奇安信网神工业控制安全网关系统产品白皮书-V2.0
- 格式:pdf
- 大小:604.07 KB
- 文档页数:11
下载文档原格式
合集下载
网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0
网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技(北京)有限公司网御神州科技(北京)有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技(北京)有限公司1 概述随着网络技术的不断应用和完善,Internet正在越来越多地渗透到社会的各个方面。
一方面,企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户组成越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。
人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。
为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。
” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。
产品白皮书_网神SecFox日志收集与分析系统 V5.0
网神SecFox日志收集与分析系统V5.0产品白皮书文档信息文档名称网神SecFox日志收集与分析系统V5.0产品白皮书文档版本号V19.4.1扩散范围销售/售前/用户作者朱保建日期初审人复审人修订人张炜目录1产品概述 (5)2产品特点 (6)2.1高性能的日志采集 (6)2.2智能的事件关联分析 (6)2.3可视化的日志分析统计 (6)2.4合规性审计报表报告 (7)2.5分级部署能力 (7)3主要功能 (7)3.1日志资产管理 (7)3.2日志采集 (7)3.3事件归一化 (8)3.4日志实时监视 (8)3.5日志实时分析和统计 (8)3.6关联分析 (8)3.7告警和响应管理 (8)3.8统计报表 (8)3.9日志备份归档 (9)3.10级联管理 (9)4产品资质 (9)1产品概述为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。
这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。
更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。
国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。
《中华人民共和国网络安全法》已于2017年6月1日起正式实施。
网络安全法正式施行,在网络安全历史上具有里程碑意义,对安全审计提出了新的要求。
企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、审计、分析、报警、响应和报告。
工业互联网安全白皮书
工业互联网安全白皮书在当今数字化、智能化的时代浪潮中,工业互联网犹如一股强大的动力,推动着工业领域的深刻变革和创新发展。
然而,伴随着工业互联网的蓬勃兴起,安全问题也日益凸显,成为制约其发展的关键因素之一。
工业互联网将传统工业与互联网深度融合,实现了人、机、物的全面互联。
通过传感器、大数据、云计算等技术,企业能够实时监控生产流程、优化资源配置、提高生产效率。
但与此同时,这种广泛的连接也为网络攻击打开了新的大门。
一方面,工业互联网涉及众多关键基础设施,如电力、交通、石油化工等。
一旦遭受攻击,不仅会影响企业的正常生产运营,还可能对国家安全和社会稳定造成严重威胁。
例如,针对电力系统的网络攻击可能导致大面积停电,影响人们的日常生活和社会秩序。
另一方面,工业控制系统相较于传统的信息技术系统,其安全防护能力相对薄弱。
许多工业设备和系统在设计之初并未充分考虑网络安全问题,存在着诸多安全漏洞。
而且,由于工业生产环境的特殊性,设备更新换代周期长,难以及时进行安全补丁的升级和维护。
那么,工业互联网面临的安全威胁究竟有哪些呢?首先是网络攻击手段的不断进化。
黑客组织和不法分子利用高级持续性威胁(APT)、恶意软件、网络钓鱼等手段,对工业互联网进行有针对性的攻击。
其次,数据安全问题日益突出。
工业互联网中产生和传输的大量数据,包含了企业的核心机密和用户的个人信息,如果这些数据被窃取、篡改或泄露,将给企业带来巨大的损失。
此外,内部人员的误操作或恶意行为也不容忽视,他们可能因为疏忽或利益驱动,对工业互联网系统造成安全隐患。
为了应对这些安全挑战,我们需要采取一系列的防护措施。
首先,强化安全意识是至关重要的。
企业和员工要充分认识到工业互联网安全的重要性,加强安全培训,提高安全防范意识。
其次,建立完善的安全管理制度,明确责任分工,规范操作流程,从制度层面保障工业互联网的安全运行。
在技术层面,我们需要采用多种安全防护技术。
比如,部署防火墙、入侵检测系统、加密技术等,对网络进行实时监控和防护。
网神SecSIS 3600-AC1000安全隔离与信息交换系统产品白皮书 - 8.16
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (11)1产品概述网神SecSIS 3600-AC1000 安全隔离与信息交换系统(简称:“网神网闸”)能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外网络间进行“摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换。
该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。
