长扬科技工业网闸IGAP_工业网络安全隔离与信息交换_工业互联网安全

长扬科技工业网闸IGAP

长扬工业网闸（IGAP）是一款用于工业网络安全隔离与信息交换的产品，采用“2+1”系统架构，由内、外网处理单元和安全数据交换单元组成。网络数据经过策略过滤及内容检查后，提取其关键元素生成内部可识别数据，由专有安全模块在内、外网间的安全通道内进行数据摆渡，实现物理隔离与协议隔离的同时进行高效率的安全数据交换，真正意义上杜绝安全风险传递和泄密事件的发生。

立即咨询

政策合规要求

《信息安全技术网络安全等级保护基本要求（GB/T22239-2019）》--国标

9第四级安全要求 9.1 安全通用要求 9.1.3 安全通区域边界 9.1.3.2 访问控制 c）应在网络边界通过通信协议转换或者通信协议隔离等方式进行数据交换。8第三级安全要求 8.1 安全通用要求 8.1.3安全区域边界 8.1.3.2 访问控制 e）应对进出网络的数据流实现基于应用协议和应用内容的访问控制。

《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》（ GB/T37934-2019 ）--国标

工业控制网络安全隔离与信息交换系统部署在工业控制网络边界，部署在生产管理层与过程监控层之间及重要工业控制网络资产，本标准分为安全功能、自身安全要求、安全保障三类，并分为基本级和增强级。

《信息安全技术关键信息基础设施

网络安全保护基本要求》

对不同网络安全等级系统、不同业务系统、不同区域之间的互操作、数据交换和信息流向进行严格控制。例如：采取措施限制数据从高网络安全等级系统流向低网络安全等级系统。

《电力监控系统安全防护规定》

（14号令）--行标

第九条生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或想当功能的设施，实现逻辑隔离。安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。

客户价值

实现可控交换
实现区域隔离的同时做安全可控的数据交换数据

满足合规要求
行业标准及等保都有关于网络边界安全隔离的相关要求

抵御演练攻击
在红蓝对抗、护网等网络安全攻防演练中提供安全保障

产品概述

学名
安全隔离与信息交换系统：产品的认证证书中都是使用这个名称，源自此网闸产品国家检测标准的产品名称定义。

别名
网闸：当前最常用的名称。网闸对数据报文的处理与船只通过船闸过程非常类似。物理隔离网闸：这个名称是不严谨的，网闸是网络隔离产品。

作用
用于连接两个不同的安全域，实现两个安全域之间应用代理服务、协议转换、信息流访问控制、内容过滤和信息交换等功能。

组成
一般以二主机加专用隔离部件的方式组成，即由内部处理单元、外部处理单元和专用隔离部件组成。

产品概述

工业网闸采用“2+1”的设计架构（内网主机、外网主机、隔离芯片）并使用专有的高效隔离芯片，通过专有的内部通道和交换协议，实现两个不同网络之间的物理隔离、协议隔离以及安全的数据交换。主要用于工控网络和管理网络之间、政务外网和政务内网之间、涉密网和非涉密网络之间、军队内部网络和总部网络之间的隔离。

工作原理

产品架构

网络隔离产品中的内、外网主机通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道裁剪了TCP/IP等公共网络协议栈，采用私有协议实现协议隔离。

