伴随着工业化和信息化融合发展，大量IT技术被引入现代工业控制系统，网络设备、计算设备、操作系统 、嵌入式平台等多种 IT 技术应用在工控系统中。与IT系统不同的是工控系统的生命周期长、设计模型与IT系统有本质区别，用户不能直观、方便的监控工控设备状态，工控系统部署完成后不会轻易升级，大量旧版本操作系统存在各种历史漏洞，稍不留意就会成为病毒、木马、黑客攻击的靶点。

工业应用审计系统专门为工控网络量身打造，采用旁路部署，不干扰业务系统正常运行，实时检测工控网络的状态、工业协议通信、入侵等行为，直观的了解网络运行状况，根据定义的策略，追踪工控网络安全事件。

部署示意图

Q1：工控系统设计优先考虑可用性，设备串行接入必然会对业务系统的造成影响，怎样不影响业务系统又能实时查看网络状况？

A1：工业应用审计系统采用旁路部署，不干扰业务系统运行，利用流量分析功能检测通信行为，帮助用户实时了解网络、设备运行状况。

工控与IT系统设计模型

Q2：工控系统生命周期一般在8~15年甚至更长，软件、操作系统因为兼容性问题不能打补丁，现在管理网监管又把互联网接进来，如何识别日益增加的风险？

A2：互联网的引入势必会带来更多的安全隐患，工业应用审计系统可以利用内置威胁特征库，实时检测风险并产生对应告警。系统内置了工业协议识别引擎，深度识别工控协议，对报文格式、完整性、功能码、寄存器、连接状态等进行检查，深度解析通信行为，建立安全通信模型，利用模型进一步识别风险行为，同时利用设备监测技术，对未知设备接入网络产生告警。

数据来自腾讯安全联合实验室

设备的优点及价值

• 旁路部署无干扰

• 网络状态实时监控

• 风险行为准确识别

• 未知设备立即告警

• 通信记录完整留存

安盟华御工业应用审计系统采用旁路部署方式，实时检测工控网络，通过内置的威胁库识别已知的攻击行为，白名单与自定义策略相结合，及时发现违规的行为，识别潜在威胁。系统内置工业协议识别引擎，深度解析工控协议，对报文格式、完整性、功能码、寄存器、连接状态等进行检查，建立安全通信模型，利用模型进一步识别风险行为，审计与分析能力可追溯安全事件的轨迹，还原事故真相，同时利用设备监测技术，对未知设备接入网络产生告警。

安盟华御工业应用审计系统已成功应用于电力、钢铁、煤炭、石油化工、烟草等领域，保障着国家关键信息基础设施的安全运行。