Q5: 工控安全审计主要审计什么内容？

Q5: 工控安全审计主要审计什么内容？

A: 工控安全审计是对工控系统运行过程中的各类行为和事件进行记录、分析和审查，主要审计内容包括：

1. 网络通信审计：记录网络中的通信行为，包括通信双方 IP 地址和端口、协议类型、通信时间、数据量等。特别关注跨安全区域的通信、远程访问连接、异常的网络扫描和探测行为。
2. 工控操作审计：通过协议深度解析，记录工控协议层面的操作行为，如对 PLC 的读写操作、寄存器修改、参数调整、控制指令下发等。这是工控审计区别于传统网络审计的核心内容。
3. 用户操作审计：记录用户在工控终端和设备上的操作行为，包括登录/注销事件、配置修改、程序上传/下载、参数变更等，关联操作人员身份信息。
4. 系统日志审计：采集和分析各类工控设备（PLC、DCS、HMI、交换机等）的系统日志，包括系统启动/停止、服务状态变化、异常告警等事件。
5. 安全事件审计：记录安全设备产生的告警和事件，包括防火墙拦截事件、入侵检测告警、终端安全拦截事件等，分析安全事件的趋势和关联关系。
6. 变更审计：记录工控系统的所有变更操作，包括网络配置变更、安全策略变更、固件升级、程序更新等，支持变更追溯。