工控安全监测技术特点

1)工控安全监测及溯源系统深度数据包解析引擎，可对工控、TCP/IP协议做指令级检测与审计，为解决针对工控网络的安全问题提 供了技术基础保障，其支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。对不同行业 的工业控制系统，可以采取相应针对性的数据包探测机制和解析策略。

2)工控安全监测及溯源系统提供SDK，开放的平台接口可以方便客户自行扩展支持私有工控协议，以及做定制化的二次开发。

3)工控安全监测及溯源系统具备***的硬件架构，采用专门适用于网络处理的MIPS多核 CPU，而不是通用的 x86 架构 CPU，为性能的工控协议深度解析与检测提供了坚实的基础保障。

4)工控安全监测及溯源系统设备，严格按照工业级硬件的要求进行设计，能够满足各种工业现场的环境要求。多种灵活的安装方 式，包括导轨安装、机柜安装等。

工控安全监测性能特点

通过工控网络流量及深度分析工控协议，并与内置的协议特征库进行智能匹配，实现实时流量监测及异常活动告警，帮助用户实时掌握工控网络运行状况，发现潜在的网络安全问题。

基于工控协议解析和工控通信特征库，实现对组态变更、异常操控指令、PLC程序下装等关键事件进行识别和告警。

支持网络流量及状态白名单基线，当有未知设备接入网络或现有设备间通信异常时，可触发实时告警信息。

工控安全检测的产品架构

工控安全审计平台包括两个组件： 工控网络审计探针（简称“审计探针”）：为一个嵌入式硬件设备，旁路部署在工控网络中，通过交换机镜像获取工控网络流量，进行初步处理后上报给安全审计管理平台。

安全审计管理平台：为一个硬件服务器，负责接收各个工控网络审计探针上 报的数据，进行统一地分析检测，并将结果展现给管理员。

工控安全审计平台采用分布式部署、集中管理，多台工控网络审计探 针分布式部署在各个工业交换机的旁边，由安全审计管理平台进行统一的管理。

工控安全监测与审计系统介绍

是一种针对工业控制网络设计的实时监测、实时告警的监测审计系统，可通过特定的安全策略，快速识别出系统中的操作、异常事件、外部攻击，提供对 网络行为异常、工业协议攻击、工业控制关键事件的实时检测与报警能力。

安全引擎经过优化的深度检测引擎比传统引擎的性能提升数倍，可广泛用于高吞吐量的网络中支持“分区”审计 将物理端口分隔成不同逻辑安全域，可以对每个安全域设置***的审计策略 私有工控协议扩展用户可根据自己私有协议特征，对其进行定义并配置相应的的访问控制策略机器自学习与分析通过自学习安全事件和操作行为，帮助用户分析归纳和推理，终提供有效建议和信息二次开发接口提供了标准化的交互式开发接口，可以方便地接入第三方数据并按需求分析和呈现。