奇安信网神工业控制安全网关系统产品白皮书-V2.0
网神SecSIS 3600安全隔离与信息交换系统技术白皮书 V1.0
网神SecSIS 3600安全隔离与信息交换系统技术白皮书网御神州科技(北京)有限公司网御神州科技(北京)有限公司目录1 概述 (1)2 产品简介 (2)2.1工作原理 (2)2.2产品组成 (3)3 系统功能详述 (3)3.1丰富的应用模块 (3)3.2访问控制 (3)3.3地址绑定 (4)3.4内容检查 (4)3.5高安全的文件交换 (4)3.6内置的数据库同步模块 (4)3.7高可用设计 (5)3.8轻松的管理 (5)3.9传输方向控制 (5)3.10协议分析能力 (5)3.11完善的安全审计 (5)3.12强大的抗攻击能力 (6)3.13多样化的身份认证 (6)3.14负载均衡解决方案 (6)4 产品技术优势 (6)5 典型应用 (7)5.1安全邮件收发解决方案 (7)5.2数据库安全同步解决方案 (8)5.3安全网络访问解决方案 (9)网御神州科技(北京)有限公司1 概述随着网络技术的不断应用和完善,Internet正在越来越多地渗透到社会的各个方面。
一方面,企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户组成越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。
人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。
为保护重要内部系统的安全,2000年1月,国家保密局发布实施《计算机信息系统国际互联网保密管理规定》,明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连,必须实行物理隔离。
” 中共中央办公厅2002年第17号文件《国家信息化领导小组关于我国电子政务建设指导意见》也明确强调:“政务内网和政务外网之间物理隔离,政务外网与互联网之间逻辑隔离。
产品白皮书_网神SecFox日志收集与分析系统 V5.0
网神SecFox日志收集与分析系统V5.0产品白皮书文档信息文档名称网神SecFox日志收集与分析系统V5.0产品白皮书文档版本号V19.4.1扩散范围销售/售前/用户作者朱保建日期初审人复审人修订人张炜目录1产品概述 (5)2产品特点 (6)2.1高性能的日志采集 (6)2.2智能的事件关联分析 (6)2.3可视化的日志分析统计 (6)2.4合规性审计报表报告 (7)2.5分级部署能力 (7)3主要功能 (7)3.1日志资产管理 (7)3.2日志采集 (7)3.3事件归一化 (8)3.4日志实时监视 (8)3.5日志实时分析和统计 (8)3.6关联分析 (8)3.7告警和响应管理 (8)3.8统计报表 (8)3.9日志备份归档 (9)3.10级联管理 (9)4产品资质 (9)1产品概述为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。
这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。
更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。
国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。
《中华人民共和国网络安全法》已于2017年6月1日起正式实施。
网络安全法正式施行,在网络安全历史上具有里程碑意义,对安全审计提出了新的要求。
企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、审计、分析、报警、响应和报告。
工业互联网安全白皮书
工业互联网安全白皮书在当今数字化、智能化的时代浪潮中,工业互联网犹如一股强大的动力,推动着工业领域的深刻变革和创新发展。
然而,伴随着工业互联网的蓬勃兴起,安全问题也日益凸显,成为制约其发展的关键因素之一。
工业互联网将传统工业与互联网深度融合,实现了人、机、物的全面互联。
通过传感器、大数据、云计算等技术,企业能够实时监控生产流程、优化资源配置、提高生产效率。
但与此同时,这种广泛的连接也为网络攻击打开了新的大门。
一方面,工业互联网涉及众多关键基础设施,如电力、交通、石油化工等。
一旦遭受攻击,不仅会影响企业的正常生产运营,还可能对国家安全和社会稳定造成严重威胁。
例如,针对电力系统的网络攻击可能导致大面积停电,影响人们的日常生活和社会秩序。
另一方面,工业控制系统相较于传统的信息技术系统,其安全防护能力相对薄弱。
许多工业设备和系统在设计之初并未充分考虑网络安全问题,存在着诸多安全漏洞。
而且,由于工业生产环境的特殊性,设备更新换代周期长,难以及时进行安全补丁的升级和维护。
那么,工业互联网面临的安全威胁究竟有哪些呢?首先是网络攻击手段的不断进化。
黑客组织和不法分子利用高级持续性威胁(APT)、恶意软件、网络钓鱼等手段,对工业互联网进行有针对性的攻击。
其次,数据安全问题日益突出。
工业互联网中产生和传输的大量数据,包含了企业的核心机密和用户的个人信息,如果这些数据被窃取、篡改或泄露,将给企业带来巨大的损失。
此外,内部人员的误操作或恶意行为也不容忽视,他们可能因为疏忽或利益驱动,对工业互联网系统造成安全隐患。
为了应对这些安全挑战,我们需要采取一系列的防护措施。
首先,强化安全意识是至关重要的。
企业和员工要充分认识到工业互联网安全的重要性,加强安全培训,提高安全防范意识。
其次,建立完善的安全管理制度,明确责任分工,规范操作流程,从制度层面保障工业互联网的安全运行。
在技术层面,我们需要采用多种安全防护技术。
比如,部署防火墙、入侵检测系统、加密技术等,对网络进行实时监控和防护。
网神SecSIS 3600-AC1000安全隔离与信息交换系统产品白皮书 - 8.16
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (11)1产品概述网神SecSIS 3600-AC1000 安全隔离与信息交换系统(简称:“网神网闸”)能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外网络间进行“摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换。
该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。
2产品特点●安全高效的体系架构网神网闸采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。
内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。
隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。
