奇安信网神工业安全监测系统

硬件规格 "ISD2500导轨式，全封闭无风扇，支持双电源，默认为5个千兆电口, 1USB, 8G内存，64G硬盘，1.5G网络（三层）吞吐量 ISD2600导轨式，全封闭无风扇，支持双电源，默认为5个千兆电口, 1USB, 8G内存，64G硬盘，2G网络（三层）吞吐量 ISD3000 1U机架式，有风扇，单电源，默认为6个千兆电口, 支持扩展卡1个，共最大支持10接口，2USB, 8G内存,1T硬盘，3G网络（三层）吞吐量 ISD3100 1U机架式，有风扇，双电源，默认为6个千兆电口, 支持扩展卡1个，共最大支持14接口，2USB, 8G内存,1T硬盘，3G网络（三层）吞吐量 ISD3300 1U机架式，无风扇，双电源，默认为6个千兆电口, 支持扩展卡1个，共最大支持14接口，2USB, 8G内存,1T硬盘，3G网络（三层）吞吐量 ISD3700 1U机架式，无风扇，双电源，默认为6个千兆电口, 支持扩展卡2个，共最大支持22接口，2USB, 16G内存,1T硬盘，8G网络（三层）吞吐量 ISD5000 2U机架式，有风扇，单电源，默认为6个千兆电口, 支持扩展卡2个，共最大支持22接口，2USB, 16G内存,1T硬盘，12G网络（三层）吞吐量 （受控型号） ISD5200 2U机架式，有风扇，双电源，默认为6个千兆电口, 支持扩展卡2个，共最大支持22接口，2USB, 16G内存,1T硬盘，12G网络（三层）吞吐量 ISD5300 1U机架式，无风扇，双电源，默认为6个千兆电口, 支持扩展卡2个，共最大支持22接口，2USB, 16G内存,1T硬盘，18G网络（三层）吞吐量 （受控型号）" 资产识别 "支持被动监听方式自动识别工控资产，支持的厂商包括Siemens、Schneider、Rockwell、GE、ABB、OMRON、MITSUBISHI、Beckhoff、HoneyWell、OPTO22、HollySys等 支持资产主动识别，主动识别可对资产的资产名称、开放端口、操作系统、MAC地址进行探测。 支持对流量识别资产配置信息的设置。设置内容包括：识别模式、最大识别资产数、资产活跃阈值、IP地址范围。（提供截图） 支持资产风险阈值告警、MAC地址变更告警设置。" 资产风险 "支持资产风险指数与风险等级（危急、高危、中危、低危）分析显示（提供截图） 支持根据资产的重要性、漏洞、威胁、失陷、异常行为等几个维度对资产的风险进行评估，并能通过列表显示和导出" 资产通信视图 "支持基于流量自动生成资产的通信连接关系 支持基于时间段、源地址段、目的地址段等条件查询，显示资产实际通信连接关系，并能显示有威胁的连接（提供截图） 支持以可视化的方式展示，并支持放大、缩小" 行为基线的生成 "支持工艺行为基线的自动生成，包括学习模式、告警模式、学习模式，学习模式可以自定义开始到结束的学习时间 学习模式结束后可以自动切换到报警模式" 工艺实时监控 "支持对客户业务工艺流程相关的变量点表的监控， 可自定义监控点表的地址，设备名称，监控数值合法范围。（提供截图） 支持自定义基于工业场景的工艺点表实时可视化监测功能。（提供截图）" 网络行为基线监测 "支持基于网络基线的流量行为告警，包括源IP、目的IP、源端口、目的端口、应用等信息 。 支持对以下类型的网络行为进行告警： 横向连接告警、非法内部资产告警、非法外部接入告警、非法外联告警、异常流量告警、异常连接告警、风险内部端口告警、账号异常行为告警、远程访问告警。（提供截图）" 威胁情报 "支持威胁情报匹配，识别内网失陷主机、展示IOC详情（提供截图） 支持人工处置自定义威胁情报" 仪表盘 支持网络的总体风险实时显示，包含风险指数、风险等级、资产活跃度、失陷资产、资产漏洞、威胁告警、异常行为等（提供截图） 支持IPv6 系统支持IPv6（提供截图）

