東土科技工控安全管理平臺(tái)是面向工控系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)的、提供集安全可視化、監(jiān)測(cè)、預(yù)警和響應(yīng)處置于一體的信息安全產(chǎn)品,在不影響生產(chǎn)業(yè)務(wù)的前提下,實(shí)現(xiàn)對(duì)安全設(shè)備的集中監(jiān)控與策略配置,通過(guò)融合網(wǎng)絡(luò)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)等安全要素?cái)?shù)據(jù),消除安全孤島,并采用大數(shù)據(jù)技術(shù)實(shí)現(xiàn)整體安全分析及檢測(cè)。工控安全管理平臺(tái)采用組件化開(kāi)發(fā)技術(shù),專注于安全管理和安全分析。產(chǎn)品支持以下功能模塊:
收集并存儲(chǔ)安全相關(guān)的資產(chǎn)、運(yùn)行狀態(tài)、日志等數(shù)據(jù),及時(shí)發(fā)現(xiàn)威脅并預(yù)警。
平臺(tái)內(nèi)置大數(shù)據(jù)和智能分析引擎,融合多種情境數(shù)據(jù),在發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的違規(guī)資產(chǎn)、行為、策略、威脅以及外部的攻擊和威脅時(shí)及時(shí)預(yù)警,并提供多種響應(yīng)方式,使安全防護(hù)和管理工作規(guī)范化流程化。
可對(duì)安全設(shè)備進(jìn)行統(tǒng)一管理,提供統(tǒng)一事件管理、統(tǒng)一策略管理、運(yùn)行狀態(tài)監(jiān)測(cè)等。
通過(guò)豐富的儀表板將網(wǎng)絡(luò)安全態(tài)勢(shì)呈現(xiàn)給客戶。
提供功能界面定制和模塊開(kāi)發(fā)接口,便于用戶快速部署、配置和開(kāi)發(fā)一系列的安全管理相關(guān)應(yīng)用。
工控安全管理平臺(tái)具備快速的、自定義條件的事件檢索能力,為用戶提供了一套靈活方便的交互式事件調(diào)查工具,通過(guò)事件調(diào)查工具,管理員可以對(duì)日志中的重要或全部信息進(jìn)行查詢搜索。
系統(tǒng)提供強(qiáng)大的混合搜索能力,用戶不僅可以對(duì)固定的日志范化字段進(jìn)行搜索,也可以通過(guò)關(guān)鍵字進(jìn)行全文檢索,將傳統(tǒng)基于范化的日志分析和基于全文索引的日志搜索技術(shù)完美的結(jié)合起來(lái),為安全分析師提供強(qiáng)大的分析工具。
用戶可通過(guò)查詢范化后的字段內(nèi)容獲取原始日志中不存在的內(nèi)容信息,這些信息經(jīng)過(guò)范化和豐富,提高了日志的可讀性,易于理解,并可快速查詢到用戶關(guān)心的內(nèi)容,降低安全日志對(duì)用戶專業(yè)能力的要求。同時(shí),基于大數(shù)據(jù)全文索引技術(shù),系統(tǒng)提供了類似搜索引擎的查詢能力,用戶不需要關(guān)注日志是否范化,只需輸入關(guān)鍵字即可查詢到所有包含關(guān)鍵字的日志。系統(tǒng)支持迭代查詢和漸進(jìn)式分析,通過(guò)范化和全文檢索的綜合使用,分析師可快速發(fā)現(xiàn)安全事件和異常,為進(jìn)一步處置提供基礎(chǔ)。
用戶可通過(guò)交互式查詢對(duì)比,逐漸收斂事件范圍,通過(guò)用時(shí)間、關(guān)鍵字和復(fù)雜流程拼接及迭代嵌套等,發(fā)現(xiàn)關(guān)聯(lián)事件和異常事件。
平臺(tái)具備完善的基于規(guī)則的關(guān)聯(lián)分析引擎,能夠提供邏輯關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)的關(guān)聯(lián)分析能力。
