工业防火墙(TEG)
威努特工业防火墙(TEG)是针对工业控制系统环境设计开发的边界隔离和安全防护产品,产品基于工业级ARM多核处理器芯片的硬件架构(注:TEG5600系列)和自主知识产权的智能工控安全操作系统(IICS-OS),基于优化的软硬件架构提高报文的处理能力,对主流工业协议进行深度报文解析(DPI,Deep Packet Inspection),运用“白名单+智能学习”技术建立数采通信及工控网络区域间通信模型,保证只有可信任的流量可以在网络上传输,为工控网络与外部网络互联、工控网络内部区域之间的网络连接提供安全保障。
细粒度指令级访问控制
基于工业协议的精准识别能力,TEG工业防火墙不仅可以实现传统基于安全域、IP、MAC、时间段、服务、执行动作等多个维度的访问控制策略,对OPC、Modbus TCP等十余种主流工控协议支持超过1000种的功能码识别,可以做到指令级甚至值域级更精细控制粒度。
工业协议深度解析
- 支持OPC、Modbus、IEC 60870-5-104、IEC 61850 MMS、Siemens S7、Ethernet/IP(CIP)、DNP3、Profinet、Fins等主流工控协议
- 支持1000多种协议功能码识别。
- 支持工控协议解析的自定义,无需二次开发。
OPC协议解析
- 支持OPC DA,HAD,A&E,DX,XML-DA等操作,包括支持OPC的动态端口、OPC只读等;
- 支持OPC值域控制;
- 支持OPC基金会发布的OPC 3.0规范;
ModBus TCP协议解析
- 支持Modbus TCP协议语法检查、Reset及连接跟踪等;
- 支持Modbus TCP CP协议白名单,点表,值域控制。
Siemens S7协议解析
- 支持区分Siemens S7读写操作并加以控制;
- 支持Siemens S7版本号、寄存器区、DB区区号、点类型、值范围、传输层协议控制。
- Ethernet/IP(CIP)协议解析;
- 支持Ethernet/IP(CIP)协议语法检查及丢包Reset,支持Ethernet/IP(CIP)协议本身自定义的参数配置;
- 支持CIP数据表、PCCC控制。
Profinet协议解析
- 支持对Profinet传输功能码及操作对象进行控制;
IEC104协议解析
- 支持IEC104协议白名单;
- 支持IEC104传输原因长度、公共地址长度、信息体地址长度等的配置。
日志管理
- 支持访问策略日志、白名单日志、黑名单日志;
- 支持专有工具查看、检索、备份、审计日志;
- 支持日志备份;
- 支持直方图形式统计日志。
未知设备检测
- 支持快速检测未知设备的检测;
安全策略
- 基于安全域的安全策略;
- 支持手动配置基于源IP,源MAC,目的IP,目的MAC,协议(TCP/IP)访问控制规则;
- 支持基于白名单的访问控制策略;
- 支持自学习创建白名单规则,学习时间可调节。
- 支持IP/MAC地址绑定规则;
- 支持ACL时间段控制,支持ACL编译,快速ACL查找。
路由功能
- 支持静态路由功能,路由表条数1000条;
- 配置支持8个IP地址/接口;
- 支持ARP代理。
IP/MAC地址绑定
- 智能辅助生成学习规则;
- 支持绑定规则导入导出。
工作模式
- 学习模式、告警模式、防护模式。
部署模式
- 透明模式、路由模式。
拓扑管理
- 支持编辑、显示系统拓扑;
- 支持防火墙设备自动发现;
- 支持防火墙设备状态显示。
统一管理
- 通过IP认证、IP+MAC绑定的可信主机才能访问目前设备系统;
- 支持强制口令强度;
- 支持分权分级管理;
- 支持报表功能,用户通过报表可查看事件、日志和审计的统计数据,支持报表下载;
- 支持安全产品的自动升级。
实时监控
- 支持事件实时监控,并支持事件导出功能;
- 支持事件关联分析;
- 支持分权分级管理;
- 支持日志监控功能。
工控主机卫士(IEG)
威努特工控主机卫士产品(IEG)是国内首款针对操作员站、工程师站、数据服务器等工业现场主机进行可执行程序管理,防止病毒木马等恶意程序感染的安全软件产品,采用不同于传统防病毒软件的轻量级“白名单”机制,系统资源占用小,不影响工控系统监控软件和组态软件的正常使用,可有效阻止包括STUXNET、Flame、Havex、WannaCry、BlackEnergy等工控恶意程序或代码在工控主机上的执行、扩散。
有效阻止非法程序运行
用“白名单”防护机制,可以识别、阻止任何白名单外的程序运行,对通过网络、U盘等引入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力,最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。
