平台以合规性为原则,结合工业企业生产网络安全需求现状,运用IT+OT的网络安全防护、检测、预警技术,提供整体网络安全保障;平台功能包括资产监控与管理、安全策略集中管理、安全日志管理、安全事件分析、网络拓扑管理等功能;平台同时提供配套安全操作流程管理制度和信息安全管理制度,建立一套全方位、一体化的安全防御管理平台。
资产管理
资产是攻击者的目标,也是安全防御的核心。资产管理功能用来识别和管理工控网络内本地资产。对资产赋予不同的安全属性,如安全权重、区域、资产管理员信息等,并通过可视化技术将资产用拓扑类型进行展示,拓扑展示支持设备管理和告警定位。通过资产分组、分域来进行安全事件管理、安全数据统计分析,能提高用户的工作效率。
安全事件管理
平台提供了安全事件、安全基线、安全威胁的多层次、不同视角的安全管理视图。安全事件统一归集了用户需要关注的安全日志、关联分析结果、基线违规、外部安全威胁等信息,对用户屏蔽了复杂的、多维度的安全数据。安全事件是触发安全应急的入口,降低用户实施安全治理的难度,提升平台整体有效性。平台内置的安全事件库即支持用户自定义安全事件又支持升级,能很好的覆盖了后续新产生的安全管理需求。
平台打造了从安全规则、基线设置、合规管控、安全事件到应急处置闭环的安全应急管理流程。平台支持的安全规则库功能维护了平台相关安全功能模块需要集中配置的安全策略,支持批量下发到安全设备。平台统一管理的工控安全设备统一设置安全基线,并基于基线检查进行合规性管控。平台提供应急处置流程处理产生的安全事件,提供事件进度展示、信息通报、事件处置建议、相关责任人员通知,具备协同联动能力,新的安全规则会维护进平台安全规则库。同时安全应急管理能通过SDK接口和第三方平台对接,并提供和用户业务流程吻合的定制化开发服务。
威胁情报利用
平台提供威胁情报利用机制,通过采集第三方的威胁情报信息,结合安全规则关联,使安全管理人员及时发现来自外部攻击的威胁。平台可自动创建分析规则,对工控网络中采集的数据进行实时比对, 发现可疑的连接行为。通过和威胁IP地址的关联分析,能有效的提升违规内外联的威胁等级。支持威胁情报通过云端加密升级,也支持本地批量导入升级。
全量日志检索
平台通过分布式数据存储架构,保存了全量原始日志,并维护了原始日志和安全事件的对应关系。通过高效大数据查询引擎实现了对海量原始日志的快速查询,可实现亿级日志秒级检索的性能。
安全指标分析
平台提供丰富的安全报表管理,根据时间、数据定期自动生成报表,直观的为用户提供决策和分析的数据基础。用户可以根据管理制度要求,导出安全数据和报表,也可在平台长期存储。针对系统收集到的海量安全事件,系统借助地址分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助用户从宏观层面把握整体安全态势,平台设计了一套实用化的风险模型,实现了量化的安全风险估算。
安全可视化
平台提供安全可视化大屏,全面展示了当前工控网络安全现状和安全威胁趋势。同时平台内置可视化大屏定制功能,用户能从不同的维度,按需定制不同内容的可视化展示大屏。
平台安全设计
平台用户权限的设置能精确到每一项子功能,提供三种独立的用户鉴别机制,在鉴别失败次数达到预设阈值时对用户进行锁定处理。平台支持分级部署,安全模块到平台和平台内部的传输数据都经过了加密处理,避免中间人截获泄密。平台只提供必要的端口支持外部访问,进行了漏洞扫描、抗攻击等安全处置。
基线检查功能可自动检测服务器上的系统、账号、数据库、弱密码、合规性配置中存在的风险点,并提供加固建议。基线检查默认每天00:00-06:00进行一次全面的自动检测。支持用户自行添加和管理基线扫描策略,自定义需要检查的基线项目、检查周期、检测触发时间和应用该策略的服务器。