其中,邏輯關(guān)聯(lián)支持與、或、非邏輯,支持豐富的邏輯表達(dá)式(包括并不限于大于、大于等于、小于、小于等于、不等于、包含、在……之間、屬于、開(kāi)始于、結(jié)束于、是否為空、通配符匹配、正則匹配等),支持邏輯嵌套。統(tǒng)計(jì)關(guān)聯(lián)支持在統(tǒng)計(jì)時(shí)針對(duì)特定的一個(gè)或多個(gè)字段進(jìn)行相同計(jì)數(shù)和不同計(jì)數(shù),支持統(tǒng)計(jì)時(shí)長(zhǎng)設(shè)置和觸發(fā)次數(shù)設(shè)置,具備重復(fù)觸發(fā)的抑制設(shè)置功能。
系統(tǒng)具備全文檢索的大數(shù)據(jù)處理能力。平臺(tái)能夠?qū)Π踩录M(jìn)行非格式化的文本式處理,可將原始信息進(jìn)行自動(dòng)索引,快速搜索分析各類安全事件。平臺(tái)提供即席搜索功能,支持輸入關(guān)鍵字搜索,從海量事件原始信息中獲取與關(guān)鍵字匹配或部分匹配的所有事件。系統(tǒng)支持即席在線查詢,支持嵌套查詢,可針對(duì)查詢結(jié)果任意回退,收斂事件范圍。系統(tǒng)具備豐富的事件可視化展示能力,具備多種展現(xiàn)手段,至少包括動(dòng)態(tài)事件移動(dòng)圖、事件統(tǒng)計(jì)圖、餅狀圖、折線圖等。
基于對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)的實(shí)時(shí)分析,平臺(tái)可自動(dòng)以拓?fù)鋱D的形式直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)之間的通信連接情況,對(duì)于存在入侵等告警信息的通信鏈路,在拓?fù)鋱D上提供可視化的異常展示與告警。
工控安全管理平臺(tái)提供對(duì)企業(yè)資產(chǎn)的集中管理功能。資產(chǎn)管理可以從多種維度和標(biāo)準(zhǔn)對(duì)資產(chǎn)進(jìn)行分組、分域管理,這些分類標(biāo)準(zhǔn)包括資產(chǎn)類型、業(yè)務(wù)系統(tǒng)、安全等級(jí)、地理位置、所屬部門等。
具備對(duì)本地網(wǎng)絡(luò)中各種資產(chǎn)數(shù)據(jù)的采集能力,能夠通過(guò)手動(dòng)編輯、導(dǎo)入方式錄入資產(chǎn)數(shù)據(jù);管理員可對(duì)資產(chǎn)的多種屬性進(jìn)行管理,包括基本屬性(名稱、類型、廠商、序列號(hào)、IP/MAC、地理位置、聯(lián)系人等)、安全屬性(機(jī)密性、完整性和可用性)等內(nèi)容。在資產(chǎn)屬性中,如果該資產(chǎn)具備多個(gè)IP,則可以錄入多個(gè)IP和MAC信息;管理員可以方便的進(jìn)行資產(chǎn)檢索,支持基于關(guān)鍵字、資產(chǎn)組、資產(chǎn)類型、資產(chǎn)價(jià)值、資產(chǎn)標(biāo)簽等信息進(jìn)行快速搜索。
工控安全管理平臺(tái)能對(duì)工控系統(tǒng)中的安全設(shè)備進(jìn)行統(tǒng)一管理,建立設(shè)備清單,對(duì)設(shè)備運(yùn)行狀態(tài)及運(yùn)行參數(shù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)。可實(shí)時(shí)監(jiān)視設(shè)備運(yùn)行狀態(tài),包括在線/離線狀態(tài)、CPU負(fù)荷、內(nèi)存占用率、磁盤使用率等,并可根據(jù)需要進(jìn)行用戶自定義配置擴(kuò)展;針對(duì)同一技術(shù)指標(biāo),不同廠商設(shè)備上報(bào)的數(shù)據(jù)單位等存在差異,平臺(tái)通過(guò)提供內(nèi)部計(jì)算功能對(duì)數(shù)據(jù)進(jìn)行加工,滿足客戶統(tǒng)一格式要求。可對(duì)同品牌安全設(shè)備進(jìn)行統(tǒng)一安全策略管理,如防火墻、監(jiān)測(cè)審計(jì)等。
