珞安科技工业安全管理与态势分析系统_工业企业安全数据分析平台

珞安科技工业安全管理与态势分析系统

珞安科技工业安全管理与态势分析系统是应用于工业互联网的安全风险综合分析、识别、管理的产品。系统可对工业企业的生产与办公网络的安全相关数据进行全面采集，通过机器学习、大数据分析等技术手段，对采集的数据进行全维度建模和分析，根据分析结果对威胁和攻击行为进行溯源、处置和预测，使整体安全状态可感知，安全态势可预测，为企业的安全运营体系提供安全决策的数据支持；同时，系统提供多维度、可视化展示能力，使得系统安全信息更加简单、直观，提升安全事件处置的准确性和效率。

立即咨询

首页 > 产品中心 > 网络安全 > 珞安科技工业安全管理与态势分析系统

工业安全生产内在需求 icon

随着等保建设的不断推进，在工业用户的网络中或多或少都部署了网络安全防护设备，但仅仅通过部署零散网络安全设备，客户对网络安全的真实状况却无法了解，需要一个统一的安全态势感知分析平台，帮助客户了解真实的网络安全情况

网络安全信息分散
网络安全信息分散在各个网络
安全设备中，无法统一管理。

缺乏综合、关联分析
安全设备输出的信息是单维度的，

缺乏综合的、关联分析。

数据量大，无法人工分析
系统日志、事件数据量大，

人工无法分析。

无法对安全事件进行溯源
安全事件发生后，通过单个设备

无法进行安全溯源。

产品概述

工业安全管理与态势分析系统是应用于工业互联网的安全风险综合分析、识别、管理的产品。系统可对工业企业的生产与办公网络的安全相关数据进行全面采集，通过机器学习、大数据分析等技术手段，对采集的数据进行全维度建模和分析，根据分析结果对威胁和攻击行为进行溯源、处置和预测，使整体安全状态可感知，安全态势可预测，为企业的安全运营体系提供安全决策的数据支持；同时，系统提供多维度、可视化展示能力，使得系统安全信息更加简单、直观，提升安全事件处置的准确性和效率。

产品主要功能

01 数据安全

✓ 采集工控网络中网络设备、安全设备的日志数据
✓ 采集工控网络中各类操作系统、数据库等系统日志
✓ 采集工控网络中的各类网络流量

02 数据分析

✓ 工业网络全流量分析
✓ 采用大数据分析技术，对日志、流量数据按照时间、空间、业务行为等多个维度进行关联分析

03 资产管理

✓ 工控资产自动识别
✓ 工控资产指纹管理
✓ 工控资产画像
✓ 工控资产漏洞识别
✓ 支持工控网络拓扑管理

安全风险监测

✓ 根据安全事件规则，监测安全事件
✓ 根据安全威胁规则，监测安全威胁
✓ 识别安全风险资产
✓ 可进行安全事件溯源
✓ 通过关联分析，识别潜在的安全风险

安全态势报告

✓ 提供大屏等手段展示安全综合态势图
✓ 定时自动生成态势日报、周报、月报
✓ 支持以Word、Pdf、等格式导出报表

数据采集内容

工业安全管理与态势分析系统采集和分析的数据包括：工控网络流量数据、服务器和工作站日志数据、

工控网络安全系统（设备）日志、告警数据。系统还支持对第三方安全设备日志和告警数据采集。

数据采集 - 数据采集技术方案 icon

工业安全管理与态势分析系统支持多样化的数据采集方式，常用的数据采集方式包括：

Syslog、SNMP、SNMP trap、FTP、HTTP、API接口、JDBC/ODBC、Agent、Kafka等

数据采集 - 支持业内主流厂商的日志数据采集、解析 icon

• 多类型的日志兼容能力，支持30+常见厂商的1100多种常见型号设备日志解析能力，涵盖业界主流厂商网络设备、安全设备、操作系统、中间件等
• 采用智能语义识别技术快速适配未知文本日志

数据采集 - 采用旁路方式采集网络流量数据 icon

工业安全管理与态势分析系统的数据采集探针采用旁路方式部署在工控网络中，

从工控网络的交换机中把网络流量镜像到网络安全数据采集器中，实现工控网络数据采集

数据分析 - 全网络流量分析 icon

对生产控制网和生产管理网的网络流量状况进行实时采集和分析，能分析出主流的网络协议、工业协议；

识别出网络攻击流量和网络攻击行为；同时具备网络流量、网络性能分析、网络故障定位能力。

网络协议分析

✓ 通用网络协议：可识别二层、三层及HTTP、HTTPS、SMTP、POP3、DNS、NFS SIP、FTP等应用层协议。
✓ 工业协议：可识别MODBUS、OPC、S7、IEC 104、IEC 61850、PROFINET、DNP、FINS等几十种主流工控通信协议。

