启明星辰信息技术集团股份有限公司成立于1996年,由留美博士严望佳女士创建,是国内具有超强实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。集团拥有完善的专业安全产品线,横跨防火墙/VPN、统一威胁管理、入侵检测/入侵防御、安全管理平台、终端管理、数据安全和信息加密等技术领域,整体安全解决方案及安全专业服务可帮助客户建立起完善的安全保障体系。
作为国家级网络安全研究基地,启明星辰集团已积累了400多项技术发明专利和软件著作权,参与制订国家及行业网络安全标准60多项,填补了我国信息安全科研领域的多项空白,承担并完成了包括国家发改委产业化示范工程、国家科技部863计划、国家科技支撑计划、工业和信息化产业部电子发展基金等国家级、省部级和地方科研项目200余项。同时启明星辰拥有“国家级企业技术中心”、“国家规划布局内重点软件企业”、“涉及国家秘密的计算机信息系统集成甲级资质”等认定。
网址:www.venustech.com.cn
电话:010-82779088
地址:北京市海淀区东北旺西路8号中关村软件园21号启明星辰大厦(100193)
天清安全隔离与信息交换系统V2.6 GAP-6000
产品概述
天清安全隔离与信息交换系统-工业网闸是启明星辰集团自主研发的工业网闸产品。该产品利用了成熟的网络隔离技术和数据摆渡技术,并结合工业控制领域信息化的特点与要求,在充分发挥隔离特性的同时,保障生产控制系统中的数据安全有效的传递。启明星辰工业网闸模拟人工在两个隔离的网络之间进行信息交换,使得两个网络之间不存在依据TCP/IP协议进行数据包转发,只有格式化的数据块进行的“无协议摆渡”,被隔离的两个网络之间完全采用私有方式传递,而不具备互通性。启明星辰工业网闸,只允许生产控制网采集的数据流向管理网,可允许符合控制网传输协议的数据返回到控制网络,不容许任何其它数据返回到控制网络,同时对流经的数据报文进行严格协议格式检查和内容过滤,以保证生产控制网和管理网的通讯安全。
性能特点
启明星辰的工业网闸系列产品有多个子型号,在保障功能实现相同的情况下可以分别应对不同的性能需求。网络吞吐区间为100~9000Mbps,可以满足不同级别性能的要求。
技术参数
(1)采用“2+1”的系统架构,即由两个主机系统和一个隔离交换专用硬件组成;
(2)安全的内外网独立管理机制,内外网采用独立的操作系统,互不信任,提供双重保障;
(3)友好的图形化界面,安全的HTTPS远程管理,并提供密码和证书的认证方式;
(4)独有的冗余双系统技术:内外网主机系统分别支持双系统引导,在A系统发生故障时,可以随时切换到B系统,且支持系统(包括配置)的镜像备份;
(5)可对OPC、Modbus/TCP、IEC104等协议进行数据还原,对协议格式及内容进行合规检查;
(6)能够实现对工业协议的指令控制,如OPC Item过滤、Modbus功能码过滤、IEC104遥调控制等;
(7)支持视频传输,内置近30种视频厂商协议模板,并支持国标协议的功能类型过滤,包括实时点播、历史回放、录像下载、云台控制、回放控制、录像检索、设备查询等,支持视频格式过滤;
(8)可扩展数据库同步、文件同步、FTP访问等隔离设备常用业务功能。
产品鉴定或检测证明等
检测编号:公计检170371
检测机构:公安部信息安全产品检测中心
检测结果:由北京启明星辰信息安全技术有限公司送检的天清安全隔离与信息交换系统V2.6/GAP-6000,经本中心检测,所测项目符合《信息安全技术 网络和终端隔离产品测试评价方法GB/T 20279-2015》、《信息安全技术 网络和终端隔离产品测试评价方法GB/T 20277-2015》中网络隔离产品增强级、《信息安全技术 通用渗透测试检测条件 JCTJ005-2016》中相关条款所述的有关要求。
物联网安全接入防护系统 IoTVBox V3.0
产品概述
物联网安全接入防护系统是为解决现存于物联网中的终端安全问题设计的专用产品。其面向物联网应用场景,可有效识别针对传统PC,哑终端、智能设备等多种终端;对识别物联网终端进行有效准入控制,解决海量IP设备的接入认证和安全管控问题,帮助用户构建安全可控的物联网络。可广泛应用于平安城市、智能交通、电力、能源、医疗、生产自动化等行业。
性能特点
启明星辰的物联网安全接入系统系列产品,在保障功能实现相同的情况下可以分别应对不同的性能需求,网络吞吐区间为800~40Gbps,单台设备可控制物联网终端数量300~5000个不等,可以满足不同级别性能的要求。
技术参数
(1)自动发现物联网终端,并能实现设备和网络访问的可视化呈现。
(2)流量自学习:可根据网络流量自动发现资产、连接关系、通信协议以及应用层访问指令,并自动推荐安全策略,协助管理员轻松生成、维护网络安全策略;
(3)终端指纹探测:支持主动被动方式探测设备指纹信息,包括IP、MAC、操作系统、软件版本、开发端口信息等。根据探测内容为物联网终端建立指纹基线并对其进行审批,实现物联网终端准入控制;
(4)终端指纹变化感知识别:可以实时监控已准入物联网终端的指纹信息变化情况,当已接入终端指纹信息发生变化时,自动采取隔离告警通知管理员或高层态势感知平台,也可直接启动阻断策略将可疑终端第一时间进行隔离;
(5)行为感知:可与上级安全态势感知平台互动提供物联网终端支持漏洞发现、弱口令风险和威胁感知能力;
(6)终端准入白名单:通过白名单机制可对指纹信息发生变化及行为异常的终端有效排除在可信流量之外,从而达到有效隔离的目的;
(7)协议DPI:预置多种常用物联网协议深度解析,包括OPC、Modbus、IEC104、EIP和S7等协议;支持自定义协议特征,可以做到指令级访问控制,提供300多种协议变量、24种算术运算符、逻辑运算符和多种数据类型的标准化过滤语言体系;
(8)黑白名单管控:系统具备可自定义的内容黑白名单管控引擎,可实现配置面向物联网通信协议的内容白名单规则,支持面向攻击防护特征的黑名单规则;
(9)物联网IPS:预置工控系统攻击事件库,全面提升物联网网络安全防护能力;基于自然语言描述的可扩展规则引擎,支持自定义报文解析,具备极佳的安全防护扩展能力;
(10)网络功能:具备基础防火墙功能,包括基于传统五元组、协议、资产、时间等多元组一体化访问控制;支持透明、路由、混合模式部署;设备内置多种物联网防护模型,并可以自定义防护规则;可参与VLAN网络数据传输,支持TRUNK等模式;
(11)VPN:支持基于物联网协议的数据加密传输;
(12)集中管理:支持物联网安全接入防护系统白皮书的大规模部署,全网策略统一下发,设备情况统一展现,日志告警集中显示;
(13)日志审计:支持设备管理日志和系统日志的记录和外发。
摘自《工业控制系统信息安全产品及服务指南(2018版)》
