产品概述

目前传统的安全审计系统无法满足工业控制网络安全审计要求，IT 安全审计产品因缺乏对工业 控制协议的解析能力而不能直接用于工业控制网络中，同时现有的工业控制网络缺乏对用户操作、工控网络行为、指令下发的审计措施，导致安全事故分析取证困难。另外，部分工业控制网络不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能。 

基于以上安全现状，我司针对工控系统可能发生的异常行为进行安全监测研究，深入解析不同行业工控系统使用的工控协议，重点研发了新版本的工控安全审计系统。天地和兴针对工业控制网络面临的问题，基于最先进的人工智能算法，自主研制了专门应用于工业控制网络的工控安全审计平台，以加强和提升工业控制网络的安全审计防护能力，实现对工业控制网络的异常行为、协议攻击、关键事件进行实时检测告警，及时发现内部违规事件，事后为安全事故/故障调查提供详实的记录。

系统架构

底层服务层包括专业硬件、AI 算法模型与自研并经过安全加固的操作系统，提供底层基础服务，为上层的业务模块高效安全的运行提供基础支持。 

数据采集与分析层实现对数据包的抓取，并对数据报文进行协议解析，形成核心业务功能模块所需的基础信息数据。 

核心业务层包含工控安全审计平台的核心功能，包括协议审计、威胁流量感知、规则学习与配置、安全事件、流量统计、资产管理、自定义协议、关键事件、日志采集、报告管理等相关功能。 

用户业务层则为用户通过WEB 访问提供访问接口，通过 WEB 可以对工控安全审计平台进行管理以及数据信息的查看。

产品功能

1.工控安全审计平台支持对工控网络协议的深度解析。首先通过高速收包引擎抓取报文，然后经过工控网络协议以太网报文的解析模块进行解析。然后经由应用层协议解析子模块进行解析，得到应用层协议数据的特征字段，如modbus-tcp协议的功能码、寄存器地址等信息。同时，支持自定义协议功能，通过自定义协议配置模板配置自定义协议，可以定义协议名称、协议类型、端口、协议规则模板、协议解析模板。

2.工控网络行为基线智能学习。天地和兴开发了基于机器自学习的业务行为基线功能。工业网络中设备众多、网络通信复杂，用户很难全面的掌握网络中所必须的业务通信需求，这会给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置，提高规则配置的准确性，减少规则配置的工作量。通过基线自学习功能，可以梳理工控现场资产信息，建立工控网络行为模型，以便对基线外异常行为进行分析和告警，保障工业控制系统的安全稳定运行。

3.工控网络安全事件告警。工控安全审计平台支持多种类型的安全事件告警。安全事件告警的产生是跟各种行为基线规则以及漏洞库规则进行匹配而产生的。在将之前已经学习到的应用层协议白名单规则使能后，之后将获取到的应用层数据特征信息与规则进行匹配。如果能匹配上则不会产生应用层协议白名单告警；如果没有匹配上，则表示该报文的应用层协议数据特征值与规则不相符，会产生应用层协议白名单告警。 

4.威胁流量感知。工业网络流量数据的最小单位为流量包，网络流量包是一个个孤立的包，单独的包无法体现网络的流量行为特征。威胁流量感知模块采用基于会话流数据的统计向量来表现网络流量的行为特征。利用人工智能技术准确、快速、实时地发现工业网络流量中的异常流量以及确定异常流量代表的攻击类型或者异常类型。

5.工控网络关键事件检测。在工控网络中存在一些敏感操作，比如工控系统的工程师站组态变更、操控指令变更、PLC 下装、所有写操作、负载变更等，这些操作会对工控系统带来重大的影响，是需要重点关注关键操作信息。天地和兴工控安全审计平台可以有效的解析并记录相关的关键操作信息供用户查询。同时支持对工控网络的异常指令进行检测。

6.工控网络资产管理。天地和兴工控安全审计平台支持对工控网络中资产的自动识别和手动录入，能帮助用户梳理工控网络中的设备信息，其中资产信息包括设备的 MAC 地址、IP 地址、厂商信息、设备类型、型号等相关信息。审计平台内配置有缺省设备指纹库，同时也支持用户自定义设备指纹。设备指纹中可以配置资产设备的 MAC地址范围、协议、端口等信息。将得到的资产信息与设备指纹进行比对，即可精准识别工控设备的厂商、类型、型号的信息。

7.工控网络日志采。集天地和兴工控安全审计平台支持对工控网络中其他设备的日志信息采集，如工控主机、交换机、防火墙、横向隔离装置等设备的日志信息。通过分析日志信 息可以了解当前工控网络中的设备的运行状况和安全状况。对于收取到的工控网络设备发来的日志信息，会做一定的格式处理，并存入数据库中供用户查询。

8.工控网络流量综合统计。工控安全审计平台支持通过 IP 地址、MAC 地址、平均输入速度、平均输出速度和平均流量百分比等参数对流量进行统计，并以柱状图形式实时展现流量统计结果；支持全流量审计和告警，对流量超过预警值的行为进行告警；并根据实时流量和历史流量组合方式对流量状态进行可视化展示和查询；支持通用协议、数据库协议和工控协议 Modbus，S7、OPC、IEC104 等协议的流量审计功能。

9.可信管理。天地和兴工控安全审计pintail集成了可信主动免疫的模块，通过系统运行全生命周期的可信验证，为应用和系统的运行建立安全可信的计算环境，基于可信根以及国密算法，免疫手段包括引导度量、静态度量、动态度量、应用防护等，从系统启动到程序运行，提供了全链路防护，可以拦截已知、未知病毒、木马及其他恶意软件。最大程度的提高了设备自身的安全性，拥有了较高的自我防护能力。

可信控制

静态度量

动态度量

应用防护

可信报告

可信日志管理