工控安全防護第一道防線---工業控制防火墻系統
發布(bu)時(shi)間:2021-03-17
來源:圣博潤
備受(shou)矚目的2021年全(quan)國兩(liang)(liang)會已落下帷幕(mu),工業互聯網(����wang)作為第四次工業革命的重要基(ji)石,在(zai)今年全(quan)國兩(liang)(liang)會上(shang)再(zai)次成為熱點話題之�������一。這是2018年政府(fu)工(gong)作(zuo)報(bao)告(gao)首提“發展工業互聯網平臺”算(suan)起,工業互聯(lian)網已連續第(di)4年被寫入政府工作報告,工(gong)業互聯網作為新一代信息技術與(yu)制造業深(shen)度融合的(de)產物,已經(jing)成������為工(gong)業現代化、發(fa)展實體(ti)經(jing)濟的(de)關(guan)鍵支撐,它的(de)安全問(wen)題,對國家經(jing)濟社會發(fa)展來講至(zhi)關(guan)重要。
伴(ban)隨著工業(ye)互聯網的蓬勃發展,IT和OT融(rong)合不斷深(shen)入,工業(ye)網絡所面臨的安全威脅與日(ri)俱(ju)增。工業(ye)網絡(luo)中運(yun)行各(ge)種過程控制(zhi)(zhi)系統,它們是生(sheng)�������產(chan)系統的(de)核(he)心,負責完成基本的(de)生(sheng)�����產(chan)控制(zhi)(zhi)。眾多企業為了(le)避免控(kong)制系統(tong)遭受入侵破(po)壞,選擇(ze)部(bu)署防火墻設備,但傳����(chuan)統(tong)防火������墻無法實現對工(gong)業環(huan)境的安全防護。
2019年(nian)初,GB/T37933-2019《信息(xi)安(an)全(quan)(quan)技(ji)(ji)術(shu)工業(ye)(ye)控(kong)制(zhi)系統專(zhuan)用防火墻技(ji)(ji)術(shu)要(yao)求》正式(shi)發(fa)布,這標(biao)志(zhi)著工業(ye)(ye)網(wang)絡(luo)選擇(ze)防火墻產(chan)品(pin)有了(le)國家標(biao)準,圣博潤作為一(yi)家專(zhuan)注于(yu)網(wang)絡(luo)安(an)全(quan)(quan)技(ji)(ji)術(shu)研究(jiu)、產(chan)品(pin)研發(fa)和(he)安(an)全(quan)(quan)服務(wu������)的(de)(de)高新技(ji)(ji)術(shu)企業(ye)(ye),其推出的(de)(de)LanSecS?工業(ye)(ye)控(kong)制(zhi)防火墻系統(簡稱FCFW)旨在為工業(ye)(ye)控(kong)制(zhi)網(wang)絡(luo)提供基于(yu)工業(ye)(ye)控(kong)制(zhi)應用層協議分析的(de)(de)邊(bian)界訪問控(kong)制(zhi)解(jie)決方案。該(gai)產(chan)品(pin)通過應用基于(yu�����)白名(ming)單的(de)(de)安(an)全(quan)(quan)策略,實(shi)現對網(wang)絡(luo)邊(bian)界流量的(de)(de)訪問控(kong)制(zhi),為控(kong)制(zhi)網(wang)與管理信息(xi)網(wang)的(de)(de)連(lian)接、控(kong)制(zhi)網(wang)內(nei)部各(ge)區域的(de)(de)連(lian)接提供安(an)全(quan)(quan)保障(zhang)。
LanSecS?工業(ye)控(kong)制防火墻系統的(de)四大(da)優勢
1
工業協議深度過濾
深度數據包解析引擎支持各類主流工業控制協議,涵蓋Modbus/TCP,OPC Classic,OPCUA,DNP3,S7,S7plus,IEC60870-5-104,MMS,Ethernet/IP等在內的各類主流工控網絡協�����議,也可為企業內部的私有協議提供定制化的功能支持,全面滿足各行業內部工控系統的兼容性要求。
2
全面豐富的訪問控制
基于安(an)(an)全區(qu)(qu)域(yu)(yu)的網絡隔離和安(an)(an)全策(ce)(ce)(ce)略控制,支(zhi)持(chi)包含物理接(jie)(jie)口(kou)(kou)、子接(jie)(jie)口(kou)(kou)、VLAN接(jie)(jie)口(kou)(kou)在內(nei)的靈活安(an)(an)全區(qu)(qu)域(yu)(yu)管理功能,支��������(zhi)持(chi)根(gen)據不(bu)同(tong)的安(an)(an)全區(qu)(qu)域(yu)(yu)之(zhi)間的訪問設計不(bu)同(tong)的安(an)(an)全策(ce)(ce)(ce)略組,每條(tiao)安(an)(an)全策(ce)(ce)(������ce)略組支(zhi)持(chi)若干個(ge)獨立的規(gui)則。
3
工控白名單自學習