业务运行“零影响”
采用“白名单”防护机制阻止恶意代码执行,具备良好的系统兼容性,支持win2000及以上windows操作系统和主流linux操作系统,对主机资源占用小,对工控系统的监控软件和组态软件等正常使用“零影响”。
基于BLP和BIBA模型的访问控制
基于BLP和BIBA模型的强制访问控制技术,对主体(用户,进程)和客体(文件,数据)进行了安全级别定义,对不同安全级别的主客体制定读写访问控制策略,基本安全策略是“上读下写”,保证所有数据只能按照安全级别从低到高的流向流动,使用完整性级别对完整性进行量化描述,完整性级别高的实体对完整性低的实体具有完全的支配。
完善的系统安全基线管理
针对工作站、服务器等设备进行基线配置管理,包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。
灵活的主机外设管理
根据需求灵活控制威努特安全U盘和普通U盘的“禁用、只读、可读写”权限,只有经过认证的特定USB设备才可以在特定的主机上运行,可配置禁止USB存储设备自动执行,防止恶意程序利用漏洞自动运行。可禁止光驱和无线网卡的使用,防止通过磁盘、无线网络泄露敏感数据和感染病毒。
高强度加密安全U盘
安全U盘采用高强度密码算法,可有效防止暴力破解导致的数据泄露,结合工控主机卫士移动存储介质管理功能以及自身安全特性,从源头杜绝木马、病毒等进入工业现场主机,保障主机安全。
文件白名单
- 支持自动扫描windows和linux系统生成文件级白名单;
- 支持应用程序安装扫描,安装程序释放的可执行文件一键添加白名单;
- 根据白名单列表对可执行文件的执行进行监控;
- 支持白名单的编辑、删除、追加、查询、导入和导出等操作;
- 支持配置例外路径,指定不被扫描的例外目录;
- 支持配置信任路径和信任进程;
- 支持观察模式和防护模式,在观察模式下只记录告警不阻拦。
网络白名单
- 支持针对主机的SYN攻击防护;
- 支持配置控制程序连接以及TCP或UDP端口连接的规则。
外设管理
- 支持配置安全U盘、普通U盘属性:禁用、只读、可读写,默认可读写;
- 支持配置光驱的属性:启用、禁用,默认为启用状态;
- 支持配置无线网卡的属性:启用、禁用,默认为启用状态;
- 对移动存储设备非法操作实时告警。
访问控制
- 支持基于BLP和BIBA模型的强制访问控制;
- 支持配置文件和注册表完整性保护;
- 支持进程内存空间保护。
安全检测
- 支持检测主机系统安全状态并形成检测报告。
安全基线
- 支持对账户及账户密码的长度、复杂度、使用期限进行基线设置;
- 支持对系统登录事件、账户登录事件、对象访问等进行基线设置;
- 支持对交互式登录、网络访问、自动播放、默认共享、关机时清空内存页面等进行基线设置;
- 支持对操作系统日志保留大小和时间进行基线设置;
- 支持对操作系统的数据执行保护进行设置。
双因子认证
- 支持USB-KEY+口令的方式进行用户身份鉴别;
- 支持重置和修改设备PIN码;
- 支持生成紧急密钥,用于其它客户端紧急登录。
安全U盘
- 支持私有ID识别技术,安全U盘只能在安装工业主机卫士主机上使用;
- 支持专用安全U盘驱动,支持安全U盘动态加载;
- 内置安全芯片,支持U盘认证和数据加密。
非法外联
- 支持对自定义的ip或者域名访问检测,对非法网络访问提供日志记录和告警信息。
告警审计
- 支持应用程序、操作系统、用户操作、外设操作产生的日志查询、审计和分析;
- 支持白名单外程序运行、外设异常操作、违反网络白名单规则、非法外联等进行实时告警;
- 支持日志备份,支持保存1000万条日志或3个月的日志数据;
- 支持统一管理平台进行告警事件集中管理,对日志进行大数据分析处理。
应用场景
过程监控层设备访问控制
- 以串联方式部署在生产执行层与过程监控层之间
- 采用会话状态检测、包过滤检测机制,限制对过程监控层的非授权访问行为
- 自动学习网络间通信关系,对正常通信行为建模,异常通信行为将被拦截
- 建立设备白名单基线,对设备接入行为实时检测,发现未知设备接入即产生告警
现场控制层设备指令级防护
- 以串联方式部署在过程监控层与现场控制层之间
- 基于工业控制协议的深度解析,实现对非法操作指令的拦截和告警
- 基于工业控制协议通信记录,自动学习业务通信逻辑关系、操作功能码和参数等,形成正常通信行为模型
- 对包过滤日志、工业协议过滤日志等安全事件日志进行记录,并上报至统一安全管理平台