天融信工控入侵检测与审计系统TopIDA是一款集工业入侵检测、工业行为审计、僵尸主机检测、威胁情报分析、数据库审计、工业流量审计、工业资产发现等安全能力为一体的安全设备,可有效发现违规外联、异常接入、恶意操作、木马、DDoS、异常流量、恶意程序等基于工业控制系统的攻击威胁,并可实时记录攻击行为,抓取攻击报文信息,为后续攻击溯源提供基础依据,保障工业生产网络安全运行。
系统集入侵检测、行为检测和数据库审计等多项安全检测技术于一身,依照特定的安全策略对工业控制系统运行状况进行实时检测,可有效发现基于网络或数据库层面的入侵攻击、异常流量、非法操作和SQL注入等安全威胁。
系统采用业务行为审计技术,对工业控制系统通讯内容的写操作、写频率、参数范围、变化量范围、变化率范围进行深度分析。解决了针对误操作、基于合法途径的非法操作、操控指令变更、PLC下装等破坏行为的精确识别。
系统采用深度自学习技术,建立流量基线、协议基线和行为基线,并可根据工业控制系统业务需求进行自定义调优。有效检测非法外联、恶意程序和误操作等违规行为,帮助客户实时掌握网络中的运行状态,发现潜在安全威胁。
系统内嵌协议深度解析引擎,针对工控协议数据包完整性、功能码、地址范围、值范围、变化趋势等多个层次深度分析,及时发现异常通讯行为。支持的工控协议包括Modbus、OPC、S7、Profinet、IEC104、DNP3、CIP、MMS等。
系统采用数据库协议识别、特征检测和深度解析技术,针对登录用户、SQL语句、操作类型、操作对象等所有要素配置全方位的告警策略,记录针对数据库的所有操作行为,及时发现潜在威胁因素,快速精准定位安全事件。
系统采用主动无损探测和被动匹配技术,有效识别资产的IP地址、协议、端口、厂家信息、型号、版本等信息,分析资产关系,自动生成资产拓扑,建立起完整的工业资产台账,帮助客户彻底摸清家底。
天融信工控入侵检测与审计系统以旁路方式部署在生产管理层与企业管理层之间,可有效发现基于病毒、蠕虫、木马、DDoS、异常行为、异常流量、恶意程序等攻击威胁,进行实时告警,帮助工业企业客户及时发现安全威胁,保障生产网络安全运行。
可深入分析判断L2~L7层的网络入侵行为,精准发现网络中的攻击威胁,满足客户等级保护、分级保护以及相关行业政策的安全需求,提升工业控制系统安全防护能力。
通过全面持续监测生产控制系统网络安全,建立起符合工业生产现场的安全检测规则,及时发现入侵攻击行为,并通知安全管理人员,降低安全事件造成的经济损失。
通过对网络攻击行为、违规操作行为等安全事件进行详细记录和报文留存,能够在发现问题时,方便用户对工业网络中发生安全事故的整个过程进行还原和追溯。
通过可视化展示技术,可以清晰、直观感知工业控制网络内部流量变化、通讯行为情况,帮助用户整体把控工业网络安全威胁。
针对某海上油气田工业控制系统网络安全问题,根据生产业务特点,建立业务安全审计策略,通过攻击检测规则+业务白名单相结合的方式,预先对攻击活动和攻击性流量进行检测,及时发现和阻止入侵攻击、非法访问、异常指令等安全威胁,保障生产网络安全运行。
针对油气管网面临的安全风险,在油气管边界核心交换机和输站控工控网络交换机部署工控入侵检测与审计系统,建立全流量行为模型,实现外部入侵攻击检测、工业网络异常流量监测、工业网络关键事件监测、工控协议规约检测和网络通信记录审计和回溯等,保障工业网络安全运行。