奇安信网神工业控制安全网关系统产品白皮书-V2.0

网神工业控制安全网关系统

产品白皮书

©2019奇安信集团■版权声明

奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

网神工业控制安全网关系统产品白皮书目录|Contents

一.引言 (1)

1.1概述 (1)

1.2传统防火墙不适用工业环境 (1)

二.网神工业控制安全网关系统 (2)

2.1产品概述 (2)

2.2产品架构 (2)

2.3主要功能 (3)

2.3.1四重白名单的一体化纵深防护 (3)

2.3.2符合工控网络特点的三段式工作模式 (4)

2.3.3基于精准工控协议指令级控制的白名单☆ (4)

2.3.4基于工控服务的一体化安全策略配置 (5)

2.3.5基于应用层的综合攻击防护功能 (5)

2.3.6完善的工控网络数据防泄漏 (6)

2.3.7全方位风险信息展示及分析、审计 (6)

2.3.8管理员权限三权分立 (6)

2.3.9高性能高可靠的软硬件一体化架构 (6)

2.4产品优势 (7)

2.4.1专有硬件适用工业环境 (7)

2.4.2工控协议深度解析 (7)

2.4.3IT、OT一体化防护 (7)

2.5典型部署 (8)

三.客户价值 (9)

3.1边界隔离防御，提升工业网络稳定性 (9)

3.2满足政策合规要求，降低安全责任风险 (9)

3.3集中式的统一运维，降低运维成本，提升运维效率 (9)

网神工业控制安全网关系统产品白皮书

一.引言

1.1概述

随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了，广大的工业控制系统用户迫切需要解决如下问题：

●防止非法的对工控系统的指令操作；

●防止非法身份的用户对工控系统的访问；

●防止非法时间段对工控系统的操作；

●防止非法协议进入工控系统等；

目前，工业控制系统受到了越来越多的安全威胁，其中既有来自敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏，也有由于系统复杂性、人为事故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。电力、能源、交通等国家关键基础所依赖的工业控制网络系统的安全是国家经济稳定运行的关键，受到攻击的后果极其严重，因此工业控制网络信息安全问题急需解决。

1.2传统防火墙不适用工业环境

目前市场上的安全产品主要是针对传统IT安全的，对工控协议无法识别，而少数工控安全产品厂家提供的通用防火墙产品有如下不足：

●基于传统IT架构硬件平台，在功耗、可靠性、稳定性、实时性等方面满足不了工控

系统要求；

●无法发现针对工控协议的攻击和破坏行为；

●无法实现对工控网络流量的精细化管控和审计；

网神工业控制安全网关系统产品白皮书 无法实现对工控网络中安全风险进行全方位展示；

二.网神工业控制安全网关系统

2.1产品概述

网神工业控制安全网关系统（也称为工业防火墙）是奇安信全新推出的工业防火墙系列产品，其基于业界领先的软、硬件体系架构，硬件层面上，具有全封闭、无风扇、多电源冗余等特点，确保达到工业级可靠性和稳定性要求。软件层面上，具备完全自主知识产权的智能工控安全操作系统（即：Intelligent Industry Control Security Operating System简称：IICS-OS）并结合工业特性的协议深度解析引擎，其工控协议深度包解析技术不仅对二层三层网络协议进行解析，更进一步解析到工控网络包的应用层，对OPC、Modbus、S7等主流工控协议进行深度分析，防止应用层协议被篡改或破坏，全面提升了网神工业控制安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力。

网神工业控制安全网关，用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控层和现场控制层的边界。利用网神工业控制安全网关可以建立可信任的数采通信及工控网络区域间通信的模型，采用结合智能学习的白名单的安全策略，过滤一切非法访问，保证只有可信任的设备可以接入工控网络，只有可信任的流量可以在网络上传输。为企业网络层（L4）与生产管理层（L3）、过程监控层（L2）的连接提供安全保障。在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。

网神工业控制安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日志审计等综合安全功能。网神工业控制安全网关采用了高性能、高稳定性的硬件架构，为用户提供高效、稳定、可靠的安全保障。

2.2产品架构

网神工业控制安全网关采用专用硬件平台，无风扇设计，可以有效降低硬件漏洞，增加安全性，提高稳定性、可靠性。

网神工业控制安全网关系统产品白皮书

具备完全自主知识产权的新一代智能安全操作系统IICS-OS操作系统，在高安全性、高开放性、高扩展性和高可移植性基础之上，结合工业特性的协议深度解析引擎重点加强了工业安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力，让工业安全网关具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力，弥补了传统防火墙重配置轻管理的缺点，并能提供多维度的有效信息帮助用户完成日常维护工作。

同时，网神工业控制安全网关集设备智能调度、工控协议解析、内容检测审计于一体，极大提高了底层硬件的安全性、工控协议解析处理速度。

图1.网神工业控制安全网关架构图

2.3主要功能

2.3.1四重白名单的一体化纵深防护

网神工业控制安全网关采用四重白名单的一体化纵深防护机制。其第一重防护基于五元组的网络层白名单防护；第二重防护基于应用特征的应用层白名单防护；第三重基于特定工业协议指令的白名单防护；第四重基于特定工业协议数据区的白名单防护。其中前两重防护与IT下一代防火墙相同，后两重防护是针对工业协议特有的白名单访问控制。针对工业协议白名单访问控制，系统搭载了奇安信自研的深度数据包解析引擎，可对工控协议做到实时和精准的识别，为解决针对工控网络的安全问题提供了技术基础保障，其全面支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。

IICS-OS （智能调度、工控协议解析、内容检测）驱动适配层专用工控硬件平台

攻击防护FW 工控协议管控系统管理白名单IP/MAC 绑定

日志审计