2产品特点●安全高效的体系架构网神网闸采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。
内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。
隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。
内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
●专用的隔离交换模块网闸产品核心部件为隔离交换模块,网神网闸隔离交换模块基于专用安全芯片设计,全硬件交换;网神隔离交换模块是业界首家研发并使用高效PCI-AC1000接口的交换模块,此交换模块采用PCI-AC1000 x4通道设计,单向最高带宽大约是10Gbps,消除性能瓶颈;网神隔离交换模块采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
●操作系统安全可靠内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS,此系统具备强大的抗攻击能力,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。
网神SecBMS带宽管理系统技术白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1前言 (4)2产品背景 (6)2.1P2P应用概况 (6)2.2P2P对网络的影响 (7)2.3P2P应用技术发展 (7)3处理P2P策略 (10)4如何检测网络中的P2P流量 (12)5技术解决方案 (13)6系统架构 (16)7主要功能特色 (18)7.1强大的协议识别引擎 (19)7.2灵活的带宽管理 (20)7.3内网IP统计功能 (22)7.4简单易用的单IP限速 (23)7.5丰富的报表统计 (23)7.6系统高可用性 (23)7.7全中文化安全的Web管理 (23)当前的IP网络,基于应用的分类管理,应用可视性和网络可管理性的地位比以前更重要,需求也更加迫切。
P2P应用的广泛流行,已是桌面应用和网络流量的主流。
出于技术与市场的驱动,唯有专业的应用层流量管理产品,才能跟踪并分析网络/用户的流量模式,更加有效的管理网络带宽资源,并加强服务特色化,管控结合,提高网络运行效率,提升用户满意度和忠诚度,具有多方面的益处。
P2P(Peer-to-Peer)应用是不需关照的下载方式,增加网络峰值带宽和峰值持续时间,使用随机端口(port-hopping) ,流量普遍占到网络总流量的60% —80%,为了让用户更快的体验和畅通无阻,则极力争抢带宽和逃避监管。
由于使用随机端口,传统的基于端口来区分应用的方式就失去了作用。
网神SecBMS带宽管理系统是在P2P流行时代,诞生的新一代应用层流量管理产品,支持对IP流量的应用分类,实时控制用户组、应用服务流量。
网神SecBMS带宽管理系统的解决方案是基于状态和特征的检测,精确识别9大类80余种常用协议,并创新地自主开发“协议特征描述语言”——PSDL(Protocol Signature Description Language),使得维护协议特征库更加方便快捷。
网神SecIPS 3600入侵防御系统产品白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (12)4产品资质................................................................................ 错误!未定义书签。
1产品概述网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。
配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。
从而,很好地提供了动态、主动、深度的安全防御。
2产品特点网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。
以下分别介绍这两大部分。
高效的体系结构在平台优化的核心技术方面,主要有以下三个方面。
1)零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。
2)核心层优化所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
3)硬件特征比对网神特征比对引擎是一款能直接比对特征码格式,引擎比对速度高达4Gbps。
相对于一般只对报文内容进行文字搜索的作法,引擎同时整合了第四层的特征内容,减少了处理器额外比对并且有效降低误判,且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元,能高速进行对比并且不会有规则存储导致硬件满载的风险。
网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]
技术白皮书网神SecGate 3600 NSG系列下一代安全网关(UTM)目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯(IM) (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一:网络出口综合安全防范 (14)4.2拓扑二:透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关(UTM)(简称:“网神NSG系列UTM产品”)是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构,中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。