内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
●专用的隔离交换模块网闸产品核心部件为隔离交换模块,网神网闸隔离交换模块基于专用安全芯片设计,全硬件交换;网神隔离交换模块是业界首家研发并使用高效PCI-AC1000接口的交换模块,此交换模块采用PCI-AC1000 x4通道设计,单向最高带宽大约是10Gbps,消除性能瓶颈;网神隔离交换模块采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
●操作系统安全可靠内外网主机模块采用专用的网神自主研发的多核并行安全加固操作系统SecOS,此系统具备强大的抗攻击能力,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。
网神SecBMS带宽管理系统技术白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1前言 (4)2产品背景 (6)2.1P2P应用概况 (6)2.2P2P对网络的影响 (7)2.3P2P应用技术发展 (7)3处理P2P策略 (10)4如何检测网络中的P2P流量 (12)5技术解决方案 (13)6系统架构 (16)7主要功能特色 (18)7.1强大的协议识别引擎 (19)7.2灵活的带宽管理 (20)7.3内网IP统计功能 (22)7.4简单易用的单IP限速 (23)7.5丰富的报表统计 (23)7.6系统高可用性 (23)7.7全中文化安全的Web管理 (23)当前的IP网络,基于应用的分类管理,应用可视性和网络可管理性的地位比以前更重要,需求也更加迫切。
P2P应用的广泛流行,已是桌面应用和网络流量的主流。
出于技术与市场的驱动,唯有专业的应用层流量管理产品,才能跟踪并分析网络/用户的流量模式,更加有效的管理网络带宽资源,并加强服务特色化,管控结合,提高网络运行效率,提升用户满意度和忠诚度,具有多方面的益处。
P2P(Peer-to-Peer)应用是不需关照的下载方式,增加网络峰值带宽和峰值持续时间,使用随机端口(port-hopping) ,流量普遍占到网络总流量的60% —80%,为了让用户更快的体验和畅通无阻,则极力争抢带宽和逃避监管。
由于使用随机端口,传统的基于端口来区分应用的方式就失去了作用。
网神SecBMS带宽管理系统是在P2P流行时代,诞生的新一代应用层流量管理产品,支持对IP流量的应用分类,实时控制用户组、应用服务流量。
网神SecBMS带宽管理系统的解决方案是基于状态和特征的检测,精确识别9大类80余种常用协议,并创新地自主开发“协议特征描述语言”——PSDL(Protocol Signature Description Language),使得维护协议特征库更加方便快捷。
网神SecIPS 3600入侵防御系统产品白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (12)4产品资质................................................................................ 错误!未定义书签。
1产品概述网神SecIPS 3600入侵防御系统(简称:“网神IPS”)将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。
配合实时更新的入侵攻击特征库,可检测防护3000种以上的网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁,并具有丰富的上网行为管理,可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。
从而,很好地提供了动态、主动、深度的安全防御。
2产品特点网神IPS的完善体系结构包括两大部分:强化安全的专用操作系统和模块化硬件系统。
以下分别介绍这两大部分。
高效的体系结构在平台优化的核心技术方面,主要有以下三个方面。
1)零拷贝技术数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝,有效地减少内存存取次数。
2)核心层优化所有报文的解析与比对都由核心层(Kernel)进行,完全不用通过核心层与应用层之多余的转换,因此不用进行内存拷贝,从而有效地减少内存存取次数。
3)硬件特征比对网神特征比对引擎是一款能直接比对特征码格式,引擎比对速度高达4Gbps。
相对于一般只对报文内容进行文字搜索的作法,引擎同时整合了第四层的特征内容,减少了处理器额外比对并且有效降低误判,且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元,能高速进行对比并且不会有规则存储导致硬件满载的风险。
网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]
![网神SecGate 3600安全网关NSG系列UTM技术白皮书[V6.12.2]](https://img.taocdn.com/s3/m/ca52992e376baf1ffc4fadb1.png)
技术白皮书网神SecGate 3600 NSG系列下一代安全网关(UTM)目录1产品概述 (3)2产品功能说明 (3)2.1自适应的网络接入模式 (3)2.2完善的状态包过滤 (4)2.3全面的NAT地址转换 (5)2.43G与Wi-Fi (5)2.5病毒过滤 (5)2.6反垃圾邮件 (6)2.7VPN功能 (7)2.8强大的抗攻击能力 (7)2.9应用程序控制 (7)2.10Web过滤 (8)2.11身份验证 (9)2.12即时通讯(IM) (9)2.13入侵防御IPS (9)2.14双机热备和高可用性HA (10)2.15智能分析报表 (10)2.16全面的系统监控 (11)2.17丰富安全的管理方式与灵活的权限设置 (11)2.18完善的系统升级与双系统保障 (11)2.19系统配置的导入导出 (12)3产品技术优势 (12)3.1领先的SecOSII安全协议栈 (12)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (13)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一:网络出口综合安全防范 (14)4.2拓扑二:透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600 NSG系列下一代安全网关(UTM)(简称:“网神NSG系列UTM产品”)是基于完全自主研发、经受市场检验的成熟稳定SecOSII操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构,中小型企业的互联网出口打造的集防火墙、身份认证、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理等多项安全技术于一身并且内置完善的智能报表分析的主动防御综合UTM系统。
