威努特工控安全监测与审计系统

　　１.１产品概述

　　目前国内工业控制系统相对封闭的环境，使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。因此，对生产网络的访问行为、特定控制协议内容的真实性、完整性进行监控、管理与审计是非常必要的。

　　威努特工控安全审计平台，是专门针对工业控制网络的信息安全审计系统。 它采用旁路部署，对工业生产过程“零风险”，基于对工业控制协议（如Modbus TCP、 OPC、DNP3、IEC 60870-5-104等）的通信报文进行深度解析（DPI，Deep Packet Inspection），能够实时检测针对工业协议的网络攻击、用户误操作、用户违规 操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记 录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的 安全事故调查提供坚实的基础。

　　威努特工控安全审计平台，广泛应用于电力、石油、石化、轨道交通、烟草、 钢铁及先进制造等各个行业。

　　１.2产品架构

　　威努特工控安全审计平台包括两个组件： 工控网络审计探针（简称“审计探针”）：为一个嵌入式硬件设备，旁路部署在工控网络中，通过交换机镜像获取工控网络流量，进行初步处理后上报给安全审计管理平台。

　　安全审计管理平台：为一个硬件服务器，负责接收各个工控网络审计探针上 报的数据，进行统一地分析检测，并将结果展现给管理员。

　　威努特工控安全审计平台采用分布式部署、集中管理，多台工控网络审计探 针分布式部署在各个工业交换机的旁边，由安全审计管理平台进行统一的管理。

如下图：

图表 1 工控安全审计平台部署架构

　　威努特工控安全审计平台的逻辑架构划分为数据采集层、分析检测层、可视 化/告警层。

　　数据采集层：负责原始报文的采集、协议解析（包括TCP/IP协议栈的解析及 工业控制协议的深度解析）、初步攻击检测及信息汇聚与统计。

　　分析检测层：综合来自数据采集层的报文解析结果、初步检测结果及汇总统 计信息，进行工控网络通信行为建模，并进行TCP/IP异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测等各类安全检测，并支持基于用户自定义规则的检测。

　　可视化/告警层：接收来自分析检测层的数据及检测结果，一方面进行告警的 展现，另一方面对数据进行持久化并进行多维度的统计分析和展现。

　　１.3产品优势

　　１.3.1工控协议指令级检测与审计

　　威努特工控安全审计平台搭载了威努特自研的深度数据包解析引擎，可对工 控协议做指令级检测与审计，为解决针对工控网络的安全问题提供了技术基础保 障，其全面支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对 性的捕获与深度解析。对不同行业的工业控制系统，可以采取相应针对性的数据 包探测机制和解析策略。在遵循工业控制系统可用性与完整性的基础上，能够检

　　测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。

　　深度数据包解析引擎支持涵盖OPC Classic、Modbus TCP、IEC 60870-5-104、DNP3、S7等在内的各大主流工控网络协议。

　　１.3.2支持私有工控协议的扩展接口

　　工业控制系统的特点之一，是存在大量的私有工控协议，如果不能够支持这 些私有的工控协议，会大大影响工控安全审计产品的检测与审计能力。威努特工 控安全审计平台提供SDK，开放的平台接口可以方便客户自行扩展支持私有工控协 议，以及做定制化的二次开发。

　　１.3.3高性能的深度解析及检测能力

　　威努特工控安全审计平台具备先进的硬件架构，采用专门适用于网络处理的 MIPS多核CPU，而不是通用的x86架构CPU，为高性能的工控协议深度解析与检测提 供了坚实的基础保障。高性能的软件架构及高性能多模式匹配算法，进一步保证 了工控协议深度解析与检测的性能。

　　１.3.4专为工控环境设计的工业级硬件

　　工控网络审计探针设备，严格按照工业级硬件的要求进行设计，能够满足各 种工业现场的环境要求。具体包括：

　无风扇全封闭设计，防护等级：IP40；

　9-36V DC，电源采用1+1冗余供电；

　硬件产品达到工业三级B以上指标；

　工作环境可满足温度：-40～70℃，湿度：5%～95% 无凝结；

　转发平面与控制平面分离设计；

　多种灵活的安装方式，包括导轨安装、机柜安装等。

　１.3.5针对工控行业用户习惯设计的使用体验

　　威努特工控安全审计平台以提高工业控制网络的日常安全管理、信息统计数 据的易读性和可操作性为设计核心，降低操作复杂度，避免误操作。系统充分利 用人工智能技术，大幅度简化分析、管理、控制流程，并提供简单易学的用户界 面，方便管理人员日常操作管理。安全审计管理平台支持实时可视化呈现工控网 络链路的连通性和服务状态，提供多类历史监控数据对比分析，系统日志、配置 日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。

　　１.4主要功能

　　工控网络异常检测

　　工控网络攻击检测

　工控关键事件检测

　工控网络连接视图

　告警事件统计

　网络连接统计

　网络通信记录回溯

　　客户价值

　　２.1及时发现网络攻击，减少系统停车时间

　　威努特工控安全审计平台能够实时检测出针对工业协议的网络攻击、用户误 操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报 警，帮助客户及时采取应对措施，减少系统停车时间。

　　２.2为安全事故的调查，提供详实的数据支持

威努特工控安全审计平台能够详实记录一切网络通信行为，包括指令级的工 业控制协议通信记录，并且提供了简便易用的回溯功能，为工业控制系统的安全 事故调查提供了坚实的基础和手段，改变以往工业控制系统出了安全事故无法取 证、调查无从下手的被动局面。

　　２.3通过网络通信可视化，提高工控网络运维效率

威努特工控安全审计平台通过将工控网络的通信行为可视化，并提供友好的 用户界面，人性化的统计报表，极大的提高了企业工控网络管理的效率，使企业 工控网络管理简单易行，从而降低工控网络的运维成本