工业信息安全预警中心由四个相互关联的产品组成,分别是主机安全卫士软件、工控安全管理平台、工控网络安全监测审计系统、工控安全超级管理平台。
该产品支持分布式部署结构,完整部署方案从上而下分为三级部署,具体如下:
(1)主机安全卫士软件,支持Windows Server 2003和Windows XP以上Windows操作系统,支持Linux操作系统,如CentOS、银河麒麟、中标麒麟、凝思、Suse、Redhat、Solaris等。主要功能为白名单防护、病毒查杀、补丁管理、网络白名单防护、安全基线管理、强访问控制、USB防护等主机端防护功能。
(2)工控网络安全监测审计系统,支持最多同时接入20000台设备,不仅包括网络安全层面的异常监测,还融入了不同行业的关键业务行为告警,结合特定的安全策略与行为基线,可快速识别网络中的异常、攻击行为,并实时告警;
(3)工控安全管理平台,支持最多500终端接入,主要可以对主机安全卫士、工控网络安全监测审计系统等工控安全设备或系统进行统一集中管理,自动采集工控安全设备的日志。
(4)工控安全超级管理平台,支持管理不少于100个工控安全管理平台,主要实现多个工控安全管理平台分层级统一管理。具备多装置互联、大屏展示、事件分析告警、分布式部署等功能特性,可满足多装置场景下工控安全设备集中管理、集中审计、威胁分析的要求。
产品优势:
(1)支持分布式部署,可根据实际情况灵活调整部署结构,进行设备的增减,最上层的超级管理平台可实现各安全管理平台详细信息展示,并可实现对具体安全管理平台管理的设备进行管理配置;
(2)支持群体免疫,管理的网络环境中任何一个客户端的病毒信息更新等情况在经过安全管理平台分析处理后将发布至网络中所有客户端,实现所有客户端对该风险行为的免疫;
(3)支持操作系统安全补丁集中管理,不再需要设置独立的"升级服务器",降低综合成本;
(4)支持工业控制系统"安全基线"(安全配置)集中管理 ;
(5)支持主机环境检查,可对安装了主机安全卫士产品的计算机进行系统补丁、病毒库、白名单库、软件等相关信息的检测与对比,并提示给用户;
(6)可与控制系统产品对接,根据不同部署结构将报警信息推送至工控安全管理平台或工控安全超级管理平台进行统一展示,便于现场对于报警等关键信息的实时发现、管理、处理;
(7)支持行为检测:识别工控行为与通信行为并进行记录,同时对基线之外的异常行为进行告警;
(8)支持基于工控协议解析,工控网络安全监测系统可实现对工业控制位号操作事件进行识别和告警;
(9)支持资产行为基线,分析记录网络中行为,基于工控协议解析和工控通信特征库,系统可以实现对组态变更、异常操控指令、DCS/PLC 程序下载等关键事件进行识别和告警。
工控安全管理平台:
工控网络安全监测审计系统:
工控安全超级管理平台:
