奇安信网神工业控制安全网关系统产品白皮书-V2.0
网神工业控制安全网关系统
产品白皮书
?2019奇安信集团■版权声明
奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
网神工业控制安全网关系统产品白皮书目录|Contents
一.引言 (1)
1.1概述 (1)
1.2传统防火墙不适用工业环境 (1)
二.网神工业控制安全网关系统 (2)
2.1产品概述 (2)
2.2产品架构 (2)
2.3主要功能 (3)
2.3.1四重白名单的一体化纵深防护 (3)
2.3.2符合工控网络特点的三段式工作模式 (4)
2.3.3基于精准工控协议指令级控制的白名单☆ (4)
2.3.4基于工控服务的一体化安全策略配置 (5)
2.3.5基于应用层的综合攻击防护功能 (5)
2.3.6完善的工控网络数据防泄漏 (6)
2.3.7全方位风险信息展示及分析、审计 (6)
2.3.8管理员权限三权分立 (6)
2.3.9高性能高可靠的软硬件一体化架构 (6)
2.4产品优势 (7)
2.4.1专有硬件适用工业环境 (7)
2.4.2工控协议深度解析 (7)
2.4.3IT、OT一体化防护 (7)
2.5典型部署 (8)
三.客户价值 (9)
3.1边界隔离防御,提升工业网络稳定性 (9)
3.2满足政策合规要求,降低安全责任风险 (9)
3.3集中式的统一运维,降低运维成本,提升运维效率 (9)
网神工业控制安全网关系统产品白皮书
一.引言
1.1概述
随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了,广大的工业控制系统用户迫切需要解决如下问题:
●防止非法的对工控系统的指令操作;
●防止非法身份的用户对工控系统的访问;
●防止非法时间段对工控系统的操作;
●防止非法协议进入工控系统等;
目前,工业控制系统受到了越来越多的安全威胁,其中既有来自敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏,也有由于系统复杂性、人为事故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。电力、能源、交通等国家关键基础所依赖的工业控制网络系统的安全是国家经济稳定运行的关键,受到攻击的后果极其严重,因此工业控制网络信息安全问题急需解决。
1.2传统防火墙不适用工业环境
目前市场上的安全产品主要是针对传统IT安全的,对工控协议无法识别,而少数工控安全产品厂家提供的通用防火墙产品有如下不足:
●基于传统IT架构硬件平台,在功耗、可靠性、稳定性、实时性等方面满足不了工控
系统要求;
●无法发现针对工控协议的攻击和破坏行为;
●无法实现对工控网络流量的精细化管控和审计;
网神工业控制安全网关系统产品白皮书 无法实现对工控网络中安全风险进行全方位展示;
二.网神工业控制安全网关系统
2.1产品概述
网神工业控制安全网关系统(也称为工业防火墙)是奇安信全新推出的工业防火墙系列产品,其基于业界领先的软、硬件体系架构,硬件层面上,具有全封闭、无风扇、多电源冗余等特点,确保达到工业级可靠性和稳定性要求。软件层面上,具备完全自主知识产权的智能工控安全操作系统(即:Intelligent Industry Control Security Operating System简称:IICS-OS)并结合工业特性的协议深度解析引擎,其工控协议深度包解析技术不仅对二层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对OPC、Modbus、S7等主流工控协议进行深度分析,防止应用层协议被篡改或破坏,全面提升了网神工业控制安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力。
网神工业控制安全网关,用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控层和现场控制层的边界。利用网神工业控制安全网关可以建立可信任的数采通信及工控网络区域间通信的模型,采用结合智能学习的白名单的安全策略,过滤一切非法访问,保证只有可信任的设备可以接入工控网络,只有可信任的流量可以在网络上传输。为企业网络层(L4)与生产管理层(L3)、过程监控层(L2)的连接提供安全保障。在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。
网神工业控制安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日志审计等综合安全功能。网神工业控制安全网关采用了高性能、高稳定性的硬件架构,为用户提供高效、稳定、可靠的安全保障。
2.2产品架构
网神工业控制安全网关采用专用硬件平台,无风扇设计,可以有效降低硬件漏洞,增加安全性,提高稳定性、可靠性。
网神工业控制安全网关系统产品白皮书
具备完全自主知识产权的新一代智能安全操作系统IICS-OS操作系统,在高安全性、高开放性、高扩展性和高可移植性基础之上,结合工业特性的协议深度解析引擎重点加强了工业安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力,让工业安全网关具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力,弥补了传统防火墙重配置轻管理的缺点,并能提供多维度的有效信息帮助用户完成日常维护工作。
同时,网神工业控制安全网关集设备智能调度、工控协议解析、内容检测审计于一体,极大提高了底层硬件的安全性、工控协议解析处理速度。
图1.网神工业控制安全网关架构图
2.3主要功能
2.3.1四重白名单的一体化纵深防护
网神工业控制安全网关采用四重白名单的一体化纵深防护机制。其第一重防护基于五元组的网络层白名单防护;第二重防护基于应用特征的应用层白名单防护;第三重基于特定工业协议指令的白名单防护;第四重基于特定工业协议数据区的白名单防护。其中前两重防护与IT下一代防火墙相同,后两重防护是针对工业协议特有的白名单访问控制。针对工业协议白名单访问控制,系统搭载了奇安信自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。
IICS-OS (智能调度、工控协议解析、内容检测)驱动适配层专用工控硬件平台
攻击防护FW 工控协议管控系统管理白名单IP/MAC 绑定
日志审计
网神工业控制安全网关系统产品白皮书
图2.四重白名单一体化防护
2.3.2符合工控网络特点的三段式工作模式
在工控网络中可用性被公认为首位,其次是完整性和保密性。工控系统的可用性如果被破坏,将带来比传统IT网络中断更加严重的后果。
网神工业控制安全网关设计了三段式工作模式来保护工控网络的可用性。它们是学习模式、告警模式和正常模式。三种模式分阶段完成工控网络信息安全保障。学习模式应用于工控网络信息安全规划阶段。信息安全规划机构不了解工控网络情况,通过学习模式对工控网络中的协议和流量行为进行被动式发现。在学习模式下针对发现的策略无防护操作,所有网络流量行为均不会被阻断。告警模式应用于工控网络信息安全预上线阶段。信息安全规划机构根据掌握的工控网络情况完成了工业安全网关安全策略规划,通过告警模式来进行防护效果的测试和验证。在告警模式下不符合安全策略的数据流会产生告警日志,但防护操作不会生效,所有流量不会被阻断。正常模式应用于工控网络信息安全运行阶段。安全策略正式生效,对非策略定义行为进行阻断,并记录日志和进行告警。
2.3.3基于精准工控协议指令级控制的白名单☆
网神工业控制安全网关搭载了奇安信自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。对不同行业
网神工业控制安全网关系统产品白皮书的工控系统,可以采取相应针对性的数据包探测机制和解析策略。在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型,并结合白名单对不符合规则的流量进行过滤。解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。深度数据包解析引擎支持涵盖OPC、Modbus、S7等主流工控协议,可以对OPC等工控协议做到指令级控制,如:OPC协议只读。
2.3.4基于工控服务的一体化安全策略配置
安全策略功能是工业安全网关的核心功能,提供基于状态检测、基于应用层之上数据识别的动态包过滤技术。网神工业控制安全网关内预定义多种工控服务,通过源安全域、目的安全域、源地址、目的地址、地理位置、服务、应用等维度对数据进行识别,将用户需要进行过滤及控制的数据流分离,并对相应的数据实现安全漏洞防护、防间谍软件、行为管控的一体化策略配置。
2.3.5基于应用层的综合攻击防护功能
网神工业控制安全网关的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP 地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段,将包括SYN Flood、ICMP Flood、UDP Food、IP Food、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中,使得用户通过启用并配置攻击防护模块,可以有效的过滤并采取相应的措施阻止非正常报文流入工控网络,并对HTTP、DNS、DHCP等协议提供应用层防护。另一方面,针对局域网多播广播、IP地址欺骗等也提供了专门的防护。
