明鉴®工业控制系统安全检查工具箱

明鉴®工业控制系统信息安全检查工具箱(以下简称:工控工具箱或工具箱)是公安机关网安部门针对工业控制系统(以下简称:工控系统)信息安全检查工作的一体化专用便携式监察装备,具有规范检查、工具调用、结果展示等功能。
返回列表
1.产品概述
1.1.产品概述

明鉴®工业控制系统信息安全检查工具箱(以下简称:工控工具箱或工具箱)是公安机关网安部门针对工业控制系统(以下简称:工控系统)信息安全检查工作的一体化专用便携式监察装备,具有规范检查、工具调用、结果展示等功能,集成定制有专门的安全检查工具,为公安机关网络安全执法检查提供专业的针对工控系统的检查知识和检查方法,并实现对获取数据的关联分析、统计比对、处理流转等功能,提高网络安全执法检查的常态化、标准化和规范化水平。

杭州安恒信息技术有限公司深入分析与研究工控领域的常见安全漏洞以及流行的攻击技术基础上,通过安恒安全团队攻防研究和风险评估项目经验并结合工控系统信息安全检查的相关标准总结归纳大量的安全漏洞信息和攻击方式后,研制开发的一款针对网络中的各类工业控制设备、网络通信设备、安全防护设备、工作站、服务器等及相应的物理管理安全的检查工具集,并在此基础上,能对工控系统的数据流量进行分析,利用设备信息库、漏洞库、异常行为签名库,评估各类设备以及整体网络的安全风险,及时发现相关安全问题的设备。检查内容支持自定义筛选导出填写后导入。实现工控系统全过程的监督管理。并预留了与公安部重要信息系统基础数据库的接口。

工控工具箱将成为各省、市(县)两级公安网安针对工业控制系统监察管理工作的必要装备。依托工控工具箱,可以动态掌握工业控制系统安全保护状况,为公安机关监督、检查、指导工控系统信息安全检查工作提供重要支撑,进一步提高工控行业信息安全监察水平,为保障工控行业信息系统安全取得良好社会效益。

1.2.产品功能概要

工控工具箱将专用工控系统漏洞检测工具、工控系统流量分析设备的检查结果通过主程序“检查知识库”的智能关联分析、并结合管理要求访谈检查内容,自动生成客观的工控系统信息安全检查报告,使工控系统运营和使用单位从技术和管理角度清晰地掌握当前的信息安全状况及问题,为工控系统后续的信息安全整改募定基础,也是将来信息安全建设的最佳依据。详见图2-2:工控工具箱功能流程概要图。


图2-2工控工具箱功能流程概要图


 图2-3 工控工具箱界面图

2.产品介绍

2.1.产品功能结构



工控工具箱由任务管理、检查执行、报表中心、工具管理、知识库、系统设置六大部分组成。其中检查执行由问卷填报、工具检查、流量获取组成;工具管理由流量分析工具、漏洞检测工具组成。

2.1.1.任务管理模块

任务管理模块为工控系统检查任务的管理模块,提供任务的增、删、改等操作,操作内容包括项目名称、工控系统等级、单位信息、联系人信息等内容。

2.1.2.检查执行模块

检查执行模块为工控检查任务的执行管理模块,包括问卷填报、工具检查、流量获取三种检查途径。

问卷填报是以权威检查知识库为依托,对单位进行全方位合规检查的检查手段。通过问卷填报可获知单位安全合规情况,洞悉其安全薄弱环节。结合给出的整改建议,能够有效达到指导单位进行安全合规建设的目的。

工具检查深入分析工控系统的组成及其特性,为每种设备类型设定了合理的工具检查方式。可以在用专用工具检查完毕后,将检查结果在工具检查中进行汇总。对目标单位的工控设备进行较全面的技术分析直击威胁所在,为有针对性的对设备进行整改提供有力的数据支持。

流量获取为根据设定的方式包括流量大小、时间来对目标环境下的流量进行获取。可将获得的流量包通过工具箱中的流量分析工具进行分析,也可以将流量包交由第三方进行解析。

2.1.3.报表中心模块

报表中心为对目标单位所进行检查的汇总总结模块,已收集的单位信息、工控设备信息、单位问卷填写情况、工具检查情况等都会在报表中心中进行汇集。通过后台智能分析,统计管理层面、技术层面以及设备上的风险所在。并能够依据权威知识库给出专业的整改建议。为工控系统安全建设提供方向与途径。

2.1.4.工具管理模块

工具管理模块为对工控检查专用检查工具的管理模块。管理对象包括流量分析工具、漏洞检测工具。

2.1.5.知识库模块

专家知识库为工控系统安全检查提供相关资料信息,为检查过程提供辅助问题定位的作用。包括工控设备厂商信息、工控漏洞库、工控网络环境中的异常行为等。可在此根据目标设备的信息及系统版本,查询相应的漏洞介绍、修补建议等内容。

2.1.6.系统设置

系统管理用于为工控工具箱管理系统提供运行维护的支撑,包括配置管理,用户管理,日志管理等功能。

2.2.检查工具

2.2.1.工控系统威胁感知平台

工控系统威胁感知平台能通过旁路镜像流量分析、流量数据包解析等方式,分析出异常行为流量、非正常访问流量,分析结果包括时间日期、规则(即异常行为的特征表述)、源地址、目标地址、源端口、目标端口、协议类型等。支持通过指定方式进行流量采集,通过时长或数据总量来限制获取的数据包总量,当获取数据包的时长达到设置时长或设置的数据总量时停止获取数据流量,工具箱可根据需要删除获取的流量数据包,支持PROFINET、S7、Modbus、IEC104、Crimson等工控系统协议。

