产品详情

简介

态势感知系统是一款针对于互联网或专网进行快速工控威胁探测和定位的系统平台。其通过主动探测 IP 网络空间，采用无状态极速探测技术，检索在线的工业控制系统和安防监控系统，获知其地理位置，并感知系统具体信息，同时告知其存在的安全隐患，并通过可视化技术，对安全隐患进行实时告警。同时，基于长期探测的数据结果，进行大数据分析及多维度内容关联，形成数据的有效分析态势，提供针对于安全隐患的趋势预测，有效地预防重大安全事故的发生。

功能

i. 全网探测

全网探测是针对于 IP 空间内所有资产进行极速信息获取的功能，获取信息包括位特征、字节特征、会话特征、IP 五元组特征、协议行为特征、统计特征等，综合判断得出设备详细信息。全网探测引入了无状态极速探测技术，使用了 TCP 半连接扫描和异步状态统计的相结合的模式，大幅度的提升了扫描的速率。

ii. 数据检索

系统支持数据的检索，支持多条件索引和模糊搜索，并提供设备具体详细信息。包括设备地址、设备类别、地理位置、版本号、操作系统、发现时间、端口号、服务、漏洞以及漏洞利用的相关链接。并基于搜索给出综合性统计结果信息，并将设备与地图进行管理，结合威胁评分，让各维度信息一目了然。

iii. 趋势分析

系统对数据进行了多维度的统计分析，包括扫描范围、设备在线情况、漏洞分类、区域分布、趋势等，为用户提供可视化的威胁趋势报告。系统将为“互联网+”、物联网、智慧城市等领域的安全态势分析、威胁预警提供全方位的可视化支撑。

iv. 任务管理

通过任务管理，可以合理清晰的帮助用户构建一个威胁感知任务。通过该方式，可以方便的了解整个威胁感知任务的进度。在任务管理中，支持多个任务并行处理，系统将自动处理任务的分布式部署，做到威胁感知任务的高效执行。

v. 报告管理

报告管理功能根据需求灵活设计，可通过对数据的检索，根据不同的结果产出报告。同时系统可根据用户的不同需求，可进行模板的自由定制，同时支持多种报告格式的输出保存。

vi. 评分系统

系统采用国际通用的 CVSS（通用漏洞评分系统）机制，并基于该机制进行拓展，衍生不同的评分模型，能够准确全面的进行风险建模和评分体现。

vii. 日志管理

系统支持日志记录和导出。日志包含登录信息、登出信息、任务执行的相关信息、功能操作信息等。支持日志导出格式为 xml 文件。

优势

i. 准确的工控设备指纹识别能力

通过工控设备指纹对工业控制系统各组成单元进行精准识别，支持识别西门子、施耐德、罗克韦尔、倍福、巴赫曼、台达、红狮、欧姆龙、和利时、三菱、霍尼韦尔、英维思等国内外知名厂商的 PLC、DCS、SCADA 等。

ii. 高效网络空间探测技术

系统采用多扫描节点的并行扫描技术，实现网络空间设备快速扫描。系统采用了流水线作业式扫描技术，来提高效率。设备探测过程包括六个步骤：主机存活判定、端口开放判定、协议识别判定、协议深度交互和设备识别判定、操作系统识别判定、漏洞发现判定，平台将这六个步骤作为流水线作业的六个环节，实现细粒度的扫描任务调度，以提高任务调度的并发度。流水线作业式探测技术还可以有效的穿透防火墙拦截，平台采用细粒度的扫描任务，一个时间段内只做一种扫描行为，实现规避防火墙的防护，达到进一步提高效率的目的。

iii. 丰富的工业控制协议支持

支持大量工业现场级协议，包括但不局限于 Modbus/TCP、S7、DNP3、Profinet、

Ethernet/IP、IEC104、BACnet、Fox、FINS、Melsec-Q、PCWorx、ProConOs、Crimson、MMS等。

iv. 全面的工控信息知识库

系统的工控信息知识库由工控漏洞库、设备指纹库、工控设备库构成。

l  工控设备库涵盖了国内外大部分厂商的设备和型号，同时提供用户自定义添加功能；

l  工控漏洞库由 CVE、CNNVD、CNVD 等公开漏洞库中的工控漏洞和公司长期积累的零日漏洞构成；

设备指纹库为无状态极速探测提供探测手段，为全网探测提供有力支撑，可高效快速的识别工业控制系统和安防监控系统等；

v. 可视化数据结果呈现

系统通过探测网络空间中的工控及安防监控设备，具备全面信息可视化能力。除设备型号、版本、IP 地址、开放服务等基本信息展示外，依托精准的 IP 地理位置数据库，系统还支持设备定位，包括经纬度、隶属地区，并通过二维地图精确呈现，便于跟踪确认。对于设备存在的漏洞细节，平台绘制漏洞的危害级别矢量图，更直观了解漏洞危害情况。

        案例

 中核机械某智慧工厂项目
        国家工业信息研究中心某行业安全态势感知研究项目