工控安全管理平臺(tái)提供網(wǎng)絡(luò)安全防護(hù)能力評(píng)估功能,可對(duì)按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》建立網(wǎng)絡(luò)安全防護(hù)能力的企業(yè),開(kāi)展工控安全防護(hù)能力綜合評(píng)價(jià)活動(dòng)。通過(guò)創(chuàng)建評(píng)估任務(wù)、指定評(píng)估對(duì)象,防護(hù)能力評(píng)估功能利用工控安全管理平臺(tái)構(gòu)建的數(shù)據(jù)資源池,綜合分析安全要素?cái)?shù)據(jù)完成部分指標(biāo)的自動(dòng)評(píng)估,并支持用戶對(duì)人工評(píng)估或?qū)ψ詣?dòng)評(píng)估結(jié)果進(jìn)行修正。防護(hù)能力評(píng)估任務(wù)管理功能既支持對(duì)系統(tǒng)或企業(yè)的整體評(píng)估,也支持對(duì)子系統(tǒng)或分支機(jī)構(gòu)的獨(dú)立評(píng)估。
工控安全管理平臺(tái)內(nèi)置豐富的報(bào)表模板,可以滿足業(yè)務(wù)大部分場(chǎng)景需要,同時(shí)平臺(tái)提供靈活的報(bào)表自定義功能,通過(guò)可視化的圖表拖放,即可形成用戶所需的報(bào)表。
平臺(tái)提供自動(dòng)生成網(wǎng)絡(luò)安全報(bào)告功能,通過(guò)可視化插入圖表或報(bào)表模板,即可按照設(shè)定時(shí)間計(jì)劃生成包括封面、目錄等文檔屬性的安全報(bào)告。
平臺(tái)支持多種報(bào)表類型,包括一次性報(bào)表、日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)、實(shí)時(shí)報(bào)表、即時(shí)報(bào)表等類型。生成的報(bào)表可導(dǎo)出為HTML、word、pdf等格式,并可通過(guò)郵件自動(dòng)發(fā)送給報(bào)表報(bào)告接收人。
| 軟件功能 | |
| 日志采集 | 具備對(duì)各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端設(shè)備和服務(wù)器設(shè)備進(jìn)行日志信息數(shù)據(jù)采集的能力,采集目標(biāo)設(shè)備應(yīng)包含交換機(jī)和路由器、虛擬化及云計(jì)算平臺(tái)、蜜罐系統(tǒng)、終端管理系統(tǒng)、防火墻、VPN、防病毒網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、WAF、內(nèi)容過(guò)濾網(wǎng)關(guān)、負(fù)載均衡設(shè)備、數(shù)據(jù)庫(kù)設(shè)備、Windows/Linux操作系統(tǒng)、隔離交換設(shè)備等設(shè)備 可通過(guò) SNMP Trap、Syslog、JDBC、文件\文件夾、FTP、SFTP等多種協(xié)議方式采集日志 |