自動學習生(sheng)成(cheng)工控(kong)(kong)(kong)網絡流量(lia��������ng)白名單,形成(cheng)白名單規則進行(xing)部署,通過白名單規則匹配判斷工控(kong)(kong)(kong)協(xie)(xie)議數(shu)據(ju)包是否異(yi)常(chang),得出允(yun)許、告(gao)警等結果,對工控(�����kong)(kong)(kong)協(xie)(xie)議流量(liang)實(shi)現(xian)指(zhi)令級控(kong)(kong)(kong)制(zhi),例(li)如對Modbus協(xie)(xie)議實(shi)現(xian)某個功能碼(ma)或寄存器地址上的(de)數(shu)據(ju)進行(xing)解(jie)析和控(kong)(kong)(kong)制(zhi);對S7協(xie)(xie)議實(shi)現(xian)PDU類型和功能操作的(de)解(jie)析和控(kong)(kong)(kong)制(zhi)。
4
專業級的工控漏洞庫
全面集(ji)成了工(gong)(gong)控設備漏(lou)洞(dong)(dong)庫和工(gong)(gong)控入侵檢測簽名庫,對(dui)于工(gong)(gong)控網(wang)絡中(zhong)的漏(lou)洞(dong)(dong)及漏(lou)洞(dong)(dong)利(li)用(yong)攻擊行(xing)為(wei)進(jin)行(xing)高效識別與防(fang)護,對(dui)于工(gong)(gong)控網(wang)絡中(zhong)的流量和數據(ju)包進(jin)行(xing)黑名單匹配,對(dui)網(wang)絡�����中(zhong)的攻擊和入侵行(xing)為(wei)進(jin)行(xing)檢測和阻斷。
選(xuan)擇LanSecS?工業控制(zhi)防火墻(qiang)系統(tong)的四大理由
1.安全性
?業務端口和管理端口分(fen)離設計;
?識別工(gong)業控制(zhi)協議的每(mei)個(ge)字節和每(mei)個(ge)位;
?支持細(xi)粒(li)度讀寫權限控制;
?提(ti)供嚴格的身份(fen)認證來管(guan)理系統配置權(quan)限;
?支(zhi)持國密(mi)IPsecVPN加密��������(mi�����)傳輸,更加充分保障(zhang)數(shu)據安全;
?支持通(tong)過內網(wang)服務器自動或手(shou)工進行系統升(sheng����)級和日(ri)志(zhi)備(bei)份(fen)。
2.數據完整性
?具有自動(dong)判斷網絡連接狀態;
?日志(zhi)服務器(qi)記(ji)錄系統產(chan)生(sheng)的所有行為(wei),確保(b����ao)信息完整;
?支(zhi)持各種主流ICS標準通訊(xun)協議(yi)和廠商自定義(yi)協議(yi)。
3.可靠性
?實時檢(jian�������)測系統狀態,對(dui)關(g������uan)鍵(jian)模(mo)塊進行診斷、異常自動(dong)報警;
?具備完善的故障自動恢復功能;
?適合多種工業(ye)應(ying)������用(yong)場(chang)合,具有強大(da)的環境(jing)適應(ying)性;
?支持硬件故障自(zi)動(dong)旁路轉換(Bypass)功能;
?設(she)備(bei)支持主從(cong)備(bei)份(fen������)、雙機熱備(bei)功(gong)能;
?無風扇全封閉設計,電源采用1+1冗余供電。
4.易用性
?多(duo)種靈活(huo)的(de)安裝方式,包括導軌安裝、機柜安裝等(deng);
?方便對網關的(de)配置(zhi),支持配置(zhi)文件的(de)導入導出(chu);
?可通過網絡接口(kou)實現對網關(guan)狀態的診(zhen)斷(duan)。
客戶價值:
通過部署LanSecS?工業控制(zhi)防火(huo)墻系統設備(bei)用戶可(ke)獲(hu�������o)得(de)如下收(shou)益:
?對違(wei)規操作及時報警或阻斷(duan);
?對(dui)網絡攻擊(ji)等(deng)事(shi)件進(jin)行(xing)實時阻斷;
?關注(zhu)控(kong)制網與監控(kong)網間的傳輸安全;
?整合信(xin)息(xi)網的安全防護經驗;
?防護設備與生產(chan)管理運維措施同步;
?���������逐�����層(ceng)防護,統一管理對(dui)上行(xing)(xing)下(xia)行(xing)(xing)數據(ju)進行(xing)(xing)嚴格的(de)數據(ju)級別的(de)訪(fang)問控制。
圣博(bo)潤憑(ping)借(jie)在安全領域(yu)的實踐經驗,推出的LanSecS?工業控(kong)制防火墻,可有效解決工業網(wang��������)絡面臨的諸多安全問題,提供從網(wang)絡邊界、區域到設備終端(duan)的完整防(fang)護體系,為網絡安全產業有序(xu)發(fa)展(zhan),保駕護航(hang)!
