1、 威努特 工控 可信 网关 产品白皮书 - I - 威努特工控 可信网关 产品白皮书 V 3.0 北京威 努 特技 术有 限公司 威努特 工控 可信 网关 产品白皮书 - II - 版权声明 北京威努特技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外 ,其著作权或其他相关权利均属于北京 威努特 技术有限公司。未经北京 威努特 技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “工控可信网关 ”为
2、北京 威努特 技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京威努特技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京威努特技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。 信息反馈 如有任何宝贵意见或建议,请反馈至: 信箱: 北京市海淀区上地三街 9号嘉华大厦 F座 907室 邮编: 100085 电话: 010-62977816 热线: 186-0104-8032 传真: 010-62971782 电子邮箱: 您可以访问威努特官方网站: 获得最新技术和产品信息。 图形界面格式约定 格 式
3、 意 义 ”表示按钮名,如“单击 按钮”。 带方括号“ ”表示窗口名、菜单名和数据表,如“弹出 网关管理 窗口”。 / 多级菜单用“ /”隔开。如 文件 /新建 /文件夹 多级菜单表示 文件 菜单下的 新建 子菜单下的 文件夹 菜单项。 威努特 工控 可信 网关 产品白皮书 - III - 目 录 一 . 引言 1 1.1 概述 . 1 1.2 市场现状 . 1 二 . 威努特工控可信网关产品 . 2 2.1 产品概述 . 2 2.2 产品架构 . 3 2.3 产品优势 . 3 2.3.1 实时精准的工控协议指令级控制 . 3 2.3.2 支持私有协议的开发平台接口 . 4 2.3.3 高性能
4、匹 配算法 . 4 2.3.4 高可靠的软硬件一体化架构 . 4 2.3.5 自主可控的智能工控安全操作系统 . 5 2.3.6 化繁为简的使用体验 . 5 2.4 典型部署 . 6 2.5 应用场景 . 7 三 . 客户利益 . 7 3.1 自主知识产权,杜绝后门隐患 . 7 3.2 提高运维效率,降 低维护成本 . 7 3.3 提高工控系统稳定性,减少系统停车时间 . 8 威努特可信 网关 产品白皮书 - 1 - 一 . 引言 1.1 概述 随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来
5、为了提高生产效率和效益,工控网络会越来越开放, 而开放带来的安全问题 将 成为制约两化融合 以及工业 4.0发展 的重要因素。 传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了,广大的工业控制系统用户迫切需要解决如下问题: 防止非法的对工控系统的 指令 操作; 防止非法身份的用户对工控系统的访问; 防止非法时间段对工控系统的操作; 防止非法协议进入工控系统等 ; 1.2 市场现状 目前市场 上的安全产品主要是针对传统 IT安全的,对工控协议无法识别, 而少数工控安全产品厂家提供 的通用 防火墙产品有如下缺点: 基于传统 IT架构硬件平台 ,在功耗、 可靠性、稳定性、 实时性
6、等方面满足不了工控系统 要求; 无法对工控网络流量进行七层深度解析,因此无法发现针对工控协的攻击和破坏行为; 开启工控协议识别的性能下降严重 ; 无法实现对工控网络流量的精细化管控和审计; 工控协议种类支持不够等 ; 威努特可信 网关 产品白皮书 - 2 - 二 . 威努特 工控 工控可信网关 产品 2.1 产品 概述 工控可信网关 是威努特公司全新 推出的工业控制 工控可信网关 系列产品,其基于业界领先的软、硬件体系架构。其工控协议深度包解析技术不仅对二层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对 OPC、 Modbus、 DNP3、 IEC104、 S7、 Profinet
7、等 进行深度分析,防止应用层协议被篡改或破坏。 利用威努特公司的 工控可信网关 产品可以 建立可信 任的 数采通信 及工控网络区域间通信的 模型,采用白名单的安全策略,过滤一切非法访问, 保证只有 可信任 的设备可以接入工控网络,只有 可信任 的流量可以在网络上传输。 为控制网与管理信息网的连接 、控制网内部各区域的连接 提供安全保障。在 电力、石油、石化、烟草及工业制造等多行业得到广泛应用。 威努特工业控制 工控可信网关 提供工控协议深度解析、工控指令访问控制、日志审计 等综合 安全 功能。 工控可信网关 采用了高性能、高稳定性 的 多核 硬件 架构 , 为用户提供高效、稳定的安全保障。 工
