網絡安全態勢感知主站
是整合寬域在國家電網電力監控系統網絡安全管理主站和南方電網電力監控系統網絡安全態勢感知系統的開發基礎上,增加工業協議解析、日志解析、威脅處理等,從而形成的工業互聯網網絡安全態勢感知系統。
實現內網網絡安全實時監控,發現未知威脅、找出安全業務問題,實現事前可知、事中可控、事后可追溯的目的。
基于內網安全面臨的挑戰出發,從外部威脅和內部脆弱性考慮,設計系統整體功能。
寬域KYSOC2.0從4+6出發,進行考慮設計,進行內網的實時監測監控。設計如下:
a.4個外部威脅:網絡行為、移動介質(外設接入)、 人工操作、代碼程序
b.6個內部脆弱性:設備發現、互聯拓撲、開放服務、運行狀態、配置合規、漏洞掃描。
c.網絡流量DFI、DPI實時分析,匹配威脅情報規則,進行實時預警。
d. 采集其他安全設備syslog日志,進行實時分析,統一管控,并可以為安全設備的策略設置提供依據。
網絡安全態勢感知主站
整體架構
系統拓撲
產品優勢
釣魚攻擊 | APT 團伙 | 成功獲得用戶權限 |
滲透攻擊 | 高級攻擊 | 試圖獲得管理員權限 |
信息收集 | 違規遠程運維 | 成功獲得管理員權限 |
惡意軟件 | 違規使用無線路 | RPC查詢的解碼 |
木馬后門 | 低俗內容 | 可執行代碼 |
挖礦病毒 | 無可疑流量 | 可疑字符串 |
木馬遠控 | 未知流量 | 可疑的文件名 |
敏感信息 | 潛在的不良流量 | 嘗試使用可疑用戶名登錄 |
僵尸網絡 | 試圖泄露信息 | 系統調用 |
蠕蟲病毒 | 信息泄露 | TCP連接 |
勒l索病毒 | 大規模信息泄露 | 網絡特洛伊木馬程序 |
流量異常 | 試圖拒絕服務 | 疑似高危端口使用 |