网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界,为用户同时提供多种、多层次安全防御,保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害,同时为用户节省了购买多个设备的高昂费用,可简便地统一管理各种安全模块及相关日志、报告,大大降低了设备的部署、管理和维护成本。
2019年9月 奇安信云安全管理平台产品白皮书
云安全管理平台产品白皮书版本信息文档名称密级创建人云安全管理平台产品技术白皮书2.0.3V1.0公开云安全公司修订记录修订日期修订内容修订人2019.7新建,适用于云安全管理平台V2.0.3,文档版本2.0.3V1.0云安全公司版权声明:奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
免责声明奇安信集团,是专注于为政府、军队、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全公司,包括但不限于以下主体:北京奇安信科技有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司,以及上述主体直接或者间接控制的法律实体。
奇安信集团在此特别声明,对如下事宜不承担任何法律责任:1、本产品经过详细的测试,但不能保证与所有的软硬件系统或产品完全兼容,不能保证本产品完全没有错误。
如果出现不兼容或错误的情况,用户可拨打技术支持电话将情况报告奇安信集团,获得技术支持。
2、在适用法律允许的最大范围内,对因使用或不能使用本产品所产生的损害及风险,包括但不限于直接或间接的个人损害、商业盈利的丧失、贸易中断、商业信息的丢失或任何其它经济损失,奇安信集团不承担任何责任。
3、对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生的损失,奇安信集团不承担任何责任,但将尽力减少因此而给用户造成的损失和影响。
4、对于用户违反本协议规定,给奇安信集团造成损害的,奇安信集团将有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。
信息安全-20190504-360网神终端安全响应系统V7.0-产品白皮书-V1.0
360网神终端安全响应系统V7.0产品白皮书目录..........................................................................................................................................................................................................................................................................2.1产品概述 (2)2.2产品理念 (2)2.3产品组成与架构 (3)2.3.1终端Agent (4)2.3.2大数据分析平台(硬件) (4)2.3.3威胁情报 (4)2.3.4控制中心 (5).................................................................................................................................3.1终端大数据采集 (5)3.2主动式威胁检测 (6)3.3终端威胁追踪 (6)3.4威胁应急响应 (6)3.5安全状况全面评估 (6).................................................................................................................................4.1威胁情报驱动的积极防御能力 (7)4.2持续不间断的数据采集监测能力 (7)4.3大数据支撑的快速检索定位能力 (7)4.4自动化安全响应能力 (7)4.5一体化终端安全解决方案 (8)4.6多产品安全联动能力 (8).................................................................................................................................5.1提高威胁追踪能力,实现威胁可视化 (8)5.2强化威胁对抗能力,升维打击高级威胁 (8)5.3健全调查机制,提高应急响应效率 (8).................................................................................................................................6.1典型部署 (9)6.2部署清单 (10)1引言随着网络和信息技术的快速发展和普及应用,我国政府和企业的信息基础设施及各种新型业态蓬勃发展,与此同时安全防护系统也经历了一个从无到有、从弱到强的发展过程。
网神SecGaeGHJ防火墙产品白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (10)5产品形态 (16)6产品资质 (18)1产品概述网神SecGate 3600-G7-41WJ 防火墙(以下简称“防火墙”)是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。