网神NSG系列UTM产品可灵活部署在政府、教育、军队、大中小型企业及其分支机构的网络边界,为用户同时提供多种、多层次安全防御,保护用户网络免受病毒、蠕虫、木马、垃圾邮件以及未知的攻击等混合威胁的侵害,同时为用户节省了购买多个设备的高昂费用,可简便地统一管理各种安全模块及相关日志、报告,大大降低了设备的部署、管理和维护成本。
2019年9月 奇安信云安全管理平台产品白皮书
云安全管理平台产品白皮书版本信息文档名称密级创建人云安全管理平台产品技术白皮书2.0.3V1.0公开云安全公司修订记录修订日期修订内容修订人2019.7新建,适用于云安全管理平台V2.0.3,文档版本2.0.3V1.0云安全公司版权声明:奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
免责声明奇安信集团,是专注于为政府、军队、企业,教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全公司,包括但不限于以下主体:北京奇安信科技有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司,以及上述主体直接或者间接控制的法律实体。
奇安信集团在此特别声明,对如下事宜不承担任何法律责任:1、本产品经过详细的测试,但不能保证与所有的软硬件系统或产品完全兼容,不能保证本产品完全没有错误。
如果出现不兼容或错误的情况,用户可拨打技术支持电话将情况报告奇安信集团,获得技术支持。
2、在适用法律允许的最大范围内,对因使用或不能使用本产品所产生的损害及风险,包括但不限于直接或间接的个人损害、商业盈利的丧失、贸易中断、商业信息的丢失或任何其它经济损失,奇安信集团不承担任何责任。
3、对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生的损失,奇安信集团不承担任何责任,但将尽力减少因此而给用户造成的损失和影响。
4、对于用户违反本协议规定,给奇安信集团造成损害的,奇安信集团将有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。
信息安全-20190504-360网神终端安全响应系统V7.0-产品白皮书-V1.0
360网神终端安全响应系统V7.0产品白皮书目录..........................................................................................................................................................................................................................................................................2.1产品概述 (2)2.2产品理念 (2)2.3产品组成与架构 (3)2.3.1终端Agent (4)2.3.2大数据分析平台(硬件) (4)2.3.3威胁情报 (4)2.3.4控制中心 (5).................................................................................................................................3.1终端大数据采集 (5)3.2主动式威胁检测 (6)3.3终端威胁追踪 (6)3.4威胁应急响应 (6)3.5安全状况全面评估 (6).................................................................................................................................4.1威胁情报驱动的积极防御能力 (7)4.2持续不间断的数据采集监测能力 (7)4.3大数据支撑的快速检索定位能力 (7)4.4自动化安全响应能力 (7)4.5一体化终端安全解决方案 (8)4.6多产品安全联动能力 (8).................................................................................................................................5.1提高威胁追踪能力,实现威胁可视化 (8)5.2强化威胁对抗能力,升维打击高级威胁 (8)5.3健全调查机制,提高应急响应效率 (8).................................................................................................................................6.1典型部署 (9)6.2部署清单 (10)1引言随着网络和信息技术的快速发展和普及应用,我国政府和企业的信息基础设施及各种新型业态蓬勃发展,与此同时安全防护系统也经历了一个从无到有、从弱到强的发展过程。
网神SecGaeGHJ防火墙产品白皮书
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (4)2产品特点 (4)3产品功能 (6)4产品型号与指标 (10)5产品形态 (16)6产品资质 (18)1产品概述网神SecGate 3600-G7-41WJ 防火墙(以下简称“防火墙”)是基于完全自主研发、经受市场检验的成熟稳定SecOS 操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。
防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界,完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。
基于成熟可靠的多核处理器硬件平台,并可以扩展使用硬件加速,性能超强。
2产品特点●领先的SecOS 安全协议栈完全自主知识产权的SecOS 实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。
同时也减少了因为硬件平台的更换带来的重复开发问题。
由于采用先进的设计理念,使该SecOS 具有更高的安全性、开放性、扩展性和可移植性。
●高性能与高安全的多核架构多核硬件架构与新一代多核并行安全操作系统SecOS 相配合,多个核并行处理,分担数据流量,极大的提升系统性能。
多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。