由于常见的攻击方式掺杂了大量的组合式洪攻击,攻击者实际上是在消耗被攻击者的性能资源,因此网神工业控制安全网关强大的性能支撑,也保证了在大量攻击消耗工业安全网关性能的时候不会成为的瓶颈,给予了攻击防护模块和其他模块坚实的性能基础。
网神工业控制安全网关系统产品白皮书2.3.6完善的工控网络数据防泄漏
网神工业控制安全网关具有工控网络数据文件防泄漏功能,文件过滤支持针对HTTP、SMTP、POP3、IMAP、FTP协议传输的文件进行过滤,主要包含3大类:文档类、压缩类、归档类;针
对工控网络中核心工艺参数以及文件传输进行安全过滤和安全审计,保护用户隐私。同时可
以针对HTTP、SMTP、POP3、IMAP、FTP、TELNET进行行为管控,对于相关命令以及文件上传、下载操作行为进行安全管控和安全审计,保障工控网络内用户核心数据和文件安全,防止数
据泄露。
2.3.7全方位风险信息展示及分析、审计
网神工业控制安全网关为用户提供了全面的实时的风险信息展示,着重突出流量信息、
威胁事件、接口流量以及工控网络中应用信息,工业安全网关可以对威胁、应用、会话、网
络的全方位监控与分析、日志审计,确认异常行为是否具有风险。
2.3.8管理员权限三权分立
网神工业控制安全网关针对管理员的角色建立三权分立的管理员帐号机制,将超级用户
特权集进行划分,分别授予配置管理员、安全管理员和审计管理员。实现配置管理、安全管理和审计管理功能的同时,也保证管理员权限的隔离。防止因为管理员权限过大所引起的安全风险,也保证已经配置完成的访问控制策略不会出现未授权的修改,及出现未授权修改时可以
保留相关审计信息。
2.3.9高性能高可靠的软硬件一体化架构
工控系统对实时性要求异常苛刻,工业安全网关具备先进的硬件设计,采用专用硬件平台,为低延时、高吞吐的数据处理提供了坚实的基础保障。其中深度数据包解析引擎在实现
稳定可靠的数据包深度解析的同时,可以做到低延迟,保证了工控系统的实时性要求。
网神工业控制安全网关集成硬件加密引擎,为监控层系统和控制层系统的数据加密传输
提供了高性能的保证。另外,通过对工业安全网关和后台管理系统之间的所有数据交换进行
网神工业控制安全网关系统产品白皮书加密,确保了整个系统的安全性和可靠性。同时硬件物料精心选型,采用业内领先的硬件架构设计,极具工业环境的特点:
全封闭无风扇设计,标准工业导轨和标准机架两种安装方式
适应在各类工业环境下运行,支持宽温差和高湿差
内部采用纯电子部件设计,高稳定性
支持多电源冗余
支持硬件故障自动旁路转换(Bypass)功能,一旦设备故障,设备自动Bypass离线,正常业务流量不会中断,切换速度达到工业级要求;
拥有强大的网络数据处理能力
2.4产品优势
2.4.1专有硬件适用工业环境
充分考虑工业环境的特点,支持导轨式和机架式安装,宽温、无风扇设计。
支持硬件Bypass和冗余电源设计,保障生产连续性。
2.4.2工控协议深度解析
精准的工控协议指令级控制,深度数据包解析引擎,对工控协议做到实时和精准的识别,支持OPC、Modbus、S7等主流工控协议。在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。
2.4.3IT、OT一体化防护
针对工控网络中IT、OT流量进行全方位安全防护,通过应用识别、深度数据包解析以及一体化安全策略进行安全过滤,结合白名单、入侵防御、病毒检测等技术进行安全威胁检测和防护,保障工控网络安全。
网神工业控制安全网关系统产品白皮书2.5典型部署
图3网神工业控制安全网关典型部署
网神工业控制安全网关可以部署在企业网络层(L4)与生产管理层(L3)之间,作为控制网边界的第一道防线,用来阻止来自企业管理信息网、监控网的病毒、木马、网络入侵等安全威胁。
网神工业控制安全网关可以部置在过程监控层(L2)帮助用户根据业务和功能特性对控制网络划分安全域,例如:远程接入维护区、无线接入区、各种生产区。继而根据各区域的安全特点有针对性的为该区域提供安全防护策略,并控制病毒或攻击事件扩散。
网神工业控制安全网关系统产品白皮书三.客户价值
3.1边界隔离防御,提升工业网络稳定性
通过对不同边界采取纵深防御的逻辑隔离防护,并借助四重白名单一体化的精细化管控方式,提升边界防御的整体能力,从而保障工业生产网的网络稳定性。
3.2满足政策合规要求,降低安全责任风险
通过对边界的安全隔离措施,满足等保和行业安全的基本合规要求,并可对日志进行回溯查询,从而降低安全责任风险。
3.3集中式的统一运维,降低运维成本,提升运维效率
通过对设备的集中运维管理,实现设备的策略统一下发和异常监控,有效降低运维人员要求,并大大提升日常的运维效率。