态势感知与预警平台
以资产为中心的工业态势感知与预警

态势感知与预警平台是网藤科技推出的一款服务于工业企业的工业互联网安全平台型产品,平台通过部署在工业互联网中的各种工业安全设备来采集多维数据,以工业资产为中心,以建立工业互联网安全基线为基础,以数据可视化为手段集中展示工业互联网中存在的资产信息、网络威胁、业务异常、资产脆弱性等工业互联网安全现状并据此提供针对性的运营建议,同时该平台具备工业安全设备集中监管能力,进一步实现场景化分析与自动化响应。

产品特色 CHARACTERISTIC
01 工业互联网安全“底线思维”
结合工业场景下的业务需求特点以及未来工业互联网的发展趋势,通过全面采集工业现场的设备数据、主机数据、网络数据构建工业互联网安全大数据,对上述大数据采用机器学习等大数据分析技术进行分析形成工业互联网安全基线,基线包括资产状态基线、资产行为基线、网络连接基线。基于基线去分析识别现场的安全隐患、安全事件、异常行为等。
02 综合安全态势
基于本平台可以采集多种工业网络安全设备的异构数据,包括设备状态数据、工业网络安全业务数据。实现对工业网络设备进行集中管理、集中监测、集中运维、集中分析、集中展示。同时平台支持数据的南北向开放,采集数据的同时也支持发送相关日志数据到第三方平台,提升平台的业务拓展性。平台通过优秀的可视化技术、深刻的业务可视化理解力以及全面的可视化内容,清晰直观的展现工业企业工业互联网安全态势。
03 IT/OT一体化、工业安全能力专业化
国内专业的工控安全实验室,有多种工业细分场景及工艺模型。持续升级的工业DPI,针对工业协议进行识别、解析,基本覆盖各个领域工厂应用场景需求,通过采集工控协议的控制参数,能准确的构建不同工控生产业务模型,制定工控安全方案。集成几百种自主挖掘的工控攻击知识库,覆盖当前主流攻击方式,有效的提高了安全事件的预警识别能力。本平台除了OT专业能力外,同时全面集成了网藤科技专业的IT能力,集成了IT资产识别能力。
04 工业安全业务定制化
支持针对不同的工业场景特点和需求,结合客户业务对平台进行定制化开发,现已为多个行业客户提供定制化平台与服务,覆盖石油化工、水利、智能制造、医疗、烟草、电力、轨道交通、汽车生产、公共安全等领域,相关案例被工信部评为优秀案例。
产品功能 FUNCTION

综合安全态势

工业互联网安全态势感知模块,提供各种角度的态势可视化分析,帮助客户快速了解安全状况并进行决策。现阶段系统有八大态势,包括综合安全态势、网络资产态势、资产漏洞态势、工业威胁态势、异常行为态势、工业主机安全态势、安全管理态势、关键资产安全态势。同时提供可配置化的告警响应弹框。


工业安全设备数据采集

工业安全设备数据采集是指系统对区域内工业安全设备上报的数据进行接收、清洗、分类、存储,归并、标记上报源等操作,为后续的资产分析、威胁分析、异常分析等工作服务,在满足合规的同时,提升工业安全运营中的质量。


工业安全设备集中管理

工业安全设备集中管理是系统对区域内工业安全设备进行管理的统一入口,集中管理的内容一般包括:策略管理、系统管理、规则管理等。


设备集中监控

设备集中监控可以实现对设备的统一监控,设备类型包括网络设备、安全设备、主机设备、服务器等等,监控内容除了常见的CPU、内存、磁盘空间、连接数、流量、接口状态、在线状态、IP地址。支持对双湃的工业威胁探测器ITD进行上述监控。同时,系统提供定制化开发服务,在与第三方合作的前提下,可实现对更多的工业安全设备进行多维度的监控。


工业安全数据上报

工业安全数据上报是指系统将区域内工业安全数据根据用户设定规则进行上报。上报数据内容包括:资产信息、漏洞信息、威胁信息、异常信息。上报规则包括:上报地址、上报时间、上报频率、上报内容范围等。


资产管理

资产管理实现对所在区域内所有资产的统一查看与管理,包括资产基本信息、资产标签信息、资产所在分组信息、资产漏洞信息、资产服务(开放端口)信息、资产威胁信息、资产流量信息、资产连接关系、资产基线等多维度查看与管理。建立起以工业资产为核心的工业互联网安全管理与分析平台。


威胁分析与管理

威胁事件管理包括威胁事件分析与处置。威胁事件主要包括当前区域已经发生的安全事件,包括病毒、网络入侵、网络攻击、工业主机事件等。威胁事件处置主要是指运维管理人员通过邮件、短信方式告知相关负责人其负责的区域出现了威胁事件并督促其整改。威胁告警列表基于各种设备获取的威胁信息进行加工分析所得,对所有的威胁告警信息进行集中分析。威胁详情包括受害者、攻击者、威胁名称、威胁分类、威胁级别、威胁来源、威胁次数等,同时可以对相同告警进行归并处理。


安全隐患分析与管理

安全隐患管理主要是基于资产的漏洞和资产暴露的端口(即对外提供服务)两部分。

资产漏洞主要通过资产漏洞知识库进行匹配,获取对应资产的漏洞信息,该资产漏洞知识库可以通过定期升级方式进行更新,支持4000多个工控漏洞,覆盖CVE、CNVD、CNNVD、ICS-CERT等漏洞库。对于资产信息进行更新的同时,对应的资产漏洞也会相应变化。


异常行为分析

异常行为分析是针对工业安全典型场景采用的大数据行为建模分析方法,包括异常资产分析、异常网络行为分析、异常工艺行为分析等。


风险管理

风险管理主要通过风险指数和风险等级反应当前网络的安全风险状态,包括单个资产的风险、资产分组的风险、全网的风险等等。本系统参照GB/T 20984-2007信息安全风险评估规范,并结合工业场景特点,设计出了一套针对性的风险计算模型,能有效实现风险评估的量化。


日志集中管理

日志集中管理支持对工业网络中工业安全设备、工业主机设备等产生的日志进行统一采集、存储、分析。核心数据存储采用全文检索方式,自适应任何格式的数据来源。数据归一化方式,支持通过自定义的可视化编辑方式,简化用户流程,降低使用难度。