- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
新华三公司的工控安全管理平台是针对工业网络安全而设计的,提供集安全可视化、监测、预警和响应处置于一体的信息安全产品。工控安全管理平台采用组件化开发技术,专注于安全管理和安全分析。产品支持以下功能模块:
收集并存储安全相关的资产、运行状态、日志、流量等数据。
及时发现威胁并预警。
平台内置大数据和智能分析引擎,融合多种情境数据和外部安全情报,在发现网络内部的违规资产、行为、策略、威胁以及外部的攻击和威胁时及时预警,并提供多种响应方式,使安全防护和管理工作规范化流程化。
通过丰富的仪表板将网络安全态势呈现给客户。
提供功能界面定制和模块开发接口,便于用户快速部署、配置和开发一系列的安全管理相关应用。
工控安全管理平台支持对包括网络设备、安全设备、系统、主机、中间件、数据库、存储、应用、虚拟化等多种资产的安全事件进行数据采集和集中管理,支持多种协议的海量异构日志的采集、存储与分析。
平台对采集的安全事件进行清洗、转换、分类、归并等处理,并通过统计分析引擎、关联分析引擎对这些事件进行进一步的实时关联分析,结合多种情境数据发现符合安全分析场景的安全事件,并通过机器学习引擎检测发生在网络中的各类安全异常状况;异常检测功能具备不依赖规则而检测低概率威胁事件的能力,可有效检测APT攻击和潜伏在网络内部的未知威胁,提升整体网络安全感知能力。
平台提供可视化安全分析技术,使安全威胁态势可视化,安全分析人员可通过数据可视化从更高层面去观察和感知安全问题。
企业做工控安全的最大挑战在于企业的现有资产库可能已过时,企业并不全面了解其需要保护的所有工控资产。此时则需要自动化资产管理软件提供自动识别和持续更新,在充分详实掌握资产信息后才能更好的进行安全态势感知和安全防护管理。
工控安全管理平台实现了工控资产自动识别和测绘的功能,即当网络上出现一个新资产时,平台通过流量感知或日志收集自动感知它的存在,并基于资产指纹库自动识别该资产的详细信息;同时,平台也提供了手工录入、批量导入、外部接口同步等方式进行资产记录和维护。自动和手动结合使用,保证资产库数据的完备和持续更新。
资产管理可以从多种维度和标准对资产进行分组、分域管理,这些分类标准包括资产类型、业务系统、安全等级、地理位置、所属部门等。
平台还可构建资产的拓扑视图,为管理人员提供良好的可视化界面。
安全管理平台提供丰富的知识库供分析功能使用,同时积累经验为安全管理人员日常运维工作提供指导。安全管理用户可对知识库中的所有知识点进行关键字检索。
平台预先建立的知识库包括:安全事件分类库、范化策略库、关联规则库、异常检测策略库、知识库等。
平台安全知识库支持定期更新升级,保持知识库最新状态,使系统能够及时感知最新漏洞,通过安全关联规则检测最新安全威胁。
通过自主研发的网络流量探针,收集工控网络环境中的所有网络行为(包含源、目的地址,源、目的端口,协议、时间、会话量等)进行协议解析和识别并统一上传给工控安全管理平台。
工控安全管理平台提供行为分析引擎,进行行为识别和行为监督,并利用机器自学习、行为分析模型等分析发现异常行为并告警。
统计报表和安全工作报告是工控安全管理平台重要功能之一,是安全分析结果的呈现和安全管理工作的成果描述。
安全统计报表通过对平台获取的数据进行汇总、计算、对比,综合分析和评价组织的信息安全管理成果。报表分析属于基本分析范畴,它是对企业信息安全状况的动态统计分析,是在研究过去的基础上感知未来趋势,并做出正确的安全管理决定。
