产品概述

工控安全监测与审计系统（GTEC-MA）是针对工业控制网络流量进行行为分析与安全监测的审计类产品。产品基于流量检测技术，快速识别工控网络中的非法操作、异常事件、外部攻击等行为，同时可记录工业协议通信指令行为，为安全事件的调查提供依据。
 

 功能特性

 深度解析协议指令：支持对MODBUS、IEC104、MMS、PROFINETIO、SV、OPC UA、OPC DA、SNMP、DNP3、S7、GOOSE、ENIP、PNRTDCP等十余种主流协议解析。可深度分析生产通信环节中的控制指令、参数、遥感、遥测等信息。

 精准识别攻击行为：利用自有的工控威胁黑名单库，建立特征匹配规则，精准识别工业网络中的攻击行为并实时告警。

 实时监测网络流量：实时监测工控网络中通信协议状态、流量等元素并进行统计分析，通过自定义规则或白名单规则，检测业务流量中不合规的工控网络行为，对不合规行为进行实时告警，并留存网络数据。

 安全留存审计数据：对所有工控网络中的原始数据进行安全存储，并根据行业相关审计要求，审计数据留存时间不少于六个月。

 数据保护及自身安全保障：基于国产密码的数据安全防护和安全传输隧道机制，保证上传数据的可靠传输和防窃取。以可信计算为核心、可信硬件为载体、可信算法为纽带，共同构建软硬一体化的安全防护机制，保证业务传输安全和自身安全。

 内置专业反病毒引擎：专业脱壳引擎及解压缩引擎，结合特征码扫描、启发式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对JS、VBS、SH、Python、PHP、BAT等多种格式的脚本进行扫描，快速准确检测Shellcode威胁。宏病毒引擎可清除Office文件中的恶意宏代码，正确修复文档。

 典型部署

• 部署于现场各生产车间网络可镜像流量的交换机上

• 部署于监控层网络可镜像流量的交换机上