| 日志范式化 | 系統(tǒng)必須具備日志范式化功能,實(shí)現(xiàn)對(duì)異構(gòu)日志格式的統(tǒng)一描述 范式化字段至少應(yīng)包括事件接收時(shí)間、事件產(chǎn)生時(shí)間、事件持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、事件名稱、事件摘要、等級(jí)、原始等級(jí)、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等 針對(duì)不支持的日志做范化的時(shí)候不需改動(dòng)代碼,通過(guò)導(dǎo)入范化策略文件或者在系統(tǒng)頁(yè)面可視化編輯修改,即可完成并生效 支持長(zhǎng)安全事件格式 系統(tǒng)可自動(dòng)識(shí)別收集的日志并自動(dòng)選擇范化策略,而無(wú)須人工指定 范式化字段可在分析過(guò)程中根據(jù)審計(jì)和分析的需要靈活擴(kuò)展,并可參與關(guān)聯(lián)分析及統(tǒng)計(jì)報(bào)表等 對(duì)于枚舉類型的范化字段,其字典表可根據(jù)需要自定義擴(kuò)展 對(duì)于原始日志的枚舉字段,能夠?qū)⒃嫉拿杜e值映射為系統(tǒng)統(tǒng)一的枚舉值 |
| 日志儲(chǔ)存 | 系統(tǒng)采用大數(shù)據(jù)技術(shù),具備海量日志存儲(chǔ)能力 系統(tǒng)內(nèi)置全文索引引擎 系統(tǒng)具備日志數(shù)據(jù)的備份恢復(fù)功能 對(duì)于日志,系統(tǒng)同時(shí)保存原始日志和范式化后的日志 管理員可設(shè)置事件存儲(chǔ)容量告警閾值 |
| 安全事件關(guān)聯(lián)分析 | 具備完善的基于規(guī)則的關(guān)聯(lián)分析引擎,能夠提供邏輯關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)和情境關(guān)聯(lián)的關(guān)聯(lián)分析能力: 1,邏輯關(guān)聯(lián)支持與、或、非邏輯,支持豐富的邏輯表達(dá)式(包括并不限于大于、大于等于、小于、小于等于、不等于、包含、在……之間、屬于、開(kāi)始于、結(jié)束于、是否為空、通配符匹配、正則匹配等),支持邏輯嵌套 2,統(tǒng)計(jì)關(guān)聯(lián)支持在統(tǒng)計(jì)的時(shí)候針對(duì)特定的一個(gè)或多個(gè)字段進(jìn)行相同計(jì)數(shù)和不同計(jì)數(shù),支持統(tǒng)計(jì)時(shí)長(zhǎng)設(shè)置和觸發(fā)次數(shù)設(shè)置,具備重復(fù)觸發(fā)的抑制設(shè)置功能 關(guān)聯(lián)規(guī)則支持規(guī)則嵌套和引用,通過(guò)多規(guī)則聯(lián)合,可精確識(shí)別復(fù)雜安全事件和場(chǎng)景 必須具備單事件關(guān)聯(lián)和多事件關(guān)聯(lián),能夠針對(duì)多個(gè)不同類型不同來(lái)源的安全事件進(jìn)行綜合關(guān)聯(lián)分析 具備實(shí)時(shí)關(guān)聯(lián)和歷史關(guān)聯(lián)能力。既能夠?qū)φ诎l(fā)生的事件進(jìn)行近實(shí)時(shí)關(guān)聯(lián)分析,也能對(duì)去過(guò)發(fā)生的歷史安全事件進(jìn)行回溯關(guān)聯(lián)分析 具備可視化在線關(guān)聯(lián)規(guī)則編輯器,能夠?qū)σ?guī)則進(jìn)行各種編輯和自定義 關(guān)聯(lián)分析的結(jié)果輸出支持事件重定義功能,能夠?qū)σ?guī)則觸發(fā)的告警時(shí)間和關(guān)聯(lián)后事件的任意字段進(jìn)行重定義,譬如修訂事件的等級(jí)和類型等 每條關(guān)聯(lián)規(guī)則都可以單獨(dú)設(shè)定啟動(dòng)或者停止 |
