基线
白名单建立-启发式白名单自学习【零值守】白名单自动化学习,无需现场工程师关注学习进度,节约人力投入。 【自判断】启发式智能学习,避免完全依赖工程师经验导致过度学习和学习遗漏问题。 【高效率】在保证学习质量的情况下最少化学习时间开销,尽快发挥产品安全能力。
给工业协议自学习加上“进度条”自从工业协议自学习被广泛应用,运维人员建立白名单基线再也不用一条一条手动添加了,极大地减轻了运维负担,但没有启发式的自学习,就像是一个没有进度条的加载loading……
启发式白名单自学习功能分析白名单自学习规律分析: 学习早期进度快,涌现出大量协议指令;学习中期进度放缓,新指令出现逐渐减少;学习末期仅余长周期指令; 整个学习过程的前两个阶段可学习到全部合法指令的95%以上; 最后5%的合法指令要占用总学习过程的三分之一个阶段,造成时间资源的浪费;
启发式白名单自学习功能说明功能详情: 1、设定学习周期,支持固定周期和动态周期两种模式; 2、提供学习趋势图看到学习趋势和近期学习内容; 3、自动提醒切换模式,快速释放安全能力; 功能价值: 长周期指令可在告警模式下发现,尽快上线提供安全能力。
白名单建立-基于组态工程文件直接生成白名单
认清家底-内网资产安全分析被动资产识别:基于通讯数据,自动发现通讯节点,动态识别工控网络中的设备属性信息。
工业IDS-白环境技术的补充
镜像转发-解决交换机镜像接口不足的问题
网络异常行为监测与异常告警
网络通信记录审计和回溯支持对工控网络通信记录进行回溯,根据时间、 IP地址、端口号、功能码等条件查询通信记录,为工业控制系统的安全事故调查提供详实的依据。
某电厂DCS宕机事故事故过程: 1.某电厂开展#1、#2机组DCS(Ovation)系统网络安全改造; 2.某安全厂商技术人员将一台IDS同时连接至两机组DCS的核心交换机,准备开始接收镜像流量; 3.结果造成两机组DCS因网络流量相互干扰而宕机,损失出力57万千瓦。 根本原因: 交换机镜像口对接的IDS设备接口并非单向接收报文,也能转发报文,造成了两个DCS机组互通(#1、#2机组网络流量互相窜扰),机组因信号冲突而宕机。
物理纯单向产品市场需求背景工控安全监测与审计系统/入侵检测系统作为旁路部署产品,在特殊场景下也会产生安全风险。
物理层纯单向设计,真正做到零影响网口侧 “去掉”发包功能,只能被动接收镜像流量; 彻底杜绝设备故障、恶意攻击等情况下旁路设备向交换机镜像口发包(流量倒灌)的问题。
产品应用场景及营销策略TOP3行业:电力、轨道交通、化工,物理纯单向设备适合所有高安全要求的行业,自动化口负责工控安全的企业更容易接收和认可。
集中管理,分布部署
统一安全管理中心
当黑客攻陷了安全管理平台黑客的攻击过程: 1、在“一个中心,三重防护”的安全体系下,黑客攻陷了安全管理平台; 2、安全管理平台上所有安全设备的策略被黑客任意操控; 3、黑客关闭了监测审计的安全策略,生产网络完全暴露在攻击下。
硬件级策略防篡改技术方案监测审计属于关键安全设备,学习PLC,采用硬件级安全锁,达到物理级保护安全策略不被篡改。 前述提到的攻击情况,在第3步就会碰“钉子”,黑客即使拿下了管理平台,监测审计的策略也是无法篡改,还是能达到检测效果。
硬件级策略防篡改-自动控制与网络安全的结合威努特将自动控制设备设计理念融入网络安全产品,研发了具备硬件级策略防篡改能力的新一代工控安全监测与审计系统,实现“一机三锁”。
产品应用场景及营销策略TOP3行业:电力、油气管道、化工, 硬件级策略防篡改功能适合所有高安全要求的行业,自动化口负责工控安全的企业更容易接收和认可。
贴合工业场景的工业级硬件平台等保2.0的重要组成
等保2.0合规秘笈(1)
等保2.0合规秘笈(2)
等保2.0合规秘笈(3)
等保2.0合规秘笈(4)
珞安卫士是一款专用于保护工控主机环境的安全软件产品,部署于工控上位机和服务器上,能防范各类已知和未知恶意程序的运行、控制USB移动存储介质的滥用、对主机系统进行安全加固等,实现对工控主机全面的安全防护。
安全可靠
高效稳定
优格USB综合保护装置是专门为实现USB的全面防护而设计,满足军工、石油石化、电力、轨道交通等各行业系统内计算机对USB设备安全防护以及U盘行为管理的需求。
病毒查杀
审计日志
外设管理
黑名单过滤
天镜脆弱性扫描与管理系统V6.0-工控系统专用版根据工业控制系统已知的安全漏洞特征,对SCADA、DCS系统、PLC等工业控制系统中的控制设备、应用或系统进行扫描、识别,检测工业控制系统存在漏洞并生成相应的报告,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在漏洞全面评估的基础上实现安全自主掌控。
可视化的工控系统安全风险展示
全面的工控系统漏洞扫描能力
准确的工控系统信息发现能力
支持全面的核查种类
领先的企业数字化服务平台
客服电话:400-0972-788
