北京神州綠盟信息安全科技股份有限公司(以下簡稱綠盟科技),成立于2000年4月,總部位于北京。在國內外設有40多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。
基于多年的安全攻防研究,綠盟科技在檢測防御類、安全評估類、安全平臺類、遠程安全運維服務、安全SaaS服務等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及安全運營等專業安全服務。
網址:www.nsfocus.com.cn
電話:010-68438880
地址:北京市海淀區北洼路4號益泰大廈3層
綠盟工業網絡安全監測預警平臺INSPV.10
產品概述
(1)此平臺是對工業網絡中資產的日志和網絡攻擊流量數據進行采集和分析、計算,通過數據聚合、去重、標準化、建模、索引和關聯,通過數據可視化的方式將分析和計算結果進行展示,建立和完善工業網絡安全態勢全面監控、安全威脅實時預警、安全事故緊急響應的能力,利用情報和智能分析成果,實現企業發布早期預警信息,評估工業企業內部可能受影響的設備或資產,避免核心業務系統遭受的攻擊和預防潛在的安全隱患的專用軟件安全產品;
(2)平臺從工業控制系統安全的角度,對工控系統的各類IT和OT設備數據進行采集,包括業務設備日志采集、安全設備事件收集、網絡流量數據采集、安全設備配置采集等功能。平臺對采集得到的結果進行統一分析與展示,發現工控網絡內部的異常行為,如新增資產、時間異常、新增關系、負載變更、異常訪問等行為,實現對工控現場安全事件的預警與響應;
(3)平臺可以對工業網絡中各類上位機服務器、工控終端、網絡交換設備、工控安全設備進行集中化的性能狀態監控、安全事件的集中展示、安全風險的評估、工控分區分域的健康等級,以及依賴于工控知識庫的安全響應與處置。
性能特點
(1)支持SYSLOG、SNMP Trap、FTP、SFTP、JDBC、ODBC、Net flow等多種日志采集方式;
(2)支持但不限于網絡設備,如上位機、工業安全網關、工控安全審計、主機安全衛士、交換機、路由器、入侵檢測等,并進行日志關聯和量化分析;
(3)平臺使用Spark技術,在并發內存內處理機制方面能夠帶來數倍于其它采用磁盤訪問方式的解決方案,借助離線計算引擎在小時級別內,即可完成對PB數量級的數據挖掘。可以為大規模、超大規模網絡提供高性能的日志采集,存儲和審計功能。例如:安全事件之間的相關性,安全事件之間的影響程度,安全事件之間的規律性等并以報表形式進行輸出;
(4)目前,INSP設備管理功能模塊支持工業安全網關、工控安全審計系統、工控漏洞掃描系統等設備接入。統一監控綠盟工控安全設備,對設備網絡配置、路由配置、DNS配置、系統服務、升級策略和配置備份等進行配置,實現設備配置基線管理;
(5)綠盟工業網絡安全監測預警平臺支持多源異構數據接入,并支持包括Syslog協議等8種數據協議類型數據采集能力,具備包含深度流檢測探針在內的多種安全采集工具,為平臺的上層分析研判業務提供有力的支撐。
技術參數
(1)事件(日志、網絡流)統一管理,提供安全事件的監控, 分析, 處置和風險評估的統一平臺。基于大數據框架,通過主/被動結合的獲取手段,實時地采集用戶工業網絡中各種不同廠商的工控安全設備、工業網絡設備、工業上位機、操作系統、以及各種應用系統產生的日志信息,并將這些信息匯集到中心平臺,進行集中化的存儲、備份、查詢、審計、告警、和分析,并出具相應的日志報告,實現日志的全生命周期管理;
(2)利用事件理解模型實現多元數據關聯分析,基于攻擊模型實現事件的正反向推理,結合威脅情報模型實現威脅驗證和預警,最終借助風險評估模型為工業網絡安全防護決策提供有力支撐。站在威脅視角,以網絡入侵切入點,做到知己知彼。站在脆弱性視角,以工業系統漏洞和系統安全態勢為切入點,做到知己,提供全方位的工業網絡態勢感知能力;
(3)根據綠盟科技對攻防研究的長期積累,提供一套簡潔有效的日志統一分類,使用獨有的技術將日志快速標準化,并基于安全分析需要進行數據的過濾和強化,丟棄無法用的噪音信息,提升日志查詢和分析效率;
(4)平臺中預制關聯分析引擎,預制引擎構成分析平臺的核心功能并且對專項分析提供基礎能力,如風險分析、脆弱性分析、態勢分析、資產分析、攻擊分析等;
(5)分析引擎采用分布式設計能夠進行橫向擴展,面臨工業網絡數據量時能夠實現按需擴展,將分析引擎分散到其他更多的機器中,實現按需進行計算資源擴展;
(6)采用全新大數據框架,將上層業務模塊插件化處理,使業務模塊與平臺功能進行一對一設計,業務模塊的改善和增加就不會造成其他模塊或平臺功能的調整,也就是將業務模塊抽象并與平臺功能實現分離,從而提高研發效率,降低企業維護成本。
摘自《工業控制系統信息安全產品及服務指南(2018版)》