平台能对关键网络链路提供持续的图形化流量监控功能,能够对流量数据进行长期的统计分析,支持按照不同的协议类型、不同的流量类型(包括广播流量、多播流量、单播流量)、OSI模型分布(包括链路层、网络层、传输层、会话层、表示层、应用层)进行工控数据流量统计,支持数据包分布统计[按照数据包大小分段进行数据包大小分布统计],诊断数据统计[对TCP会话的相关诊断数据,包括TCP连接被拒绝、TCP重复的连接尝试、TCP重传数据包、TCP重复确认等]、异常数据统计[实时将流量分析结果与异常行为签名库进行比对分析发现工控网络高危操作、异常数据以及病毒等风险,并对工控网络中的风险及数量进行统计]及IP流量统计[进行IP流量信息统计,统计的信息至少应包括接收数据包数量、接收流量字节数、发送数据包数量、发送流量字节数等]。支持导出包含全部IP流量信息的统计报告,在用户界面上支持显示流量中TOP 10的IP地址流量信息,等,能主动分析网络和应用运行规律、网络行为规律,以及运行的趋势,并在数据包大小分布统计、诊断数据统计、异常数据统计的基础上综合给出流量分析评分,并生成流量威胁分析报告。

2.2.2.漏洞检测工具

支持对网络连接设备进行探测,例如交换机、路由器、网关、入侵防御系统、入侵检测系统、网闸和加密认证设备等设备的信息收集,获取信息至少包括类型、厂商、型号等,支持获取网络连接设备与其他区域的连接信息。

支持对用户信息设备进行探测,例如工程师站、操作员站、网络打印机、WEB服务器、OPC服务器、数据库服务器和安全防护服务器等信息的获取,支持获取用户信息设备的操作系统和已安装的防护软件信息。

支持对工控的PROFINET、S7、Modbus、IEC104、DNP3、Ethernet/IP、BACnet、Fox、Crimson V3、FINS、PCWorx、ProConOs、ELSEC-Q等协议进行识别。

采用低风险轻量级漏洞指纹探测方法,准确获取目标漏洞信息,漏洞库里的漏洞涵盖CVE、CNVD、CNVVD发布的相关工控网络的漏洞,涵盖厂商零日漏洞库。能对上位机操作系统及SCADA系统、下位机的各种漏洞进行检测。

支持多种扫描策略,包括常规完全扫描、高强度完全扫描、高强度扫描、中强度扫描、低强度扫描等扫描策略,方便用户快速选择。能自动统计总体漏洞数量、统计工控设备及不同操作系统类型的主机数量、统计所有开发端口、可用帐户、列出每一个漏洞所存在的主机或设备、详细描述与修补建议。

3.产品特点
3.1.前瞻性、落地性

安恒信息结合多年在应用安全等领域的安全检查最佳实践,切合工业控制系统的特点及安全需求,开发出使得工控系统安全检查工作更加具有落地性的工控工具箱。使网安民警在执法过程中体现了专业性和被检查目标的不可抵赖性。

3.2.便携性、易用性

工具箱及检查工具便于公安网安民警携带和现场使用,界面友好,平台采用“一键式”操作界面,易于操作使用,检查任务可以并行。

3.3.专业性、标准性

工具箱检查指标库严格依据了工控行业风险评估规范及工控行业等级保护标准研发,是公安网安部门开展工控系统网络安全检查工作的检查指标全集。检查指标严格依据有关国家网络安全政策和标准进行研发,可以由公安网安民警自行选择和新增,形成检查模板,确保了检查数据的格式统一。

3.4.规范性、扩展性

工具箱检查知识库封装专业检查知识和专业分析模型,确保检查工作的规范化,知识库(设备信息库、漏洞库及异常行为签名库)是对大量网络安全工作的实践经验和知识的提炼,对民警现场检查工作有明确和规范的引导作用,可以按照内置的分析模型对检查数据进行分类、统计、关联、分析和比对。可以根据检查工作的需要,对检查内容进行扩展,检查工具的升级维护采用“一键式”升级方式,易于维护。

3.5.安全性、保密性

工具箱中的检查工具安全可靠,再检查执法过程中不会影响检查对象的稳定运行,不会影响检查对象所在网络的正常通讯。检查数据采用了国产密码算法加密,并具有检查数据的痕迹清除能力,确保检查数据的安全性和保密性。
4.客户受益
通过采用明鉴®工业控制系统信息安全检查工具箱,可以帮助用户获得以下收益:

  

•  提升公安网安部门工控系统信息安全检查检查监察工作效率;

  

•  使得公安网安部门工控系统信息安全检查监察工作有据可依;

  

•  将公安网安部门工控系统信息安全检查工作标准化、专业化、统一化;

  

•  促进工控系统信息安全加快发展;

  

•  使公安网安部门常态化开展对工控系统信息安全的检查工作;

  

•  减少公安网安部门人员投入;

  

•  使得公安网安对工控系统信息安全监管立体化;

  

•  持续集中化、规范化、公正化的日常检查、管理;

  

•  自动化出具工控信息系统安全检查报告;


杭州安恒信息技术有限公司的核心团队拥有多年互联网应用安全攻防、网络安全审计、数据库安全审计的深厚技术背景,拥有全球领先的具有完全知识产权的安全技术及浙江大学工控实验室对工控行业信息安全多年的研究开发经验,为明鉴®工业控制系统信息安全检查工具箱的成功推出奠定了有力的基础。作为一款专业级的信息安全检查工具箱,将技术层面和管理层面进行有机结合,使的工控系统监管单位在日常工业控制系统信息安全检查工作变得更加全面、专业、快捷。

相关案例

CASES

杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |