【工控安全产品】工控网络审计与监测系统

简介

工控监控与审计系统，是通过对流量进行分析，专门针对工业控制网络的信息安全审计系统。它采用旁路部署，对工业生产过程“零风险”，基于对工业控制协议（如IEC104、S7、DNP3、Modbus TCP、OPC等）的通信报文进行深度解析（DPI，Deep Packet Inspection），能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

部署

比较优秀的工控监测与审计系统会提供两种部署方式：

1. 旁路部署：

在工业现场或机柜间把DIN导轨式或者机架式的工控监测与审计系统安装上电，通过交换机的流量镜像功能，引一根网线进入监测审计系统即可。

2. 串入部署：

当现场交换机不支持流量镜像功能时，把一路网线串入监测审计系统的数据采集输入口，再拉一根网线作为该路网线的输出，连入原有工业交换机中。此时监测审计系统只能针对该路网线的数据流做监测审计功能。注意此操作会造成部署时断网一段时间。

功能

主要功能如下：

监测功能：

白名单报警（非法协议、IP、端口等）

关键操作（如对工程师站组态变更、操控指令变更、PLC下装、负载变更等）

无流量报警（可以探测某个用户关心的网络连接由于某种原因没有流量的情况并发出告警）

用户自定义报警（用户自定义告警是流经监测审计系统的报文符合用户配置的规则产生的）

异常流量报警（流入流出流量的上下限）

审计功能：

监测报警所有事件的时间、IP、端口详细数据

系统操作日志

网络连接图功能：

实时展示当前网络的连接状态，通过两个IP之间绿、红色线条展示通信状态

统计分析功能：

流量报文、端口、IP、实时流速等按时间统计

告警事件按时间统计

吐个槽

特点

部分工控协议的解析均为类似指令级,对于工业现场来说，意义较大，可以脱离于系统原有厂商的监控系统，作为第三方监控，对事后追溯提供有力证据；

策略模板很丰富，协议白名单、关键事件、无流量监测等等。

缺点

市面上较多工控监测与审计产品必须通过使用安全厂商的管理平台才能做管理，给小用户增加了采购成本；

目前支持的工控协议有限，一个真实的工控项目中很难对其中的流量做到完全的审计分析，这也是工控行业的顽疾了，厂商众多，私有协议众多。监测审计真要做到可靠好用，任重道远。