工业协议指令级“全方位”深度防护技术
北信源凭借在工控领域的技术积累,设计研发了基于白名单的工业指令级全方位深度防护技术,可对工控协议的“完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤,及时发现可疑指令和恶意数据,在工控参数、指令级保证工控网络和设备安全。
全方位深度防护技术在传统防火墙五元组安全检测的基础上,对应用层工控协议及数据进行四重深度安全检测,以Modbus协议为例:
第一步对协议的完整性进行校验。
第二步结合工控业务对功能码进行分析,检查协议功能码是否合法、合规。
第三步检查数据读取地址范围是否在业务允许范围内,同时对源操作者的读写权限进行检查。
第四步对工艺参数进行分析,如转速、压力、温度等是否符合目标设备正常业务范围。
通过对工控协议、数据的四层安全检测,可有效保证工控协议与数据的安全性,从而保障工控网络、工控设备的安全稳定运行。
灵活精细化控制策略
北信源工控防火墙可实现对工控协议灵活精细化控制,可对工控协议完整性、功能码、地址范围、值范围等进行单独控制或组合控制,满足不同安全场景需求。
同时支持基于协议的功能码灵活精细化控制,可单独设置各协议所支持的功能码类型。
自主安全操作系统
北信源工控防火墙采用北信源完全自主研发的安全操作系统,系统集内核加固、安全防护、资源智能调度于一体。
硬件高可靠性
北信源北信源工控防火墙采用高可靠的专用工控安全硬件平台,从硬件物料选型、电路设计、结构设计、系统冗余、时延、可靠性、环境要求等方面保证硬件的可靠性。
同时,北信源工控防火墙还具备Bypass功能,在断电或系统故障时自动开启Bypass,可使网络连接不通过工控防火墙而直接物理导通,待设备上电或系统恢复后,系统自动恢复安全防护状态,从而进一步增强工控业务的稳定性和可靠性。
HA高可用性
北信源工控防火墙支持HA双机热备功能,在正常工作情况下活动节点处于业务处理状态,备用节点处于备用状态,两台设备通过心跳线进行数据传输和在线状态检测,且活动节点与备用节点拥有完全相同的数据和系统配置信息,在系统运行过程中,当活动节点出现问题时,备用节点会立即接管业务,通过两台设备的无缝切换有效保证工控业务的连续、稳定运行。
丰富的协议支持
北信源工控防火墙可满足不同行业多种系统的安全防护需求,支持Modbus TCP、OPC、IEC 60870-5-104、Siemens S7、EIP等多种工控协议,对于特殊协议、私有协议,北信源可以根据用户现场需要进行协议的快速开发,从而满足特殊工业控制系统的安全防护需求。
自身安全保证
北信源工控防火墙具备强大的攻击防御能力,可以有效防范针对网络和主机的各类扫描攻击,如端口扫描等。可以有效防御SYN Flood、UPD Flood、ICMP Flood、Land 、Winnuke、Address Sweep 、Smurf、Ping of Death等各类DOS/DDOS攻击,同时还具备强大的ARP攻击防护能力。
为保证设备管理人员的权限最小化,北信源工控防火墙拥有基于角色的权限控制功能,内置配置管理员、系统管理员、审计管理员三种不同账户角色,结合系统安全登录锁定功能,在满足合规性的同时,保证工控防火墙的认证、登录与配置安全。
灵活部署快速上线
北信源工控防火墙支持路由、透明两种部署模式,可在不改变现有工业网络结构和系统应用的前提下,实现复杂工业现场系统、协议、设备、点表等所有安全规则的灵活配置,从而实现快速部署,降低企业建设成本。
高效完善的管理体系
北信源工控防火墙提供WEB UI、Ping、SSH、SNMP、Telnet等多种管理方式,所有安全配置均可通过前端WEB界面完成,并内置完善的前端系统帮助菜单,非专业人员也可以轻松掌握。
北信源工控防火墙还提供配置导入导出、一键恢复出厂设置等管理功能,可对当前配置以及备份配置进行一键导入、导出便于系统管理和日常维护。此外,北信源工控防火墙还提供了流量报表和日志发送功能,可将报表或日志文件发送至指定邮箱或主机,以满足日志统一管理的合规性要求。
完全自主知识产权
北信源北信源工控防火墙基于国产化专用工控安全硬件平台、自主安全操作系统和工控安全核心专利技术体系进行研发设计,实现从硬件、系统到应用层的完全自主架构,拥有完全自主知识产权,杜绝安全后门隐患,在保障工控系统安全、可控的同时,响应国家信息安全国产化政策及号召。