防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界,完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。
基于成熟可靠的多核处理器硬件平台,并可以扩展使用硬件加速,性能超强。
2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。
同时也减少了因为硬件平台的更换带来的重复开发问题。
由于采用先进的设计理念,使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。
●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合,多个核并行处理,分担数据流量,极大的提升系统性能。
多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。
保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。
●深度的网络行为关联分析采用独立的安全协议栈,可以自由处理通过协议栈的网络数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网神工业控制安全网关系统产品白皮书©2019奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
网神工业控制安全网关系统产品白皮书目录|Contents一.引言 (1)1.1概述 (1)1.2传统防火墙不适用工业环境 (1)二.网神工业控制安全网关系统 (2)2.1产品概述 (2)2.2产品架构 (2)2.3主要功能 (3)2.3.1四重白名单的一体化纵深防护 (3)2.3.2符合工控网络特点的三段式工作模式 (4)2.3.3基于精准工控协议指令级控制的白名单☆ (4)2.3.4基于工控服务的一体化安全策略配置 (5)2.3.5基于应用层的综合攻击防护功能 (5)2.3.6完善的工控网络数据防泄漏 (6)2.3.7全方位风险信息展示及分析、审计 (6)2.3.8管理员权限三权分立 (6)2.3.9高性能高可靠的软硬件一体化架构 (6)2.4产品优势 (7)2.4.1专有硬件适用工业环境 (7)2.4.2工控协议深度解析 (7)2.4.3IT、OT一体化防护 (7)2.5典型部署 (8)三.客户价值 (9)3.1边界隔离防御,提升工业网络稳定性 (9)3.2满足政策合规要求,降低安全责任风险 (9)3.3集中式的统一运维,降低运维成本,提升运维效率 (9)网神工业控制安全网关系统产品白皮书一.引言1.1概述随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。
未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。
传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了,广大的工业控制系统用户迫切需要解决如下问题:●防止非法的对工控系统的指令操作;●防止非法身份的用户对工控系统的访问;●防止非法时间段对工控系统的操作;●防止非法协议进入工控系统等;目前,工业控制系统受到了越来越多的安全威胁,其中既有来自敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏,也有由于系统复杂性、人为事故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。
电力、能源、交通等国家关键基础所依赖的工业控制网络系统的安全是国家经济稳定运行的关键,受到攻击的后果极其严重,因此工业控制网络信息安全问题急需解决。
1.2传统防火墙不适用工业环境目前市场上的安全产品主要是针对传统IT安全的,对工控协议无法识别,而少数工控安全产品厂家提供的通用防火墙产品有如下不足:●基于传统IT架构硬件平台,在功耗、可靠性、稳定性、实时性等方面满足不了工控系统要求;●无法发现针对工控协议的攻击和破坏行为;●无法实现对工控网络流量的精细化管控和审计;网神工业控制安全网关系统产品白皮书 无法实现对工控网络中安全风险进行全方位展示;二.网神工业控制安全网关系统2.1产品概述网神工业控制安全网关系统(也称为工业防火墙)是奇安信全新推出的工业防火墙系列产品,其基于业界领先的软、硬件体系架构,硬件层面上,具有全封闭、无风扇、多电源冗余等特点,确保达到工业级可靠性和稳定性要求。
软件层面上,具备完全自主知识产权的智能工控安全操作系统(即:Intelligent Industry Control Security Operating System简称:IICS-OS)并结合工业特性的协议深度解析引擎,其工控协议深度包解析技术不仅对二层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对OPC、Modbus、S7等主流工控协议进行深度分析,防止应用层协议被篡改或破坏,全面提升了网神工业控制安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力。
网神工业控制安全网关,用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控层和现场控制层的边界。
利用网神工业控制安全网关可以建立可信任的数采通信及工控网络区域间通信的模型,采用结合智能学习的白名单的安全策略,过滤一切非法访问,保证只有可信任的设备可以接入工控网络,只有可信任的流量可以在网络上传输。
为企业网络层(L4)与生产管理层(L3)、过程监控层(L2)的连接提供安全保障。