8、控可信网关 ( TEG 5100) 产品定位 工控可信网关 , 用于 生产 控制网与 监控网 、监控网与 管理信息网的 边界, 隔离 生产控制网 和 监控网 , 阻止来自 监控网 和 管理信息网的 威胁。 主要 功能 协议的深度解析( DPI),例如 OPC 等 ; 建立可信 安全 通信模型; 只允许模型中的 流量、 数据 出入 到 生产控制 网; 阻止任何不可信数据包进入 生产 控制网; 对所有通信过程进行记录和审计; 工控可信网关 ( TEG 5010 和 TEG 5020) 产品定位 威努特可信 网关 产品白皮书 - 3 - 用来保护工控网络安全区域的 安全 ,阻止来自 监控网、 信息网
9、和 其他 区域的安全威胁。 产品功能 工控协议的深度解析( DPI),例如 Modbus 、 DNP3、 IEC 104 等; 建立可信 安全 通信模型; 只允许 安全 模型中的控制指令通过; 阻止任何其他指令进入安全域,包括来自未知主机的“合法”指令; 对所有通信过程进行记录和审计; 2.2 产品架构 威努特 工控 可信网关 采用专用 多核 硬件平台 , 主处理器 为专用 MIPS架构,非 X86架构, 可以有效降低硬件漏洞,增加安全性 ,提高稳定性、可靠性 。 自主设计开发的 威努特 智能工控安全操作系统集设备智能调度、工控协议解析、内容检测审计于一体, 极大提高了底层硬件的安全性、工控协
10、议解析处理速度 。 2.3 产品 优势 2.3.1 实时精准的工控协议 指令级控制 威努特 工控 可信网关 搭载了威努特自研的深度数据包解析引擎,可 对工控协议做到实时和精准的识别,为解决针对工控网络 的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。对不同行业的工控系统,可以采取相应针对性的数据包探测机制和解析策略。在遵循工业控制系统可用性IICS-OS(智能调度、工控协议解析、内容检测) 驱动 适配 层 专用多核 工控 硬件平台 VPN FW 工控协议管控 系统管理 白名单 IP/MAC 绑定 日志审计 威努特可信 网关 产
11、品白皮书 - 4 - 与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等 要求。 深度数据包解析引擎支持涵盖 OPC、 Modbus、 IEC 60870-5-104、 IEC 61850 MMS、 DNP3等在内的各大主流工控网络协议, 可以对 OPC等工控协议做到指令级控制,如: OPC协议只读。 2.3.2 支持私有协议的开发平台接口 当前市场上的工控安全产品大多只支持通用工控协议,对私有协议的支持不到位,进而影响了防护能力,威努特工业控制 可信网关 提供
12、 SDK,开放的平台接口可以方便客户自行扩展支持私有协议,以及做定制化的二次开发。 2.3.3 高性能匹配算法 工控系统对实时性要求异常苛刻,威努特工业控制 可信网关 具备先进的硬件设计,采用专用 MIPS多核处理器,为低延时、高吞吐的数据处理提供了坚实的基础保障。其中深度数据包解析引擎在实现稳定可靠的数据包深度解析的同时,可以做到低延迟,保证了工控系统的实时性要求。威努特工业控制 可信网关 结合软硬件加速能力, 即使在开启深度报文检测( DPI)的情况下也 可实现 30000PPS的吞吐量 。设备满配策略条件下时延小于 200us。 2.3.4 高可靠的软硬件一体化 架构 威努特工业控制 可
13、信网关 集成硬件 加密引擎,为监控层系统和控制层系统的数据加密传输提供了高性能的保证。 另外,通过对工控 可信网关 和后台管理系统之间的所有数据交换进行加密,确保了整个系统的安全性和可靠性。 同时硬件物料精心选型,并且从电路设计、结构设计、系统冗余、时延、可靠性、环境要求等方面严格要求,保证硬件的可靠性。其中: 硬件产品达到工业三级 B以上指标; 支持硬件故障自动旁路转换( Bypass)功能,一旦设备故障,设备自动 Bypass离线,正常业务流量不会中断,切换速度达到 工业 级 要求 ; 威努特可信 网关 产品白皮书 - 5 - 工作环境可满足温度: -40 70,湿度: 5% 95% 无凝