产品定位

产品功能列表

数据自动同步功能

文件同步

数据库同步

应用访问控制功能

Web访问控制

视频访问控制

数据库访问控制

组播访问控制

工业应用访问控制

自定义应用访问控制

功能亮点

文件交换功能

文件同步场景全覆盖
支持SMB/FTP等主流协议

私有文件交换协议，安全性更高

内置、外置多种文件交换模式

控制粒度细
文件交换方向控制

同步间隔周期可控

多种源端文件处理方式

全方位安全保障
支持对所有文件类型识别过滤

文件内容审查，支持∞级目录下的文件深度解析

百万级流行病毒库支持病毒文件识别过滤

采用私有加密算法，保障文件内容安全传输

数据库同步灵活度高

同步方式多样
产品支持内置、外置两种数据库同步方式，提供多样化的数据库同步服务。

数据库支持范围广
支持MySQL、Oracle、SQLServer、DB2、Sybase、达梦、人大金仓等近10种数据库的同步。

同步细粒度可控
产品支持同构、异构数据库之间单、双向同步功能；支持字段级同步和内容级的同步控制。

视频互联兼容性好

01
支持SIP、H323、RTSP、RTMP、HLS等多种主流音视频协议

02
兼容海康、大华、宇视、科达、H3C等15家主流视频厂商

03
支持平台级联、互联、点播功能，符合GB/T 28181国家标准要求

04
独有多机负载功能，将视频流按算法分配给多台设备，解决物理带宽限制

事件关联，综合分析和判断 icon

Web浏览
支持HTTP协议应用的各种指令控制

FTP访问控制
检查文件内容、过滤关键字，确保只有符合保密、安全策略的数据文件才可被交换至另一端

数据库代理
支持控制各数据库SQL动作语句以及SQL白名单

邮件传输
可控制应用层指令，如指定用户名、邮件地址；可以对邮件正文、附件格式等进行指定过滤

组播代理
支持ASM、SSM、SFM多种组播方式以及多任务组播代理

工业应用访问控制
支持OPC、S7、MODBUS、IEC104、DNP3等多种工业协议

产品设计可靠性

扩展升级

产品系列

低功耗系列
100-500Mbps吞吐场景全覆盖

Combo光电互换接口，业务场景使用更广泛

双液晶屏实时显示设备状态

全扩展系列
覆盖1Gbps~40Gbps吞吐量

最大可扩展为整机两个扩展板卡

40Gbps网络层吞吐，业内性能最高

国产化系列
国产化硬件，飞腾CPU，银河麒麟操作系统在开发中

产品亮点

高安全性
专有操作系统，OS存贮于DOM中，业务数据经过物理隔离、协议隔离、内容隔离多重防护。

低延迟性
数据交换单元采用高性能专有处理芯片，整机网络延迟小于1ms。

高可靠性
专用工业主板设计、双冗余电源、支持双机热备部署。

高便利性
安全策略配置简单明了，支持配置导入导出；三种工作模式可选，透明工作模式无缝接入。

工业高适应性
适应工业协议数量多，控制粒度细。同时支持文件类、视频类、数据库类协议，满足各种场景。

产品资质

资质证书：销售许可证（基础级、增强级），网络关键设备和网络安全专用产品（关基），计算机软件著作权证书。

通用应用场景

石化行业：某石化公司工业网闸解决方案 icon

需求背景

随着中国石油某石化公司DCS、SIS、PLC系统的安全管理制度体系建设、技术防护体系建设，需要满足《信息安全等级保护-二级基本要求》、《工业控制系统信息安全防护指南》的安全要求。深化推进的炼化厂智能化、自动化、可视化，发现在工控网络的安全规划、边界防护、主体安全、安全管理等方面都存在着问题。诸如工业控制系统下的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、生产核心数据被窃取、破坏生产设备等恶意行为，可能会造成生产线的瘫痪，生产数据被破坏、窃取等威胁，从而造成生产安全事故。

解决方案

在过程监控层的关键交换机处旁路部署工控网络监测审计系统，对工控系统网络中的网络流量和网络行为进行实时监测审计。通信行为监测：能够监测到网络流量异常、通信行为异常、设备运行状态等。控制行为监测：在过程监控层旁路部署安全监测设备，能够识别针对控制器的操控服务指令（包括组态服务、数据上传服务、数据下载服务、读服务、写服务、控制程序下载服务、操控指令服务等），并能够根据安全策略要求对非法的服务请求进行报警。

客户价值

满足国家政策法规要求及自身安全需求；增强了企业自身信息安全防护能力，降低生产安全风险；提升了企业的精益化管理水平。

燃气行业：某市政管网工控网络安全监测解决方案 icon

需求背景

城市燃气广泛应用于居民生活、工商业、发电、交通运输、分布式能源等多个领域，是城市发展不可或缺的重要能源。随着现代计算机技术和自动化技术在管道燃气行业的广泛应用，建立起了相应的城市燃气管网SCADA、GIS系统、资产设备管理系统，实现对燃气传输管线、燃气输气场站、燃气储备站的远程管理、集中控制、数据自动实时采集、事故报警、参数调整、气量调节等管理功能。燃气行业信息系统（特别是工业控制系统）作为关键信息基础设施的重要组成部分需要重点关注、重点防护，同时满足网络安全法、等保2.0、关键信息基础设施保护条例和相关行业规范技术要求。

解决方案

在办公网与生产网间串行部署工业网闸产品，对办公网数据与生产数据做到隔离，并可进行各别应用进行定向传输或数据同步，在办公网综合系统中进行汇总转存，避免及阻止外网入侵生产网。

客户价值

满足国家政策法规要求及自身安全需求；增强了企业自身信息安全防护能力，降低生产安全风险；提升了企业的精益化管理水平。