奇安信网神工业控制安全网关系统

流量管理 支持多调度类相互嵌套最大5级的带宽管理设置。支持设置每IP最大或最小带宽，支持对每IP进行带宽配额管理，可通过优先级实现多应用的差分服务，并支持对剩余带宽进行基于优先级的动态分配。（提供截图）工业协议白名单 工控白名单规则 支持基于工业协议白名单的访问控制策略，包括OPC、OPC UA、S7、S7 PLUS、MODBUS（TCP/UDP）、Ethernet/IP、IEC60870-5-104、CIP、DNP3、HartIP、IEC61850-MMS、BACnet、FINS、RSSP-1、IEC61850-GOOSE、IEC61850-SV、Profinet（DCP）、Profinet（MRP）、Profinet（PTCP）等工业协议指令的自动发现和生成白名单规则（提供截图证明）支持S7协议寄存器区、DB区区号、点类型、起始地址、结束地址等深度解析和访问控制,并默认提供S7只读配置。支持S7畸形报文检查，支持格式检查和语义检查，支持阻断回复。学习模式结束后支持自动跳转到告警模式对已经生成的白名单规制进行逐条校验 工业点表策略匹配 支持导入或输入工业点表信息，点表信息自动匹配安全策略、日志等信息。（提供截图）支持工控白名单日志告警项直接追加到白名单策略项内 攻击防护 网络攻击防护 支持基于不同安全区域防御DNS Flood、HTTP Flood攻击，并支持警告、阻断、首包丢弃、TC反弹技术、NS重定向、自动重定向、手工确认等多种防护措施（提供截图） 支持基于安全区域的异常包攻击防御，异常包攻击类型至少包括Ping of Death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke、DNS异常、IP分片等；并可在设备页面显示每种攻击类型的丢包统计结果 病毒防护HTTP/FTP/POP3/SMTP/IMAP/SMB六种协议进行病毒查杀，支持对最多6级的压缩文件进行解压查杀产品具备发现、阻断FANUC Series 0i-MD和0i Mate-MD拒绝服务漏洞、Kinco步科K204ET-16DT PLC安全漏洞、Schneider Quantum 140CPU65150拒绝服务漏洞和Siemens SIMATIC S7-300 CPU 314C-2 PNDP安全漏洞的能力（提供证明，提供CVE或CNVD或CICSVD证明或受理证明） 产品具有IT产品信息安全认证证书（符合《工业控制系统专用防火墙产品安全技术要求》） CNCERT颁发的工业控制产品安全认证证书（认证级别：Acheron Level I） 产品具有第三方检测机构出具的IP40检测报告（第三方检测机构需为CNAS认证机构） 提供满足静电放电抗扰度试验（GB/T 17626.2-2018）、射频电磁场辐射抗扰度试验（GB/T17626.3-2016）、电快速瞬变脉冲群抗扰度试验（GB/T17626.4-2018）、浪涌(冲击)抗扰度试验（GB/T 17626.5-2019）射频场感应的传导骚扰抗扰度（GB/T 17626.6-2017）工频磁场抗扰度试验（GB/T 17626.8-2006）、电压暂降短时中断和电压变化抗扰度试验（GB/T 17626.11-2008）的电磁兼容性三级第三方检测报告，第三方检测机构需为CNAS认证机构。 "环境适应性（包括宽温环境和潮湿环境第三方检查报告产品应支持宽温（工作温度：-40℃至+70℃，存储温度：-40℃至+85℃）并具备符合GB/T 2423.1-2008和GB/T 2423.2-2008标准的第三方检测报告，第三方检测机构需为CNAS认证机构。

