【工控安全产品】工业控制系统信息安全检查工具箱

工信部“451”号文件《关于加强工业控制系统信息安全管理的通知》、GB/T 30976.1-2014《工业控制系统信息安全：评估规范》极大地推进了工控安全的发展，解决了我国工控安全无标准可依的窘境。

工控网络的特点决定了基于办公网和互联网设计的信息安全防护手段（如防火墙、病毒查杀等）无法有效地保护工控网络的安全。

1）系统运行环境不同：工控系统运行环境相对落后，如操作站的机型和操作系统。

2）更新代价高：无法像办公网或互联网那样通过补丁来解决安全问题，每次打补丁都会涉及工控软件的兼容性问题。

3）网络通讯协议不同：大量的工控系统采用私有协议，导致信息安全厂商需要做一些协议解析的工作。

4）对系统稳定性要求高：网络安全造成误报等同于攻击，相比传统信息系统，对信息安全产品提出了更高的要求。 

目前工业控制网络安全事件呈逐年增加趋势，据统计，2015年度有12%的攻击入侵到了工业现场级的控制系统，这一数据要高于2014年的9%。2015年工控网络攻击方式统计如下图：

针对以上问题，工业控制系统信息安全检查工具箱随机问世。其核心功能有二。

1.集成工控威胁感知平台，工控威胁感知平台能通过旁路镜像流量分析、流量数据包解析等方式，分析出异常行为流量、非正常访问流量，分析结果包括时间日期、规则（即异常行为的特征表述）、源地址、目标地址、源端口、目标端口、协议类型等。支持通过指定方式进行流量采集，通过时长或数据总量来限制获取的数据包总量，当获取数据包的时长达到设置时长或设置的数据总量时停止获取数据流量，工具箱可根据需要删除获取的流量数据包，支持PROFINET、S7、Modbus、IEC104、Crimson等工控系统协议。

2.集成工控漏洞检测工具，针对工控设备进行设备探查，抓取设备信息，采用低风险轻量级漏洞指纹探测方法，准确获取目标漏洞信息，漏洞库里的漏洞涵盖CVE、CNVD、CNVVD发布的相关工控网络的漏洞，涵盖厂商零日漏洞库。能对上位机操作系统及SCADA系统、下位机的各种漏洞进行检测。