2020年珞安科技率先发布业务安全产品体系。
以多年工控安全实践经验为基础，在满足合规性需求的前提下，深入挖掘业务安全需求。

网关扩展基座为运维网关提供了统一通信、统一管理的存取方案，为不同厂商的网关提供统一接入入口，提供集中存放、自动供电、加密通信和身份认证功能。

· 网关扩展基座固定在标准机房机柜里面，抽拉模式进行放取；由网关扩展基座提供自动充电接口。
· 网关扩展基座内置加密芯片，存储国网加密证书、通讯IP地址，运维网关使用该证书与集中管控系统实现身份认证。
· 网关扩展基座作为唯一合法的与集中管控系统的通讯接口，一个基座支持多台运维网关的数据交互和身份认证。

安全需求
DCS运维区的工程师站、操作员站等大部分上位机为Windows/Linux平台。为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常需要更新安全补丁或变更策略配置。运维中，一旦感染恶意代码，极易导致非计划停机。
目前在火电DCS控制系统中，各类品牌设备普遍存在安全问题。近年来国内外漏洞平台陆续发布了针对工控系统HMI软件、PLC固件的多个漏洞，需要及时修复。
缺乏对管理和技术人员操作行为的有效安全监管和审计，误操作或恶意操作安全风险较大。

解决方案与价值
便携式运维网关通过串接在运维终端与被运维对象之间，将运维成员、运维工具等外部要素与被运维对象等内部要素进行隔离，保障电网DCS区域设备运行安全。
01、提高电网运行效率
保障DCS系统对电网设备进行监控和控制正常运行，能够实现电网的自动化和智能化运行，提高电网的运行效率。
02、保障电网安全

保障DCS系统对电网设备进行监控和控制正常运行，可以及时发现和解决异常或故障，避免事故的发生，保障电网的安全运行。

应用场景

01、单元机组 DCS控制和监测设备

包括发变组、单元机组和辅机PLC/DCS等。
02、业务系统
厂级信息监控系统、AGC、AVC、梯级调度监控系统、网控系统、相量测量装置PMU、自动控制装置、五防系统、继电保护。
03、现场控制单元、操作站和工程师站。

客户现状
目前，国网主站全面部署了网络安全监测装置，完成调度主站网络安全管理平台的建设工作，实现了调度端对网络安全监测范围内设备外设接口使用情况的监测;同时主站综合采用了USB锁、网口锁、封条和内部关闭空闲端口等方式，对设备外设接口进行了简单物理封堵。通过USB口，使用U盘文件传输，安全管控手段有待加强。

风险
调度员频繁使用U盘在管理信息大区与生产控制大区之间传递数据，操作流程复杂并且存在病毒传播风险，调控中心自动化设备数量多、区域分散，未使用有效技术手段，存在USB接口管理难、文件管理弱等问题。
解决之道
在I区、II区各部署一套USB安全集中管理平台，I、II、II区部署相关的USB安全隔离装置，实现对文件上传、下载的管控，移动介质的认证、查杀。

价值
通过开展移动介质安全管控能力建设，实现主站主机外设端口现场使用的安全管控，实现操作过程的可审计、可追溯，做到主站易违规外联设备上的违规行为的“可视、可控”，从而进一步加强设备外设接口管控，强化对现场检修作业安全管控能力，实现现场非授权操作的远程安全管控，提高违规外联、非法接入的防控能力，进一步夯实主站电力监控系统安全防护水平。

客户现状
厂站侧管理薄弱，第三方运维厂家在工作中经常需要从内部主机上导出导入文件，目前尚未有很好的审计手段能够监控运维厂家人员的行为，存在数据泄露、病毒感染等安全风险。
厂站内主机安全配置不完善、移动介质滥用、恶意代码防范缺失等因素更易传播、感染病毒等，如一旦出现病毒感染事件极易传播造成生产系统中断，影响生产。

厂站/变电站解决之道
I、I区部署USB安全隔离装置，实现USB设备的安全接入管理；
价值
对U盘进行接入控制、病毒查杀、文件黑白名单管控和全面的日志审计等，保障数据摆渡的安全;实现和网监装置对接，并将对应告警上传网监。

拓扑图

现状
电网办公环境存在大量使用移动存储设备的场景和业务，通过U盘拷贝文件进行协同办公，这为办公环境带来了两个关键的安全风险:数据盗窃和恶意软件注入。
管理大区、办公区域解决之道
各办公区域部署USB安全隔离装置，实现USB设备的安全接入管理;中心机房部署USB集中管理平台，负责统一管理USB安全隔离装置;各办公终端通过桌面管理系统，逻辑封堵除鼠标键盘外的所有USB设备;同时，配套部署USB端口封堵器，实现PC终端USB端口的物理封堵。
价值
加强管理信息大区USB存储设备使用过程中的安全防护能力，规范公司办公人员对于U盘的使用流程;统一管理USB安全隔离装置，集中汇总与分析操作日志。

电力监控系统网络安全核查装置是一款面向电力监控系统，自动化开展网络安全核查的便携式软硬一体化设备。支持自动化进行现场网络资产测绘，完成设备违规跨区使用、违规外联、安全配置不当、本体高危漏洞等核心安全风险检测，实现网络安全核查工作自动化、核查内容规范化、核查动作可视化、核查过程监管化、核查报告标准化。

通过资产测绘技术，快速生成资产信息测绘台账。基于资产信息测绘且结合自研网络拓扑链路算法，生成实时网络拓扑链路，解决资产测绘难题;结束人工梳理资产、手工捋顺网络线的现状，避免网线插错交换机端口事件发生。

主动式资产测绘、被动式资产测绘、资产测绘台账

解决了由于核查技术不成熟所引起的网络安全核查专业门槛高、核查不规范、人工核查效率低等问题，同时辅助培养网络安全核查人员能力，保障核查结果的一致性，满足电力二次系统安全专项监管及等保合规要求。

规范网络安全核查基线、 避免人工核查带来的人为风险、           完善网络安全核查流程、                    监控整个网络安全核查工程、确定核查人员工作规范
规范网络安全核查步骤、 提升网络安全核查人员网络安全素养、提高网络安全人员网络安全技术能力

产品优势
节约人力成本、提高安全核查效率、降低安全风险成本

主机安全监测系统软件是专为配合电力监控系统网络安全监测装置进行主机设备信息采集的Agent代理程序 (I型Agent)，严格遵循国网Q/GDW 11914-2018的技术规范要求，并通过了中国电科院检测认证。该软件主要部署于厂站端监控主机、五防主机、服务器等主机类设备，采集主机的操作行为日志和安全事件，包括：用户登录和用户操作等管理事件、USB设备插拔、串并口及光驱使用、网络连接和服务异常访问、用户及目录权限变更等安全事件等，支持对接各厂家的网络安全监测装置。系统支持WinXP 及以上Windows操作系统，支持凝思、麒麟、Redhat、CentOS、Debian、Ubuntu等100+ Linux操作系统版本。

产品优势
触发式事件监测，性能影响极低；
一键安装，部署便捷；
采用进程环境隔离技术，不影响原系统的运行；
兼容各类老旧系统，轻松应对现场复杂环境。

核心功能

根据国调的统一要求，各网省公司生产控制大区的|区和1区中的主机类设备，在符合条件的情况下应做到网络安全监测的应接尽接。但依然有相当一部分主机未纳入管理，可能是前期建站时间久远设备陈旧未安装、也可能是后期更换设备未及时安装。
随着国家新能源战略的推进，光伏电站和风电装机规模屡创新高，自2012年以来，我国风电装机增长了6倍，年均增长20%。这些新增的新能源电厂，都需要部署II 型监测装置以及Agent。

部署图

电力外设接口管控系统是一款面向电力监控系统，管控终端设备各种外设接口合法合规安全使用的接口防护产品，杜绝运维过程中存在的违规终端接入、违规手机充电、私接U盘等各种不合规操作，通过技术手段落实能源局36号文对于接口防护的规范要求，切实提升电力监控系统的运行安全。

系统采用软硬结合的方式，通过在终端部署接口管控软件，实现主机USB接口、网口、串口、光驱以及交换机空闲网口的受控使用；通过USB安全保护装置，实现U盘类设备的白名单式安全接入；通过通信代理软件，在不增加公网IP的情况下打通厂站与主站的通信通道，实现厂站外设接口的集中化管理。

产品优势
内核级接口管控，可防BadUSB固件攻击、U盘隔离式接入，可防范USB炸弹攻击
USB直连接入，不新增网络风险点、广泛适配电力环境中的各类操作系统，兼容性极强
支持无客户端的安全接入，适应复杂现场环境、厂站无需新增公网IP，方便部署落地

核心功能

工业互联网安全实训平台，是集“学、练、测、评”一体化的工控网络安全实战训练平台，是工控行业客户提升自身网络安全能力、培养具备实操能力的工控安全人才最直接有效的培训平台。平台由“工业互联网安全实训靶场系统”+“工业互联网安全实验设备”组成。“工业互联网安全实训靶场系统”是一套针对工业设备、控制、网络、数据、应用进行模拟仿真的集成软件平台，“工业互联网安全实验设备”为数台便携式工业互联网安全实验柜或实验箱。

01、内网资产管理
网络流量识别发现+主动扫描方式+EDR发现内网资产信息，通过关联分析安全威胁事件和日志，实现全网威胁分析和事件检索。
02、全面支持IPv6网络
珞安防火墙全面支持IPv6网络，基础功能如SNMPv6、NTPv6、策略路由v6等，同时支持IPV4和IPV6的协议转换，实现双栈通信。
03、攻击链可视化分析
通过对检测出的威胁时间日志进行汇总分析整理，实现以攻击链的形式可视化展示攻击者的入侵路径，入侵程度，影响登录等，对攻击者的入侵路径进行完整的呈现，便于管理员攻击者进行取证溯源。
04、多种安全防护能力
支持防病毒、异常流量监测、DDOS、非法外联、行为模型分析、防暴力破解等多种安全防护能力。

产品优势
灵活便携的部署模式、全面的威胁检测与防护、强大的防病毒能力、可靠的数据泄露防护能力

01、多业务高性能
工控入侵检测系统采用先进的多核架构，采用病毒库树形存储、流扫描处理等领先的防病毒技术，并采用零拷贝并行流处理等高效的防攻击技术，保证高速度、低时延的安全防护。
02、工控协议深度解析
内置工业协议深度解析引擎，支持Modbus、OPC、S7、Enternet/IP、DNP3、ICE104、Profinet等常见工业控制协议的深度解析，构建安全可信的工业白环境。
03、高效的入侵检测引擎
配置高效入侵检测引擎，威胁特征9000+、工控威胁特征1000+，CVE热点事件特征实时更新;支持攻击报文本地存储，方便管理员事后回溯攻击事件。支持自定义威胁特征，威胁检测更加灵活。
04、流量分析可视化
工控入侵检测系统以用户和应用为核心，关联“人”、“行为”和“流量”等信息，清晰直观的进行数据分析呈现，帮助管理员准确了解工控网络流量使用情况。

产品优势
全面的工控协议支持、  动态响应的安全检测手段、    配置简易，可自定义入侵特征规则库、   具备强大报表功能，便于分析与防范

01、多源日志类型采集
系统提供UDP、TCP、SYSLOG、SNMP、WMI、(S)FTP代理插件上传、文本文件上传等多种方式进行日志采集，可智能识别各种路由器、交换机、防火墙、应用系统等设备产生的日志信息。
02、实时分析与审计
采用高性能应用架构设计，满足事件的实时分析、审计要求;提供针对各类日志审计场景的策略模板，支持策略的用户定制。
03、大数据搜索技术
采用大数据搜索技术，通过垂直搜索引擎对无序化的信息进行高效检索，使用倒排索引、事件关联评分机制实现单台低端设备即可实时检索上亿条日志，通过分布式架构部署进行横向拓展可实现系统高可用，极大提升实时检索能力。
04、丰富的自定义报表
系统适用不同的业务场景，预置丰富多样的报表和各事件板块进行主题数据分析，提供高效、智能的报表生成工具。

产品优势
全面的日志采集类型；                 先进的关联分析算法；            多样化自定义报表
高效的大数据搜索，快速溯源；  分布式部署架构，按需扩展；  可视化关系图谱

01、身份认证
系统内置生物指纹认证模块，支持多种认证方式组合的双因素认证，可自定义组合，且每个用户可单独设置。
02、操作便携
从用户需求出发，友好的视觉设计，真正做到了操作简单，上手即用，支持WEB免客户端模式。
03、集中账号管理能力
集中账号管理可以完成对账号整个生命周期的监控和管理，降低了管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。
04、自动化运维能力
针对重复性的运维工作，支持预置脚本和任务，定期的自动化执行。

产品优势
高标准的产品要求；
为符合电力领域对于安全设备的要求，所有产品均包含冗余电源；
设备日志符合《电力监控系统监测对象采集信息与命令控制技术要求》中的日志格式，能够将设备本身信息及告警上传至I型监测装置；
设备通过国网电科院相应类别产品的针对性测试，并取得测试报告。

项目介绍
中国华能集团有限公司 (简称中国华能) 是经国务院批准成立的国有重要骨干企业，拥有57家二级单位、480余家三级企业，5家上市公司 (分别为华能国际、内蒙华电、新能泰山、华能水电、长城证券)，职工12.4万人，是中国电力工业的一面旗帜，持续引领发电行业进步，在新时代全面开启创建世界一流企业新征程。中国华能集团公司针对当前现场运维与操作面临的“缺乏基础网络隔离、数据摆渡机制缺失、缺少安全审计和操作日志、出现问题难以追责”等情况，同时立足“十四五”规划，合理利用投资，统筹网安规划、建设、运行、设备管理等工作，着力健全技防措施体系，开展检修班组便携式运维网关配置应用建设项目，满足现场运维检修需求。

解决方案
01、设备认证授权
根据被运维对象接口类型，采用不同的线缆在运维终端与被运维对象之间串接部署便携式运维网关，通过账号口令、生物特征等方式完成工作人员的身份认证。通过USBKey方式完成运维终端的设备认证;通过权限划分系统管理员、工作负责人和审计管理员等不同的角色。
02、运维风险管控
通过在运维终端与被运维对象之间部署便携式运维网关，对通信报文进行实时解析，对运维操作过程中可能存在的风险进行管控，包括违规外联阻断、高风险操作指令阻断、攻击行为阻断、恶意代码查杀等。
03、操作审计记录
通过部署便携式运维网关，对整个运维过程进行全面审计和管控，保留运维过程中权限认证、文件传输、屏幕及图像、通信报文、风险管控、接口使用等记录，同时提供回放溯源的能力，记录文件并有效地进行归档保存。
04、数据传递防护
通过部署便携式运维网关，对运维人员身份信息、运维信息、设备信息进行三位一体化捆绑，对运维过程的操作与数据传递进行有效隔离，确保现场运维安全性，有效防止危险操作和恶意代码进入内部系统。

案例价值
有效隔离运维设备、移动存储设备与现场环境的直接连接，实现安全入网、可控访问；提供持续安全状态监测，违规立即断网。
基于硬件的运维人员身份校验；运维任务、操作过程、运维结果，全程化日志记录；运维设备全程录像，让违规行为有据可查。

项目介绍
甘肃科源电力集团有限公司是甘肃省电力行业的领军企业，作为一家综合性电力服务与技术创新型企业，其核心业务涵盖电力技术研发、工程建设、运维服务及新能源开发等多个领域。公司下设8个专业技术研究院、12个地市级分支机构、以及95个县域服务网点，广泛服务于超过1300万电力用户。

甘肃科源电力集团有限公司针对当前现场运维与操作面临的“设备运维复杂、检修难”等情况，同时立足“十四五”规划，合理利用投资，统筹网安规划、建设、运行、设备管理等工作，着力健全技防措施体系，开展检修班组便携式运维网关配置应用建设项目，满足现场运维检修需求。

解决方案
01、设备认证授权
根据被运维对象接口类型，采用不同的线缆在运维终端与被运维对象之间串接部署便携式运维网关，通过账号口令、生物特征等方式完成工作人员的身份认证。通过USBKey方式完成运维终端的设备认证;通过权限划分系统管理员、工作负责人和审计管理员等不同的角色。
02、运维风险管控
通过在运维终端与被运维对象之间部署便携式运维网关，对通信报文进行实时解析，对运维操作过程中可能存在的风险进行管控，包括违规外联阻断、高风险操作指令阻断、攻击行为阻断、恶意代码查杀等。

03、操作审计记录
通过部署便携式运维网关，对整个运维过程进行全面审计和管控，保留运维过程中权限认证、文件传输、屏幕及图像、通信报文、风险管控、接口使用等记录，同时提供回放溯源的能力，记录文件并有效地进行归档保存。
04、数据传递防护
通过部署便携式运维网关，对运维人员身份信息、运维信息、设备信息进行三位一体化捆绑，对运维过程的操作与数据传递进行有效隔离，确保现场运维安全性，有效防止危险操作和恶意代码进入内部系统。

案例价值
掌控现场运维，隔离安全风险：通过有效隔离运维设备、移动存储设备与现场环境的直接连接，实现安全入网、可控访问、以及安全状态的持续监测，及时阻断危险操作及来源，实现内网的安全防护。
全程日志记录，安全责任到人基于硬件的运维人员身份校验；运维任务、运维操作、运维结果，全程化日志记录；运维过程全程录像，让违规行为有据可查。

项目介绍
国网甘肃省电力公司是国家电网公司的直属分支机构，专注于电网的投资、建设与运营，作为其核心业务范畴。公司下辖14个地市供电局、86个县级供电公司，承载着确保甘肃省内电力稳定供应的核心职责，并且在国家能源战略中扮演着关键角色，负责向周边省份如陕西、四川、青海以及更远至华东、华中等地区输送电力资源，对促进区域经济发展和能源优化配置具有不可替代的作用。国网甘肃省电力公司立足“十四五”规划，合理利用投资，统筹网安规划、建设、运行、设备管理等工作，严格执行电力监控系统作业“十禁止”工作要求，持续加强电力监控系统外设设备管控能力，加快各并网电厂全面实现USB移动介质接入网络安全隔离功能部署应用和专用调试工具配置管理建设步伐。

解决方案
01、白名单式设备入网管控
基于USB存储设备的硬件序列号，实现白名单式的设备准入控制，只有在白名单中的设备才允许入网使用，避免设备的滥用。
02、多样化文件访问模式

提供标准的HTTPS协议、FTP协议、SFTP协议形式的网络化文件访问，授权用户可以从任意主机访问自己的U盘文件;系统支持OTG模式的文件访问，允许用户像操作普通U盘一样进行文件访问，真正实现对用户使用习惯零影响。
03、丰富的策略管理模式
支持文件白名单管理及文件下载黑名单两种管理模式。可对拷出数据进行严格管控，保证重要数据不可以外流。
04、分权分级式权限管控
U盘可以根据需要限制使用范围，划分为全域使用、部门内使用以及个人使用;系统还可以根据用户身份，进行读文件、写文件的分权控制，践行最小化授权原则，降低使用风险。

案例价值
通过对USB移动存储设备进行授权管理，只有经过授权的设备才能被访问，可有效防止非法USB移动存储设备接入系统。
通过丰富全面的日志，可以记录用户使用USB移动存储设备的过程、操作，从而可以对用户行为进行溯源，实现责任到人的管理。

珞安科技专注工业网络空间安全
的创新型高科技企业和国家专精特新“小巨人”企业。

珞安科技成立于2016年，秉承“守护工业网络空间安全，为国家关键信息基础设施安全保驾护航”的企业使命聚集国内工业网络空间安全领域顶尖人才，组建工业网络空间安全研究实验室及工控安全专家团队。以零信任理念和体系化思想为指导，自主研发了“实战化、易部署、易维护”工控网络安全产品体系，全面覆盖工控安全、业务安全和工业互联网安全，构建了资产可见、威胁可感、安全可视、攻击可溯、主动防御的工业网络空间安全防护体系。

8年 - 工控安全建设经验
4大研发中心
30个 分子公司及办事处