科能腾达工控流量审计系统_工控安全审计系统

科能腾达工控流量审计系统

工控流量审计系统，是专门针对工业控制网络的信息安全审计平台。能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

立即咨询

首页 > 产品中心 > 工控安全 > 科能腾达工控流量审计系统

产品概述

工控流量审计系统，是专门针对工业控制网络的信息安全审计平台。它采用旁路部署模式，对工业生产过程“零风险”，基于对工业控制协议 MODBUS、DNP3、OPCDA、RSSP、IEC104、IEC61850、S7、S7Plus、OPCUA、BACNET、Ethernet IP/CIP、MQTT、FINS 的通信报文进行深度解析（DPI，DeepPacketInspection），能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。工控流量审计系统，广泛应用于电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等各个行业。

产品架构

工控流量审计系统对生产环境中的工控设备进行实时的监测与分析。通过工控流量审计系统，可以实现会话审计、流量审计、攻击分析、数据包审计、行为分析、工控协议解析等功能，全方位的为工业生产环境中的资产提供有力的安全保障。

产品特性会话审计

工控流量审计系统基于状态检测机制，对工业环境中各个主机的会话进行分析，它会跟踪某主机会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，极大的简化了配置、提供了效率。所有的会话都会维持在会话表中，还可以供管理员分析和排错使用。

上图是会话状态表，用户可以查看经过某个工控资产建立的所有会话，并可对这些会话进行筛选和排序，迅速发现主机网络中的异常会话（病毒、DoS、P2P 等）。一旦发现经由主机的异常会话后，会及时告警，保护工控资产不受侵害。

流量审计

工控流量审计系统可以监控网络设备所有接口的流量情况，包含进出流量的对比。用户可以快速判断网络设备出现的异常流量，及时对非法流量的进出告警。支持根据源 IP、目标 IP、服务、源 MAC 地址、目标 MAC 地址等信息，将流经工控设备的流量进行展示，包含是否允许通过、发送接收情况、源地址、目的地址等内容。

异常流量检测

工控流量审计系统会监测工控设备的流入流出流量并设置基线值，超出基线值进行报警。

无流量检测

工控流量审计系统监测工控设备流量，当发现某台工控设备在一段时间内没有收发流量，则进行实时报警,及时发现无法提供服务的工控设备，通过故障定位分析，确定故障原因，包括通信端口故障、通信软件故障、通信网络故障、通信协议故障。

产品特性

工控协议审计

工控流量审计系统可以对工业设备支持的多种工控协议进行深度分析、解析其操作、变量与参数等。也可以识别这些协议里传输的指令，并且可以实现监控。工控流量审计系统能对 MODBUS、DNP3、OPCDA、RSSP、IEC104、IEC61850、S7、S7Plus、OPCUA、BACNET、Ethernet IP/CIP、MQTT、FINS 等协议进行深度解析。可以分别区分工控协议读写操作，根据写操作的值域设置黑白名单。针对工控时间不同步、非法服务器 IP、非法客户端 IP、非法设备、非法功能码、非法数据地址，可以选择是否报警。日志报警可以设置安全级别。

工控协议自学习

工业网络中设备众多、网络通信复杂，用户很难全面的掌握网络中所必须的业务通信需求，比如某台工业设备运行的是何种协议等，这会给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置，提高规则配置的准确性，减少规则配置的工作量，工控流量审计采用基于自学习的白名单体系，并应用到资产设备中。该功能采用通过策略方式从网络中采集数据包，并进行数据包的解析，智能的与系统内置的协议特征、设备对象等进行匹配。帮助用户以最直观的方式了解和掌握网络中的工控业务通信状态，发现工控网络潜在的安全风险。并且可以基于自学习内容建立起白名单体系。同时我们可以区分工业设备不同操作的危害性，针对危害性大的工控操作，采用报警模式予以处理。

资产分析

工控流量审计系统采用实时分析和主动扫描的方式，可以全面、快速、准确的发现工控网络中的存活的工控设备、网络设备、数据库，并准确识别其属性，包括设备名称、IP 地址、操作系统、设备级别等信息，并进行实时分析，及时发现生产环境中存在的工控资产，并快速发现资产中存在的风险。

工控入侵攻击分析

工控流量审计的入侵防护功能不仅涵盖各种工控协议，而且也涵盖了多个厂商产品，比如研华、施耐德、西门子等产品本身系统漏洞，与工控协议相关的攻击库应在 1000 种左右，整体特征库应在 7000 种以上。

数据包审计

工控流量审计支持基于五元组策略对流量进行选择性的审计，也就是基于源地址、目标地址、时间、服务等信息对流量进行筛选。并且支持根据策略，来设定流量日志的严重级别，工控流量审计系统会根据严重性进行邮件告警。

工业组播审计

组播协议在工业网络中用途非常广泛，比如工控协议 TTDP、TRDP 等，与网络相关的 RSTP、OSPF 也在使用组播。但是组播流量比较多时，就会给整个网络带来比较大的压力，尤其是工业网络对网络延时要求很高，尤其敏感组播流量。工控流量审计可以通过策略支持组播的审计功能。

工业应用识别

工控流量审计系统具有多种应用识别技术，通过工控流量审计系统，可以全面识别运行在工控设备上的各种应用程序，实时监测应用程序的运行情况，进而有效管控和审计。应用识别控制主要包括：URL 识别：设备内置 URL 库、支持基于关键字管控，从容应对互联网上数以万亿的网页、SSL 内容识别技术。设备除了内置的上百种 URL 类别以外，管理员还可以自定义 URL 分组，分组默认可以到 500 组，特殊场景可以扩容到更多组。根据组织内部特殊需求，将一些指定的 URL 划分到一个 URL 分组下，此时，各种权限策略就可以引用这个 URL 分组来做控制，满足精细化的 URL 控制需求，让企业内网管理更加灵活高效，更加满足“权限最小化”的管理原则。应用规则识别库：拥有大量的应用识别库，保证库处于最新状态；该库支持 2000种以上网络主流应用。

数据包抓取

工控流量审计系统支持数据包抓取功能，可以指定抓包策略，策略涵盖源地址、目标地址、服务，并且指定抓包数量和时间。

虚拟设备功能

工控流量审计支持虚拟设备功能，每个硬件设备可以划分成 10 个以上逻辑的虚拟设备，每个虚拟设备可以单独设置防火墙策略和路由，IP 地址相互无关，可以单独设置成路由或透明模式。

应用部署

生产执行层流量审计

以旁路方式部署在生产执行层与企业管理层之间；实时检测来自办公网及互联网网络流量中的恶意入侵、漏洞利用、非法外联等异常行为，并进行告警；详实记录一切进入生产执行层的恶意攻击的网络流量，为安全事故调查取证提供依据。

过程监控层流量审计

以旁路方式部署在过程监控层与生产执行层之间；实时检测来自过程监控层内部违反安全策略的异常可疑行为，并进行告警；采用流检测、应用内容特征、应用行为特征及关联分析等多种手段对各类应用进行深入分析；采用多种协议异常检测技术，并采用全并行处理方式，保证超低的误报率和漏报率。

产品优势

工业级硬件

工控流量审计系统硬件采用全工业设计，工业级硬件、故障容错、低功耗、无风扇设计，冗余电源等先进硬件设计，可确保设备在恶劣的工业环境中正常运行。

工控协议指令级检测与审计

工控流量审计系统搭载了科能腾达自主研发的深度数据包解析引擎，深度数据包解析引擎支持涵盖 MODBUS、DNP3、OPCDA、RSSP、IEC104、IEC61850、S7、S7Plus、OPCUA、BACNET、Ethernet IP/CIP、MQTT、FINS 等在内的各大主流工控网络协议，可对工控协议做指令级检测与审计，对各类数据包进行快速有针对性的捕获与深度解析。对不同行业的工业控制系统，可以采取相应针对性的数据包探测机制和解析策略。另外，在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。

