统一安全管理平台(USM)
产品概述
威努特统一安全管理平台是对工业网络中的安全产品及安全事件进行集中管控的一体化产品。通过对生产控制网络中的边界隔离、网络监测、主机防护、入侵检测、运维管理等安全产品进行集中管理,实现安全策略的统一配置、运行状况的全面监控、安全事件的实时告警,同时基于工控设备指纹识别技术实现工业网络的脆弱性识别,帮助工业企业用户掌握工控网络的安全现状,降低运维成本、提高安全事件响应效率。威努特统一安全管理平台子系统工业态势感知以建立工业企业的工控网络安全态势感知的平台为目的,整合企业内部各厂区的设备资产、网络流量、安全漏洞、安全配置、安全日志、设备运行状态、业务故障日志等信息,通过智能关联分析获取企业的安全风险和态势,指导安全告警的事件处置工作。威努特统一安全管理平台子系统工业态势感知借鉴“一个中心、三重防护”的纵深防御模型。采用“一个中心、三重发现”的建设理念,其中一个中心是指集团级安全管理中心,三重发现是指发现工控网络区域边界、网络通信、计算环境安全问题的能力,集团安全管理中心通过统一集中安全管理、态势分析、报警等防护反馈给厂侧,对厂侧安全防护进行监督。
统一安全管理平台-产品特点
全面的安全日志审计
全面记录工业网络中的主机安全日志、网络异常攻击监测日志、网络攻击防护日志、工业网络会话信息,以及攻击发生时的原始报文信息,便于安全事件分析和调查取证。
高速率加密传输通道
产品针对安全设备的统一管理采用私有加密方式进行通信,防止数据包遭到恶意截取或篡改,有效保障数据的有效性和安全性。
安全设备集中管控
对工控网络中的工业防火墙、工控安全监测与审计系统、工控主机卫士、入侵检测系统、安全运维管理系统等安全产品进行集中管控,实现安全设备的集中管理、安全策略的统一下发、安全日志的统一收集、安全告警的统一呈现。
丰富的日志报表展示
内置了丰富的报表模板,包括统计报表、明细报表、综合日志审计报表,审计人员可以根据需要生成不同的报表。
统一安全管理平台-产品功能
安全域管理
威努特统一安全管理平台采用接口划分的方式,实现安全域的管理,帮助管理人员提高工作效率的同时,又减低了操作风险。
拓扑管理
-
提供专业的设备管理工具和网络拓扑管理工具,可以帮助客户对现有的设备进行数字化的管理,也可以方便用户对当前的网络拓扑进行创建和修改。
可信主机管理
-
支持配置可信主机,只有在可信列表中的主机才可以登录安全管理平台。
管理方式
-
支持远程管理方式,且支持HTTPS;
-
支持本地管理方式。
账户管理
-
管理平台采用三权分立的管理模式,各管理员各司其职,相互监督,有效避免了越权和权限过大带来的安全隐患。
资产管理
-
支持自发现在线安全设备,自动生成在设备列表中,显示在线、离线和告警状态;
-
支持对安全设备进行设备升级、自动发现和日志备份等配置操作功能;
-
支持按照策略管理要求,对所管理安全设备划分安全域分别管理;
-
支持查看安全设备的状态、型号、版本、端口状态、功能模式等信息;
-
支持对工控设备管理,支持新增工控设备,并能够查看工控设备的厂商、序列号、型号等信息;
-
支持统一卸载工业主机安全防护软件。
告警信息管理
-
支持监控总览界面,包括事件数量和安全设备连接状态;
-
支持事件实时监控;
-
支持事件关联分析功能,具备分析事件的起源设备、目标设备、及其所经过的保护设备,匹配的规则、关联的其他事件等综合分析能力;
-
日志监控功能,具备监管工业防火墙日志记录功能、监管监测审计平台日志记录功能、监管工控主机卫士日志记录功能。
支持安全设备、工控设备和网络设备的实时监控功能
-
对系统内未知设备接入进行实时告警,迅速发现系统中存在的非法接入;
-
支持对违法使用USB存储设备进行报警。
安全设备集中管理
-
通过对相应设备和系统管理模块进行授权,开启不同安全设备和系统的管理功能。在配置维护操作过程中只需要一键进入相应的管理模块,即可对相应安全设备和系统进行系统配置、拓扑管理、设备状态监控等,在提高工作效率的同时,还节约了企业人力资源的投入。
日志报表管理
-
管理平台对收集到的系统日志、配置日志、流量日志、攻击日志、访问日志进行分析和归档,运维人员能够快速检索到网络或相应设备的安全问题;
-
操作者、操作IP、操作时间、操作指令、处理方式等信息将被记录;全面细致的日志记录,方便管理员对网络异常事件精确定位;
-
支持实时可视化呈现工控网络链路的连通性和服务状态,并提供多类历史监控数据对比分析。
统一安全管理平台-应用场景
生产安全状况集中监测
单臂部署到生产执行层交换机;
全面记录企业生产网的主机安全日志、安全防护日志、流量日志、异常攻击监测日志、攻击发生时的原始报文等信息,提供全方位的可视化展示;
