工控安全防護第一道防線---工業控制防火墻系統
發布時(shi)間:2021-03-17
來源(yuan):圣博(bo)潤
備受矚目的2021年(nian)全(quan)國兩(liang)會(hui)已落下帷幕,工業互聯網(wang)作為第四(si)次工業革命的重(zhong)要�������基石,在今(jin)年(nian)全(qu�����an)國兩(liang)會(hui)上再次成為熱點話題之(zhi)一。這(zhe)是2018年政府工作報告首提“發展(zhan)工業互聯(lian)網平臺”算起,工業(ye)互聯(lian)網已連續第4年被寫入政府(fu)工作(zuo)報告,工(gong)業互聯網作為新(xin)一代信息技術與制(zhi)造業深度融合的(de)產(chan)物(wu),已(yi)經成為工(gong)業現(xian)代化(hua)、發(fa)展實(shi)體經濟的(de)關鍵支撐(cheng),它的(de)安全問題(ti)����,對(dui)國家經濟社會發(fa)展來講至關重(zhong)要。
伴隨著工業互聯網的蓬勃發展,IT和OT融合不斷深入,工業網絡所面臨(lin)的安全威脅與日俱增(zeng)。工業(ye)網(wang)絡中運行各種過程控制系統,它們是生產系統的核心,負責完成基本的生產控制。眾多企業為了(le)避免控制系統遭(zao)受入侵破壞,選擇部����署防(fang)火墻(qiang)設備,但傳統防(fang)火墻(qiang)無法(fa)實現對工業環境的(de)安全防(fang)護。
2019年初,GB/T37933-2019《信(xin)息(xi)安全技(ji)術(shu)工(gong)(gong)業(ye)控(kong)(kong)制(zhi)(zhi)(zhi)系統(tong)專用防火(huo)墻技(ji)術(shu)要求》正式發(fa)布,這標志著工(gong)(gong)業(ye)網(wang)(wang)絡(luo)選(xuan)擇防火(huo)墻產品(pin)有了國家(jia)標準,圣(sheng)博潤作為一家(jia)專注(zhu)于(yu)網(wang)(wang)絡(luo)安全技(ji)術(shu)研(yan)究、產品(pin)研(yan)發(fa)和(he)安全服務的(de)高新技(ji)術(shu)企業(ye),其推(tui)出的(de)LanSecS?工(gong)(gong)業(ye)控(kong)(kong)制(zhi)(zhi)(zhi)防火(huo)墻系統(tong)(簡稱(cheng)FCFW)旨(zhi)在為工(gong)(gong)業(ye)控(kong)(kong)制(zhi)(zhi)(zhi)網(wang)(wang)絡(luo)提(ti)供(gong)基(ji)于(yu)工(gong)(gong)業(ye)控(kong)(kong)制(zhi)(zhi)(zhi)應(ying)(ying)用層協議分(fen)析的(de)邊界(jie)訪(fang)問(wen)(wen)控(kong)(kong)制(zhi)(zhi)(zhi)解(jie)決方案。該產品(pin)通(tong)過應(ying)(ying)用基(ji)于(yu)白名單的(de)安全�������策略,實(shi)現對網(wang)(wang)絡(luo)邊界(jie)流量的(de)訪(fang)問(wen)(wen)控(kong)(kong)制(zhi)(zhi)(zhi),為控(kong)(kong)制(zhi)(zhi)(zhi)網(wang)(wang)與管(guan)理(li)信(xin)息(xi)網(wang)(wang)的(de)連接、控(kong)(kong)制(zhi)(zhi)(zhi)網(wang)(wang)內部各區域(yu)的(de)連接提(ti)供(gong)安全保障。
LanSecS?工業控制防火墻系(xi)統的四大優勢
1
工業協議深度過濾
深度數據包解析引擎支持各類主流工業控制協議,涵蓋Modbus/TCP,OPC Classic,OPCUA,DNP3,S7,S7plus,IEC6������0870-5-104,MMS,Ethernet/IP等在內的各類主流工控網絡協議,也可為企業內部的私有協議提供定制化的功能支持,全面滿足各行業內部工控系統的兼容性要求。
2
全面豐富的訪問控制
基(ji)于(yu)安(an)全(quan)區域的網絡隔(ge)離(li)和(he)安(an)全(quan)策(ce)略控制,支(zhi)持(chi)包含物理接口、子接口、VLAN接口在內(nei)的靈活(huo)安(an)全(quan)區域管理功能,支(zhi)持(chi)根據不同的安(an)全(quan)區域之間的訪問(wen������)設計不同的安(an)全(quan)策(ce)略組,每條安(an)全(quan)策(ce)略組支(zhi)持(chi)若干個獨立的規則。
