工控安全的核心是业务安全。国内工业数字化领域的关键核心设备存在国产化率低的情况,缺少对这类设备的监测与防护工具,这些设备状态对业务的影响难以感知和评估。解决工控业务安全问题首先要了解工控业务的运行状态和面临的安全风险,要能做到数字化降本增效的同时,不引入新的安全风险。网络安全防护与业务运维同举并重。
科来工控生产安全监测和管理平台
科来工控生产安全监测和管理平台,由工控操作指令审计系统(简称CPS)、工业全流量安全审计分析系统(简称ICA)、工控管理中心系统(简称BICA)三个系统组成,是面向工业数字化场景的业务安全监测产品。目前该平台已完成在全国3000家以上电厂分布式级联部署。
该平台具备高性能流量采集与大容量数据存储能力,提供万兆流量下原始数据报文级的网络实时分析和诊断,提供面向工业互联网的工控警报规则,能够及时发现工控网络中的异常行为、隐蔽攻击行为,帮助用户事前预防、事中控制、事后回查,对工控网络实现更加全面的安全防护。平台通过对工业控制网络全时段、多维度、全要素监视,进行工控设备、操作指令、工艺参数梳理,构建操作行为规范,实时分析业务运行状态,及时发现生产过程设备、操作、参数状态异常和波动。
产品功能
深度网络安全审计与资产管理
基于工控协议深度解析(DPI)技术,构建庞大的资产信息库,快速精准识别工控网络中的设备,细颗粒度还原工业操作指令;全面审计并留存操作指令,实现快速安全事件操作日志级回溯分析。
工业攻击发现与检测
通过工业攻击样本学习、规则库构建、情报集成,实现对常规工控网的攻击发现和检测,基于工业协议深度解析及识别能力,实现字段级的解码,能够提供元数据的查询和建模,准确定义工控网络内外联等异常行为。
攻击取证与故障调查
采集网络全量数据并进行深入分析,为异常行为与故障,提供更加全面、准确的取证基础;秒级数据包级别的查询、检索与回溯能力,可以高效找到关键线索,并进行进一步的分析和取证工作。
资产统一管理
通过系统内置标签引擎,生成网络图谱图,实现工控资产自动化梳理与发现,并对其活跃情况、通讯关系、流量趋势等汇总分析,构建资产智能画像,实现IT/OT资产统一集中管理。
事件关联分析与研判
实时或定时通过工控规则、行为进行深度线索挖掘与分析,自下而上形成协议日志、告警信息、威胁事件等数据池,并与工控区域、资产等实体进行关联分析,支持用户研判核实。
统一管理、集中维护
平台采用多级中心设计,具备万级探针设备的连接支撑能力,可实现数据交互、汇总处理和关联分析。针对不同的工控节点,灵活构建和设立总/分中心,实现对工控数据的统一分析和管理。
产品价值
工控操作全面审计
该系统通过对工控业务及网络实时数据的采集与分析,对影响重大的操作及时提示和报告,避免错误或恶意操作导致的生产损失及影响。可对业务变更引起的操作变化进行提示,让用户随时感知操作变化,杜绝不安全的工业操作行为。
安全事件追溯秒定位
被忽略的操作行为、参数变化等细节,往往是判断故障根源的关键线索,该系统可实现颗粒度的操作与过程参数留存,能够快速帮助运维人员追溯故障、定位故障并迅速恢复。
精细化管理保障安全连续生产
帮助用户感知网络中的网络行为,区分正常行为和异常行为,达到对违规上网、非法外联、违规回传数据等行为的精细化管理,保障工业生产的稳定、高效、安全。
全面掌握工控资产
自动梳理工业网络资产,对核心设备上的指令、参数、访问关系进行感知和管控,构建设备访问和操作规范,持续监测设备运行状态,对可疑行为进行活跃情况、通讯关系、流量趋势等汇总分析,构建资产智能画像。
事件回溯与安全取证
提供对历史数据的查询与回溯分析,可根据已掌握的任意威胁线索实现对历史数据的全流量追溯取证,支持对工控网络传输的原始数据包进行多维度自定义下载,快速帮助运维人员实现攻击过程还原、故障追溯与定位、生产恢复。
实时主动发现异常通讯与网络威胁
智能关联、整合工控网络中的流量、资产、威胁、策略等信息,还内置威胁规则库和集成情报中心,帮助用户全天候、全方位掌握工控安全态势,快速检测并发现网络中的异常通讯及安全威胁,为快速分析和准确处置提供支撑。
中心赋能,共享工控全网资源
通过对接中心平台,可共享安全情报、检测规则、定期更新漏洞库,支持用户远程操作等多种方式,快速提升工控网络各分支安全响应能力,为核心系统及分支系统提供全面防护保障。
实现IT/OT一张网
面向工控细分行业的不同特性,可自定义统计维度与指标,以低实施成本快速搭建全局数据可视化页面,从而准确、高效地感知整个网络的安全态势。
方案优势
自主可控
产品实现了CPU、操作系统、数据库的自主可控,平台采用的流量采集技术、协议识别解码技术、检测引擎及流量可视化分分析等关键技术均实现国产化。
领先的工控流量识别与分析
支持主流厂商设备的工控协议识别,识别、解析的数量与精准度,处于全球领先水平;进而基于相关协议对数据包进行深度解码分析,为发现异常、定位根源提供保障。
全面丰富的工控协议识别
支持350余种网络协议,多种工控协议的精准识别,包括艾默生、ABB、西门子、EPRO、施耐德电气、欧姆龙、博世等几十余家厂商。
海量的工控元数据提取
基于丰富的协议识别与解码能力,对数据包进行深度解码分析,提取工业元数据,包括Modbus、IEC104、Goose、S7、DNP3等众多工控协议,并支持动态扩展。
精准全量的资产画像
支持网络工控资产全量捕获,基于工控资产进行画像标签构建,支持多达几百种网络画像标签和工控画像标签。
双重规则库搭配专家安全分析
内置通用与工控规则库进行双重安全保障,搭载科来专家安全分析组件与全流量异常行为分析,定位故障根源,对各类威胁行为实现全面安全感知。
一站式高效全局管理
系统支持多级结构管理模式,总中心平台可对部署于不同网络位置及地理区域的工控探针及分中心平台进行统一管理,全面提升工控网络安全管理工作效率。