在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。
网神工业控制安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日志审计等综合安全功能。
网神工业控制安全网关采用了高性能、高稳定性的硬件架构,为用户提供高效、稳定、可靠的安全保障。
2.2产品架构网神工业控制安全网关采用专用硬件平台,无风扇设计,可以有效降低硬件漏洞,增加安全性,提高稳定性、可靠性。
网神工业控制安全网关系统产品白皮书具备完全自主知识产权的新一代智能安全操作系统IICS-OS操作系统,在高安全性、高开放性、高扩展性和高可移植性基础之上,结合工业特性的协议深度解析引擎重点加强了工业安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力,让工业安全网关具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力,弥补了传统防火墙重配置轻管理的缺点,并能提供多维度的有效信息帮助用户完成日常维护工作。
同时,网神工业控制安全网关集设备智能调度、工控协议解析、内容检测审计于一体,极大提高了底层硬件的安全性、工控协议解析处理速度。
图1.网神工业控制安全网关架构图2.3主要功能2.3.1四重白名单的一体化纵深防护网神工业控制安全网关采用四重白名单的一体化纵深防护机制。
其第一重防护基于五元组的网络层白名单防护;第二重防护基于应用特征的应用层白名单防护;第三重基于特定工业协议指令的白名单防护;第四重基于特定工业协议数据区的白名单防护。
其中前两重防护与IT下一代防火墙相同,后两重防护是针对工业协议特有的白名单访问控制。
针对工业协议白名单访问控制,系统搭载了奇安信自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。
IICS-OS (智能调度、工控协议解析、内容检测)驱动适配层专用工控硬件平台攻击防护FW 工控协议管控系统管理白名单IP/MAC 绑定日志审计网神工业控制安全网关系统产品白皮书图2.四重白名单一体化防护2.3.2符合工控网络特点的三段式工作模式在工控网络中可用性被公认为首位,其次是完整性和保密性。
工控系统的可用性如果被破坏,将带来比传统IT网络中断更加严重的后果。
网神工业控制安全网关设计了三段式工作模式来保护工控网络的可用性。
它们是学习模式、告警模式和正常模式。
三种模式分阶段完成工控网络信息安全保障。
学习模式应用于工控网络信息安全规划阶段。
信息安全规划机构不了解工控网络情况,通过学习模式对工控网络中的协议和流量行为进行被动式发现。
在学习模式下针对发现的策略无防护操作,所有网络流量行为均不会被阻断。
告警模式应用于工控网络信息安全预上线阶段。
信息安全规划机构根据掌握的工控网络情况完成了工业安全网关安全策略规划,通过告警模式来进行防护效果的测试和验证。
在告警模式下不符合安全策略的数据流会产生告警日志,但防护操作不会生效,所有流量不会被阻断。
正常模式应用于工控网络信息安全运行阶段。
安全策略正式生效,对非策略定义行为进行阻断,并记录日志和进行告警。
2.3.3基于精准工控协议指令级控制的白名单☆网神工业控制安全网关搭载了奇安信自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。
对不同行业网神工业控制安全网关系统产品白皮书的工控系统,可以采取相应针对性的数据包探测机制和解析策略。
在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型,并结合白名单对不符合规则的流量进行过滤。
解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。
深度数据包解析引擎支持涵盖OPC、Modbus、S7等主流工控协议,可以对OPC等工控协议做到指令级控制,如:OPC协议只读。
2.3.4基于工控服务的一体化安全策略配置安全策略功能是工业安全网关的核心功能,提供基于状态检测、基于应用层之上数据识别的动态包过滤技术。
网神工业控制安全网关内预定义多种工控服务,通过源安全域、目的安全域、源地址、目的地址、地理位置、服务、应用等维度对数据进行识别,将用户需要进行过滤及控制的数据流分离,并对相应的数据实现安全漏洞防护、防间谍软件、行为管控的一体化策略配置。
2.3.5基于应用层的综合攻击防护功能网神工业控制安全网关的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP 地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段,将包括SYN Flood、ICMP Flood、UDP Food、IP Food、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中,使得用户通过启用并配置攻击防护模块,可以有效的过滤并采取相应的措施阻止非正常报文流入工控网络,并对HTTP、DNS、DHCP等协议提供应用层防护。
另一方面,针对局域网多播广播、IP地址欺骗等也提供了专门的防护。
由于常见的攻击方式掺杂了大量的组合式洪攻击,攻击者实际上是在消耗被攻击者的性能资源,因此网神工业控制安全网关强大的性能支撑,也保证了在大量攻击消耗工业安全网关性能的时候不会成为的瓶颈,给予了攻击防护模块和其他模块坚实的性能基础。
网神工业控制安全网关系统产品白皮书2.3.6完善的工控网络数据防泄漏网神工业控制安全网关具有工控网络数据文件防泄漏功能,文件过滤支持针对HTTP、SMTP、POP3、IMAP、FTP协议传输的文件进行过滤,主要包含3大类:文档类、压缩类、归档类;针对工控网络中核心工艺参数以及文件传输进行安全过滤和安全审计,保护用户隐私。