保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。
●深度的网络行为关联分析采用独立的安全协议栈,可以自由处理通过协议栈的网络数据。
网神SecSIS 3600安全隔离与信息交换系统技术白皮书[V6.0.12.1]
![网神SecSIS 3600安全隔离与信息交换系统技术白皮书[V6.0.12.1]](https://img.taocdn.com/s3/m/776db3c058f5f61fb736668b.png)
●版权声明Copyright © 2006-2011 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息●版本变更记录目录1产品概述 (5)2产品原理 (7)3产品功能说明 (9)3.1丰富的应用模块 (9)3.2访问控制 (10)3.3地址绑定 (10)3.4内容检查 (10)3.5高安全的文件交换 (11)3.6内置的数据库同步模块 (12)3.7高可用设计 (12)3.8轻松的管理 (12)3.9传输方向控制 (13)3.10协议分析能力 (13)3.11完善的安全审计 (13)3.12强大的抗攻击能力 (14)3.13多样化的身份认证 (14)3.14负载均衡解决方案 (15)4产品技术优势 (15)4.1安全高效的硬件交换系统 (16)4.2可靠的冗余和负载均衡架构 (17)4.3先进的数据库同步技术 (17)4.4核心应用的安全最大化 (18)4.5强大的定制扩展能力 (19)5典型应用 (19)5.1数据库安全同步解决方案 (19)5.2安全邮件收发解决方案 (20)5.3安全文件交换解决方案 (21)5.4公安全球眼视频解决方案 (22)1产品概述随着网络技术的不断应用和完善,Internet正在越来越多地渗透到社会的各个方面。
一方面,企业上网、电子商务、远程教育、远程医疗等一系列网络应用蓬勃发展,人们的日常生活与网络的关系日益密切;另一方面,网络用户组成越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。
人们在享受互联网所带来的丰富、便捷的信息同时,也日益感受到频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题所带来的困扰。
传统的安全产品可以以不同的方式满足我们保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。
NSAE全系列产品技术白皮书标准版V1.3
信安世纪应用安全网关NSAE全系列产品技术白皮书信安世纪科技有限公司INFOSEC TECHNOLOGIES CO.,LTD二零零八年知识产权声明本白皮书中的内容是信安世纪公司NSAE应用安全网关产品技术说明书。
本材料的相关权利归信安世纪公司所有。
白皮书中的任何部分未经本公司许可,不得转印、影印或复印及传播。
© 2007 信安世纪科技有限公司All rights reserved.NSAE应用安全网关产品技术白皮书信安世纪科技有限公司北京市西城区南礼士路二条甲1号月坛理想大厦6层电话:(86-10) 6802 5518传真:(86-10) 6802 5519邮编:100045网址:电子信箱:support@目录前言 (1)第1章产品概述 (1)1.1公司介绍 (1)1.2产品体系介绍 (3)1.3产品背景 (4)第2章产品简介 (6)2.1产品型号 (6)2.2产品应用 (9)第3章产品功能 (10)3.1功能特性 (10)3.1.1应用加速(SSL加速) (10)3.1.2服务器负载均衡(SLB) (13)3.1.3链路负载均衡(LLB) (18)3.1.4全局服务负载分担(GSLB) (21)3.1.5其他功能 (25)3.2部署方式 (29)3.3产品优势 (30)第4章技术特性 (33)4.1产品特性 (33)4.2硬件特性 (35)4.3性能特性 (36)第5章总结 (37)前言当前,无论在政府网、金融网、企业网、校园网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,用户大量的信息请求,不断更新的应用需求以及对业务不间断的持续访问,成为应用服务商解决互联网服务,获得用户认可的关键因素,即使按照当时最优条件配置建设的网络,面对不间断、快速的用户增长,服务器也会无法承担。
原有链路也会因为用户量的不断增大导致用户访问速度过慢,链路拥塞,网络故障频繁,尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担,而如何在完成同样功能的多个链路及网络设备之间实现合理的业务量分配,使之不至于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况,就成为信息提供商及应用服务商必须克服的问题,负载均衡机制也因此应运而生。
网神SecSSL 3600安全接入网关产品白皮书[V6.3.1]
![网神SecSSL 3600安全接入网关产品白皮书[V6.3.1]](https://img.taocdn.com/s3/m/4f749014cc7931b765ce1517.png)
●版权声明Copyright © 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。
未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息文档名称网神SecSSL 3600安全接入网关产品白皮书文档版本号V6.3.1扩散范围销售/售前/客服/渠道商/用户作者陈蛟日期2011/04/06初审人宋伟复审人王思登●版本变更记录时间版本说明作者目录1产品概述 (4)2产品特点 (4)3产品功能 (5)4产品型号与指标 (10)5产品形态 (11)6产品资质 (14)1产品概述网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600安全接入网关(简称:“网神SSL VPN”)产品。
该系列VPN安全网关采用国家密码管理局指定的加密算法,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。
该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。
网神SSL VPN 安全网关部门级产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。
网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,网神SSL VPN 的基于代理主机的,它通过终止网络边缘的连接而提供一个附加的安全层。
【16、威胁感知(天眼)】产品白皮书-新一代威胁感知系统v4081_2019.5.20