网络行为分析

✓ 网络行为统计：DNS请求日志、DNS响应日志、IP地址统计日志、IP端口统计日志、IP会话统计日志。
✓ 流量日志审计：网络行为日志、网络会话日志，协议分析日志、诱导攻击日志。

攻击流量检测

✓ 根据报文载荷特征，分析工业网络中存在的攻击事件。
✓ 根据网络流量，分析入侵攻击行为。

网络流量统计分析

✓  区域流量统计：按照不同安全区域显示网络流量指标数据，显示每秒流量、每秒包数、每秒TCP同步包数、每秒TCP确认包数。
✓  协议流量统计：各类网络协议构成、对应协议每秒流量和总流量。
✓  WEB业务质量：WEB应用的慢响应、服务器错误，页面响应事件等。

数据分析 - 基于大数据的关联分析 icon

工业安全管理与态势分析系统采用大数据关联分析法，对采集的原始流量数据、日志数据进行综合分析，结合内置的IP地址库、资产指纹库、漏洞知识库、各类安全事件规则库等知识库，识别出工控网络中存在的漏洞、威胁、安全事件等，并对潜在的安全风险进行预测

资产管理

自动精准识别和动态感知企业资产，自动化构建细粒度资产信息。资产管理能力包括资产信息的动态管理、资产画像、资产网络拓扑管理、资产漏洞识别等

资产识别

✓  资产识别和管理：支持网络设备、网络安全设备、工控主机设备、工控生产设备的识别和管理。
✓  主动扫描：管理平台管理安全设备，支持扫描发现设备和服务;评估工具箱深度识别工控设备信息。
✓  被动识别：通过防火墙、审计、接入认证、流量采集器等方式通过流量识别网络资产；接入认证更可以通过内置工控指纹库识别工控设备型号。
✓  人工维护：支持资产多IP归并，资产编号等深度资产运维管理。

资产画像

✓  一张图了解资产：通过资产的独立识图，可以了解任意资产的完整信息、状况和关联信息。
✓  资产评分：通过综合分析，计算资产风险值。
✓  风险类型分析：监控设备的流量、事件、威胁、漏洞和可用性风险。

资产网络拓扑管理

✓  拓扑管理：用户可根据所处现场环境进行拓扑自定义搭建，将各种资产进行手动连接，便于展现实际工作环境拓扑信息。
✓  区域拓扑：根据网络区域划分以拓扑方式展示，最多可展示九个网络区域资产。
✓  网段拓扑：识别安全态势感知系统所在的网络节点位置处所有连接的设备。

资产风险识别

✓ 通信关系：通过流量识别分析风险资产之间的网络通信行为，识别风险扩散范围。
✓ 风险识别：采集装置上报的所有风险报警信息、通过风险报警信息计算对应设备的风险等级。

资产网络拓扑管理

用户可根据现场网络环境自定义编辑，将各种资产拖拽连接，支持查看、编辑、删除网络拓扑，同时支持添加虚拟节点展示外网未知设备或区域

网络拓扑管理支持子网拓扑、动态拓扑等，从而实现拓扑的分层下钻、实时拓扑管理

安全风险监测

工业安全管理与态势分析系统通过大数据关联分析，可识别出系统漏洞、安全威胁、

安全事件等重要的安全风险；可分析出威胁路径，攻击链，对威胁事件进行溯源

威胁感知

✓ 威胁流量感知：通过对工业中采集海量安全数据及非安全数据进行关联分析，准确检测网络中威胁流量。
✓ 威胁告警：基于威胁规则、威胁情报库、内置机器学习算法分析后的流量及日志数据，形成威胁告警。

安全事件识别

✓ 安全事件识别：可根据用户配置的安全风险事件规则，识别出安全事件。
✓ 安全事件挖掘：通过网络安全行为分析引擎，从大量流量数据和业务日志中挖掘出安全攻击行为并提取安全事件。

漏洞感知

✓ 设备漏洞感知：通过集成的工控漏洞库、工控资产特征库、与业务相关的恶意代码库等，对企业设备或软件存在漏洞进行感知预警。
✓ 漏洞风险等级判断：将安全事件中的漏洞信息与资产属性进行关联分析，以定向判断漏洞资产的实际情况及风险程度。

