北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。在国内外设有40多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在检测防御类、安全评估类、安全平台类、远程安全运维服务、安全SaaS服务等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及安全运营等专业安全服务。
网址:www.nsfocus.com.cn
电话:010-68438880
地址:北京市海淀区北洼路4号益泰大厦3层
绿盟工业网络安全监测预警平台INSPV.10
产品概述
(1)此平台是对工业网络中资产的日志和网络攻击流量数据进行采集和分析、计算,通过数据聚合、去重、标准化、建模、索引和关联,通过数据可视化的方式将分析和计算结果进行展示,建立和完善工业网络安全态势全面监控、安全威胁实时预警、安全事故紧急响应的能力,利用情报和智能分析成果,实现企业发布早期预警信息,评估工业企业内部可能受影响的设备或资产,避免核心业务系统遭受的攻击和预防潜在的安全隐患的专用软件安全产品;
(2)平台从工业控制系统安全的角度,对工控系统的各类IT和OT设备数据进行采集,包括业务设备日志采集、安全设备事件收集、网络流量数据采集、安全设备配置采集等功能。平台对采集得到的结果进行统一分析与展示,发现工控网络内部的异常行为,如新增资产、时间异常、新增关系、负载变更、异常访问等行为,实现对工控现场安全事件的预警与响应;
(3)平台可以对工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备进行集中化的性能状态监控、安全事件的集中展示、安全风险的评估、工控分区分域的健康等级,以及依赖于工控知识库的安全响应与处置。
性能特点
(1)支持SYSLOG、SNMP Trap、FTP、SFTP、JDBC、ODBC、Net flow等多种日志采集方式;
(2)支持但不限于网络设备,如上位机、工业安全网关、工控安全审计、主机安全卫士、交换机、路由器、入侵检测等,并进行日志关联和量化分析;
(3)平台使用Spark技术,在并发内存内处理机制方面能够带来数倍于其它采用磁盘访问方式的解决方案,借助离线计算引擎在小时级别内,即可完成对PB数量级的数据挖掘。可以为大规模、超大规模网络提供高性能的日志采集,存储和审计功能。例如:安全事件之间的相关性,安全事件之间的影响程度,安全事件之间的规律性等并以报表形式进行输出;
(4)目前,INSP设备管理功能模块支持工业安全网关、工控安全审计系统、工控漏洞扫描系统等设备接入。统一监控绿盟工控安全设备,对设备网络配置、路由配置、DNS配置、系统服务、升级策略和配置备份等进行配置,实现设备配置基线管理;
(5)绿盟工业网络安全监测预警平台支持多源异构数据接入,并支持包括Syslog协议等8种数据协议类型数据采集能力,具备包含深度流检测探针在内的多种安全采集工具,为平台的上层分析研判业务提供有力的支撑。
技术参数
(1)事件(日志、网络流)统一管理,提供安全事件的监控, 分析, 处置和风险评估的统一平台。基于大数据框架,通过主/被动结合的获取手段,实时地采集用户工业网络中各种不同厂商的工控安全设备、工业网络设备、工业上位机、操作系统、以及各种应用系统产生的日志信息,并将这些信息汇集到中心平台,进行集中化的存储、备份、查询、审计、告警、和分析,并出具相应的日志报告,实现日志的全生命周期管理;
(2)利用事件理解模型实现多元数据关联分析,基于攻击模型实现事件的正反向推理,结合威胁情报模型实现威胁验证和预警,最终借助风险评估模型为工业网络安全防护决策提供有力支撑。站在威胁视角,以网络入侵切入点,做到知己知彼。站在脆弱性视角,以工业系统漏洞和系统安全态势为切入点,做到知己,提供全方位的工业网络态势感知能力;
(3)根据绿盟科技对攻防研究的长期积累,提供一套简洁有效的日志统一分类,使用独有的技术将日志快速标准化,并基于安全分析需要进行数据的过滤和强化,丢弃无法用的噪音信息,提升日志查询和分析效率;
(4)平台中预制关联分析引擎,预制引擎构成分析平台的核心功能并且对专项分析提供基础能力,如风险分析、脆弱性分析、态势分析、资产分析、攻击分析等;
(5)分析引擎采用分布式设计能够进行横向扩展,面临工业网络数据量时能够实现按需扩展,将分析引擎分散到其他更多的机器中,实现按需进行计算资源扩展;
(6)采用全新大数据框架,将上层业务模块插件化处理,使业务模块与平台功能进行一对一设计,业务模块的改善和增加就不会造成其他模块或平台功能的调整,也就是将业务模块抽象并与平台功能实现分离,从而提高研发效率,降低企业维护成本。
摘自《工业控制系统信息安全产品及服务指南(2018版)》