网神新一代威胁感知系统 V4.0产品白皮书奇安信集团版本信息文档名称密级创建人创建日期网神新一代威胁感知系统 V4.0产品公开李闯20170926 白皮书修订记录修订日期修订内容修订人20170925 新增李闯20180502 修改李闯20180713 修改杨辉20190426 修改李玉才©2019 奇安信集团保留所有权利本文档所有内容均为奇安信集团独立完成,未经奇安信集团作出明确书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形状)对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。
https:///目录1.引言 (1)2.产品概述 (4)3.产品组成与架构 (4)3.1.威胁情报 (5)3.2.分析平台 (5)3.3.流量传感器 (6)3.4.文件威胁鉴定器 (6)4.产品优势与特点 (7)5.产品价值 (9)6.典型部署 (10)6.1.高级威胁检测、回溯和响应方案 (10)6.1.1.部署拓扑图 (10)6.1.2高级威胁检测、回溯和响应方案说明 (10)6.2.本地威胁发现方案 (12)6.3.1部署拓扑图 (12)6.3.2本地威胁发现方案说明 (12)6.3.文件威胁检测方案 (13)6.4.1部署拓扑图 (13)6.4.2文件威胁检测方案说明 (14)1.引言近年来,具备国家和组织背景的APT攻击日益增多,例如:2010年攻击伊朗核电站的“震网病毒”、针对Google邮件服务器的“极光攻击”、2013年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014年APT攻击的主要目标行业是金融和政府,分别高达84%和77%。
2019年初,奇安信威胁情报中心发布了《2018 年中国高级持续性威胁(APT)研究报告》。
报告中指出:从公开披露的高级威胁活动中涉及目标行业情况来看(摘录自公开报告中提到的攻击目标所属行业标签),政府、外交、军队、国防依然是APT 攻击者的主要目标,这也与APT 攻击的主要意图和目的有关,值得注意的是国家的基础性行业也正面临着高级威胁攻击的风险,如能源、电力、工业、医疗等。
网神SecSSL 3600安全接入网关系统-产品白皮书 V1.0
网神SecSSL 3600安全接入网关系统产品白皮书网御神州科技(北京)有限公司目录1 产品概述 (3)2 产品特点 (3)3 产品功能 (7)4 产品型号及指标 (12)4.1 SSLVPN主机系统介绍 (12)4.2 SSLVPN辅件介绍 (17)5 产品资质与荣誉 (18)1 产品概述网神SecSSL 3600系列安全接入网关系统是网御神州推出的基于SSL协议标准全新架构的SSL VPN产品,是为企/事业单位提供安全、方便及高效的远程及内网安全接入方案。
通过对接入受控网络的主机进行全面的安全状态检查和修复,再加上细粒度的动态授权机制,SecSSL 3600确保接入用户的主机环境符合企业的安全策略要求。
系统也能够在用户访问结束后,根据安全策略的设置清除遗留在远程主机本地的数据,真正做到了“零”痕迹。
利用创新的智能终端识别和链路质量侦测技术,SecSSL 3600允许用户利用各种不同的移动计算终端快速地接入受控网络。
SecSSL 3600确保用户可以利用任意平台,随时随地安全及快速的访问内部资源,是目前企/事业单位远程及内网安全网络接入的最佳选择。
网神SecSSL 3600系列安全接入网关系统针对的应用环境包括(但不局限于)下列描述:●电子商务交易平台●电子政务应用系统●ERP 、CRM、SCM、OA、财务、人力资源、物流管理等应用系统●MySQL、SQL Server、Oracle等各种数据库系统●网上银行●网络图书馆的远程安全接入和访问●电子邮件系统●协同设计系统●关键内部业务应用系统等2 产品特点●无客户端软件采用无客户端软件的解决方案,用户只需通过浏览器即可实现远程访问服务。
由于SSL VPN 使用了已嵌入于一般浏览器中的SSL协议,从而使管理员无需为终端用户提供软件安装、维护及策略定制的服务,仅需在VPN网关上设置用户访问权限即可。
●不改变用户使用习惯每个企业都根据自身的实际需要定制开发了一些应用系统,或者部署了一些服务来满足自己的需要,例如,使用Outlook的日历安排功能安排会议,为不同分支机构的IC设计工程师部署集中的Terminal Server以共享设计仿真资源等。
奇安信网神安全SD-WAN产品白皮书
奇安信网神安全网络路由网关系统V1.0SSDW-2000产品白皮书目录产品介绍 (3)产品功能列表 (4)产品特色功能 (5)自主安全组网 (5)零配置快部署 (6)广域出口整合 (6)智能路径优选 (6)可视集中管控 (6)全面安全防护 (6)产品技术优势 (6)高性能、高稳定 (6)高安全、高效益 (7)高智能、高可用 (7)产品型号与指标 (8)典型应用 (9)场景一:大企业安全组网 (9)场景二:中小企业安全组网 (10)场景三:混合IT架构安全组网 (11)产品介绍如今,企业在向大型化、连锁化发展的过程中,覆盖范围越来越广,更多的企业已经将范围延伸到了三、四线城市。
迅速增长的终端、用户及应用间不断变大的连接数量,使得支撑企业信息化建设的基础IT架构也随之升级,企业IT 上云成为必然,混合IT架构、多云架构、云迁移等越来越复杂的环境会变得普遍。
在企业IT上云后,整个企业网络的安全服务边界将从端、局域网络延伸到广域网络、延伸到云平台。
如何为整个延伸后的企业网络提供安全保障,如何让企业的网络更加可靠便捷,更加自动化、智能化、灵活化,降低企业运维成本,提高运维人员的工作效率,成为了企业IT管理者们共同的诉求。
继续采用传统的组网技术和安全技术已经无法应对企业网络如今面临的挑战。
另一方面,企业搭建广域网的成本一年高过一年。
在互联网上访问企业业务系统,需要面临互联网环境复杂、安全风险过多、链路质量不稳定等众多不利因素,使得企业不得不租用昂贵的专线来对重要业务进行保障。
每年租用广域网资源的费用已经成为企业沉重的负担。
如何高效的利用各种广域网接入带宽资源,实现多路径智能选路及备份切换的同时,又能大大降低企业在专线上付出的成本,成为了SD-WAN技术诞生和快速发展的基础动力。
SD-WAN技术的日趋成熟虽然解决了企业组网问题和网络优化问题,但是无法解决企业网络重中之重的安全问题,组网与安全仍然是分离的。
而组网与安全的分离会面临以下问题:•运维分离导致维护及故障排查工作量大且繁琐•安全策略和网络策略难以及时的相互适应•组网的灵活高效受限于安全设备的部署•难以解决内网广域化、云化后的安全可靠问题因此,为实现企业网络与安全的全面融合,解决组网与安全分离所带来的挑战,奇安信网神安全SD-WAN整体解决方案应运而生。
网神SecWAF 3600 Web应用防火墙系统W5000-U020M型号产品白皮书[V8.5.1]
