安恒工控安全監(jiān)測審計平臺主要用于監(jiān)視并記錄工控網(wǎng)絡(luò)內(nèi)各類操作行為及返回信息，并可以根據(jù)設(shè)置的規(guī)則，智能的判斷出各種風險行為，并對違規(guī)行為進行告警（SYSLOG）等。有效地彌補現(xiàn)有工控網(wǎng)絡(luò)安全審計上的不足，為工業(yè)控制系統(tǒng)的安全運行提供了有力保障。
1.概述
    工控審計與監(jiān)測平臺是一款專門針對工業(yè)控制系統(tǒng)的審計和威脅監(jiān)測平臺。該平臺能夠識別多種工業(yè)控制協(xié)議，例如S7，Modbus/TCP，Profinet，Ethernet/IP、IEC104，DNP3、OPC等。平臺采用審計監(jiān)測終端配合統(tǒng)一監(jiān)管平臺的部署管理方式進行統(tǒng)一管理。審計監(jiān)測終端采用旁路部署的方式接入生產(chǎn)控制層中的核心交換機，實時監(jiān)測生產(chǎn)過程中產(chǎn)生的所有流量，完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運行。審計監(jiān)測終端嚴格按照工業(yè)級硬件的要求進行設(shè)計，能夠滿足各種工業(yè)現(xiàn)場的環(huán)境要求，可廣泛應用于各類網(wǎng)絡(luò)應用環(huán)境。
   工控審計與監(jiān)測平臺提供多種防御策略，幫助用戶構(gòu)建適用的專屬工業(yè)控制網(wǎng)絡(luò)安全防御體系。通過對協(xié)議的深度解析，識別網(wǎng)絡(luò)中所有通信行為并詳實記錄。檢測針對工業(yè)控制協(xié)議的網(wǎng)絡(luò)攻擊、工控協(xié)議畸形報文、用戶異常操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警。平臺提供直觀清晰的網(wǎng)絡(luò)拓撲圖，顯示工控系統(tǒng)中的設(shè)備間連接關(guān)系。平臺能夠建立工控系統(tǒng)正常運行情況下的基線模型，對于出現(xiàn)的偏差行為進行檢測并集成網(wǎng)絡(luò)告警信息，使用戶在了解網(wǎng)絡(luò)拓撲的同時獲知網(wǎng)絡(luò)告警分布，從而幫助用戶實時掌握工業(yè)控制系統(tǒng)的運行情況       此外，工控審計與監(jiān)測平臺支持對工業(yè)控制系統(tǒng)中的通訊記錄進行回溯，根據(jù)時間、IP地址、功能碼等條件進行查詢，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。
   產(chǎn)品外觀圖

安恒工業(yè)防火墻是一款針對工控網(wǎng)絡(luò)進行邊界防護的專用防火墻產(chǎn)品，用于保護工業(yè)控制網(wǎng)絡(luò)免受各類來自辦公網(wǎng)或內(nèi)部其它區(qū)域的攻擊威脅。
1.概述
   安恒工業(yè)防火墻產(chǎn)品通過深度解析OPC、Modbus、S7、Ethemet/IP(CIP)等數(shù)十種工控協(xié)議，建立工業(yè)網(wǎng)絡(luò)通信“電子柵欄”，阻止任何來自安全區(qū)域外的非授權(quán)訪問，有效抑制病毒、木馬在工控網(wǎng)絡(luò)中的傳播和擴散，防護針對SCADA、PLC、DCS等重要控制系統(tǒng)的各類已知、未知的惡意攻擊和破壞行為。
   產(chǎn)品基于深度定制Linux平臺，具有高性能、低延時、工業(yè)級可靠性等特點，滿足工業(yè)網(wǎng)絡(luò)物理環(huán)境適應性 要求和工控系統(tǒng)傳輸實時性的要求。目前在電力、石油、化工、市政、軌交、煙草等多個行業(yè)的工業(yè)網(wǎng)絡(luò)現(xiàn)場進行了廣泛應用和部署。
2.產(chǎn)品功能
（1）白名單管理
   工業(yè)防火墻的一個重要創(chuàng)新，就是引入白名單形式的安全策略控制。由于工控網(wǎng)絡(luò)通信固定化的特征，確定了使用白名單技術(shù)進行安全控制，是解決工業(yè)網(wǎng)絡(luò)安全的一個重要且有效的方式。運用“通信白名單”機制，支持直通、測試、管控三種模式分別對應產(chǎn)品的部署、試運行和正式運行，滿足工控網(wǎng)絡(luò)對設(shè)備的高可靠要求。
（2）安全策略規(guī)則
  工業(yè)防火墻作為防火墻類的產(chǎn)品，內(nèi)置的防火墻管理功能是其基礎(chǔ)功能之一，工業(yè)防火墻采用狀態(tài)檢測防火墻的機制實現(xiàn)相應的訪問控制功能。
