北信源工控网络安全审计系统是一款专门针对工控网络中的网络攻击、用户误操作、违规操作、设备非法接入以及蠕虫、病毒等恶意软件的传播,通过特定安全策略实现实时监测、实时告警、安全审计等的网络安全系统。同时,监测审计平台提供直观的、包含网络告警信息的网络拓扑图以及生成以时间为周期性的系统网络安全分析报告,并给出相应的防御策略和事件溯源的报文源码,使用户在了解网络拓扑的同时获知网络告警分布,轻松掌握网络运行状况。
采集层:负责采集工控网络中全面数据包,保障工控数据采集的完整性。应对大流量的网络环境,该解决方案采用了业界领先的数据处理、分析与存储架构,从解决方案技术架构的层面,进行了系统性的设计,真正使得方案成为一款能够支撑长时间大流量的网络行为分析系统。该解决方案在旁路镜像获取到网络数据包后,对数据包内容进行基于扩展Flow 的流量分析技术的处理。具备支持更多工控协议解析能力。并通过专用的数据传输通道,将抓获的业务流量加密传输到审计平台。需要对流量进行IP碎片重组、TCP状态跟踪、TCP流汇聚。
深度检测层:负责采集层上的所有流量的协议识别,通过识别到的协议类型进行深度的分析具体协议内容,接着对识别到的协议与规则库进行匹配,如果匹配上,则上报告警到存储层。
存储层:负责存储所有的告警、日志、配置、规则信息,提供给展现层进行数据展现,提供管理员用户对配置和规则的修改。
展现层:采用灵活的、易用的、具备良好交互功能的展现平台,将监测与审计信息直观准确的提供给管理者、操作员等,同时具备提供报告和在线打印等功能。