全面的工控协议支持

支持多达 30 多种工控协议识别；支持 1000 种工控协议漏洞特征库；寄存机参数、功能码、变量等精准控制。

丰富的网络基础功能

支持基于五元组（IP、端口、协议）、MAC 地址和时间定义包过滤安全策略，支持基于状态检测技术的访问控制。支持 VLAN，802.3ad 链路聚合，冗余接口。支持 IP/MAC 地址绑定规则，支持防御 ARP 攻击等。支持在 IPv6、IPv6overIPv4、IPv6 和 IPv4 混合网络环境。

完整的工控资产管理

工控流量审计系统支持工控资产管理系统，能识别多种工控设备，包括工控设备的型号、版本，操作系统等。建立资产组织树形结构，定义资产信息与责任人信息，可手工导入或自动发现各类资产，并自动归入相应组织结构。

多维度、多角度安全分析

对工控资产的安全趋势进行分析展示，感知安全状态和风险趋势。对威胁进行分类分布展示，帮助用户加强对应分类的防御策略。对攻击源进行统计展示，分析攻击者分布区域，加强防护策略。对攻击目的进行统计展示，对受攻击资产进行排名统计，分析出高风险资产。对资产风险进行分析，统计其内网的资产，分析资产的风险情况，有助于用户更了解清楚自己内部网络。通过对攻击源、攻击目的、攻击趋势等展示，可以更直观展示当前设备网络面临的安全风险，帮助用户更有针对性的采取应对措施。丰富的可视化报表可以根据攻击、应用、流量、病毒等多个维度进行细粒度统计和做趋势图展示。通过这些图表，客户可以很轻松的了解当前网络的安全状态。工控流量审计系统还提供了详细的安全报表功能，系统支持生成各种周期的综合安全报表，报表以 PDF 格式导出。工控流量审计系统支持按照日志级别记录日志，自动忽略设定级别以下的日志，不仅极大的减少了攻击告警的数量，而且提高了对于高风险攻击事件的反应速度。

关于科能腾达

北京科能腾达信息技术股份有限公司，成立于 2000 年，是一家网络信息安全与运维产品服务提供商，国家高新技术企业，中关村五星级信用企业，ISO-9000 质量管理体系认证企业，致力于网络信息安全与运维产品的研发与销售，旗下 CNGate 品牌产品已在业界小有声誉。2012 年公司登陆新三板，简称：科能腾达，股份代码：430148，总股本：8713.7 万股。公司核心开发团队和管理人员具有多年网络安全产品开发和销售经验，在国际网络安全厂商从业多年。深度理解国外和国内行业用户对网络安全产品的需求，并深度洞察网络安全产品未来发展方向。

覆盖全国范围的服务体系
科能腾达以北京总部为中心，并在上海、广州、成都、济南、西安、海南和武汉等地设立分公司，服务领域已覆盖全国各省市。

丰富的全场景安全规划经验
场景化落地能力和集团体系化规划建设能力业界领先，服务客户覆盖电力、石油石化、金融、城市市政等重要领域。

自主研发互联网安全+工业互联网安全产品
科能腾达自主研发、创新安全产品，已覆盖安全产业完整生命周期的网络安全解决方案、产品及服务，打造了多个行业标杆案例。

产品推荐查看更多>>

启明星辰工控IDS与审计

针对工业控制系统的专用网络安全检测系统，拥有国际顶尖的入侵检测技术，支持对多种工业控制网络协议的深入解读，提供特有的工控网络安全检测策略，并可针对工控网络敏感指令数据进行记录和异常检测，不仅可检测工控网络中发生的入侵攻击，还可实时监测工控网络中的敏感操控，

高效稳定

安全可靠

立即咨询查看详情

长扬科技工控主机卫士ISG

长扬工控主机卫士（ISG）是为工控主机量身打造的一款防护产品。它能够监控主机的进程状态、USB端口状态，采用文件加载执行控制、强制访问控制、完整性保护等技术手段，对操作系统进行安全功能增强，弥补通用操作系统安全性不高的缺陷，提高操作系统的安全保护能力，构建严格受控的主机安全环境。

应用白名单