网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【齐安科技】工控行业流量分析、工业审计场景下的企业流量在线监测系统应用

2020-07-06 17:51 推荐: 浏览: 59 字号:

摘要: 浙江齐安信息科技有限公司(简称齐安科技)成立于2018年,致力于工业互联网安全监测与防护的深入开拓与创新研究,为用户提供工控场景评估、监测、管控、预警、通报综合解决方案和安全服务,帮助用户切实把握工业互联网安全。 齐安科技拥有数十项自主知识产权和发明专利,基于...

浙江齐安信息科技有限公司(简称齐安科技)成立于2018年,致力于工业互联网安全监测与防护的深入开拓与创新研究,为用户提供工控场景评估、监测、管控、预警、通报综合解决方案和安全服务,帮助用户切实把握工业互联网安全。

齐安科技拥有数十项自主知识产权和发明专利,基于对资产识别、深度学习、海量数据分析、工业场景建模、漏洞无损探测、未知漏洞挖掘等技术的持续投入,形成了独特的基于工业数据的数据采集、安全监测、安全通信传输和安全态势分析。

齐安科技 “六维一体”的综合安全理念,以态势感知平台为整体,通过准入控制、合规检查、实时监控、安全防护、威胁感知、漏洞管理六大维度进行综合管控,有效提升工业互联网安全综合能力。以平台类、终端类、工具类三大类10余个产品自上而下构建“云管端”模式,提供评估、监测、管控、预警、通报的综合解决方案和安全服务。

以下为齐安科技企业流量在线监测系统应用的案例分享。

(一) 行业简介

某省电子信息产品检验所是直属某省经济和信息厅具有独立法人资格的社会公益类准公益型事业单位,专业从事信息安全测评、信息技术领域标准化管理、电子信息产品质量检验、监督检验等工作。

信息安全测评中心专业从事网络安全等级保护测评、工控系统和工业互联网安全风险评估、网络安全产品检测、网络安全培训、网络安全的监测预警、应急处置、应急技术支援等工作,协助党政机关和关键信息基础设施运营单位提升应急处置能力。

 

(二) 项目介绍

以习近平总书记关于加强网络安全工作系列重要讲话精神为指引,依据《网络安全法》等法律法规明确的网络空间态势感知、通报预警及关键信息基础设施保护要求,按照工信部“一网一库三平台”的行动计划为方针,以平台建设为重点,以保障体系建设为支撑,着力构建省级工业互联网安全监测与态势感知平台,提供我省工业互联网信息安全的态势感知服务、及时把握全省工业互联网的安全动态,更好地提升主管部门对工业互联网的全方位信息安全管控能力、信息安全应急调度和指挥的支撑能力,为重点工业企业提供安全监测分析和安全预警等服务。

重点工业企业安全监测平台作为省级工业互联网安全监测与态势感知平台的重要组成部分,对某省内重要工业企业工控网络关键节点的网络流量采集,并基于工控协议深度解析,完成工控系统做指令级审计和工控特定通信接口和危害性报文进行监控,识别工控流量异常、工控数据包异常等异常行为,根据预置的工控特征库,识别针对工业控制系统的入侵行为,实现实时安全监测与告警,进行安全威胁主动识别和综合分析展示。

(三) 实现方案

  1. 方案设计图

  1. 总方针

以实时数据流量分析,工业审计为主,预防安全事件为辅

  1. 具体策略

设备端:

部署在重点工业生产网络关键节点处通过交换机镜像网络流量,针对企业工控网络中协议流量、设备流量和安全事件进行监测,对监测数据进行分析、预警、全面记录,便于对安全事件进行追溯,可以对数据进行留存,4G单向加密上报安全事件、统计信息。

平台端:

平台端部署在某省监管机构,设备端加密上传的安全事件、统计信息,通过平台统一进行可视化和深度分,帮助企业实现对生产网络关键节点的全面安全监测,解决企业生产网络遇到的网络监控和安全等难题。

  1. 齐安产品与先进技术
  2. 灵活的部署方式

设备端采用旁路接入的部署方式,对工控网络无影响。充分保障部署设备端的工业企业的网络不受外部干扰,保障工业控制系统的可用性与完整性。

  1. 多重安全机制保障

数据加密单向上传:设备端设备内置4G模块,支持基于运营商的LTE物联网数据定向传送功能,将安全事件数据加密和脱敏后,单向传送至平台端,保证数据传送通道的安全。

安全接入模式:设备端采用旁路接入的连接模式,针对系统的镜像端口进行流量监测,对工控网络无影响。

  1. 设备端支持多重检测机制

1)支持对已知攻击行为的检测和防护,内置了庞大可升级的工控威胁库;

2)支持自学习工控协议规则和行为,建立安全检测模型;

3)可通过白名单防护阻止一切不明的威胁。

  1. 工控协议支持

支持多种主流工控协议的识别与检测,系统的协议识别技术实现了广泛的协议解析。多维度的工控协议识别技术包含多个特征维度。

  1. 工控协议自定义接口

重点工业企业安全监测平台提供了开放的协议接口,可以对未知协议和私有协议进行自定义。系统提供私有协议开发接口,方便用户扩展支持私有协议和定制化开发。

  1. 工业级硬件设计

1)防护等级IP40,满足工控网络应用环境要求;

2)通过多项国际安全认证、可靠性和稳定性满足要求;

3)通过工业级宽温测试,工作温度、湿度满足工业现场要求;

4)低功耗、无风扇、全封闭设计。

(四) 用户价值

助力省级态势感知平台建设

通过建设重点工业企业安全监测平台,掌握重点工业企业运行状况和安全风险,依据数据可驱动今后制定对应的有效决策,有针对性地研判预警,降低省内工业企业工控网络安全事件发生的概率,指导企业安全规划与建设,从而逐渐提升本省工业企业整体安全水平

保障企业安全提升效益

通过部署设备对企业生产网络进行实时监测,设置自定义或白名单策略,能及时发现网络中异常行为,对发现潜在的未知威胁提供了有效的技术手段,实时的告警和响应能及时告知用户工控系统中存在的安全风险。减少安全事故带来的损失,提升企业效益。

(五) 结束语

工业控制系统已经成为国家关键基础设施的重要组成部分,工业安全显得格外重要。

联系站长租广告位!

中国首席信息安全官