实时发现各类工业控制设备的安全风险和漏洞,提供专业的风险评估和漏洞解决方案;
结合大数据分析和机器智能技术,提供生产安全预警。
工控网络安全设备统一管理
基于工业控制协议的深度解析,实现对非法操作指令的拦截和告警对包过滤日志、工业协议过滤日志等安全事件日志进行记录,并上报至统一安全管理平台单臂部署到生产执行层及过程监控层交换机;
集中管理网络中的工业防火墙、工控安全监测与审计系统、工控主机卫士、主机加固系统、入侵检测系统、安全运维管理系统等设备,实现设备状态监控、配置管理、日志管理、拓扑管理等;
对工控网络中的安全日志进行汇总、关联分析并形成报告,为工控网络安全事件分析和调查取证提供依据。
工业安全态势感知平台-产品特点
支持工业资产自动发现
支持工业资产自动发现,不仅能为用户提供一套完整的工业控制系统、设备的资产台账,还能基于资产展开安全态势感知建设,如基于资产的告警、资产漏洞脆弱性分析,安全防护具体保护了哪些资产、攻击路径到底能可达哪些设备等。
安全态势感知、安全监测“组态化”(V2R3版本实现)
创新性的引入基于业务、基于工艺、基于拓扑的安全监测模式,以拓扑等于业务相关的画面展示网络安全问题。安全监测不再是安全设备本身的监测,而是基于网络内所有资产的监测,如主机、网络设备、服务器甚至“网线连通状态”,从单纯的安全监测提升到业务安全监测。
安全合规可视化
安全建设的驱动力,很重要的一点就是合规,由于威努特是公安部工控等保检查工具箱技术标准编制及设备研制单位,威努特创新把相关能力集成到工业安全态势感知平台上,为用户明确展示当前网络合规量化情况,再也不担心等保测评过不去了。另外还支持其他监管机构检查或评估要求量化。
实时的企业安全态势分析
基于实时告警和日志信息的采集,实时发现企业生产网各类网络安全事件,帮助用户实时发现各类工业控制设备的安全风险及漏洞,提供专业的风险评估及漏洞修复方案,基于网络风险进行合规性量化分析,提供企业网络安全状况健康指数。
工业安全态势感知平台-产品功能
整体安全态势分析
实时分析集团的安全态势;通过企业工控安全健康指数计算方法,可以实时计算集团的工控安全健康指数。
厂区安全态势分析
实时分析厂区的安全态势;
实时计算厂区的工控安全健康指数,将厂区的安全态势量化分析;
通过将安全告警和网络拓扑中的设备资产相结合,可以实现厂区的安全态势可视化
资产态势分析
资产自动识别,漏洞自动匹配,自动识别风风险资产
资产画像,多维度描述IT资产,如IP、MAC、品牌、承载业务、漏洞、开放端口等。
通过资产的合规检查,获得资产的安全配置不合规项,可以计算出资产的合规评分。
资产可疑互联记录。
脆弱性态势分析
支持脆弱性态势分析;
自动识别出每个厂区的高、中、低危漏洞的数量,漏洞级别的分布,漏洞类型的统计,漏洞的设备类型排名,漏洞的设备厂商排名,以及资产的漏洞数量排名;
针对脆弱性态势分析,包括资产配置核查中发现的弱点分析。
安全事件态势分析
自动识别紧急、重要、一般的安全事件的变化趋势,获取安全事件的类型统计结果;
通过对源IP的安全事件数量分析,迅速识别攻击的发起源头;
通过对目的IP的安全事件数量分析,迅速识别攻击的受害者;
通过对安全事件的发生数量统计分析,迅速识别当前网络里面的核心攻击事件。
安全告警关联分析
日志范化、关联分析和告警归并,剔除虚假告警,将真实的安全告警入库集中管理;
精准的定位安全威胁事件,并对特定威胁事件进行溯源分析;
攻击路径溯源分析
支持攻击路径溯源分析,系统会记录每个厂区的IP节点和连接关系,形成资产网络连通图;
通过采集IP对应的漏洞、开放端口、安全事件,基于人工智能的知识图谱技术进行关联分析,获取攻击路径和攻击时间轴,对攻击路径进行溯源分析。
工控网络合规评估
-
支持对工业企业网络的合规评估,支持等保2.0、能源局36号文合规评估;
-
通过用户填写合规评估调查问卷,获取未达标项;最终形成整个企业的合规指数。
工业安全态势感知平台-应用场景
解决心理上对网络安全现状未知的排斥甚至恐惧问题
摸清家底,了解到底有哪些IT&OT资产,形成有资产画像、组网管理,设备当前状态、设备配置情况、策略有效性、漏洞分布等。当前安全防护与合规要求差距,高中低风险都有哪些。
网络连通状态是否ok,网络流量异常信息、网络接入操作行为等信息。设备运行状态,设备连通状态等。设备操作行为。数量规模被有效控制后的安全问题、安全事件报告。
解决业务上对下属企业防护能力提升的有效指导问题
攻击者是谁?来自哪里?攻击目标是谁?攻击途径、入口在哪里?攻击方法?攻击时间?刚刚开始还是潜伏很久?
全面的风险态势、全面的攻击态势、对时间、范围、趋势、影响程度等方面的预测、提前采取的策略建议。