  狀態(tài)檢測防火墻采用了狀態(tài)檢測包過濾技術(shù)，是傳統(tǒng)包過濾上的功能擴展。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層有一個檢查引擎，截獲數(shù)據(jù)包并抽取出與應用層狀態(tài)有關(guān)的信息，并以此為依據(jù)判斷該連接接受或拒絕。
（3）工控協(xié)議深度解析
  支持對OPC、Modbus、S7、Ethernet/IP(CIP)等數(shù)十種工控協(xié)議報文進行深度解析。
（4）攻擊防護
  支持對工控指網(wǎng)絡(luò)Dos/DDos安全防護、異常數(shù)據(jù)包攻擊防護、掃描防護等。
（5）安全域管理
  支持將相同安全屬性的物理網(wǎng)口劃分到安全域中，通過安全域應用，實現(xiàn)了對相同安全需求的接口進行分類（劃分到不同的域），實現(xiàn)了策略的分層管理。更易于對策略進行維護。
（6）日志管理
 日志管理將發(fā)生的安全事件、包過濾的動作、產(chǎn)生的日志等信息 實時發(fā)送到管理中心。通過管理中心對日志進行關(guān)聯(lián)分析，使安全管理員第一時間發(fā)現(xiàn)網(wǎng)絡(luò)異常，了解什么時候有什么人試圖違背安全策 略規(guī)則、白名單、或者進行網(wǎng)絡(luò)攻擊。
3.產(chǎn)品特點
（1）實時精準的工控協(xié)議指令級控制
   安恒工業(yè)防火墻搭載安恒自主研發(fā)的深度數(shù)據(jù)包解析引擎，對工控協(xié)議做到實時和精準的識別，支持各大主流工控協(xié)議，并且能夠?qū)た貐f(xié)議數(shù)據(jù)包進行快速有針對性的捕獲與深度解析。對不同行業(yè)的工控系統(tǒng)，采取有針對性的數(shù)據(jù)包探測機制和策略解析。在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ)上，能夠檢測出數(shù)據(jù)包的有效內(nèi)容特征、負載和可用匹配信息，如惡意軟件、具體數(shù)據(jù)和應用程序類型。解析引擎執(zhí)行時能夠滿足工業(yè)控制系統(tǒng)在生產(chǎn)和制造過程中的通信效率保障和冗余機制等要求。
   深度數(shù)據(jù)包解析引擎支持涵蓋OPC、Modbus、IEC 60870-5-104、Siemens S7、Ethernet/IP (CIP)等十數(shù)種主 流工控協(xié)議，對OPC等工控協(xié)議做到指令級控制，對Modbus TCP協(xié)議做到值域控制。
（2）低時延滿足實時性要求
   安恒工業(yè)防火墻采用高性能多核處理器，滿足工業(yè)現(xiàn)場低延時、高吞吐的數(shù)據(jù)處理要求。其中深度數(shù)據(jù)包解析引擎在實現(xiàn)穩(wěn)定可靠的數(shù)據(jù)包深度解析的同時，既保證了工控系統(tǒng)的實時性要求也滿足了工控系統(tǒng)對工控協(xié)議的安全要求。
   工業(yè)防火墻結(jié)合軟硬件加速能力，在開啟深度報文檢測（DPI)的情況下實現(xiàn)策略條目滿配情況下時延小于60us。（3）高可靠的軟硬件一體化架構(gòu)
   安恒工業(yè)防火墻集成硬件加密引擎，為監(jiān)控層系統(tǒng)和控制層 系統(tǒng)數(shù)據(jù)加密傳輸提供了高安全性的保證。通過對電路設(shè)計、結(jié)構(gòu) 設(shè)計、系統(tǒng)冗余、時延、可靠性、環(huán)境要求等方面嚴格要求，保證工業(yè)防火墻的可靠性。其中：
    ■ 支持硬/軟件故障自動無縫旁路（Bypass)功能：一旦設(shè)備故障，設(shè)備自動旁路，保證正常業(yè)務(wù)流量的不中斷；
    ■ 業(yè)務(wù)端口與管理端口分離設(shè)計；
   ■ 多種靈活的安裝方式，包括導軌安裝、機柜安裝等。
（4）化繁為簡的用戶體驗
   工業(yè)防火墻以提高工業(yè)控制網(wǎng)絡(luò)的日常安全管理、信息統(tǒng)計數(shù)據(jù)的易讀性和可操作性為設(shè)計核心，降低操作復雜度，避免誤操作。系統(tǒng)充分利用人工智能技術(shù)，大幅度簡化分析、管理、控制流程，提供筒單易學的用戶界面，方便管理人員日常操作。管理系統(tǒng)支持實時可視化，呈現(xiàn)工控網(wǎng)絡(luò)鏈路的連通性和服務(wù)狀態(tài)。提供多類歷史數(shù)據(jù)對比分析，系統(tǒng)日志、配置日志、流量日志、攻擊日志、訪問日志等類型日志的查詢與備份。