SMA-YH-5612工控安全监测与审计系统

工业协议深度解析

• 支持超过10000种知名端口协议的识别

•  支持OPC、Modbus、IEC 60870-5-104、IEC 61850 MMS、Siemens S7、Ethernet/IP（CIP）、DNP3、Profinet、Fins等近50种工控协议解析

•  支持1000多种协议功能码识别

•  支持OPC DA，HAD，A&E等操作，包括支持OPC的动态端口、OPC只读等

• 支持Modbus TCP协议语法检查及连接跟踪、协议白名单，点表等

•  支持ModBus TCP/RTU、OPC UA/DA、S7协议值域控制

• 支持Siemens S7协议读写操作、版本号、寄存器区、DB区区号、点类型、值范围、传输层协议控制等

•  支持Ethernet II型帧和802.3帧S7协议深度解析

• 支持Ethernet/IP(CIP)协议语法检查，支持Ethernet/IP(CIP)协议本身自定义的参数配置，支持CIP数据表、PCCC控制

• 支持对Profinet协议传输功能码及操作对象进行控制

•  支持IEC104协议白名单、传输原因长度、公共地址长度、信息体地址长度等的配置

• 支持DNP3协议白名单，包括版本号、源地址、目的地址、功能码、对象组号、变体号、传输层协议

• 支持私有工控协议解析的自定义，无需二次开发

• 支持基于组态工程文件直接导入生成白名单

• 支持工业协议端口自定义

串口白名单

•  支持Modbus RTU/UART协议的深度解析

• 值域级细粒度的监测审计能力

业务工艺白名单（工艺异常检测）

•  结合现场具体业务，配置基于指令周期和时序逻辑的白名单

•  针对逻辑性强的场景，保障关键业务的安全

启发式白名单自学习

• 设定学习周期，支持固定周期和动态周期两种模式

• 提供学习趋势图看到学习趋势和近期学习内容

• 自动提醒切换模式，快速释放安全能力

正常通信行为建模

•  支持管理员对建立的工控通信模型白名单进行人工调校

•  支持对当前通信行为与白名单进行对比，对偏离白名单的行为进行告警

协议通信记录

• 支持对所有网络会话信息的记录，并可通过规则设置进行调整记录信息

•  记录主流工控协议的通信日志

• 对非工控协议能够记录网络连接信息

•  支持HTTP、FTP、Telnet的深度解析

文件内容还原

•  支持FTP文件内容还原

• 还原的文件提供列表展示，内容包括：序号、IP、上传时间、文件名称、操作

• 支持按照IP、文件名称、上传时间范围查询

• 单个文件不超过50M，超过50M不进行还原

• Ÿ最大保存文件个数为20个，超过20清除后再进行存储

元数据上报

•  支持HTTP协议元数据上报

•  支持DNS协议元数据上报

 支持SMTP协议元数据上报

• 支持TELNET协议元数据上报

事件分析统计

• 提供网络流量及报文数量的实时、历史分时、历史分天（可自定义范围）等的统计情况

• 支持对各类告警事件进行多维度的统计

•  支持管理分析，将零散日志进行事件聚合，最终将所有日志按照类别进行集中展示

事件告警

• 支持对工控协议报文不符合其规约规定的格式进行检测并告警

• 支持对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警

• 支持对告警事件一键加入白名单

•  支持允许管理员自定义工控协议通信告警规则，对符合告警规则的通信行为进行告警

• 支持关键服务中断检测，在设定的时间内，单IP 某服务的接收报文为零时进行告警

•  支持对通用协议、工业协议和用户私有协议进行周期、工艺序列、协议字段、序列号、协议长度字段、包长度检测，对于偏离规则的异常行为及时进行识别和检测

• 无流量检测功能能够快速发现服务停止的情况

• 对系统内未知的设备接入进行实时告警，迅速发现系统中存在的非法接入

• 通过对内部网络终端或者服务器的外联行为进行识别，能够发现正常外联行为之外的所有非法外联行为

• 基于流量，检测并判断用户口令是否为弱口令

 通过对流量进行分析，有效识别出异常远程控制工具

异常流量监测

• 监测设备的流入流出流量并设置基线值，超出基线值进行报警

• 监测并采集系统内正常的网络通信，并可手动调校相关通信连接基线，对偏离基线的行为进行检测告警

攻击防范

• 异常报文攻击检测：超大ICMP、Teardrop、Land、WinNuke、fraggle和Smurf

•  异常流量攻击检测：SYN Flood、ICMP Flood、UDP Flood

•  异常扫描行为检测：TCP扫描、UDP扫描、ICMP扫描、文件共享扫描

入侵检测(IDS)

支持入侵检测(IDS)，黑名单规则库具备工控类和非工控类共10000条规则

安全管理

• 通过IP认证、IP＋MAC绑定的可信主机才能访问目前设备系统

•  支持强制口令强度

• 支持分权分级管理

•  支持报表功能，用户通过报表可查看事件、日志和审计的统计数据，支持直方图等形式

•  支持安全设备的策略配置和下发，自动升级

• 支持设备集中管理

•  支持Syslog发送日志告警

•  支持NTP对时

流量镜像转发

•  支持两个固定镜像转出端口

• 镜像入口与镜像转出口映射支持一对一、多对一、一对多和多对多的灵活配置

硬件级安全策略写保护

•  硬件级，非系统或应用层面控制

• 专用钥匙控制，避免人为误操作

• 支持写保护模式下，设备状态、日志、告警等信息的上报。

物理层纯单向流量审计

•  物理层纯单向传输，非系统或应用层面控制

•  最大支持12个物理层纯单向接口

• 支持光口或者电口纯单向灵活选择

指标项

SMA-YH-5612