产品亮点

基于DPI的工控协议深度解析

识别100多种工业协议，提供30多种工业协议的深度报文解析，有效识别协议动态端口，提供报文格式检查，完整性检查，指令检查等功能，支持OPC、Modbus TCP、S7等30余种主流工控协议支持超过1000种的功能码识别。

细粒度协议值域检测与审计

通过工控协议的深度解析能力，结合“白名单+智能学习”机制，对各类工控协议数据包进行快速捕获和值域级解析。利用智能算法学习建立工控通信基线，对网络中工控协议通信行为与基线进行对比分析，不符合工控通信基线的异常指令操作、新设备（IP地址）、异常连接行为、异常通信地址/端口等将触发告警。

黑白名单结合的综合防护能力

工控安全监测与审计系统的DPI引擎能够深度解析30多种工业协议，IDS规则库具备工控类和非工控类规则共3000多条。依托于强大的工业协议深度解析引擎和IDS规则库，首先建立适配工业现场业务的白名单，在业务流量通过白名单基线检测后，黑名单规则库可针对关键事件进一步对流量进行检查，黑白名单结合，进一步保障现场业务安全。

业务工艺异常检测

针对逻辑性、时序性强的业务流程，工业协议深度解析引擎能够配置通讯周期和工艺序列，如果报文提前或超时到来、到来时序不符合预期，监测审计平台能够立即发出告警。同时业务工艺异常检测模块也能够对源地址和目的地址、协议字段、报文长度、包长度进行检测，全方位监测业务是否正常运行。

全方位的服务监测

工控安全监测与审计系统能够对正常通信行为进行建模，形成通信行为基线，对于基线外的通信行为、设备无流量、网络攻击、异常扫描、工控关键事件、服务中断以及断链重练等事件，具备全方位的监测告警能力。

工业环境硬件设计

硬件平台设计遵循工业标准，采用高性能工业级ARM处理器，无风扇设计，关键部件冗余设计，硬件平台达到工业三级B以上指标，能够满足工业环境下宽温、防尘、防潮和高可靠性要求，支持导轨安装、壁挂式、机柜安装等多种安装方式。

支持私有工控协议开发定制

产品内置工业协议解码引擎，提供软件SDK开发工具包，可基于协议语言描述规范自行定义私有协议，支持私有工控协议定制化二次开发。

物理层纯单向硬件设计

“只听不说”对控制网络“真零影响”的工控安全监测与审计系统，该设备从硬件设计上着手，通过更改逻辑链路层设计，做到流量收发单向，从硬件上杜绝报文回注的可能性。

硬件级安全策略写保护

工业现场生产业务确定后，工控安全监测与审计系统安全防护策略也一并确定，和生产业务共频，通过硬件锁设计，物理上保证安全防护策略无法被非授权更改。

产品功能

工业协议深度解析

▪ 支持OPC、Modbus、IEC 60870-5-104、IEC 61850 MMS、Siemens S7、Ethernet/IP（CIP）、DNP3、Profinet、Fins等30多种工控协议解析

