三中網安工控安全網關
產品概述
三中網安工控安全網關是三中網安全新推出的工業控制安全網關系列產品,其基于軟、硬件體系架構,其工控協議深度包解析技術不僅對二層三層網絡協議進行解析,更進一步解析到工控網絡包的應用層,對OPC、Modbus、DNP3、IEC104、Profinet等進行深度分析,防止應用層協議被篡改或破壞。
利用三中網安的網關產品可以建立可信任的數采通信及工控網絡區域間通信的模型,采用白名單的安全策略,過濾一切非法訪問,保證只有可信任的設備可以接入工控網絡,只有可信任的流量可以在網絡上傳輸。為控制網與管理信息網的連接、控制網內部各區域的連接提供安全保障。在電力、石油、石化、煙草及工業制造等多行業得到廣泛應用。
三中網安工控安全網關提供工控協議深度解析、工控指令訪問控制、日志審計等綜合安全功能。三中網安工控安全網關采用了高性能、高穩定性的多核硬件架構,為用戶提供高效、穩定的安全保障。
產品定位
三中網安工控安全網關,用于控制網與管理信息網的邊界,阻止來自管理信息網的安全威脅。
產品功能
(1)數采協議的深度解析(DPI),例如OPC;
(2)建立可信數采通信模型;
(3)只允許模型中的數據輸出到管理信息網;
(4)阻止任何不可信數據包進入控制網;
(5)對所有通信過程進行記錄和審計。
產品優勢
(1)實時精準的工控協議指令級控制
三中網安工控安全網關搭載了三中網安自研的深度數據包解析引擎,可對工控協議做到實時和精準的識別,為解決針對工控網絡的安全問題提供了技術基礎保障,其全面支持各大主流工業控制協議,并且能夠對各類數據包進行快速有針對性的捕獲與深度解析。對不同行業的工控系統,可以采取相應針對性的數據包探測機制和解析策略。在遵循工業控制系統可用性與完整性的基礎上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,如惡意軟件、具體數據和應用程序類型。解析引擎執行時能夠滿足工業控制系統在生產和制造過程中的通信效率保障和冗余機制等要求。
深度數據包解析引擎支持涵蓋OPC、Modbus、IEC 60870-5-104、IEC 61850 MMS、DNP3等在內的各大主流工控網絡協議,可以對OPC等工控協議做到指令級控制,如:OPC協議只讀。
(2)支持私有協議的開發平臺接口
當前市場上的工控安全產品大多只支持通用工控協議,對私有協議的支持不到位,進而影響了防護能力,三中網安工控安全網關提供SDK,開放的平臺接口可以方便客戶自行擴展支持私有協議,以及做定制化的二次開發。
(3)高性能匹配算法
工控系統對實時性要求異常苛刻,三中網安工控安全網關具備先進的硬件設計,采用專用MIPS多核處理器,為低延時、高吞吐的數據處理提供了堅實的基礎保障。其中深度數據包解析引擎在實現穩定可靠的數據包深度解析的同時,可以做到低延遲,保證了工控系統的實時性要求。三中網安工控安全網關結合軟硬件加速能力,即使在開啟深度報文檢測(DPI)的情況下也可實現30000PPS的吞吐量。設備滿配策略條件下時延小于200us。
(4)高可靠的軟硬件一體化架構
三中網安工控安全網關集成硬件加密引擎,為監控層系統和控制層系統的數據加密傳輸提供了高性能的保證。另外,通過對三中網安工控安全網關和后臺管理系統之間的所有數據交換進行加密,確保了整個系統的安全性和可靠性。
同時硬件物料精心選型,并且從電路設計、結構設計、系統冗余、時延、可靠性、環境要求等方面嚴格要求,保證硬件的可靠性。其中:
硬件產品達到工業三級B以上指標;
設備支持主從備份、雙機熱備功能;
支持硬件故障自動旁路轉換(Bypass)功能,一旦設備故障,設備自動Bypass離線,正常業務流量不會中斷,切換速度達到工業級要求;
工作環境可滿足溫度:-40~70℃,濕度:5%~95% 無凝結;
無風扇全封閉設計,電源采用1+1冗余供電;
業務端口與管理端口分離設計;
多種靈活的安裝方式,包括導軌安裝、機柜安裝等。
(5)自主可控的智能工控安全操作系統
三中網安工控安全網關在專用工業級、高性能網絡安全硬件平臺基礎上,構筑了自主知識產權的智能工控安全操作系統(即:Intelligent Industry Control Security Operating System 簡稱:IICS-OS),IICS-OS對流經的三中網安工控安全網關的數據流做深度的協議解析和匹配,并對數據流做智能調度轉發,以及對七層以上的內容做深度檢查,為上層的特色的安全功能的擴展提供了堅實的基礎保障。
三中網安工控安全網關在基本傳統安全網關功能的基礎上,專門針對工控環境提供了工控協議的管控、基于白名單的工控訪問控制策略、智能學習規則、規則測試模式、日志本地緩存等。
(6)化繁為簡的使用體驗
三中網安工控安全網關以提高工業控制網絡的日常安全管理、信息統計數據的易讀性和可操作性為設計核心,降低操作復雜度,避免誤操作。系統充分利用人工智能技術,大幅度簡化分析、管理、控制流程,并提供簡單易學的用戶界面,方便管理人員日常操作管理。管理系統支持實時可視化呈現工控網絡鏈路的連通性和服務狀態,提供多類歷史監控數據對比分析,系統日志、配置日志、流量日志、攻擊日志、訪問日志等類型日志的查詢與備份。
典型部署
三中網安工控安全網關部署在辦公信息網與生產網之間,作為控制網邊界的第一道防線,用來阻止來自管理信息網的病毒、木馬、網絡入侵等安全威脅。
三中網安工控安全衛士系統與三中網安工控安全網關系列軟件產品配合所組成的工控網絡安全綜合解決方案,可以有效保護工控系統網絡、服務器、工作站免遭病毒木馬以及惡意攻擊的破壞。通過對工控網絡的安全建模,可以保證只有可信任的流量能夠在工控網絡中傳輸,只有可信任的設備能夠接入到工控網絡中,只有可信任的軟件能夠在工控系統上運行。幫助用戶建立一個可控、可靠、可信的工業控制網絡應用“白環境”。
