应用程序体系结构

Kaspersky Industrial CyberSecurity for Networks 包含以下组件：

服务器是接收数据、处理数据并将其提供给应用程序用户的主要组件。接收到的信息（例如事件和设备信息）保存在服务器上的数据库中。每个 Kaspersky Industrial CyberSecurity for Networks 部署方案中只能使用一台服务器。
探测器是由服务器管理的组件，它接收并分析来自连接到探测器计算机网络接口的计算机网络的数据。传感器将数据分析结果转发到服务器。根据来自服务器的具体请求，探测器可以用与接收数据相同的格式转发数据以供分析（例如，与已注册事件相关的流量）。探测器安装在不同的计算机上。探测器不能安装在执行服务器功能的计算机上。该应用程序最多可包含 50 个探测器。

服务器和探测器之间的连接通过使用证书来保护。使用证书还可以确保与应用程序组件的其他连接的安全（例如，通过 Web 界面与组件的连接或通过称为连接器的专门应用程序模块与接收系统的连接）。

如果受监控网络的计算机上安装了执行工作站和服务器保护功能的卡巴斯基应用程序（EPP 应用程序），则可以在 Kaspersky Industrial CyberSecurity for Networks 中配置与这些应用程序的集成。配置集成后，服务器和/或传感器从 EPP 应用程序接收数据并可以与它们交互。

当使用安全审计作业时，服务器和/或传感器可以远程连接到设备进行扫描并接收结果。

Kaspersky Industrial CyberSecurity for Networks 可执行以下功能：

管理传感器并从其接收对所接收数据的分析结果。
处理并保存收到的有关设备及其交互的信息。
注册并保存事件。
对累积信息进行额外分析以检测威胁和事件（例如，根据事件关联规则）。
监控应用程序性能。
监控应用程序用户的活动。
处理通过 Web 界面和连接器提交的传入请求并提供所请求的数据。

Kaspersky Industrial CyberSecurity for Networks 可执行以下功能：

分析传入的工业网络流量：
- 从流量中提取有关设备通信和过程参数的信息。
- 识别流量中的攻击迹象。
根据数据分析结果注册事件。
将事件、流量信息、设备信息和过程参数中继到 Kaspersky Industrial CyberSecurity for Networks 服务器中。

应用程序组件从监控点接收工业网络流量的副本。监控点既可以用于探测器上，也可以用于服务器上。您可以将监控点添加到安装了应用程序组件的节点上检测到的网络接口上。监控点必须添加到中继工业网络流量的网络接口上。

所有包含添加监控点的网络接口连接到工业网络的方式都必须排除任何对工业网络造成影响的可能性。例如，您可以使用配置为传输镜像流量（交换端口分析器，SPAN）的工业网络交换机上的端口进行连接。

应用程序对监控点数量有以下限制：

监测点总数：最多 50 个
服务器上监控点数：最多四个
每个传感器是监控点数：最多八个

运行与 Kaspersky SD-WAN 集成时，每个节点或所有安装了应用程序组件的节点上最多可使用 100 个监控点。

建议使用专用的 Kaspersky Industrial CyberSecurity 网络将服务器连接到探测器和 Kaspersky Industrial CyberSecurity 的其他组件（Kaspersky Industrial CyberSecurity for Nodes/Kaspersky Industrial CyberSecurity for Linux Nodes、Kaspersky Security Center）。专用网络中用于各组件之间交互的网络部件必须与工业网络分开安装。通常，以下计算机和设备应连接到专用网络：

Kaspersky Industrial CyberSecurity for Networks 服务器节点。
Kaspersky Industrial CyberSecurity for Networks 探测器节点。
用于通过网络界面连接服务器和探测器的计算机。
安装了 Kaspersky Industrial CyberSecurity for Nodes/Kaspersky Industrial CyberSecurity for Linux Nodes 和端点代理软件组件的计算机。
作为安全审计作业的一部分，为扫描而建立远程连接的设备。
托管连接器应用程序模块的计算机。
托管 Kaspersky Security Center 的计算机。
网络交换机。

页首