3
工控白名單自學習
自動學習生成(cheng)工控(kong)網絡(luo)流量白(bai)名單(dan),形成(cheng)白(bai)名單(dan)規則(ze)(ze)進行(xing)部署,通過白(bai)名單(dan)規則(ze)(ze)匹配判(pan)斷工控(kong)協(xie)議(yi)(yi)數據(ju)包是否異�����常,得出允許(xu)、告警等(deng)結果(guo),對(dui)工控(kong)協(xie)議(yi)(yi)流量實現指令級控(kong)制,例(li)如對(dui)Modbus協(xie)議(yi)(yi)實現某個功(gong)(gong)能碼或寄存(cun)器地址上的數據(ju)進行(xing)解(jie)析和控(kong)制;對(dui)S7協(xie)議(yi)(yi)實現PDU類型和功(gong)(gong)能操作的解(jie)析和控(kong)制。
4
專業級的工控漏洞庫
全面集成了(le)工(gong)控�������設備漏(lou)洞(dong)庫和工(gong)控入侵檢(jian)測(ce)簽名庫,對于工(gong)控網絡中的漏(lou)洞(dong)及漏(lou)洞(dong)利(li)用攻(gong)擊行為進(jin)(jin)(jin)行高效識別與(yu)防(fang)護,對于工(gong)控網絡中的流量和數(shu)據包進(jin)(jin)(jin)行黑名單匹配,對網絡中的攻(gong)擊和入侵行為進(jin)(jin)(jin)行檢(jian)測(ce)和阻(zu)斷。
選擇LanSecS?工(gong)業控(kong)制防火(huo)墻系統的四(si)大理由(you)
1.安全性
?業務端(duan)口和管理(li)端(duan)口分離設計;
?識別(bie)工業控制(zhi)協(xie)議的每個(ge)字節和每個(ge)位(wei);
?支持細粒度(du)讀寫權限控制;
?提供(gon�������g)嚴格的身(shen)份(fen)認(ren)證來管(guan)理系統(tong)配置(zhi)權限(xian);
?支(zhi)持國密(mi)IPsecVPN加密(mi)傳輸,更加充分保(ba������o)障數據(ju)安全(quan);
?支持通(tong)過內網服務(wu)器自動(dong)或手工進行系統升級和日志備份。
2.數據完整性
?具有自動判斷網絡連接狀態(tai);
?日志(zhi)服務器記錄系統產生的所(suo)有行為,確保信息完整;
?支持各種主(zhu)流ICS標準通訊協議和(he)廠商自定義(yi)協議。
3.可靠性
?實時檢測(ce)系統狀態(tai),對關鍵模塊(kuai)進�������行(xing)診斷、異常自(zi)動報警;
?具備完善的故障自動(dong)恢復(fu)功能;
?適合多種工業應(ying)用(yong)場合,具(ju)有(you)強大的環境適應(ying)性;
?支持硬件故(gu)障自(zi)動旁路(lu)轉換(huan)(Bypass)功(gong)能;
?設(she)備支持主(zhu)從備份、雙機(ji)熱備功(gong)能;
?無風扇全封閉設計,電源采用1+1冗余供電。
4.易用性
?多種靈活的安(an)裝方式,包括導(dao)軌安(an)裝、機柜安(an)裝等;
?方便對網關(guan)的(de)配(pei)置,支持配(pei)置文件的(d�������e)導入導出(chu);
?可(ke)通過網(wang)絡接口實現對網(wang)關(guan)狀態的診斷。
客戶價值:
通過(guo)�������部署LanSecS?工業控制防火(huo)墻系統設備用戶(hu)可獲得如下收(shou)益:
?對違規(gui)操作及時報警或(huo)阻斷(duan);
?對網絡攻擊等事件進行實(shi)時阻斷;
?關(guan)注控(kong)制網(wan�����g)與監(jian)控(kong)網(wang)間的傳輸安全(quan);
?整合信息網的安全防(fang)護(hu)經驗;
?防護設備與生產管理運(yun)維(wei)措施同(tong)步;
?逐(zhu)層防(fang)護,統(tong)一(yi)管理對上行下行數據進行嚴格������的數據級別的訪(fang)問控制。 ���;
圣(sheng)博潤(run)憑借在安全領(ling)域的實踐經驗(yan),推出的LanSecS?工業控(kong)制防火(huo)墻,可有(you)效解決工業網絡(luo)面臨的(de)諸(zhu)多安全問題,提供(gong)從網絡(luo)邊界、區域(yu)���������到設備終端的(de)完(wan)整防護體(ti)系,為網絡安全(quan)產業(ye)有序發(fa)展,保駕護航!