1资产管理 资产管理功能可以通过自动化的方式快速完成工业资产的识别。 ISD采用旁路部署的无损漏洞扫描的方式，不影响工业生产。 资产识别方式：被动+主动资产识别方式 资产识别标签：资产名称、开放端口、操作系统、MAC地址、厂商名称、固件版本。 OT资产识别能力：支持主流的1800多种控制器型号，厂商包括Siemens、Schneider、Rockwell、GE、ABB、OMRON、MITSUBISHI、HollySys等。 资产识别完成后，可一键生成资产基线，以资产基线作为资产台账管理的基础数据，可对资产的运营状态进行监控：包括资产风险情况、资产变更告警、资产运行状态变化提示、资产MAC地址变更告警。 2风险识别 工业资产风险/漏洞识别 ISD提供量化的风险指标，可视化风险预判与告警。基于系统提供的资产发现、漏洞识别、威胁检测、行为分析等能力，利用构建风险分析模型，对全局或单个资产的风险进行评估，量化风险值和风险等级，同时支持关联、回溯存在风险的因素。支持针对全局或者单个资产风险的查看、关联分析等 支持对工控资产进行无损脆弱性匹配，自动识别出资产所对应的漏洞、开放端口等信息。支持4000多个工控设备漏洞识别， 覆盖CVE、CNVD、CNNVD、补天、ICS-CERT等几大漏洞库。 ISD支持漏洞无损识别，被动的漏洞识别，在工业场景下，特别是运行环境下的生产网来说，是最优最安全的脆弱性识别手段。 工业协议合规性检查 工业网络中存在各种通信协议，不合规范的报文协议可能产生潜在的工艺风险，ISD支持监测报文格式及语义是否符合协议标准规范： OPC,MODBUS,S7,CIP,IEC104,DNP3。 3网络威胁检测 AV反病毒功能可对工业网络流量中的病毒进行查杀，AV引擎支持对IT协议中传输的文本、附件内容进行解析提取。对提取后的数据进行病毒扫描，支持的协议包括HTTP、FTP、SMTP、POP3、IMAP、SMB等。 威胁情报功能可实时检测工控系统网络中的威胁行为，威胁情报支持失陷主机识别以及人工处置。 工业安全入侵检测功能可对工业网络的各种入侵行为进行实时监测及告警，支持缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击等。 工业安全监测审计同支持对时传统网络的攻击监测，包括网络层Flood攻击、网络层恶意扫描、网络层异常包攻击监测、ICMP异常包监测、应用层Flood攻击监测等。 4工艺行为审计 ISD可通过自学习模式快速创建基于工控设备业务模型的行为基线，对关键生产工艺的业务模型与操作行为进行全面管理，包括对关键事件操作（上载、下载程序、读、写存储区……）进行审计，具有对工艺操作行为指令级审计能力，可审计指令对象的详细操作内容。 支持的协议包括：OPC、S7、Modbus、CIP、IEC104、DNP3、OMRON、RSSP-ENIP、OPC-UA 、MMS、SV、BACNET、Profinet(PTCP)、Profinet(MRP)、Profinet(DCP)、GOOSE等 ISD同时具备对持对工艺工业流程相关的变量点表的监控实时能力， 可自定义监控点表的地址，设备名称，监控数值合法范围，支持自定义基于工业场景的可视化点表监测功能。 打通了业务数据和安全数据，实现业务数据与安全数据的融合。 5网络协议审计 在工控网络中，违规IT应用时有发生。ISD可识别工控系统内的违规IT应用，例如网页、视频、远程登录等应用。可对常见IT协议进行行为审计，包括HTTP、SMTP、POP3、IMAP、FTP、Telnet等，IT协议应用识别能力3000+。 6异常行为监测 在工控网络中，外部资产非法接入、越界连接、异常访问行为时有发生。 ISD支持对多种工艺异常行为与网络异常行为的监测与告警： 横向连接告警、非法内部资产告警、非法外部接入告警、非法外联告警、流量异常告警、并发数异常告警、风险内部端口告警、账号异常行为告警、远程访问告警。 7工业仪表盘 工业安全监测与审计需要全面的管理视角与实时的风险预警。 ISD工业仪表盘提供量化的风险指标，可视化风险预判与告警。基于系统提供的资产发现、漏洞识别、威胁检测、行为分析等能力，利用构建风险分析模型，对全局或单个资产的风险进行评估，量化风险值和风险等级，同时支持关联、回溯存在风险的因素。 支持针对全局或者单个资产风险的查看、关联分析等

目前市场上的监测审计类产品无法满足当前工控系统安全监测要求。传统的信息安全监测类产品主要针对传统IT安全，对工控场景支持不足，如无法识别工控协议、无法识别工业资产、法识别工业漏洞，更无法对工控流量进行深度解析，从而无法检测出工控威胁流量和行为。而专业的工控监测审计类产品必须适应工控场景特点，满足工业资产自动识别、工业漏洞无损发现、工业威胁深度检测、工业行为深度解析等需求，同时随着IT和OT网络的融合，工控监测审计产品也同时需具有IT监测审计的能力。 恐惧源于未知，看见才能安全。只有看见、看清、看透、看全工控系统中的威胁和隐患，才是保障工业安全的基础和前提。