攻击溯源

✓ 攻击链管理：把攻击过程分为7个阶段，可以查询每个阶段对应的风险列表数据。
✓ 攻击路径溯源：可查看风险设备的网络通信行为关系，从而对攻击路径进行溯源。

安全态势报告

工业安全管理与态势分析系统提供大屏、安全报表等方式展示安全综合态势图，可以精确定位全网脆弱节点并进行威胁评估，发现潜在安全风险、预测未知攻击，提高全局网络安全防御能力；系统内置报表生成调度器，可以自动生成日报、周报、月报，并支持以邮件等方式自动投递；支持以word、pdf等格式导出态势报表。

安全态势日报、周报、月报 icon

支持灵活的自定义报表，可手工添加报表（天、周、月）支持数据报表导出，可以导出为word、pdf

优势1 - 智能语义识别解析未知日志 icon

无需编程，仅需通过添加日志数据解析规则，就可以采集、解析未匹配的设备日志数据

优势2 - 强大的漏洞识别能力 icon

系统集成了20万+漏洞库信息，包括工控漏洞、Web漏洞、数据库漏洞、弱口令等；

既可以通过接入漏洞扫描系统和评估工具箱主动进行漏洞扫描，还可以通过接入工业流量审计分析发现工控设备漏洞

漏洞识别能力包括

• 漏扫系统：主动实时/定时扫描网络中的设备，发现漏洞。
• 评估工具箱：灵活接入网络，主动扫描网络中的网络资产，根据工控指纹识别设备漏洞。
• 流量审计：通过网络中敏感报文，发现现存的工控设备漏洞。
• 20万+漏洞库：包括工业漏洞、web漏洞、数据库漏洞、弱口令等。
• 多种漏洞标准兼容：CVE、CNNVD、CNVD、Bugtraq、CNCVE。

20万+漏洞库

设备漏洞

工控系统漏洞检测查、网络设备漏洞检查、中间件漏洞检查、移动设备漏洞检查

WEB漏洞

SQL注入、XSS、CSRF、暗链、木马、失效的身份认证和会话管理、有安全漏洞的组件、挖矿脚本..

数据库漏洞

Oracle、MySQL、DB2、SQL Server、PostgreSQL、Sybase、人大金仓、达梦等数据库漏洞检测

弱口令

SSH、Telent、FTP、POP3、SMB、SNMP、数据库、RDP、REDIS等多种协议的弱口令检测

优势3 - AI智能识别高级威胁 icon

系统基于大数据存储技术，采集海量业务流量、安全日志等数据，叠加内置的各类知识库、规则库；

采用各类分析引擎、机器学习算法以及基于特征、行为和时序的异常检测算法，可精准检测出各类高级威胁和异常行为

优势4 - 支持网络质量分析 icon

网络质量指标可以作为网络安全问题对网络可用性的影响评估指标，提升识别网络安全问题和影响的准确性

网络流量统计

• 总流量
• 流入流量
• 流出流量
• 数据包总数
• 流入数据包数
• 流出数据包数
• 数据包尺寸分布
• 网络层协议流量
• 传输层协议流量

会话统计

• 连接请求数/率
• 连接失败数/率
• 重置数/率
• 活动会话数
• 新建会话数
• 会并发用户数
• 峰值会话数
• 会话持续时间
• SACK会话数
• 长连接数
• 会话持续时间

网络质量

• 丢包重传数/率
• 往返时延
• 客户端可用带宽
• 服务端可用带宽
• 客户端初始窗口
• 服务端初始窗口
• 客户端建议窗口
• 服务端建议窗口
• 乱序包数
• 客户侧丢包数
• 服务侧丢包数

应用质量

• 连接建立时间
• 应用响应时间
• 最慢响应时间
• 客户端网络时延
• 服务端网络时延
• 数据传输时间
• 数据传输字节数
• 丢包重传时延
• 用户体验时间
• 服务端未响应
• 响应超时

