,,

介紹

按照“統一管控、分布采集”的原則，建設網絡安全態勢感知系統，將其作為網絡安全中心。

在中控室統一部署態勢感知主站，在所有分區分別部署網絡安全采集裝置，采集裝置對網絡安全數據進行采集、分析處理，最后將采集的數據發送到主站，實現在主站的統一集中管控。

實現工控網絡安全實時監控，發現未知威脅、找出安全業務問題，實現事前預警、事中可知可控、事后可追溯的目的。

功能模塊		功能詳情
安全概況		安全概覽綜合展示多個安全分區的流量和日志數據，儀表盤顯示運行概覽信息，包括采集裝置資產統計、攻擊地圖、節點關系分析、威脅事件、安全事件、總流量趨勢、文件還原數、應用層流量趨勢、網絡層流量趨勢
DashBoard	總流量趨勢	總體流量趨勢反映采集裝置采集的各區（辦公網絡、工控網絡、管理信息大區）的入、出流量隨時間變化的趨勢
	L2-L4流量趨勢	L2-L4流量趨勢反映采集裝置采集的各采集區的L2-L4 流量隨時間變化的趨勢
	應用層流量趨勢	應用層流量趨勢反映采集裝置采集的安全區域（辦公網絡、工控網絡、管理信息大區）的應用層流量隨時間變化的趨勢
	用戶流量趨勢	用戶流量趨勢反映采集裝置采集的安全區域（辦公網絡、工控網絡、管理信息大區）的用戶流量（具體IP）隨時間變化的趨勢
	工控協議流量趨勢	工控協議流量趨勢反映采集裝置采集的工控網絡區域的工控協議流量（具體IP）隨時間變化的趨勢
	異常事件趨勢	查詢各分區異常事件類型統計比例圖、敏感信息熱力圖、非法業務河流圖、DDOS攻擊河流圖
	關鍵業務	查詢統計各分區IM業務、工控信息、視頻信息、物聯網協議、數據庫業務、隧道業務信息。各類業務可按協議類型，并按小時/天/周/月統計流量和包數的topN的ip。Top值可通過系統參數進行設置
安全監視	流量監視	流量監視包括流量指標監控和通訊關系。流量指標監控按照不同安全區域顯示網絡流量指標數據；通訊關系按照不同安全區域顯示區域內實時主機網絡通訊關系。顯示信息包含網絡協議構成、對應協議每秒流量和總流量
	威脅監視	系統提供設備實時監視功能，實時展示所有威脅監視信息
	主機監視	主機監視展示主機登錄情況，運行狀態，端口使用狀態等主機安全事件
	網絡設備	網絡設備展示網絡設備如交換機、路由器等登錄情況，運行狀態，端口使用狀態等設備安全事件
	安全設備	安全設備展示安全設備包括縱向加密設備、隔離設備、防火墻、采集設備的登錄情況，運行狀態，端口使用狀態等設備安全事件
	組網結構圖	顯示廠級分析主站和采集裝置的結構圖，懸停每個采集裝置圖標可以顯示其實時的狀態（CPU、內存、磁盤、通信狀態、關鍵進程狀態），當通信狀態為離線時，紅色顯示
安全審計	流量日志審計	提供網絡流量日志的記錄、查詢等功能，包括網絡統計日志、網絡會話日志
	主機行為審計	提供主機登錄操作信息的記錄、查詢等功能。包括主機登錄系統用戶名、登錄時間、退出時間、操作命令、操作時間等信息，支持對相關操作行為關聯審計及操作路徑的回溯
	設備操作審計	提供對各類設備的操作行為的記錄、查詢等功能。包括網絡設備和安全設備
溯源分析	應用訪問	提供對業務會話、http、郵件、ftp、工業協議等各種應用訪問的記錄、查詢功能
	記錄取證	提供將網絡流量生成pcap文件，并支持導出pcap文件的功能
	文件取證	提供將網絡流量中的文件進行還原，并支持將還原文件下載到本地的功能
智能分析	圖關系	(1) 通過安全分區、IP地址、開始/結束時間進行查詢； (2) 更換IP地址可查看指定IP的圖關系； (3) 點擊節點，可對節點后的圖打開和關閉； (4) 圖關系要展示的信息：上網網站、上網業務、節點關系通信關系對、設備操作行為、業務流量、異常告警信息。