四重白名单的一体化纵深防护 网神工业控制安全网关采用四重白名单的一体化纵深防护机制。其第一重防护基于 五元组的网络层白名单防护；第二重防护基于应用特征的应用层白名单防护；第三重基 于特定工业协议指令的白名单防护；第四重基于特定工业协议数据区的白名单防护。其 中前两重防护与 IT 下一代防火墙相同，后两重防护是针对工业协议特有的白名单访问 控制。针对工业协议白名单访问控制，系统搭载了奇安信自研的深度数据包解析引擎， 可对工控协议做到实时和精准的识别，为解决针对工控网络的安全问题提供了技术基础 IICS-OS（智能调度、工控协议解析、内容检测） 驱动适配层 专用工控硬件平台 攻击防护 FW 工控协议管控 系统管理 白名单 IP/MAC 绑定 日志审计 保障，其全面支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的 捕获与深度解析。 符合工控网络特点的三段式工作模式 在工控网络中可用性被公认为首位，其次是完整性和保密性。工控系统的可用性如 果被破坏，将带来比传统 IT 网络中断更加严重的后果。 网神工业控制安全网关设计了三段式工作模式来保护工控网络的可用性。它们是学 习模式、告警模式和正常模式。三种模式分阶段完成工控网络信息安全保障。学习模式 应用于工控网络信息安全规划阶段。信息安全规划机构不了解工控网络情况，通过学习 模式对工控网络中的协议和流量行为进行被动式发现。在学习模式下针对发现的策略无 防护操作，所有网络流量行为均不会被阻断。告警模式应用于工控网络信息安全预上线 阶段。信息安全规划机构根据掌握的工控网络情况完成了工业安全网关安全策略规划， 通过告警模式来进行防护效果的测试和验证。在告警模式下不符合安全策略的数据流会 产生告警日志，但防护操作不会生效，所有流量不会被阻断。正常模式应用于工控网络 信息安全运行阶段。安全策略正式生效，对非策略定义行为进行阻断，并记录日志和进行告警。基于精准工控协议指令级控制的白名单 网神工业控制安全网关搭载了奇安信自研的深度数据包解析引擎，可对工控协议做 到实时和精准的识别，为解决针对工控网络的安全问题提供了技术基础保障，其全面支 持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。 对不同行业的工控系统，可以采取相应针对性的数据包探测机制和解析策略。在遵循工 业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用 匹配信息，如恶意软件、具体数据和应用程序类型，并结合白名单对不符合规则的流量 进行过滤。解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障 和冗余机制等要求。深度数据包解析引擎支持涵盖 OPC、Modbus、S7、DNP3、IEC104 等十余种主流工控协议，可以对上述工业协议做到指令级控制，并预制工业协议防护模 板方便用户快速搭建工业安全防护体系。基于工控服务的一体化安全策略配置 安全策略功能是工业安全网关的核心功能，提供基于状态检测、基于应用层之上数 据识别的动态包过滤技术。网神工业控制安全网关内预定义多种工控服务，通过源安全 域、目的安全域、源地址、目的地址、地理位置、服务、应用等维度对数据进行识别， 将用户需要进行过滤及控制的数据流分离，并对相应的数据实现安全漏洞防护、防间谍 软件、行为管控的一体化策略配置。基于应用层的综合攻击防护功能 网神工业控制安全网关的攻击防护模块通过基于安全域的 Flood 防护和扫描欺骗 防护、IP 地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP 安全域关联等防 护手段，将包括 SYN Flood、ICMP Flood、UDP Food、IP Food、 ping of death、 Teardrop、IP 选项、TCP 异常、Smurf、Fraggle、Land、Winnuke 等常见的攻击行为 检测集成在模块中，使得用户通过启用并配置攻击防护模块，可以有效的过滤并采取相 应的措施阻止非正常报文流入工控网络，并对 HTTP、DNS、DHCP 等协议提供应用层 防护。另一方面，针对局域网多播广播、IP 地址欺骗等也提供了专门的防护。 由于常见的攻击方式掺杂了大量的组合式洪攻击，攻击者实际上是在消耗被攻击者 的性能资源，因此网神工业控制安全网关强大的性能支撑，也保证了在大量攻击消耗工 业安全网关性能的时候不会成为的瓶颈，给予了攻击防护模块和其他模块坚实的性能基 础。完善的工控网络数据防泄漏 网神工业控制安全网关具有工控网络数据文件防泄漏功能，文件过滤支持针对 HTTP、SMTP、POP3、IMAP、FTP 协议传输的文件进行过滤，主要包含 3 大类：文 档类、压缩类、归档类；针对工控网络中核心工艺参数以及文件传输进行安全过滤和安 全审计，保护用户隐私。同时可以针对 HTTP、SMTP、POP3、IMAP、FTP、TELNET 进行行为管控，对于相关命令以及文件上传、下载操作行为进行安全管控和安全审计， 保障工控网络内用户核心数据和文件安全，防止数据泄露。

网神工业控制安全网关系统（也称为工业防火墙）是奇安信全新推出的工业防火墙 系列产品，其基于业界领先的软、硬件体系架构，硬件层面上，具有全封闭、无风扇、 多电源冗余等特点，确保达到工业级可靠性和稳定性要求。软件层面上，具备完全自主 知识产权的智能工控安全操作系统（即：Intelligent Industry Control Security Operating System 简称：IICS-OS）并结合工业特性的协议深度解析引擎，其工控协议深度包解 析技术不仅对二层三层网络协议进行解析，更进一步解析到工控网络包的应用层，对 OPC、Modbus、S7 等十余种主流工控协议进行深度分析，防止应用层协议被篡改或破 坏，全面提升了网神工业控制安全网关的协同防御能力、数据生成能力、数据分析能力、 数据处置能力。 网神工业控制安全网关，用于企业网络层和生产管理层、生产管理层和过程监控层、 过程监控层和现场控制层的边界。利用网神工业控制安全网关可以建立可信任的数采通 信及工控网络区域间通信的模型，采用结合智能学习的白名单的安全策略，过滤一切非 法访问，保证只有可信任的设备可以接入工控网络，只有可信任的流量可以在网络上传 输。为企业网络层（L4）与生产管理层（L3）、过程监控层（L2）的连接提供安全保障。 在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。 网神工业控制安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日 志审计等综合安全功能。网神工业控制安全网关采用了高性能、高稳定性的硬件架构， 为用户提供高效、稳定、可靠的安全保障。