2024工业网络安全态势感知平台

工业网络安全态势感知平台—1——1—目次前言 2范围 4规性引文件 4定和术语 4平系统构 4平系统能 5产兼容性 9测要求 9——PAGE4—工业网络安全态势感知平台范围及其他要求等内容。本标准适用于本公司自主研发的工业网络安全态势平台。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T18336.1-20241介和一般模型》GB/T18336.2-20242全功能组件》GB/T18336.3-20243全保障组件》定义和术语数据采集：收集工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备的日志信息和配置信息。数据分析：采用全流量分析技术，实现数据关联分析。平台系统架构系统采用软硬件一体化设计，易于使用和部署。以分析系统采集分析组件为webClient/Server平台分析系统架构，如下图所示：控制台与探针服务器采用C/S（Client/Server）技术架构，探针实时响应通过控制台连接到探针服务器，进行远程实时分析和回溯分析。平台系统功能全流量高性能实时采集规格，全面适应和覆盖各种网络环境及数据接入场景。多类型探针及数据源兼容支持多类型、多形态探针设备支持多种数据源采集方式，如：PFring、DPDK、Socket，解决因行业特殊性和网络复杂性的适配兼容问题。全面的工控流量识别分析支持多种工控协议的精准识别，基于相关协议对数据包进行深度解码分析，为发现异常、定位根源提供保障。链路流量基线分析运行。基于元数据的工控规则工控规则是基于某种工控协议提取的元数据和负载内容进行二次规则匹配，提供更灵活的能基于某种协议字段的规则配置方式，更准确、更有效的帮助用户发现网络中的安全威胁提升数据的价值减少冗余数据的干扰。工控资产管理表添加、网段策略梳理等，实现厂站工控资产的统一管理并定时同步至中心。流量解密提供旁路HTTPSHTTPS流量可视采用全新的图表控件，直观的展现网络流量运行趋势。趋势图是以时间为单和TCP（TCPTCP数据包大小分布以及警报和阻断。元数据日志解析录行为类日志，文件传输类日志。除了标准协议的元数据解析，还提供市场独有的Web元数据自定义和单包级别元数据自定义提取能力，支持自定义和动态扩展元数据字段，能够根据用户多元化、私人化的需求场景，自定义进行元数据的提取、以供分析和二次利用。文件还原系统支持HTTP、FTP、SMB、SMTP/POP3以及IMAP4协议传输文件/邮件的还原，并可生成相应的元数据日志进行日志回溯分析或共享输出至第三方系统。威胁检测DFIDPI网络行为建模提供的多种可定义的元数据来支撑用户的行为定义，其中有重要的TCP/IP（源目IPIPIPTCP头部关键字段等多种HTTPDNS进行实时检测或用于历史数据回查分析。威胁调查系统利用存储的数据，能够再现历史攻击过程，对攻击过程进行精细重现。当发现网络中出现突发流量或异常流量时，及时回溯分析该时段的流量，能够及时掌握网络异常的原因，避免攻击行为进一步横向扩散。回溯分析IPIPTCPUDP回查分析系统提供特征回查、统计回查、日志回查、行为回查等多种线索追查方式。数据取证要求，同时支持快速检测和下载。产品兼容性浏览器兼容性谷歌浏览器兼容Chrome78.0.3904.70火狐浏览器兼容Firefox79.0屏幕分辨率兼容性14英寸笔记本兼容1366*768分辨率21.5英寸台式显示器兼容1920*1080分辨率操作系统兼容性Windows7系统兼容Windows7ServicePack1Windows10系统兼容Windows10教育版