业务质量

• 页面响应时间
• 页面错误率
• 页面延迟趋势
• 业务慢访问数/率
• 业务访问量
• 业务响应数/率
• 业务流呈现

优势5 - 精准问题定位溯源 icon

支持对任意风险事件或者网络对象进行溯源分析，将安全事件与该事件所针对的目标资产当前具有的信息（包括IP、端口、MAC等）

进行关联，找到源头，逐层分析，找出攻击链条，还原攻击路径

优势6 - 支持级联部署 icon

➢ 厂级独立管理：在集团客户中普遍存在多个厂级管理区域，而且每个厂级管理区域有自己特定的安全要求，可以在各个厂级管理区域部署独立的厂级态势平台，在厂级内部完成各类原始数据采集和边缘计算。
➢ 总部集中管理：可以在集团总部部署中心级态势平台，实现统一管理。由集团总部统一展示和审计态势数据、管理事件规则、知识库等;各个厂级系统可以将资产信息、态势统计信息、性能指标和安全事件等上报给集团总部。

客户价值

发现潜在的安全风险

✓ 通过内置的丰富的规则库、漏洞库等知识库，利用大数据挖掘、机器学习、复杂数据关联、大数据检索等技术手段，从海量网络事件中发掘已知的异常。
✓ 通过综合分析研判，预测潜在风险点

安全事件溯源取证

利用大数据存储技术，完整保留了网络运行行为数据，从而实现告警事件到原始行为的完整追溯，发现安全信息源，提升安全防范的能力。

重点安全问题防范

✓ 基于地图、区域、网络拓扑等展现局部和整体安全威胁态势，找出关键风险资产。
✓ 通过全面分析各类安全问题，找出关键的安全风险问题。

生成安全态势报告

✓ 系统可自动生成安全态势日报、周报、月报，便于对安全问题进行跟踪管理。
✓ 支持态势报告导出，便于安全问题报告、存档。

统一安全管理

✓ 通过级联部署，上级管理部门可以实时掌握下级部门的安全态势信息。
✓ 对于在某个局部区域已经识别的安全风险，可以通过上级管理部门下发统一安全策略，防止其他区域发生类似安全问题。

部署场景 - 单机部署方案 icon

● 部署单台安全态势分析系统服务器到到厂级的信息管理区，支持隔离网络（生产区/办公区隔离）。
● 适用于在单厂区进行安全态势监控监控，监控某个厂区的安全态势。
● 根据现场的设备数和网络流量对硬件选型，单机性能指标可达20000EPS（约1500Mpbs流量解析或10000台网络资产的日常日志采集）。

部署场景 - 级联部署方案 icon

● 部署一台中心级态势感知服务器到信息管理中心，多个厂级服务器分别部署在各厂级区域，厂级态势感知把各个厂区的安全态势数据上报给中心级态势感知。
● 通过级联部署的方式分布式采集、解析和存储，可支持任意规模的流量解析和百万级网络资产日志采集。

部署场景 - 集群部署方案 icon

● 使用多台(N>1)*态势感知服务器组成服务器集群，采用工业互联网微服务治理、业务冗余、数据冗余等多种分布式管理方式，可支持单个区域特大数据量分析场景和海量日志存储场景，并且支持增加集群节点的方式对系统整体处理能力、存储能力和容错能力进行任意扩容。
● 其中N=2的时候，只能选择双机热备方案。
● 集群部署方案适用于单个厂区或管理中心的数据量或设备量大于单台态势感知的处理能力的场景。

应用案例 - 汽车行业 icon

应用案例 - 煤炭行业 icon

产品推荐查看更多>>

腾讯天眼云镜主机安全管理平台

天眼云镜主机安全管理平台，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。

快速精准地发现安全威胁和入侵事件

提供灵活高效的问题解决能力

将自适应安全理念真正落地

为用户提供下一代安全检测和响应能力

立即咨询查看详情

科能腾达下一代防火墙

科能腾达下一代防火墙，支持基于接口的MTU调整，支持基于策略的MTU，支持基于策略的MSS，支持路由、透明和混合模式。快速和高效地创建策略，实时查看网络中的流量。

云平台整合

异步模式处理

全面支持IPv6

标准状态检测

立即咨询查看详情

深信服托管检测与响应服务MDR

深信服托管检测与响应服务MDR是一种集成式的安全运营服务。它通过自动化技术结合安全专家的深度分析，为企业提供持续的威胁检测与响应服务。MDR服务包括安全日志收集、异常行为监测、威胁情报分析、入侵检测与响应等关键环节，帮助企业快速识别安全威胁并采取相应措施。MDR还提供7×24小时的安全运营中心支持，确保企业能够实时应对各种安全事件，从而提高安全防护的效率和效果。

7*24H威胁鉴定与通告

安全专家实时通告

深度威胁狩猎

事件极致响应

立即咨询查看详情

数字化社区查看更多>>