网神工业控制安全网关系统产品白皮书©2019奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

网神工业控制安全网关系统产品白皮书目录|Contents一.引言 (1)1.1概述 (1)1.2传统防火墙不适用工业环境 (1)二.网神工业控制安全网关系统 (2)2.1产品概述 (2)2.2产品架构 (2)2.3主要功能 (3)2.3.1四重白名单的一体化纵深防护 (3)2.3.2符合工控网络特点的三段式工作模式 (4)2.3.3基于精准工控协议指令级控制的白名单☆ (4)2.3.4基于工控服务的一体化安全策略配置 (5)2.3.5基于应用层的综合攻击防护功能 (5)2.3.6完善的工控网络数据防泄漏 (6)2.3.7全方位风险信息展示及分析、审计 (6)2.3.8管理员权限三权分立 (6)2.3.9高性能高可靠的软硬件一体化架构 (6)2.4产品优势 (7)2.4.1专有硬件适用工业环境 (7)2.4.2工控协议深度解析 (7)2.4.3IT、OT一体化防护 (7)2.5典型部署 (8)三.客户价值 (9)3.1边界隔离防御，提升工业网络稳定性 (9)3.2满足政策合规要求，降低安全责任风险 (9)3.3集中式的统一运维，降低运维成本，提升运维效率 (9)网神工业控制安全网关系统产品白皮书一.引言1.1概述随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。

传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了，广大的工业控制系统用户迫切需要解决如下问题：●防止非法的对工控系统的指令操作；●防止非法身份的用户对工控系统的访问；●防止非法时间段对工控系统的操作；●防止非法协议进入工控系统等；目前，工业控制系统受到了越来越多的安全威胁，其中既有来自敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏，也有由于系统复杂性、人为事故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。

电力、能源、交通等国家关键基础所依赖的工业控制网络系统的安全是国家经济稳定运行的关键，受到攻击的后果极其严重，因此工业控制网络信息安全问题急需解决。

1.2传统防火墙不适用工业环境目前市场上的安全产品主要是针对传统IT安全的，对工控协议无法识别，而少数工控安全产品厂家提供的通用防火墙产品有如下不足：●基于传统IT架构硬件平台，在功耗、可靠性、稳定性、实时性等方面满足不了工控系统要求；●无法发现针对工控协议的攻击和破坏行为；●无法实现对工控网络流量的精细化管控和审计；网神工业控制安全网关系统产品白皮书 无法实现对工控网络中安全风险进行全方位展示；二.网神工业控制安全网关系统2.1产品概述网神工业控制安全网关系统（也称为工业防火墙）是奇安信全新推出的工业防火墙系列产品，其基于业界领先的软、硬件体系架构，硬件层面上，具有全封闭、无风扇、多电源冗余等特点，确保达到工业级可靠性和稳定性要求。

软件层面上，具备完全自主知识产权的智能工控安全操作系统（即：Intelligent Industry Control Security Operating System简称：IICS-OS）并结合工业特性的协议深度解析引擎，其工控协议深度包解析技术不仅对二层三层网络协议进行解析，更进一步解析到工控网络包的应用层，对OPC、Modbus、S7等主流工控协议进行深度分析，防止应用层协议被篡改或破坏，全面提升了网神工业控制安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力。

网神工业控制安全网关，用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控层和现场控制层的边界。

利用网神工业控制安全网关可以建立可信任的数采通信及工控网络区域间通信的模型，采用结合智能学习的白名单的安全策略，过滤一切非法访问，保证只有可信任的设备可以接入工控网络，只有可信任的流量可以在网络上传输。

为企业网络层（L4）与生产管理层（L3）、过程监控层（L2）的连接提供安全保障。

在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。

网神工业控制安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日志审计等综合安全功能。

网神工业控制安全网关采用了高性能、高稳定性的硬件架构，为用户提供高效、稳定、可靠的安全保障。

2.2产品架构网神工业控制安全网关采用专用硬件平台，无风扇设计，可以有效降低硬件漏洞，增加安全性，提高稳定性、可靠性。

网神工业控制安全网关系统产品白皮书具备完全自主知识产权的新一代智能安全操作系统IICS-OS操作系统，在高安全性、高开放性、高扩展性和高可移植性基础之上，结合工业特性的协议深度解析引擎重点加强了工业安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力，让工业安全网关具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力，弥补了传统防火墙重配置轻管理的缺点，并能提供多维度的有效信息帮助用户完成日常维护工作。