![网神SecWAF 3600 Web应用防火墙系统W5000-U020M型号产品白皮书[V8.5.1]](https://img.taocdn.com/s3/m/67345ede28ea81c758f578b9.png)
产品白皮书网神SecWAF 3600 Web应用防火墙W5000-U020M本文档解释权归网神信息技术(北京)股份有限公司安全网关中心产品部所有●版权声明Copyright © 2006-2012 网神信息技术(北京)股份有限公司(“网神”)版权所有,侵权必究。
未经网神书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。
●文档信息文档名称网神SecWAF 3600 Web应用防火墙文档版本号V8.5.1扩散范围销售/售前/客服/渠道商/用户作者黄锐日期2013/05/01初审人王嘉复审人●版本变更记录时间版本说明作者2013-5-17 V1.0 文档建立黄锐目录1、产品概述 (4)2、产品特点 (4)2.1 高性能 (4)2.2集成领先Web应用漏洞检测技术 (4)2.3 多维防护体系 (5)2.4 Cloud云防护模型 (5)2.5 主动防御体系 (6)2.6 网页防篡改 (6)2.7 HA(High Availability) (6)3、产品型号 (7)4、产品功能说明 (7)4.1 产品功能概述 (7)4.2 功能列表 (7)5、性能指标 (10)6、硬件规格 (10)7、产品资质 (11)1、产品概述网神SecWAF 3600 Web应用防火墙系统(又名SecWAF应用防护系统),以下简称SecWAF,是自主知识产权的新一代安全产品,作为网关设备,防护对象为Web服务器,其设计目标为:分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案。
网神Web安全团队根据常年观察互联网黑客攻击方式和黑客技术,从多年的安全研发经验中总结了一套“Web安全防护体系”,网神Web安全团队提出了“事前、事中、事后”的事件三部曲防护方案。
首先,事前评估。
根据黑客攻击经验,每次黑客在攻击前都会对目标事物进行漏洞扫描。
网神Web安全团队使用自主开发的Web扫描器对客户网站架构进行整体评估,评估客户网站在开发过程中,开发人员忽视的安全问题。
信息安全-奇安信网神工业安全监测系统(ISD)白皮书
2.2 产品架构
工业安全监测系统采用专用架构硬件平台,软硬一体化设计,可以有效降低硬件漏洞,增 加安全性,提高稳定性、可靠性。具备完全自主知识产权的鲲鹏网络操作系统,多核 AMP+软 件架构,在高安全性、高开放性、高扩展性和高可移植性基础之上,结合工业特性的协议深度 解析引擎重点加强了防御能力、数据生成能力、数据分析能力、数据处置能力,让工业安全监 测系统具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力,并能提 供多维度的有效信息帮助用户完成日常维护工作。
2.3.1 自动资产发现........................................................................... 4 2.3.2 无损漏洞识别......................................................................................................... 4 2.3.3 异常操作监测......................................................................................................... 4 2.3.4 系统状态监测......................................................................................................... 4 2.3.5 网络威胁检测......................................................................................................... 5 2.3.6 动态大屏展示......................................................................................................... 5 2.3.7 自动学习模式......................................................................................................... 5 2.3.8 三权分立管理......................................................................................................... 5 2.4 产品优势........................................................................................................................................... 6 2.4.1 以资产为中心......................................................................................................... 6 2.4.2 工控协议解析......................................................................................................... 6 2.4.3 多功能合一 ............................................................................................................ 6 2.4.4 大屏展示 ................................................................................................................ 6 2.5 典型部署........................................................................................................................................... 6 三. 