6.1 安全事件監測

6.1.1　流量監測

產品應能夠具有流量監測的功能，具體滿足下述要求：

a) 應能夠監視網絡內的流量數據包，實時獲取數據包用于檢測分析，且不影響工控設備正常運行。

b) 應能夠監測指定的協議或IP地址的流量數據包，且不影響工控設備正常運行。

6.1.2　工業控制協議分析

對于在工業控制網絡內獲取的數據包，產品應能夠分析其承載的工業控制協議報文，滿足下述一種要求：

a) 分析以下（但不限于）通用協議：Modbus/TCP協議、OPC Classic協議、DNP3.0協議、IEC-60875-5-104協議、SIEMENS S7Comm協議、PROFINET協議、EtherNet/IP協議；

b) 一種行業專業協議，例如IEC-61850 MMS協議、IEC-61850 GOOSE協議、IEC-61850 SV協議、軌道交通專業協議等。

6.1.3　互聯網協議分析

對于在工業控制網絡內獲取的互聯網協議流量，產品應能夠分析其承載的數據報文，分析以下（但不限于）互聯網協議報文：

a) HTTP

b) FTP

c) TELNET

d) SNMP

6.1.4　攻擊行為監測

產品應能夠通過分析、對比等方法，包括但不限于發現以下攻擊行為：

a) 工業協議漏洞攻擊

b) 工業控制應用漏洞攻擊

c) 操作系統漏洞攻擊

d) 工業控制設備漏洞攻擊

e) 應能夠監測網絡中蠕蟲病毒、木馬等攻擊行為的發生，且不影響工控設備正常運行。

注：安全漏洞和攻擊參見國家信息安全漏洞共享平臺發布的信息。