产品亮点

• 以资产为中心威胁分析，符合客户习惯

  工业生产流程比较固定，相较于以告警事件为中心的威胁分析方案，以资产为中心的漏洞发现与风险分析更符合工业环境管理习惯。

• 级联无损部署方式，不影响生产

  产品支持部署在不同层级（集团，厂区，车间），通过控制平台统一日志分析与策略管理，满足客户分级监管需求。此外，旁路工作模式不影响现有工业生产。

• 全面检测IT/OT安全威胁

  集AV检测、IDS检测引擎于一体，全面检测工业网络的病毒传播、入侵行为。兼备传统IT网络与工控网络安全检测能力，适合IT/OT混合网络环境。

• 安全威胁多维视角大屏呈现

  从资产、脆弱性、威胁等多个视角全面分析工控系统安全态势。采用业内最先进的大屏可视化技术，直观呈现工控系统安全态势。

产品功能

• 自动发现工控资产，监测非法接入

  通过旁路无损流量探测技术，自动发现工控设备类型、品牌型号、系统平台等关键资产信息。通过自学习建立工控通信模型，形成资产白名单，监测非法设备接入和违规IT应用。

• 检测网络攻击，识别安全风险

  自动发现工控网络中的漏洞，支持3大漏洞库CVE/CNVD/CNNVD，覆盖220+厂商, 3300+条漏洞。集成了IDS（入侵检测）引擎和病毒检测引擎，实时检测网络攻击行为。

• 监测异常操作，保障连续生产

  识别20+种主流工控协议，如OPC、S7、Modbus、Profinet等，并支持对工控协议的指令深度解析。支持对生产工艺中的关键事件进行检测，如：工程师站组态变更、操控指令变更、PLC下装、固件升级等关键事件。监测偏离基线的异常操作，告警设备违规外联以及人员违规操作。

• 工业安全集中分析，大屏展示安全态势

  在集团总部部署管理控制平台（ISDC），对车间、厂区的ISD设备进行集中管理，汇总所有设备的监测日志，统一分析安全事件，了解全网安全风险态势。此外，管理控制平台还可以对所有设备进行状态监控与策略设置。

使用场景

根据工控系统的标准普渡分层模型（由上至下，企业IT层、生产管理层、过程监控层、现场控制层、现场设备层），ISD作为旁路设备，可以部署在L1~L3层的位置，通过监测对应网络交换机的镜像端口流量，实现对该区域网络的监测审计，如图：

“多点分布集中上报”，对于拓扑相对复杂的工控系统来说，需要根据生产业务、地理位置不同因素，通过使用多个接入工业交换机的方式，将网络划分成多个区域，如图。针对这样的网络，我们需要将ISD部署到每一个接入交换机一侧，才能实现对每一个子网内流量的监测，同时也许要将ISD部署在汇聚（核心）交换机一侧，以实现对OT到IT之间的流量的监测。ISD需要将采集到的数据信息，集中上报给ISDC，以供ISDC进行流量分析和问题处置。