綠盟工控安全審計產(chǎn)品通過(guò)采用機器學(xué)習的算法通過(guò)對工控業(yè)務(wù)模型的深度分析，及時(shí)發(fā)現系統中潛在的安全隱患，解決目前工控系統安全事件難于定位和處置的困難。

產(chǎn)品簡(jiǎn)介

NSFOCUS SAS-ICS基于對不同行業(yè)工控環(huán)境的理解和對協(xié)議規約的深度解碼，通過(guò)預制的行業(yè)經(jīng)驗模型，結合工控系統中操作過(guò)程中相關(guān)的規程要求，來(lái)感知工控系統中潛在的異常操作行為。深度分析從上位機指令下達過(guò)程從上位機控制端到下位機操控指令進(jìn)行有效的合規性定義。能夠分析工控現場(chǎng)中的操作是否符合定義的操作要求，如發(fā)現其中有任何的違規操作及時(shí)進(jìn)行報警。

【多行業(yè)工控協(xié)議的深度解析】

工控領(lǐng)域中從控制方面考慮，從實(shí)現工控的層面考慮，主要是SCADA系統、DCS系統、PCS系統、PLC等。由于歷史原因及不同應用場(chǎng)景下，對于功能要求的差異，在工控領(lǐng)域中，多種工控協(xié)議在現場(chǎng)環(huán)境中得到應用。其中電網(wǎng)從控制層面考慮的一些特殊性，如電壓、電力的潮流變化要求等，所采用的協(xié)議基本應用到電網(wǎng)和電廠(chǎng)及相關(guān)的電力企業(yè)中。如：IEC 60870-5-101、102和104協(xié)議、IEC 61850、IEC 61970、ICCP等，而其他行業(yè)如石油、石化、煤炭、市政交通等行業(yè)普遍采用大多采用DCS和PCS系統大量了采用MODBUS、PROFINET來(lái)作為監控信息的收集和控制

NSFOCUS SAS-ICS基于對工控環(huán)境的理解，針對工控環(huán)境使用的規約進(jìn)行了相關(guān)的分析和研究，對于協(xié)議的內容進(jìn)行了完全的解碼，可以深入到指令級別的分析，對于從上位機控制端到下位機操控指令進(jìn)行有效的合規性定義。通過(guò)鏡像方式對流量進(jìn)行深入解碼，分析其中的操作是否符合定義的操作要求，如發(fā)現其中有任何的違規操作，及時(shí)進(jìn)行報警，有管理員來(lái)進(jìn)行相關(guān)的處理。目前，NSFOCUS SAS-ICS可以支持IEC 60870-5-101、102和104協(xié)議、IEC 61850、MODBUS，其中IEC 60870-5-101、104和MODBUS可以做到指令級別的識別，其他規約可以做到應用級的識別，后續會(huì )持續對規約支持的范圍進(jìn)行更新。

【業(yè)務(wù)行為安全審計】

NSFOCUS SAS-ICS針對不同客戶(hù)在審計工控中的需求，對于基于IEC 60870-5-101、102和104協(xié)議、IEC 61850、MODBUSRTU和PROFINET等工控協(xié)議的操作指令進(jìn)行有效的識別，定義了其中存在的高危操作，能夠及時(shí)進(jìn)行報警。如對于變電站側的SV報文，能夠發(fā)現其中存在的采樣值的變化情況，如發(fā)現采樣操作超過(guò)了預定義的3000HZ的頻率，會(huì )發(fā)出相關(guān)的告警。用戶(hù)也可以根據實(shí)際的工程經(jīng)驗，在系統界面中進(jìn)行配置。

【基于機器自學(xué)習功能的工控網(wǎng)絡(luò )安全基線(xiàn)模型】

機器學(xué)習和基線(xiàn)建立（工控網(wǎng)絡(luò )安全狀態(tài)建模）

業(yè)務(wù)基線(xiàn)沒(méi)有業(yè)務(wù)交互的兩個(gè)控制節點(diǎn)產(chǎn)生了業(yè)務(wù)交互；

控制節點(diǎn)間發(fā)生了之前沒(méi)有發(fā)生的業(yè)務(wù)指令；

關(guān)鍵業(yè)務(wù)發(fā)生的時(shí)間與基線(xiàn)有較大的差異；

業(yè)務(wù)指令的響應周期比基線(xiàn)值有較大幅度的增加；

控制節點(diǎn)間的業(yè)務(wù)指令交互頻率較大幅度的高于或者低于基線(xiàn)值；

【“組態(tài)化”的配置模板】

工業(yè)控制系統與傳統IT系統在配置上和業(yè)務(wù)類(lèi)型上存在較大的差異性，NSFOCUS SAS-ICS可以提供基于組態(tài)的配置模板，可以針對客戶(hù)的業(yè)務(wù)場(chǎng)景通過(guò)模板進(jìn)行場(chǎng)景化的配置，方便現場(chǎng)的操作人員對規則進(jìn)行配置和使用，使用習慣上符合現場(chǎng)操作人員對工控系統的使用。通過(guò)預制的設備類(lèi)型和應用場(chǎng)景，用戶(hù)無(wú)需關(guān)注具體的規則設備，只需要配置場(chǎng)景就可以實(shí)現在應用場(chǎng)景內的規則配置和應用。