绿盟工控安全审计产品通过采用机器学习的算法通过对工控业务模型的深度分析，及时发现系统中潜在的安全隐患，解决目前工控系统安全事件难于定位和处置的困难。

产品简介

NSFOCUS SAS-ICS基于对不同行业工控环境的理解和对协议规约的深度解码，通过预制的行业经验模型，结合工控系统中操作过程中相关的规程要求，来感知工控系统中潜在的异常操作行为。深度分析从上位机指令下达过程从上位机控制端到下位机操控指令进行有效的合规性定义。能够分析工控现场中的操作是否符合定义的操作要求，如发现其中有任何的违规操作及时进行报警。

【多行业工控协议的深度解析】

工控领域中从控制方面考虑，从实现工控的层面考虑，主要是SCADA系统、DCS系统、PCS系统、PLC等。由于历史原因及不同应用场景下，对于功能要求的差异，在工控领域中，多种工控协议在现场环境中得到应用。其中电网从控制层面考虑的一些特殊性，如电压、电力的潮流变化要求等，所采用的协议基本应用到电网和电厂及相关的电力企业中。如：IEC 60870-5-101、102和104协议、IEC 61850、IEC 61970、ICCP等，而其他行业如石油、石化、煤炭、市政交通等行业普遍采用大多采用DCS和PCS系统大量了采用MODBUS、PROFINET来作为监控信息的收集和控制

NSFOCUS SAS-ICS基于对工控环境的理解，针对工控环境使用的规约进行了相关的分析和研究，对于协议的内容进行了完全的解码，可以深入到指令级别的分析，对于从上位机控制端到下位机操控指令进行有效的合规性定义。通过镜像方式对流量进行深入解码，分析其中的操作是否符合定义的操作要求，如发现其中有任何的违规操作，及时进行报警，有管理员来进行相关的处理。目前，NSFOCUS SAS-ICS可以支持IEC 60870-5-101、102和104协议、IEC 61850、MODBUS，其中IEC 60870-5-101、104和MODBUS可以做到指令级别的识别，其他规约可以做到应用级的识别，后续会持续对规约支持的范围进行更新。

【业务行为安全审计】

NSFOCUS SAS-ICS针对不同客户在审计工控中的需求，对于基于IEC 60870-5-101、102和104协议、IEC 61850、MODBUSRTU和PROFINET等工控协议的操作指令进行有效的识别，定义了其中存在的高危操作，能够及时进行报警。如对于变电站侧的SV报文，能够发现其中存在的采样值的变化情况，如发现采样操作超过了预定义的3000HZ的频率，会发出相关的告警。用户也可以根据实际的工程经验，在系统界面中进行配置。

【基于机器自学习功能的工控网络安全基线模型】

机器学习和基线建立（工控网络安全状态建模）

业务基线没有业务交互的两个控制节点产生了业务交互；

控制节点间发生了之前没有发生的业务指令；

关键业务发生的时间与基线有较大的差异；

业务指令的响应周期比基线值有较大幅度的增加；

控制节点间的业务指令交互频率较大幅度的高于或者低于基线值；

【“组态化”的配置模板】

工业控制系统与传统IT系统在配置上和业务类型上存在较大的差异性，NSFOCUS SAS-ICS可以提供基于组态的配置模板，可以针对客户的业务场景通过模板进行场景化的配置，方便现场的操作人员对规则进行配置和使用，使用习惯上符合现场操作人员对工控系统的使用。通过预制的设备类型和应用场景，用户无需关注具体的规则设备，只需要配置场景就可以实现在应用场景内的规则配置和应用。