客户价值.............................................................................................................................................. 7 3.1.1 满足合规要求......................................................................................................... 7 3.1.2 提供管理抓手......................................................................................................... 8 3.1.3 降低事故风险......................................................................................................... 8 3.1.4 协助应急响应......................................................................................................... 8 3.1.5 助力事故调查......................................................................................................... 8
工业控制系统白皮书
工业控制系统白皮书
工业控制系统是一种集成了硬件、软件、通信和信息技术等多种技术的系统,用于自动化生产、制造和管理过程中的实时监控、控制和优化。
它通常包括计算机控制系统、PLC控制系统、工业数据采集和处理系统、以及通讯网络等多个部分。
工业控制系统的主要作用是提高生产效率和质量,降低生产成本和人力投入。
通过实时监控和自动控制,可以减少人为操作的不确定性和错误,保证生产过程的稳定和一致性。
同时,工业控制系统可以收集大量的生产数据,并对其进行分析和处理,以优化生产流程和产品质量。
但是,随着信息技术的发展,工业控制系统也面临着越来越多的安全威胁。
黑客可以通过网络攻击或物理入侵等方式,获取工业控制系统中的重要信息,或者直接破坏生产设备和系统。
这种攻击可能导致生产中断、数据泄露或财产损失等严重后果。
为了保护工业控制系统的安全,需要采取一系列措施:
1.建立健全的网络安全体系,对工业控制系统进行安全审计和漏洞修复;
2.对关键设备和系统进行物理安全保护,如设置访问控制、监控摄像等措施;
3.加强员工的安全意识和培训,避免疏忽造成的安全漏洞;
4.采用先进的加密和认证技术,保护工业控制系统中的数据传输和存储安全;
5.建立完善的应急响应机制,及时处理安全事件和灾难事故。
总之,工业控制系统在提高生产效率的同时,也要注意保障其安全可靠性。
只有在安全的前提下,才能更好地实现工业自动化和信息化。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网神工业控制安全网关系统产品白皮书©2019奇安信集团■版权声明奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权,本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容,除另有特别注明外,所有版权均属奇安信集团及其关联公司所有;受各国版权法及国际版权公约的保护。
对于上述版权内容,任何个人、机构未经奇安信集团或其关联公司的书面授权许可,不得以任何方式复制或引用本文的任何片断;超越合理使用范畴、并未经上述公司书面许可的使用行为,奇安信集团或其关联公司均保留追究法律责任的权利。
网神工业控制安全网关系统产品白皮书目录|Contents一.引言 (1)1.1概述 (1)1.2传统防火墙不适用工业环境 (1)二.网神工业控制安全网关系统 (2)2.1产品概述 (2)2.2产品架构 (2)2.3主要功能 (3)2.3.1四重白名单的一体化纵深防护 (3)2.3.2符合工控网络特点的三段式工作模式 (4)2.3.3基于精准工控协议指令级控制的白名单☆ (4)2.3.4基于工控服务的一体化安全策略配置 (5)2.3.5基于应用层的综合攻击防护功能 (5)2.3.6完善的工控网络数据防泄漏 (6)2.3.7全方位风险信息展示及分析、审计 (6)2.3.8管理员权限三权分立 (6)2.3.9高性能高可靠的软硬件一体化架构 (6)2.4产品优势 (7)2.4.1专有硬件适用工业环境 (7)2.4.2工控协议深度解析 (7)2.4.3IT、OT一体化防护 (7)2.5典型部署 (8)三.客户价值 (9)3.1边界隔离防御,提升工业网络稳定性 (9)3.2满足政策合规要求,降低安全责任风险 (9)3.3集中式的统一运维,降低运维成本,提升运维效率 (9)网神工业控制安全网关系统产品白皮书一.引言1.1概述随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。
未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。
传统的物理隔离的解决方法已经不能满足现阶段两化融合发展对安全的需求了,广大的工业控制系统用户迫切需要解决如下问题:●防止非法的对工控系统的指令操作;●防止非法身份的用户对工控系统的访问;●防止非法时间段对工控系统的操作;●防止非法协议进入工控系统等;目前,工业控制系统受到了越来越多的安全威胁,其中既有来自敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等的攻击与破坏,也有由于系统复杂性、人为事故、操作失误、设备故障和自然灾害等造成的工业控制系统损害。
电力、能源、交通等国家关键基础所依赖的工业控制网络系统的安全是国家经济稳定运行的关键,受到攻击的后果极其严重,因此工业控制网络信息安全问题急需解决。
1.2传统防火墙不适用工业环境目前市场上的安全产品主要是针对传统IT安全的,对工控协议无法识别,而少数工控安全产品厂家提供的通用防火墙产品有如下不足:●基于传统IT架构硬件平台,在功耗、可靠性、稳定性、实时性等方面满足不了工控系统要求;●无法发现针对工控协议的攻击和破坏行为;●无法实现对工控网络流量的精细化管控和审计;网神工业控制安全网关系统产品白皮书 无法实现对工控网络中安全风险进行全方位展示;二.网神工业控制安全网关系统2.1产品概述网神工业控制安全网关系统(也称为工业防火墙)是奇安信全新推出的工业防火墙系列产品,其基于业界领先的软、硬件体系架构,硬件层面上,具有全封闭、无风扇、多电源冗余等特点,确保达到工业级可靠性和稳定性要求。