安全统计报表是静态历史数据,只能概括地反映组织在一段时间内的安全状况与管理成果,应对报表进行综合分析,才能得到更有效的信息。安全管理人员可根据安全统计结果、安全事件分析结果、知识库和案例等生成安全分析报告,报告中具有丰富的数据元素和表现形式,有事件描述、图表数据予以佐证,并提供修复建议、改进指南、周报、月报、季报和年报等,供安全管理人员参考。
平台既有丰富的内置报表,管理员也可通过报表编辑器自定义报表。报表支持多种格式导出(如Html格式)。管理员还可对报表生成制定计划,平台系统定期自动生成报表并支持邮件递送。
平台支持对感知的安全问题进行实时预警和报警。
平台可对告警信息进行统计分析,根据统计结果直接钻取符合条件的告警信息,并支持对告警信息的事件溯源、报文溯源。平台提供多样化的告警通知方式,如实时屏幕显示、电子邮件等。
安全管理门户是用户进行日常安全分析和管理的统一入口和界面,为管理人员提供功能菜单和丰富的仪表板。针对不同角色用户,仪表板可调整内容和布局提供其关注的信息。平台为不同角色的用户设置个性化的管理门户首页展示信息,并能动态扩展、灵活更新。平台可将安全仪表板生成安全报告并进行共享。
安全管理平台系统提供决策支持功能。决策支持功能以当前安全告警为入口,提供针对此安全告警的安全知识、方案建议和处置步骤,辅助安全管理人员做出决策并快速解决安全问题。此功能有效处理复杂的工控系统网络安全问题和对安全管理人员技术水平要求较高等场合,提高解决问题的时效性。
| 规格内容 | 具体描述 |
| 部署模式 | 支持旁路模式部署 |
| 日志收集 | 可通过 SNMP Trap、Syslog、JDBC、文件\文件夹、FTP、SFTP、SMB等多种协议方式采集日志; |
| 系统必须具备日志范式化功能,实现对异构日志格式的统一描述; | |
| 日志源管理 | 系统可以统计不同采集器和特定IP下的日志源个数并列表展示,显示日志源采集的日志总数,设备类型,日志编码格式,接入时间等; |
| 安全事件关联分析 | 关联规则支持规则嵌套和引用,通过多规则联合,可精确识别复杂安全事件和场景; |
| 必须具备单事件关联和多事件关联,能够针对多个不同类型不同来源的安全事件进行综合关联分析; | |
| 安全事件可视化与交互式分析 | 系统具备全文检索的大数据处理能力。平台能够对安全事件进行非格式化的文本式处理,可将原始信息进行自动索引,快速搜索分析各类安全事件。平台提供即席搜索功能,支持输入关键字搜索,从海量事件原始信息中获取与关键字匹配或部分匹配的所有事件; |
| 拓扑管理 | 基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点之间的通信连接情况,对于存在入侵等告警信息的通信链路,应在拓扑图上提供可视化的异常展示与告警。 |
| 可根据协议、IP等条件对拓扑图进行过滤。 | |
| 资产管理 | 具备对本地网络中各种资产数据的采集能力,能够通过手动编辑等方式录入资产数据; |
| 设备运行状态监测 | 安全管理平台支持通过SNMP、客户端代理等方式对企业资产运行状态进行统一监控 |
| 针对同一技术指标,不同厂商设备上报的数据单位等存在差异,平台通过提供内部计算功能对数据进行加工,满足客户统一格式要求; | |
| 可实时监视设备运行状态,包括在线/离线状态、CPU负荷、内存占用率、磁盘使用率等,并可根据需要进行配置扩展; | |
| 防护能力评估 | 可以指定开展评估工作的用户组织机构; |
| 支持评估报告的导出功能,可导出为pdf格式; |
模块 | 描述 | 数量 | 备注 |
LIS-ISG-MGT | H3C SecPath ISG-MGT工控安全管理平台授权函 | 1 | 必配 |
LIS-ISG-SA-EXT-50 | H3C SecPath ISG-SA日志审计功能50节点授权函 | 1 | 必配 |
文档中心
软件下载