14、结; 无风扇全封闭设计,电源采用 1+1冗余供电; 业务端口与管理端口分离设计; 多种灵 活的安装方式,包括导轨安装、机柜安装等; 2.3.5 自主可控的 智能工控安全操作系统 威努特 工 业 控 制 可信网关 在专用工业级、高性能网络安全硬件平台基础上,构筑了自主知识产权的智能工控安全操作系统(即: Intelligent Industry Control Security Operating System 简称: IICS-OS), IICS-OS对流经的 可信网关 的数据流做深度的协议解析和匹配,并对数据流做智能调度转发,以及对七层以上的内容做深度检查,为上层的特色的安全功能的扩展提供了
15、坚实的基础保障。 威努特 工控 可信网关 在基本传统 可信网关 功能的基础上,专门针对工控环境提供了工控协议的管控、基于白名单的工控访问控制策略、智能学习规则、规则测试模式、日志本地缓存等。 2.3.6 化繁为简的使用体验 TEG系列工控 可信网关 以提高工业控制网络的日常安全管理、信息统计数据的易读性和可操作性为设计核心,降低操作复杂度,避免误操作。系统充分利用人工智能技术,大幅度简化分析、管理、控制流程,并提供简单易学的用户界面,方便管理人员日常操作管理。管理系统支持实时可视化呈现工控网络链路的连通性和服务状态,提供多类历史监控数据对比分析,系统日志、配置日志、流 量日志、攻击日志、访问日
16、志等类型日志的查询与备份。 威努特可信 网关 产品白皮书 - 6 - 2.4 典型部署 图 1 工控可信网关 典型 部署 工控可信网关 ( TEG 5100) 部署在办公 信息网与生产网之间, 作为控制网边界的第一道防线, 用来 阻止来自管理信息网 、 监控网 的病毒、木马、网络入侵等安全威胁 。 工控可信网关 ( TEG 5010 / 5020) , 部置在控制网内各个功能区域间,帮助用户根据业务和功能特性对 控制网络划分安全域,例如:远程接入维护区、无线接入区、各种生产区 。继而 根据各区域的安全特点有针对性的为该区域提供安全防护 策略 ,并控制病毒或攻击事件扩散 。 工 控可信网关 与威
17、努特公司的可信卫士系列软件产品配合所组成的工控网络安全综合解决方案,可以有效保护工控系统网络、服务器、工作站免遭病毒木马以及恶意攻击的破坏。通过对工控网络的安全建模,可以保证只有可信任的流量能够在工控网络中传输,只有可信任的设备能够接入到工控网络中,只有可信任的软件能够在工控系统上运行。帮助用户建立一个可控、可靠、可信的工业控制网络应用“白环境” 威努特可信 网关 产品白皮书 - 7 - 2.5 应用场景 威努特 工控可信网关 已在各 行业稳定运行,工业协议的深度解析粒度 更细 ,支持多种工控系统的通信协议, 如 Modbus、 OPC、 S7、 Profinet、 IEC-104 等。 支持
18、应用的行业场景包括: 1. 电力发电、电力 输送 2. 石油开采 、 石油 运输 、 石油炼化 3. 煤矿开采、煤化工 4. 烟草制丝、 卷包 5. 钢铁炼化 6. 制造业 生产 7. 轨道 交通 三 . 客户 利益 3.1 自主知识产权,杜绝后门隐患 威努特 工 业 控 制 可信网关 具有完全自主的知识产权,能够帮助涉密单位、关系国计民生的大型工控企业对工控网络进行安全防护和安全加固,杜绝安全后门隐患,响应国家信息安全国产化政策及号召。 3.2 提高运维效率 , 降低 维护成本 威努特工业控制 可信网关 具有丰富的管理功能,友好的用户界面,人性化的统计报表,极大的提高了企业工控安全管理的效率
19、,使企业工控安全管理简单易行,工控安全信息和日志再也不会如天书般难懂。 威努特可信 网关 产品白皮书 - 8 - 3.3 提高工控系统稳定性 , 减少系统停车时间 威努特工业控制 可信网关 能够有效检测到工控网络中的通信异常和协议异常并加以阻止,进而避免工控系统的意外停车事故。同时,基于可信网络的解决方案无需对工控网络结构进行改造,避免频繁升级工控系统,减少系统维护停车时间。 威努特可信 网关 产品白皮书 - 9 - 版权所有 北京威努特技术有限公司 2014。 保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他
20、威努特商标均为北京威努特技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受北京威努特技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,北京威努特技术有限公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 北京威努特技术有限公司 地址: 北京市海淀区上地嘉华大厦 F 座 907 室 邮编: 100084 网址: http:/ 电话: 010-62977816 传真: 010-62971782