| 通信拓樸圖 | 基于對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)的實(shí)時(shí)分析,自動(dòng)以拓?fù)鋱D的形式直觀展示工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)之間的通信連接情況,對(duì)于存在入侵等告警信息的通信鏈路,應(yīng)在拓?fù)鋱D上提供可視化的異常展示與告警 可根據(jù)協(xié)議、IP等條件對(duì)拓?fù)鋱D進(jìn)行過(guò)濾 |
| 資產(chǎn)管理 | 具備對(duì)本地網(wǎng)絡(luò)中各種資產(chǎn)數(shù)據(jù)的采集能力,能夠通過(guò)手動(dòng)編輯或同步方式【需定制開(kāi)發(fā)】錄入資產(chǎn)數(shù)據(jù) 系統(tǒng)支持網(wǎng)絡(luò)資產(chǎn)自動(dòng)發(fā)現(xiàn)與識(shí)別功能,至少包括網(wǎng)絡(luò)流量【需配置監(jiān)測(cè)審計(jì)系統(tǒng)】導(dǎo)入方式 系統(tǒng)對(duì)新發(fā)現(xiàn)的資產(chǎn)及相應(yīng)屬性信息保存入預(yù)備資產(chǎn)庫(kù)中,管理員可編輯預(yù)備庫(kù)中的資產(chǎn)并添加至資產(chǎn)庫(kù) 系統(tǒng)能夠?qū)⒈还芾碣Y產(chǎn)按照多種維度進(jìn)行分組、分域管理,如地理位置、組織結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)等,并顯示分組資產(chǎn)總數(shù)等信息 管理員對(duì)多個(gè)資產(chǎn)批量的從一個(gè)分組移動(dòng)到另一個(gè)分組 支持批量導(dǎo)出資產(chǎn) 管理員可對(duì)資產(chǎn)的多種屬性進(jìn)行管理,包括基本屬性(名稱、類型、廠商、序列號(hào)、IP/MAC、地理位置、聯(lián)系人等)、安全屬性(機(jī)密性、完整性和可用性)等內(nèi)容 在資產(chǎn)屬性中,如果該資產(chǎn)具備多個(gè)IP,則可以錄入多個(gè)IP和MAC信息 在資產(chǎn)屬性中,管理員可以自定義資產(chǎn)標(biāo)簽 管理員還可以對(duì)多個(gè)資產(chǎn)批量設(shè)置標(biāo)簽 管理員可以對(duì)資產(chǎn)標(biāo)簽進(jìn)行分組管理 管理員可以按標(biāo)簽對(duì)資產(chǎn)進(jìn)行搜索 管理員可以查看每個(gè)資產(chǎn)的詳情,不僅可以看到資產(chǎn)的相關(guān)基本屬性,也能看到該資產(chǎn)相關(guān)的攻擊入侵事件、告警、登錄事件等動(dòng)態(tài)信息 管理員可以方便的進(jìn)行資產(chǎn)檢索。可以基于關(guān)鍵字、資產(chǎn)組、資產(chǎn)類型、資產(chǎn)標(biāo)簽等信息進(jìn)行快速搜索 |
| 安全設(shè)備管理 | 管理平臺(tái)能對(duì)工控系統(tǒng)中的安全設(shè)備進(jìn)行統(tǒng)一管理,建立設(shè)備清單,對(duì)設(shè)備運(yùn)行狀態(tài)及運(yùn)行參數(shù)進(jìn)行實(shí)時(shí)監(jiān)測(cè);可實(shí)時(shí)監(jiān)視設(shè)備運(yùn)行狀態(tài),包括在線/離線狀態(tài)、CPU負(fù)荷、內(nèi)存占用率、磁盤使用率等,并可根據(jù)需要進(jìn)行配置擴(kuò)展 單點(diǎn)登錄:平臺(tái)提供統(tǒng)一的登錄認(rèn)證服務(wù),用戶一次登錄操作,可免除對(duì)權(quán)限范圍內(nèi)的安全設(shè)備重復(fù)登錄過(guò)程 統(tǒng)一升級(jí)管理:安全管理平臺(tái)可對(duì)納管安全設(shè)備進(jìn)行系統(tǒng)軟件、規(guī)則庫(kù)等系統(tǒng)預(yù)置組件的版本管理,包括升級(jí)包管理、設(shè)備版本摘要與設(shè)備升級(jí) |
| 設(shè)備運(yùn)行狀態(tài)監(jiān)測(cè) | 安全管理平臺(tái)支持通過(guò)SNMP、客戶端代理等方式對(duì)企業(yè)資產(chǎn)運(yùn)行狀態(tài)進(jìn)行統(tǒng)一監(jiān)控,對(duì)超過(guò)限值的指標(biāo)進(jìn)行告警 針對(duì)同一技術(shù)指標(biāo),不同廠商設(shè)備上報(bào)的數(shù)據(jù)單位等存在差異,平臺(tái)通過(guò)提供內(nèi)部計(jì)算功能對(duì)數(shù)據(jù)進(jìn)行加工,滿足客戶統(tǒng)一格式要求 可實(shí)時(shí)監(jiān)視設(shè)備運(yùn)行狀態(tài),包括在線/離線狀態(tài)、CPU負(fù)荷、內(nèi)存占用率、磁盤使用率等,并可根據(jù)需要進(jìn)行配置擴(kuò)展 |
| 防護(hù)能力評(píng)估 | 可根據(jù)評(píng)估需要,由人工創(chuàng)建評(píng)估任務(wù),并可指定評(píng)估任務(wù)所依據(jù)的評(píng)估規(guī)范 評(píng)估任務(wù)可以指定評(píng)估對(duì)象的范圍,既可以是企業(yè)整體評(píng)估,也可以單獨(dú)針對(duì)某個(gè)分支組織機(jī)構(gòu)進(jìn)行評(píng)估。進(jìn)行整體評(píng)估時(shí),可以指定開(kāi)展評(píng)估工作的用戶組織機(jī)構(gòu) 對(duì)于進(jìn)行中的評(píng)估任務(wù),用戶可隨時(shí)查看評(píng)估任務(wù)進(jìn)度 支持評(píng)估任務(wù)的下發(fā)、撤銷與關(guān)閉 |
| 產(chǎn)品規(guī)格 | |
| 性能 | 日志源授權(quán)(默認(rèn)/最大):50/100(L型),50/200(H型) 安全衛(wèi)士客戶端授權(quán)(默認(rèn)/最大):0/200(L型),0/400(H型) |
| 接口 | 2GE:2x10/100/1000Base-T(X)電口 |
| 機(jī)械結(jié)構(gòu) | 外殼:金屬 重量:12kg 尺寸(WxHxD):430mm×90mm×500mm 安裝方式:2U機(jī)架安裝 |
| 電源 | 電壓:H3-H3=220VAC 雙電源輸入 功率:550W |
| 質(zhì)保 | 質(zhì)保期:1年(升級(jí)版3年) |
工控安全管理平臺(tái):
工控安全管理平臺(tái)推薦型號(hào):
|
產(chǎn)品型號(hào) |
型號(hào)說(shuō)明 |
|
Agate7010-L-2GE-H3-H3 |
低性能,2x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
|
Agate7010-H-2GE-H3-H3 |
高性能,2x10/100/1000Base-T(X)電口,220VAC 雙電源輸入 |
工控安全管理平臺(tái)推薦服務(wù):
|
服務(wù)型號(hào) |
型號(hào)說(shuō)明 |
|
Agate7010-uAUDIT |
日志源授權(quán)升級(jí)服務(wù) |
|
Agate7010-uTERMINAL |
主機(jī)衛(wèi)士客戶端授權(quán)升級(jí)服務(wù) |
工控安全管理平臺(tái)推薦選購(gòu)擴(kuò)展端口:
|
擴(kuò)展端口型號(hào) |
型號(hào)說(shuō)明 |
|
AM7010-4GE |
4x10/100/1000Base-T(X)電口 |
|
AM7010-4GX |
4x1000Base-X SFP接口 |
Kyland-Agate7010-Datasheet-CN 工控安全管理平臺(tái)_用戶手冊(cè)