	基線分析	(1) 通過安全分區、IP地址進行查詢； (2) 點擊左上角的箭頭按鈕，選擇不同的業務信息進行展示（上網網站個數、上網業務個數、通信關系個數、流量字節數個數）； (3) 點擊右上角的天、周、月分別查看往前推移（包含當天的）的24天、24周、24個月的數據（x周表示時間、y軸表示業務數據，默認橫軸采樣點數為24，在系統參數中的基線參數表中可配置）； (4) 當數據量大于或小于設定的基準線值（基線參數表中設置的值）時產生告警，如圖中紅色線條為告警數據。
	工控報文分析	(1) 波形圖分析； (2) 通信關系圖分析；
	節點關系分析	(1) 根據所屬分區、開始時間、結束時間、IP地址查詢； (2) 分別點擊左上角的局域網IP、廣播IP、組播IP、公網IP可單獨查看節點圖，也可以全部展示查看。
	關聯分析	(1) 通過所屬分區、威脅分類、開始時間、結束時間、源IP、目的IP查詢數據； (2) 點擊右側的告警信息科展示與告警相關的圖數據關系； (3) 當點擊某一條告警信息時，可以查詢對應的日志信息（安全事件），通過關聯源IP、目的IP、時間（取告警事件時間前后推24小時）。 (4) 當點擊某一條告警信息時，可以查詢對應的流量信息（通信對數據以及具體的DPI信息），通過關聯源IP、目的IP、時間（取告警事件時間前后推24小時）。
智能報表	威脅事件	(1) 通過分區和時間查詢； (2) 選擇“導出報表”將數據導出； (3) 選擇“顯示餅圖”查看餅圖信息。
	流量指標統計	(1) 通過分區和時間查詢； (2) 選擇“導出報表”將數據導出； (3) 選擇“顯示餅圖”查看餅圖信息。
	通信關系統計	(1) 通過分區、源ip、目的ip、目的端口、協議、時間查詢； (2) 選擇“導出報表”將數據導出； (3) 選擇“顯示餅圖”查看餅圖信息。
	非法業務信息	(1) 通過安全分區、時間、非法業務名稱、源IP、源端口、目的IP、目的端口進行查詢； (2) 點擊“導出表格”將數據導出； (3) 點擊右下角的上一頁、下一頁和任意數字，跳轉至對應頁面查看非法業務數據； (4) 點擊左下角“當前顯示”的數字下拉框可設置頁面顯示的數據量。
	非法主機信息	(1) 通過安全分區、時間、IP、MAC進行查詢； (2) 點擊“導出表格”進行數據的導出； (3) 點擊右下角的上一頁、下一頁和任意數字，跳轉至對應頁面查看非法主機數據； (4) 點擊左下角“當前顯示”的數字下拉框可設置頁面顯示的數據量。
資產管理		提供資產信息的增加，刪除，查看，編輯和配置變更完成（修改數據后點擊此按鈕，將修改的數據同步給采集裝置）功能
規則管理		檢測規則主要由主站平臺下發，本系統目前提供檢測方法的查詢。檢測規則包括：可疑IP規格、可疑域名規則、特征值規則和行為模型規則
系統管理	采集裝置管理	采集裝置管理提供對采集裝置進行增刪查改
	上送服務端管理	上送服務端管理提供對廠站側分析平臺管理上送主站配置
	用戶管理	用戶管理包括對用戶的增加，刪除，查看和修改操作。用戶信息包括用戶名、用戶類型、有效期，啟用狀態等信息
	角色管理	角色管理（使用“安全員”用戶登錄）用于對不同角色分配不同權限，用戶配置角色后就賦予該角色定義的菜單權限
	系統日志	日志管理（使用“審計員”用戶登錄）提供對平臺自身最近6個月操作記錄的管理，包括記錄，查詢、導出
	系統參數	系統參數提供參數設置，包括電廠名稱、平臺名稱、LOGO是否加載、安全統計時長、Dashboard中的TOP值、經緯坐標、應用協議、工業協議
	分區管理	對分區進行管理，實現自定義分區名稱，且對分區進行增刪改的操作
	基線參數表	新增基線參數值，并對其進行編輯、刪除、計算、查詢等功能

名稱	型號	軟件版本	EPS	PPS	吞吐量
態勢感知主站	KYSOC-5000	V3.0	100K	100K	10G

KYSOC5000系列產品資料

KYSOC-5000工控網絡安全態勢感知系統

工控網絡安全態勢感知系統