同时，网神工业控制安全网关集设备智能调度、工控协议解析、内容检测审计于一体，极大提高了底层硬件的安全性、工控协议解析处理速度。

图1.网神工业控制安全网关架构图2.3主要功能2.3.1四重白名单的一体化纵深防护网神工业控制安全网关采用四重白名单的一体化纵深防护机制。

其第一重防护基于五元组的网络层白名单防护；第二重防护基于应用特征的应用层白名单防护；第三重基于特定工业协议指令的白名单防护；第四重基于特定工业协议数据区的白名单防护。

其中前两重防护与IT下一代防火墙相同，后两重防护是针对工业协议特有的白名单访问控制。

针对工业协议白名单访问控制，系统搭载了奇安信自研的深度数据包解析引擎，可对工控协议做到实时和精准的识别，为解决针对工控网络的安全问题提供了技术基础保障，其全面支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。

IICS-OS （智能调度、工控协议解析、内容检测）驱动适配层专用工控硬件平台攻击防护FW 工控协议管控系统管理白名单IP/MAC 绑定日志审计网神工业控制安全网关系统产品白皮书图2.四重白名单一体化防护2.3.2符合工控网络特点的三段式工作模式在工控网络中可用性被公认为首位，其次是完整性和保密性。

工控系统的可用性如果被破坏，将带来比传统IT网络中断更加严重的后果。

网神工业控制安全网关设计了三段式工作模式来保护工控网络的可用性。

它们是学习模式、告警模式和正常模式。

三种模式分阶段完成工控网络信息安全保障。

学习模式应用于工控网络信息安全规划阶段。

信息安全规划机构不了解工控网络情况，通过学习模式对工控网络中的协议和流量行为进行被动式发现。

在学习模式下针对发现的策略无防护操作，所有网络流量行为均不会被阻断。

告警模式应用于工控网络信息安全预上线阶段。

信息安全规划机构根据掌握的工控网络情况完成了工业安全网关安全策略规划，通过告警模式来进行防护效果的测试和验证。

在告警模式下不符合安全策略的数据流会产生告警日志，但防护操作不会生效，所有流量不会被阻断。

正常模式应用于工控网络信息安全运行阶段。

安全策略正式生效，对非策略定义行为进行阻断，并记录日志和进行告警。

2.3.3基于精准工控协议指令级控制的白名单☆网神工业控制安全网关搭载了奇安信自研的深度数据包解析引擎，可对工控协议做到实时和精准的识别，为解决针对工控网络的安全问题提供了技术基础保障，其全面支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。

对不同行业网神工业控制安全网关系统产品白皮书的工控系统，可以采取相应针对性的数据包探测机制和解析策略。

在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型，并结合白名单对不符合规则的流量进行过滤。

解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。

深度数据包解析引擎支持涵盖OPC、Modbus、S7等主流工控协议，可以对OPC等工控协议做到指令级控制，如：OPC协议只读。

2.3.4基于工控服务的一体化安全策略配置安全策略功能是工业安全网关的核心功能，提供基于状态检测、基于应用层之上数据识别的动态包过滤技术。

网神工业控制安全网关内预定义多种工控服务，通过源安全域、目的安全域、源地址、目的地址、地理位置、服务、应用等维度对数据进行识别，将用户需要进行过滤及控制的数据流分离，并对相应的数据实现安全漏洞防护、防间谍软件、行为管控的一体化策略配置。

2.3.5基于应用层的综合攻击防护功能网神工业控制安全网关的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP 地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段，将包括SYN Flood、ICMP Flood、UDP Food、IP Food、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中，使得用户通过启用并配置攻击防护模块，可以有效的过滤并采取相应的措施阻止非正常报文流入工控网络，并对HTTP、DNS、DHCP等协议提供应用层防护。

另一方面，针对局域网多播广播、IP地址欺骗等也提供了专门的防护。

由于常见的攻击方式掺杂了大量的组合式洪攻击，攻击者实际上是在消耗被攻击者的性能资源，因此网神工业控制安全网关强大的性能支撑，也保证了在大量攻击消耗工业安全网关性能的时候不会成为的瓶颈，给予了攻击防护模块和其他模块坚实的性能基础。

网神工业控制安全网关系统产品白皮书2.3.6完善的工控网络数据防泄漏网神工业控制安全网关具有工控网络数据文件防泄漏功能，文件过滤支持针对HTTP、SMTP、POP3、IMAP、FTP协议传输的文件进行过滤，主要包含3大类：文档类、压缩类、归档类；针对工控网络中核心工艺参数以及文件传输进行安全过滤和安全审计，保护用户隐私。