软件层面上,具备完全自主知识产权的智能工控安全操作系统(即:Intelligent Industry Control Security Operating System简称:IICS-OS)并结合工业特性的协议深度解析引擎,其工控协议深度包解析技术不仅对二层三层网络协议进行解析,更进一步解析到工控网络包的应用层,对OPC、Modbus、S7等主流工控协议进行深度分析,防止应用层协议被篡改或破坏,全面提升了网神工业控制安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力。
网神工业控制安全网关,用于企业网络层和生产管理层、生产管理层和过程监控层、过程监控层和现场控制层的边界。
利用网神工业控制安全网关可以建立可信任的数采通信及工控网络区域间通信的模型,采用结合智能学习的白名单的安全策略,过滤一切非法访问,保证只有可信任的设备可以接入工控网络,只有可信任的流量可以在网络上传输。
为企业网络层(L4)与生产管理层(L3)、过程监控层(L2)的连接提供安全保障。
在电力、石油、石化、煤炭、烟草、钢铁、轨交及工业制造等多行业得到广泛应用。
网神工业控制安全网关提供工控协议深度解析、工控指令访问控制、攻击防护、日志审计等综合安全功能。
网神工业控制安全网关采用了高性能、高稳定性的硬件架构,为用户提供高效、稳定、可靠的安全保障。
2.2产品架构网神工业控制安全网关采用专用硬件平台,无风扇设计,可以有效降低硬件漏洞,增加安全性,提高稳定性、可靠性。
网神工业控制安全网关系统产品白皮书具备完全自主知识产权的新一代智能安全操作系统IICS-OS操作系统,在高安全性、高开放性、高扩展性和高可移植性基础之上,结合工业特性的协议深度解析引擎重点加强了工业安全网关的协同防御能力、数据生成能力、数据分析能力、数据处置能力,让工业安全网关具备深度解析、智能学习、异常处理、风险信息全方位展示分析及审计的能力,弥补了传统防火墙重配置轻管理的缺点,并能提供多维度的有效信息帮助用户完成日常维护工作。
同时,网神工业控制安全网关集设备智能调度、工控协议解析、内容检测审计于一体,极大提高了底层硬件的安全性、工控协议解析处理速度。
图1.网神工业控制安全网关架构图2.3主要功能2.3.1四重白名单的一体化纵深防护网神工业控制安全网关采用四重白名单的一体化纵深防护机制。
其第一重防护基于五元组的网络层白名单防护;第二重防护基于应用特征的应用层白名单防护;第三重基于特定工业协议指令的白名单防护;第四重基于特定工业协议数据区的白名单防护。
其中前两重防护与IT下一代防火墙相同,后两重防护是针对工业协议特有的白名单访问控制。
针对工业协议白名单访问控制,系统搭载了奇安信自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。
IICS-OS (智能调度、工控协议解析、内容检测)驱动适配层专用工控硬件平台攻击防护FW 工控协议管控系统管理白名单IP/MAC 绑定日志审计网神工业控制安全网关系统产品白皮书图2.四重白名单一体化防护2.3.2符合工控网络特点的三段式工作模式在工控网络中可用性被公认为首位,其次是完整性和保密性。
工控系统的可用性如果被破坏,将带来比传统IT网络中断更加严重的后果。
网神工业控制安全网关设计了三段式工作模式来保护工控网络的可用性。
它们是学习模式、告警模式和正常模式。
三种模式分阶段完成工控网络信息安全保障。
学习模式应用于工控网络信息安全规划阶段。
信息安全规划机构不了解工控网络情况,通过学习模式对工控网络中的协议和流量行为进行被动式发现。
在学习模式下针对发现的策略无防护操作,所有网络流量行为均不会被阻断。
告警模式应用于工控网络信息安全预上线阶段。
信息安全规划机构根据掌握的工控网络情况完成了工业安全网关安全策略规划,通过告警模式来进行防护效果的测试和验证。
在告警模式下不符合安全策略的数据流会产生告警日志,但防护操作不会生效,所有流量不会被阻断。
正常模式应用于工控网络信息安全运行阶段。
安全策略正式生效,对非策略定义行为进行阻断,并记录日志和进行告警。
2.3.3基于精准工控协议指令级控制的白名单☆网神工业控制安全网关搭载了奇安信自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,为解决针对工控网络的安全问题提供了技术基础保障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对性的捕获与深度解析。
对不同行业网神工业控制安全网关系统产品白皮书的工控系统,可以采取相应针对性的数据包探测机制和解析策略。
在遵循工业控制系统可用性与完整性的基础上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型,并结合白名单对不符合规则的流量进行过滤。
解析引擎执行时能够满足工业控制系统在生产和制造过程中的通信效率保障和冗余机制等要求。
深度数据包解析引擎支持涵盖OPC、Modbus、S7等主流工控协议,可以对OPC等工控协议做到指令级控制,如:OPC协议只读。
2.3.4基于工控服务的一体化安全策略配置安全策略功能是工业安全网关的核心功能,提供基于状态检测、基于应用层之上数据识别的动态包过滤技术。
网神工业控制安全网关内预定义多种工控服务,通过源安全域、目的安全域、源地址、目的地址、地理位置、服务、应用等维度对数据进行识别,将用户需要进行过滤及控制的数据流分离,并对相应的数据实现安全漏洞防护、防间谍软件、行为管控的一体化策略配置。
2.3.5基于应用层的综合攻击防护功能网神工业控制安全网关的攻击防护模块通过基于安全域的Flood防护和扫描欺骗防护、IP 地址扫描攻击、端口扫描以及异常包攻击、应用层攻击、IP安全域关联等防护手段,将包括SYN Flood、ICMP Flood、UDP Food、IP Food、ping of death、Teardrop、IP选项、TCP异常、Smurf、Fraggle、Land、Winnuke等常见的攻击行为检测集成在模块中,使得用户通过启用并配置攻击防护模块,可以有效的过滤并采取相应的措施阻止非正常报文流入工控网络,并对HTTP、DNS、DHCP等协议提供应用层防护。
另一方面,针对局域网多播广播、IP地址欺骗等也提供了专门的防护。
由于常见的攻击方式掺杂了大量的组合式洪攻击,攻击者实际上是在消耗被攻击者的性能资源,因此网神工业控制安全网关强大的性能支撑,也保证了在大量攻击消耗工业安全网关性能的时候不会成为的瓶颈,给予了攻击防护模块和其他模块坚实的性能基础。
网神工业控制安全网关系统产品白皮书2.3.6完善的工控网络数据防泄漏网神工业控制安全网关具有工控网络数据文件防泄漏功能,文件过滤支持针对HTTP、SMTP、POP3、IMAP、FTP协议传输的文件进行过滤,主要包含3大类:文档类、压缩类、归档类;针对工控网络中核心工艺参数以及文件传输进行安全过滤和安全审计,保护用户隐私。