▪ 支持1000多种协议功能码识别

▪ 支持OPC DA，HAD，A&E等操作，包括支持OPC的动态端口、OPC只读等

▪ 支持Modbus TCP协议语法检查及连接跟踪、协议白名单，点表等

▪ 支持ModBus、OPC、S7协议值域控制

▪ 支持Siemens S7协议读写操作、版本号、寄存器区、DB区区号、点类型、值范围、传输层协议控制等

▪ 支持Ethernet/IP(CIP)协议语法检查，支持Ethernet/IP(CIP)协议本身自定义的参数配置，支持CIP数据表、PCCC控制

▪ 支持对Profinet协议传输功能码及操作对象进行控制

▪ 支持IEC104协议白名单、传输原因长度、公共地址长度、信息体地址长度等的配置

▪ 支持DNP3协议白名单，包括版本号、源地址、目的地址、功能码、对象组号、变体号、传输层协议

正常通信行为建模

▪ 支持管理员对建立的工控通信模型白名单进行人工调校

▪ 支持对当前通信行为与白名单进行对比，对偏离白名单的行为进行告警

异常流量监测

▪ 监测设备的流入流出流量并设置基线值，超出基线值进行报警

▪ 监测并采集系统内正常的网络通信，并可手动调校相关通信连接基线，对偏离基线的行为进行检测告警

事件分析统计

▪ 提供网络流量及报文数量的实时、历史分时、历史分天（可自定义范围）等的统计情况

▪ 支持对各类告警事件进行多维度的统计

▪ 支持管理分析，将零散日志进行事件聚合，最终将所有日志按照类别进行集中展示

串口白名单

▪ 支持Modbus RTU协议的深度解析

▪ 值域级细粒度的监测审计能力

安全管理

▪ 通过IP认证、IP＋MAC绑定的可信主机才能访问目前设备系统

▪ 支持强制口令强度

▪ 支持分权分级管理

▪ 支持报表功能，用户通过报表可查看事件、日志和审计的统计数据，支持直方图等形式

▪ 支持安全设备的策略配置和下发，自动升级

▪ 支持设备集中管理

工艺异常检测

▪ 结合现场具体业务，配置基于指令周期和时序逻辑的白名单

▪ 针对逻辑性强的场景，保障关键业务的安全

攻击防范

▪ 支持畸形报文检测

▪ 支持异常流量检测

▪ 支持异常扫描的检测

事件告警

▪ 支持对工控协议报文不符合其规约规定的格式进行检测并告警

▪ 支持对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警

▪ 支持对告警事件一键加入白名单

▪ 支持关键服务中断检测，在设定的时间内，单IP 某服务的接收报文为零时进行告警

▪ 支持允许管理员自定义工控协议通信告警规则，对符合告警规则的通信行为进行告警

威胁检测

▪ 支持入侵检测(IDS)，黑名单规则库具备工控类和非工控类共3000+条规则，最大可扩展至10000条

流量镜像转发

▪ 支持两个固定镜像转出端口

▪ 镜像入口与镜像转出口映射支持一对一、多对一、一对多和多对多的灵活配置

协议通信记录

▪ 支持对所有网络会话信息的记录，并可通过规则设置进行调整记录信息

▪ 记录主流工控协议的通信日志

▪ 对非工控协议能够记录网络连接信息

▪ 支持HTTP、FTP、Telnet的深度解析

硬件级安全策略写保护

▪ 硬件级，非系统或应用层面控制

▪ 专用钥匙控制，避免人为误操作

▪ 支持写保护模式下，设备状态、日志、告警等信息的上报

物理层纯单向流量审计

▪ 物理层纯单向传输，非系统或应用层面控制

▪ 最大支持12个物理层纯单向接口

▪ 支持光口或者电口纯单向灵活选择

硬件规格

应用场景

过程监控层异常通讯行为检测

▪  以旁路方式部署在过程监控层或生产执行层

▪  基于智能学习模式，自动建立通信模型基线，对不符合通信模型基线的通信行为进行告警

▪  监测过程监控层设备的流入流出流量，并设置基线值，超出基线值将产生告警

▪  对工控系统工程师站组态变更、操控指令变更、PLC下装、所有写操作、负载变更等关键事件进行实时监控

现场控制层异常操作指令检测

▪  以旁路方式部署在现场控制层

▪  监测现场控制层设备流量，当设备出现端口、软件、网络、协议故障导致无流量时，产生告警信息

▪  基于工控协议通信记录，智能学习通信关系、功能码和参数，对正常通信行为建模，实现违规行为监测审计

▪  详细记录网络中的连接信息，包括开始时间、结束时间、源MAC、目的MAC、报文数（上行、下行）、字节数（上行、下行）、端口号、功能码等