2.1.2 工控安全产品简介 1) 可信边界网关简介:
公司可信边界网关主要为保护工业控制网与管理信息网之间的边界而设计,支持
对OPC等数采协议的深度解析,阻止来自管理信息网的安全威胁,保护数据采集系统的安全。可信边界网关基于业界领先的软、硬件体系架构,其工控协议深度包解析技术不仅对二层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对OPC等协议进行深度分析,防止应用层协议被篡改或破坏。
利用可信边界网关可以建立可信任的数采通信的模型,采用黑白名单互补的安全
策略,过滤一切非法访问,保证只有可信任的设备才可以接入工控网络,只有可信任的流量才可以在网间传输。为控制网与管理信息网的连接提供安全保障。
其主要优势包括:
?支持私有协议的开发平台接口
可信边界网关提供SDK,开放的平台接口可以方便客户自行扩展支持私有协议,
以及做定制化的二次开发。
?高性能匹配算法
工控系统对实时性要求异常苛刻,可信边界网关具备先进的硬件设计,采用专用
MIPS多核处理器,为低延时、高吞吐的数据处理提供了坚实的基础保障。其中深度数据包解析引擎在实现稳定可靠的数据包深度解析的同时,可以做到低延迟,保证了工控系统的实时性要求。可信边界网关结合软硬件加速能力,即使在开启深度报文检测(DPI)的情况下也可实现30000PPS的吞吐量。
?高可靠的软硬件一体化架构
可信边界网关集成硬件加密引擎,为数据采集系统的数据传输提供了高性能的保
证。另外,通过对可信网关和后台管理系统之间的所有数据交换进行加密,确保了整个系统的安全性和可靠性。同时硬件物料精心选型,并且从电路设计、结构设计、系统冗余、时延、可靠性、环境要求等方面严格要求,保证硬件的可靠性。
?自主可控的智能工控安全操作系统
可信边界网关在专用工业级、高性能网络安全硬件平台基础上,构筑了自主知识
产权的智能工控安全操作系统,此操作系统对流经可信网关的数据流做深度的协议解析和匹配,并对数据流做智能调度转发,以及对工控网络流量包的应用层内容做深度检查,为安全功能的扩展提供了坚实的基础保障。
工控可信边界网关在传统网关功能的基础上,专门针对工控环境提供了工控协议
的管控、基于白名单的访问控制策略、智能学习规则、规则测试模式、日志本地缓存等。
?化繁为简的使用体验
可信边界网关以提高工业控制网络的日常安全管理、信息统计数据的易读性和可
操作性为设计核心,降低操作复杂度,避免误操作。系统充分利用人工智能技术,大幅度简化分析、管理、控制流程,并提供简单易学的用户界面,方便管理人员日常操作管
理。管理系统支持实时可视化呈现工控网络链路的连通性和服务状态,提供多类历史监控数据对比分析,系统日志、配置日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。
2) 可信区域网关简介:
可信区域网关主要保护工业控制网络不同安全区域间的安全,支持多种工控协议,
阻止来自安全区域外的威胁,抑制安全域中的病毒、木马向其它区域传播扩散。基于业界领先的软、硬件体系架构,其工控协议深度包解析技术不仅对二层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对Modbus、DNP3、IEC104、Profinet等进行深度分析,防止应用层协议被篡改或破坏。
利用可信区域网关可以建立可信任的工控网络区域间通信模型,采用黑白名单互
补的安全策略,过滤一切非法访问,保证只有可信任的设备才可以接入工控网络,只有可信任的流量才可以在网间传输。为控制网、生产网内部各区域的连接提供安全保障。
可信区域网关为控制网内部各区域间数据访问提供工控协议深度解析、工控指令
访问控制、日志审计等综合安全功能。可信网关采用了高性能、高稳定性的多核硬件架构,为用户提供高效、稳定的安全保障。
其主要优势包括:
?实时精准的工控协议指令级控制
可信边界网关搭载了深度数据包解析引擎,可对工控协议做到实时和精准的识别,
为解决针对工控网络的安全问题提供了技术基础保障,支持对OPC等数采协议进行快速有针对性的捕获与深度解析。可以对OPC等工控协议做到指令级控制,如:OPC协议只读。
?支持私有协议的开发平台接口
可信边界网关提供SDK,开放的平台接口可以方便客户自行扩展支持私有协议,
以及做定制化的二次开发。
?高性能匹配算法
工控系统对实时性要求异常苛刻,可信区域网关具备先进的硬件设计,采用专用
MIPS多核处理器,为低延时、高吞吐的数据处理提供了坚实的基础保障。其中深度数据包解析引擎在实现稳定可靠的数据包深度解析的同时,可以做到低延迟,保证了工控系统的实时性要求。可信区域网关结合软硬件加速能力,设备满配策略条件下时延小于50us。
3) 可信安全卫士简介:
随着工业4.0及两化融合的趋势到来,传统的工业控制系统网络安全问题已成为
企业及国家安全面临的严峻挑战。鉴于工业应用的特殊性,作为工控系统重要组成部分的工作站、服务器等主机终端难以采用传统的杀毒软件等“黑名单”防护方式应对层出不穷的操作系统漏洞、计算机后门程序、病毒、木马、数据扫描、密钥数据块攻击、黑客攻击等多元化的风险及威胁,采用更加安全、可靠、方便的技术对其进行安全加固已经迫在眉睫。
可信卫士基于“白名单”主动防御技术的主机安全防护软件,解决了工控系统主
机病毒感染、恶意脚本执行、操作系统内核漏洞隐患、应用程序缓冲区溢出攻击等问题,能够与威努特可信区域网关、可信边界网关等共同构建可控、可靠、可管理的工控网络“白环境”纵深安全防御体系。
其主要优势包括:
?有效防止零日攻击、APT攻击
基于 “软可信”技术,与“白名单“技术相结合,不依赖于攻击样本采集及攻击
特征的提取,能够有效的防御零日攻击、APT攻击等传统杀毒软件无能为力的攻击方式,保护主机终端的持续安全。
?极致简单,易管理维护,适合工控环境
操作极致简单,不需频繁更新威胁特征库来保持对新威胁的防护能力,避免了升
级可能造成的系统兼容性风险,易于现场管理维护,尤其适合在工业控制系统中使用。
?系统资源需求量小,亦适合老旧设备
不像传统反病毒软件或IDS/IPS设备依赖于一个急剧增长的特征库,可信卫士根
据每个客户的具体生产环境建立一个小规模的白名单,对系统资源占用量小,亦适用于工控环境中老旧设备。 2.2 工控安全煤炭行业系统架构 2.2.1 总体系统架构图
2.2.2 总体系统架构说明
?可信边界网关: