工业控制环境面对信息化有哪些痛点？ icon

难以防护非可信指令修改工控系统

当工业控制系统的协议缺乏身份验证时，连接到网络的任何计算机或设备都可以输入命令来更改，更改或操纵由ICS控制的操作。

工控系统的漏洞修补较困难

工控系统对可靠性与实时性的要求，导致修补漏洞的周期长、方案复杂、工程量大、经济代价也大。

通用防火墙无法适应工业控制环境

通用防火墙缺少对工业协议的深度过滤能力、环境适应性如宽温等无法适应，工业控制环境要求更高的实时性、可靠性、稳定性也无法达到。

难以防护非可信指令修改工控系统 icon

设计天生缺陷
由于早期没考虑互联工控系统设计之时，可用性的优先级最高，几乎都没有考虑安全问题。

明码传输无校验
工业控制系统协议存在明文设计、缺乏认证、功能码滥用等问题。

设备接入无认证
只要能连通控制设备，任何安装组态软件的主机都可对控制器进行更改。

部分密码不可修改
部分控制设备与数据库的密码固定在硬件中且不可修改，相当于不设防。

通用防火墙无法适应工业控制环境 icon

随着工业化与信息化的深度融合，来自于信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁，通用防火墙在面对工业控制系统的安全防护时显得力不从心，因此急需要一种能应用于工业控制环境的防火墙对工业控制系统进行安全防护。

用于工业控制环境的防火墙除了具有通用防火墙的部分通用协议应用层过滤能力外，还具有对工业控制协议应用层的过滤能力。

用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力。工业控制环境中，通常流量相对较小，但对控制命令的执行要求具有实时性。

因此，工业控制防火墙的吞吐性能要求可相对低一些，而对实时性要求较高。

工业控制环境下的防火墙比通用防火墙具有更高的可靠性、稳定性等要求。

产品亮点

工业漏洞库

包含1000余种工业漏洞；
涵盖主流厂商的工业漏洞；
精细分类工业漏洞，精确防护工业设备。

工业级硬件

无风扇设计，支持宽温，适应工业现场的恶劣环境；
双电源设计，符合工业现场电源冗余要求(部分型号)；
多核低功耗CPU，降低整机能耗；
硬件ByPass功能，异常状态不会影响生产与业务网络数据。

协议识别广而深

深度解析MODBUS TCP、DNP3、S7、IEC104、 MMS、PROFINETIO、OPCDA、GOOSE、SV 等多种工业协议，支持协议自定义；
支持大多数传统IT协议的深度解析与控制。

符合工业操作习惯

符合工业习惯的操作界面，运行情况一目了然；
符合工业习惯的设置方式，运行方式简单易懂；
符合工业习惯的展现形式，安全事件查看驾轻就熟。

白名单与机器学习

对工业控制网络中所有不符合白名单的数据和行为特征进行阻断和告警，消除未知漏洞危害；
通过机器学习自动收集系统正常运行状态下的数据行为，识别工业网络环境网络的安全数据特征，建立网络流量安全基线。

高可靠性

硬件ByPass，当机器出现能源异常时，Bypass 网口自动导通，保证业务正常运行；
软件ByPass，当网络数据超出防火墙最大负荷时，在条件地将部分安全数据软bypass，保证网络时效性。

产品功能

白名单防护

在默认情况下，任何未经批准的主机、协议或功能指令都不能通过防火墙，从而抵御零日恶意软件和有针对性的攻击。一旦检测到白名单以外的网络数据，及时上报异常，对未知的攻击也能够记录。

工业漏洞检测

通过内置的工业漏洞检测引擎，内置1000余种工业漏洞，涵盖多数主流工业控制系统漏洞，精确匹配工业控制网络中的数据特征，检测工业控制网络已知的恶意攻击与威胁，保护工业控制系统业务与数据安全。

接入控制

主要针对工业控制网络数据中第二层网络（layer2）的控制，通过控制设备的源/目的IP、源/目的MAC，源/目的端口，快速识别工业控制网络中存在风险的设备和主机，防护工业控制网络安全于未然。

日志记录与报表

日志记录包括安全事件，操作记录，协议事件等内容。日志记录默认所有事件都上报并存储，特定场景下可以选择需要上报的告警日志，优化日志可视界面。报表展示灵活，定制内容，定制类型，定制输出的格式，满足多种报表功能需求。

多种工作模式

由于工业控制网络的特殊性，设计三种工作模式来满足其要求：全通模式、测试模式、工作模式。全通模式下所有网络数据都通过；测试模式下所有数据都通过，匹配安全策略的数据告警而不进行控制；工作模式下工业控制网络数据根据安全策略决定通过还是阻断。

NAT

NAT（Network Address Translation, 网络地址转换），包括SNAT与DNAT功能，它是一个IETF标准，将工业控制网络的某个工段或者工作域以一个特定IP地址对外发布，防止工业控制网内主机直接暴露在对外网络中，保证工业控制网络的主机和设备安全。

VPN

VPN(Virtual Private Network，虚拟专用网络)，包括IPSec与GRE功能，IPSec VPN是基于IPSec协议的VPN技术。GRE VPN（Generic Routing Encapsulation）是基于通用路由封装协议的VNP技术。

动态包过滤机制阻止不可信设备访问 icon

通过动态包过滤机制，限制访问的IP、MAC、端品、协议等，阻止不可信设备访问工业控制系统。工业场景中的工业控制设备，基本属于不设防状态，工业设备对主机不需要进行验证即可以连接。即使不可信的主机安装了组态软件，也可以对PLC、控制器进行控制。

IP
限制了目的IP地址，即限制了访问的区域。限制了源IP地址，即限制了访问主机的来源。

MAC
限制了MAC，即限制了访问的工业控制设备。因为MAC在全球范围唯一的。

端口
限制了目的端口，即限制了访问工业控制设备对外传输的通道。

协议
限制了通讯协议，即限制了访问工业控制系统允许的业务。

防护工业入侵特征精确软修补工业漏洞 icon

融合通用入侵与工业入侵特征于一体的入侵特征库，软修补工业漏洞。

4000多条通用入侵特征

包括缓冲溢出攻击、SQL注入攻击、拒绝服务攻击、安全扫描、蠕虫攻击、木马攻击、间谍软件攻击、远程访问攻击、潜在风险、web扫描、协议分析、finger服务攻击、恶意攻击、0-day、目录扫描攻击、跨站脚本攻击、内容过滤、爬虫攻击等入侵特征。

1200多条工业入侵特征

包括西门子、罗克韦尔、GE、施耐德、和利时、威纶通等设备的入侵特征，工业协议Modbus TCP、S7、GE-SRTP、CIP的敏感操作。

深度控制协议内容保证安全生产 icon

精细控制通讯内容，深度控制功能码、寄存器、地址范围、值等内容，保证安全生产。

2900+传统协议

HTTP协议，传统协议，P2P下载，网络电视，即时通讯，股票软件，流媒体，网络电话，游戏，网盘，手机应用，数据传输。

40+工业协议

制程自动化协议，工业控制系统协议，智能建筑通讯协议，输配电通讯协议。

14+协议深度解析

Modbus TCP/UDP，OPC DA/UA，CIP-TCP/UDP，GE-SRTP/EGD，S7，Profinet，CIP-IO，MMS，IEC-104，DNP3 。

适应多种网络拓扑的部署模式 icon

混合模式

1.包含了路由模式和透明模式的优缺点。 2.在工控场景应用较少。

路由模式

防火墙接口需要设置IP地址。改变当前的网络拓扑，需要重新设定和修改路由。可使用NAT功能可使用VPN功能。

透明模式

原则上不需要设置IP地址。不改变当前的网络拓扑，不必重新设定和修改路由。适合保护同一子网上不同区域主机。

网络地址转换解决装置IP冲突问题 icon

NAT过程对终端来说是透明的。对外网服务器而言，它认为内网用户主机的IP地址就是192.168.3.*，并不知道有192.168.1.1这个地址。因此，NAT避免了工业控制网内主机直接暴露在外部网络中。NAT适合多套装置的IP相同，但修改IP的难度较大，但又需要将多个同IP的装置连接在一起统一监控，使用NAT功能，将不同的装置转换成不同的地址，解决IP地址冲突的问题。

VPN保证用户的业务数据机密安全可用 icon

AI行为分析检测工业控制环境未知威胁 icon

通过AI算法将工业控制环境中的正常业务网络数据抽象成高维行为模型，实时网络数据对比行为模型，发现未知的网络威胁。

滴水不漏的工控网络安全状态展现 icon

安全事件

记录所有安全事件，包括工业白名单事件，工业入侵特征事件，异常特征事件，异常接入控制事件等，网络安全状态一览无遗。

流量记录

记录实时流量与历史流量，生成流量曲线，随时回溯流量数据，寻找异常流量点。

日志记录

记录所有日志，包括设备日志，操作日志，系统日志等信息，绝异常操作可查，设备状态实时可知。

会话监控

监视业务中的每一个会话，记录地址，端口，应用等信息，异常会话即时发现。

适合工业控制环境立体防护 icon

信息安全技术网络安全等级保护基本要求附录G.1

参考：IEC 62264-1的层次结构模型划分。企业资源层：主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段；生产管理层：主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等；过程监控层：主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监控，并利用HMI系统实现人机交互；现场控制层：主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控制；现场设备层：主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。

三重网络防护，保证正常安全生产 icon

升级扩容便捷，满足当前，着眼未来 icon

软件升级，保证安全能力持续提升

安全操作系统升级，系统授权升级，入侵特征库升级。

硬件升级

机架式产品硬件升级扩容简单便捷，增加扩展卡即完成硬件扩容，减少硬件升级成本，简化升级步骤。支持光口，电口，万兆接口扩展，应对未来的硬件升级需求。

应用场景

现场控制层防护

场景描述现场控制层的控制器直接与传感器、变送器、执行装置相连，实现对现场设备的实时监控并通过通信网络实现与上层机之间的信息交互。控制器即能脱离上位机按预定的程序自动运行，又能接受上位机的操作按需要运行合适的程序。作为工业控制系统的核心大脑，如何防护控制器不受攻击是工业控制系统安全防护的重中之重。

产品应用保证正常业务主机对控制器的访问与操作；阻止异常主机对控制器的访问与操作；允许经过验证的工程师站下载、上传、更新控制器组态，保证控制器程序不被侵入、异常篡改。专业安服团队协助解决问题并出具安全报告。

通讯服务器防护

场景描述通讯服务器在工业控制系统中担当重要的角色，对内连接工业控制系统的过程监控网络层，对外连接生产管理层。生产管理层与过程监控层可能通过通讯服务器实现数据访问，一旦互联网的主机通过生产管理层的主机访问过程监控网络的主机，整个工业控制系统都处理威胁之中，生产装置的运行不再安全，恶意攻击事件有可能导致重大生产事故。

产品应用隔离异常主机访问过程监控层的主机和数据；保证生产管理层与过程监控层主机的正常数据访问，保证业务正常运行；保证生产管理层的病毒与针对性攻击不影响工业生产运行。

域间通讯防护

场景描述域间通讯是同一公司的工业控制系统常用的通讯方式，具有通讯快捷，数据库一致，降低通讯成本等多种优点，但方便快捷的同时，也面临网络主机间互相访问的问题，若0号域的主机被攻击或者感染病毒，有可能1号域的设备和主机面临攻击的威胁。

产品应用隔离多域之间不正常的数据访问与操作；保证多域间数据的正常访问与业务运行；保证域与域之间不会相互感染病毒，实现域间数据的安全隔离。

某车企智能制造工控安全应用 icon

部署方案工业防火墙部署在各子车间与核心交换机之间，域间隔离的重点在于多域间业务逻辑隔离，保证合法的数据在信任的主机之间进行交换，确保工控网络的某个域的设备受到恶意攻击后，其他域的网络数据能够正常运行。工业防火墙部署在OPC服务器与生产管理层之间，防护生产管理层和互联网的恶意攻击，保证生产管理层的可信任主机访问OPC服务器的合法数据，确保生产管理层和互联网的设备受到恶意攻击后，工控网络不会受到影响，保证工控网络正常运行。客户价值通过工业防火墙系统的部署，建立了区域隔离、边界防护的防护体系。对各子系统之间的数据交互进行访问控制、业务操作控制、攻击行为过滤等安全防护，保证了工控系统网络的正常运转，对安全生产提供了保障。

轨交行业工控安全案例 icon

部署方案 ISCS和OCC主干网之间部署工业防火墙系统，对ISCS各子系统域间隔离，保证合法的数据在信任的主机之间进行交换，确保某个ISCS的设备受到恶意攻击后，其他ISCS和OCC的网络数据能够正常运行。 FEP和ISCS间部署工业防火墙系统，将ISCS与互联的子系统进行安全隔离，确保FEP的设备受到恶意攻击后，ISCS的工控网络不会受到影响，保证ISCS系统正常运行。 FEP和ISCS间部署工业防火墙系统，将ISCS与互联的子系统进行安全隔离，确保FEP的设备受到恶意攻击后，ISCS的工控网络不会受到影响，保证ISCS系统正常运行。客户价值通过工业防火墙系统的部署，建立了区域隔离、边界防护的防护体系。为ISCS的正常运行提供了网络安全保障。

火电行业工控安全案例 icon

部署方案

工业防火墙系统部署在火电厂/调试中心的控制区与非控制区之间，重点在于保护控制区网络安全，确保非控制区的网络受到恶意攻击后，控制区的网络不受到控制区的影响，保持正常运行。

客户价值

通过工业防火墙系统的部署，满足了电力36号中的横向隔离的要求，并对控制区进行了安全防护，为火电厂的正常运行提供了网络安全保障。

烟草行业工控安全案例 icon

部署方案

MES服务器和生产网之间部署工业防火墙系统，将MES系统与生产网进行安全隔离，确保MES的设备受到恶意攻击后，生产网的工控网络不会受到影响，保证生产安全正常。

客户价值

通过工业防火墙系统的部署，为生产网建立了安全防护，防护MES和互联网的网络攻击，为生产正常运行提供了网络安全保障。

数字化社区