天地和兴HX-MAP工控安全审计平台

1、产品概述

随着信息管理技术与4C技术的不断交叉融合，越来越多的信息技术应用到了工业领域。管理信息网络与生产控制网络之间实现了数据交换，导致工业控制系统不再是一个封闭的独立运行的系统，它已经与管理系统甚至互联网互联互通。工业控制系统中大量使用了工业以太网和专用通信协议进行工业控制系统的集成。工控系统的智能化信息化大规模使用的pc服务器、pc终端产品、通用操作系统和数据库，使得传统网络上常见的安全问题已经在工业控制网络中出现。

目前工业控制系统受到了越来越多的安全威胁，其中既有来自敌对政府、恐怖分子、商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏，也有由于系统复杂性、人为事故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。电力、能源、交通等国家关键基础所依赖的工业控制系统网络系统的安全是国家经济稳定运行的关键，受到攻击的后果极其严重，因此工业控制网络信息安全问题已经到了必须要大力解决的时候。但由于工业控制系统对时实性和稳定性的高要求使得传统安全产品往往无法应用于工业控制系统网络中。因此开发一款适用于工控网络安全的产品尤为重要。

北京天地和兴是较早接触工控安全研究的安全厂商，凭借着多年来在安全产品研发积累的技术经验以及专业的精英团队，自主研发并推出了针对工业控制系统网络安全设计的全新硬、软件架构的监控审计系统HX-MAP。HX-MAP是天地和兴专门针对工业控制网设计的网络安全监控审计系统。通过从关键节点拷贝镜像数据，对工业控制系统中的工控语言进行专项解读，形成了特有的工控网络监控审计机制，实现了对各工业控制网络系统的安全基线审核和安全事件预警。HX-MAP监控审计系统是一种实时监测控制系统行为状态的一种被动式扫描引擎。它能自动发现工控网络中的资产，结合资产的业务数据流向，构建基于工控网络的态势基线，实现了面向网络环境的信息安全风险监控，审计目标包括资产、协议、资产行为。内置高效的工控协议深度分析引擎，工控协议分析引擎实现了协议指令级别的检测，处理工控协议精度高、资源消耗小，满足了工控网络对网络系统资源匮乏的要求。实时分析网络中的一切行为，过滤不合规的非法的行为。针对工控网络应用环境，HX-MAP监控审计系统采用旁路的部署方式，实现了对工控网络带宽“零”的影响。

2、产品功能

行为审计。工控行为审计以策略的方式对用户的网络行为进行审计记录；

安全审计。对远程用户登录、网络运行日志、操作系统日志、数据库访问日志、重要业务、系统日志、安全设备运行日志集中收集、统一关联分析；

异常流量检测告警。建立工控系统通信行为基线模型，对偏离基线异常操作行为进行告警上报；

网络攻击检测告警。识别并检测工控协议攻击、病毒木马攻击、TCP/IP等网络攻击；

关键事件检测告警。对操作系统关键位置变更、数据库重要操作、组态并更、操控指令变、PLC程序下装等关键事件告警；

审计策略设置。可以针对时间段、IP地址范围、端口、协议、数据流向、文件传输、下装行为等设置各种策略，达到行为控制的目的。

审计数据保存，仅记录用户行为的情况下最少90天，可以处理和分析超过1亿条事件记录

掌握网络资产，被动式扫描网络，一键触发，提供工控设备、工控协议以及业务流程的详细信息，帮助完整的掌握工控网络环境；

资产数据流向建模。记录用户访问系统的时间、内容、源目的IP地址、源MAC地址、源目的端口、机器名称、使用者信息，并且支持对数据流的行为进行分类；

告警方式多样。E-mail邮件告警、控制台通知告警；

资产策略设置。通过指定端口限制对应的网络行为；

协议策略设置。可根据需要通过分类协议库设置过滤策略；

文件传输控制策略设置。可对文件传输进行各种策略配置，包括：只能/禁止从指定的FTP服务器上传/下载文件；限制可传输的文件的大小；是否记录上传文件内容；禁止上传或下载超大文件；远程登录控制是否记录远程登录的行为；只能/禁止远程登录到指定服务器；设置远程登录还原的关键字。

审计对象管理。工控行为审计可以对审计对象建立逻辑的分组，通过对一组审计对象设置一组策略实现不同审计对象的行为控制；

系统日志记录。用户对本软件系统的操作都记录日志并进行持久化存储，便于追踪、审核；

数据备份。提供多种数据备份方式，可以备份全部数据，也可以只备份某一类数据；

3、主要功能

支持丰富的工控协议分析（60种）

软硬件皆为自主工业级设计

一体化运行模式保证了数据安全，降低了维护成本

系统采取旁路部署的模式，端口使用无IP技术，避免受到外部攻击

权限管理（本系统采用基于角色的用户访问控制机制。所有对本系统的访问都需要用户账号和口令；不同的用户具有不同的系统使用权限）

系统自由配置（包括基本配置、日志存储策略配置、报表设置、工作时间设置、等等）

支持多种网络环境（包括：环网、星型网、网状、树状、星型、环形、总线型等）

可应用于大中小各类型企业（他们的业务系统需要跨越不同的局域网段来部署）

整网可视化管理，方便运维

4、产品概述

1.安全可靠的数据加密技术

我公司采用的数据加密技术是将一个信息经过加密钥匙及加密函数转换，变成密文，而接收方则将此密文经过解密函数、解密钥匙还原成数据。该技术只有在指定的用户或网络下，才能解除密码而获得原来的数据。

2.高效的数据鉴别技术

为实现对数据完整性的鉴别，设备应能够为网络系统的主机或服务器提供加密服务，为应用系统提供安全性强的数字签名和自动密钥分发功能，支持多种单向散列函数和校验码算法。

3.严密的身份认证技术

用户的身份信息都是用一组特定的数据来表示的，身份认证技术是对操作者身份的确定。识别用户的 数字身份，所有对用户的授权也是针对用户数字身份的授权。身份认证技术就是防护入侵的第一道关口，进而保证以数字身份进行操作的操作者就是这个数字身份合法拥有者。

4.高可靠的密匙管理技术

基于双端保密来实现的，采取通用对称密钥管理技术，在保证数据传输的同时，增加数据的安全。

5.详尽的日志记录

详尽的日志、告警记录，有利于快速追溯到事件内容时间等关键事件，便于快速查找事故原因。

6.接入方式灵活简单

支持串口＋GPRS(CDMA)的方式接入，同时也支持网络＋网络的方式接入，简单方便快捷。

5、应用部署

部署在生产控制大区主控DCS核心交换机及辅控网络核心交换机的镜像出口，实时对生产控制网络的网络运行日志等进行集中收集、自动分析