工控监测与审计系统产品-工控安全-新华三集团-H3C

全网实时监测审计

工控监测与审计系统支持对工控网络中存在的所有网络数据、事件提供实时监测、实时告警，生成完整记录便于事件追溯，帮助用户实时掌握工业控制网络运行状况，保障正常生产；

产品通过对安全事件进行审计，及时追溯安全事件的轨迹；对用户的操作行为进行细粒度审计，还原操作的真相；

产品能够对工控网络通信记录进行回溯，根据IP地址、端口号、时间等条件查询通信记录，对网络行为提供日志审计功能，为工业控制系统的安全事故调查提供详实依据。

支持多种工业协议深度解析

支持涵盖Modbus/TCP，OPC Classic，OPC UA，DNP3，S7，S7 plus，profinet DCP，GOOSE，IEC60870-5-104，IEC61850-MMS等在内的各类主流工控网络协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。

工控黑名单特征库

工控监测与审计系统内置专业研发团队研发的工控漏洞特征库，包括工控设备漏洞、工控协议漏洞、工控系统漏洞，且产品支持黑名单规则配置。黑名单中包括工控网络和系统的漏洞特征信息，产品具备针对工控网络和系统的黑名单特征规则库，且黑名单特征数量不低于1000条。

流量异常监测

工控监测与审计系统支持对流量的流入流出的异常情况进行监测，实时以图形的形式展现出来，直观方便观察数控流量情况。

产品支持监测被保护区域总流量信息和基于协议的流量TOP N排序，方便用户直观了解被保护区域的流量情况，对于异常流量给出告警信息。

工控监测与审计系统支持对工业控制网络系统内未知的设备接入进行实时告警，迅速发现工业控制网络系统中存在的非法接入。

动态资产管理

通过协议分析和庞大的资产库资源，快速识别工控网络中的设备，智能化分析资产属性等基础信息，自动生成通讯拓扑图，在界面上对整个工控网络资产进行可视化展现（包括IP地址、通讯节点间使用的工业协议等），并对设备的资源状况、端口工作状况等进行监测。

产品规格

指标		详细描述
工业协议支持	工业协议解析	至少支持以下工业协议的深度报文解析，如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等协议，并支持协议定制。
威胁识别	入侵检测	系统应预置入侵检测规则库，规则库应至少支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、Web漏洞、工控系统漏洞、工控协议漏洞等规则分类
威胁识别	关键事件识别	支持通过对网络流量的深度解析、特征匹配，实现对工控网络等关键事件进行识别和告警
异常检测	安全基线	建立流量、业务、服务三大基线，保障工控网络安全，并对不符合基线内容及时预警
资产发现与管理	资产发现	通过协议分析和庞大的资产库资源，系统能够动态识别网络中的工控设备，识别资产必备属性等信息，如IP、MAC、设备种类、设备厂商、设备型号等
资产发现与管理	资产属性	可对资产的多种属性进行管理，包括名称、类型、厂商、IP/MAC、地理位置、联系人等内容。
安全审计	流量审计	可以对工控网络中的所有活动提供协议和流量审计，生成完整记录。至少支持以下工业协议的深度报文解析，如IEC60870-5-101/104、Modbus TCP/RTU、IEC61850、S7Comm、S7Comm-Plus、Profinet、DNP3、MMS、EtherNet/IP、CIP、OPC-DA、OPC-UA、OMRON-FINS等协议
安全审计	操作审计	系统策略等配置信息的修改操作记录下来，并提供查询手段。
告警管理	告警管理	对告警信息，用户应可以定义告警处置方式，包括告警、记录日志、发送告警通知邮件、发送Syslog等
系统管理	权限管理	采用基于角色的权限访问控制模型进行权限管理。系统预置系统管理员、系统操作员和系统审计员三类管理员角色。系统预置上述三种角色对应的用户。

组网应用

旁路部署监测审计数据流，不占用原有网络的带宽资源，完全不影响原有系统的生产运行，部署在汇聚层交换机镜像端口，起到区域之间的监测审计作用，部署在系统与系统之间的边界，起到边界之间的监测审计作用。

工控监测与审计系统应用组网图

选配信息

选购一览表

表1-1 选购一览表

模块	数量	备注
H3C SecPath A3115-I工控监测与审计系统设备（机架式）	1	必配
H3C SecPath A3135-I工控监测与审计系统设备（机架式）	1	必配
H3C SecPath A3200-I工控监测与审计系统设备（机架式）	1	必配