工控网络审计与监测系统通过旁路或串入部署,对工业控制协议进行深度解析,实现实时攻击检测、异常报警及详细通信记录。提供白名单报警、关键操作监控、自定义报警等功能,但面临协议支持有限和依赖安全厂商管理平台的问题。
简介
工控监控与审计系统,是通过对流量进行分析,专门针对工业控制网络的信息安全审计系统。它采用旁路部署,对工业生产过程“零风险”,基于对工业控制协议(如IEC104、S7、DNP3、Modbus TCP、OPC等)的通信报文进行深度解析(DPI,Deep Packet Inspection),能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
部署
比较优秀的工控监测与审计系统会提供两种部署方式:
1. 旁路部署:
在工业现场或机柜间把DIN导轨式或者机架式的工控监测与审计系统安装上电,通过交换机的流量镜像功能,引一根网线进入监测审计系统即可。
2. 串入部署:
当现场交换机不支持流量镜像功能时,把一路网线串入监测审计系统的数据采集输入口,再拉一根网线作为该路网线的输出,连入原有工业交换机中。此时监测审计系统只能针对该路网线的数据流做监测审计功能。注意此操作会造成部署时断网一段时间。
功能
主要功能如下:
- 监测功能:
- 白名单报警(非法协议、IP、端口等)
- 关键操作(如对工程师站组态变更、操控指令变更、PLC下装、负载变更等)
- 无流量报警(可以探测某个用户关心的网络连接由于某种原因没有流量的情况并发出告警)
- 用户自定义报警(用户自定义告警是流经监测审计系统的报文符合用户配置的规则
最低0.47元/天 解锁文章
扫一扫
2576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
