安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具,主要分为用户自主保护 、系统审计保护两种 。网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自
安全审计产品是什么?
安全审计产品的最早出现是在2005年11月23日经
但是由于82号令只是针对经营性以及非经营性上网场所内的网络行为做了规定,对于工控行业的安全审计产品,由于无人认责、无人管理而一直未有建树,当然笔者认为主要原因是工控环境特性导致的“虚假的隔离安全”致使工控行业的安全审计一直在“行内人”看来是一款可有可无的产品。
安全审计产品简单来讲就是通过对网络中的数据进行采集、处理、分析、展示以及存储的智能化产品。其中采集、分析和展示是审计产品的主要功能点,也是现阶段工控环境中最迫切需要的。
为什么需要安全审计产品?
新一代电力信息网络系统具有复杂性、开放性、动态性等特点。这些特点使其具有天生的脆弱性,拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷,既有来自外部的恶意入侵,又有来自内部的权限滥用,来自内外部的安全风险给信息安全工作带来了不小的压力与挑战。因此,新一代电力信息网络安全架构必须是以“智能+防护+控制”为基础贯穿信息系统全生命周期,更加强调整体安全能力,涵盖“云+端+边界”的立体防护体系,强调多链条、多层次安全防线之间的联动和协同,以形成真正体系化的信息安全能力。
单一的网络安全产品,已不能从整体架构中帮助用户完善信息安全的防护等级,工控环境多年来建立的“虚假的隔离安全”在日异月新的技术面前也变得不堪一击。
从政策层面去看,05年颁布的电监会第5号令到11年的工信部《关于加强工业控制系统信息安全管理的通知》再到发改委14号令《电力监控系统防护管理规定》以及
总结:电力行业是
安全审计产品能干什么?
市面上上安全审计产品繁多,而在
1、网络审计功能
深度报文解析;
关键事件检测;
工控协议语法检查;
正常通信行为建模。
2、审计策略设置
以策略的方式对用户的网络行为进行审计。策略可分为全局策略和针对一组审计对象的策略。安全审计产品必须具备高颗粒度的审计策略设置,为用户提供了多种定制化的选择,例如:针对时间段、IP地址范围、端口、协议、数据流向、文件传输、下装行为等。
3、工控协议分析
在工控环境下必须以协议级的审计维度来进行安全审计工作,包括主流的DL/T860 MMS协议、DL/T860 GOOSE协议、DL/T860 SNTP协议、DL/T634.5104协议、OPC DA/HAD/AE/DX、MODBUS TCP、 DNP3 1.0 、DNP3 2.O等,这个根据各个厂家的不同所支持的协议种类也不同,但主流协议不能差。
4、自身安全性
安全审计产品在帮助业主的同时更要有自身安全的保障措施,包括软硬件的设计安全、数据的安全、安装的安全、对网络整体影响的安全以及管理的安全等等。
都有谁来做安全审计产品?
市面上的安全审计产品主要分为两大类:工控安全审计产品和传统安全审计产品(又包含了有线审计和无线审计)。这两类产品也是整个信息安全行业的小缩影,传统安全审计产品与工控安全审计产品区别较大,主要问题集中在针对的客户群体,传统信安产品种类多而且功能较全,但由于各个厂家的技术能力不同、侧重点不同设计出的产品也各有特点。传统安全审计产品多为X86架构,设计之初考虑的主要以商业机房为中心,许多工业环境的特性并未考虑
而工控安全审计产品在功能设计之初就未涉及到很多商用化的功能,从功能多样性来讲并不能胜任商业中复杂的环境,但胜在稳定性强,多以工控环境为设计背景,从设计到研发到成品整个产品的生命周期中更是有许多行业中的从业人员进行了针对性的改进,所以工控安全审计产品在工控行业中的优势较大,在传统商业领域中的表现就不如人意。当然还有其他的差异,比如硬件设计、协议分析、升级方式等等,产品各有优劣,故在产品的选择上,笔者认为针对当前环境的选择才是最适合的产品。
