中国电子科技网络信息安全有限公司(简称中国网安)是中国电子科技集团公司根据国家总体安全战略需要,以中国电科三十所、三十三所为核心,汇聚中国电科内部资源重点打造的网络信息安全子集团。中国网安凭借在网络通信、密码及信息安全领域的深厚积淀,围绕网络信息安全核心领域,走军民融合发展道路,融合发展密码保密、信息安全、网络与通信、网络对抗、电磁防御五大专业,在国家网络信息安全核心和重要领域处于国内领先地位。
中国网安工业控制安全事业部已经建成电力、核电、石化、钢铁等多行业控制系统试验环境;掌握了数百种工业控制系统专用控制协议的漏洞及利用方式,对工控的防护,事业部独创了“监·评·防·融”工控信息安全防护体系,开发了六大类安全防护设备,形成了“以密码为基础”、“以攻促防”、“监·评·防·融”等工控信息安全技术特色,塑造业界影响力。
网址:cetcsc.cetc.com.cn
电话:028-62380478
地址:四川省成都市双流区西南航空港经济开发区工业集中区内(610000)
工业隔离网关IGAP
产品概述
中国网安工业隔离网关是一款专用于工业控制网络安全接入信息网络的设备。通过内部的双独立主机系统,分别接入到控制网络和信息网络,双主机之间通过专用硬件装置连接,从物理层上断开了控制网络和信息网络的直接网络连接。同时工业隔离网关通过内嵌的高性能工业通信软件,支持各种主流工业通信标准,如OPC、Modbus TCP等,还具备常用数据库间的数据自动同步、双网同网段透明部署等使用功能。
性能特点
(1)真正的物理隔离
采用双独立主机系统,分别接入控制网和信息网,采用2+1的硬件组织架构:两个主机单元和一个隔离交换单元,其根本目的在于从物理和逻辑两个层面全面打断网络的直接链接,以私有协议+加密算法+专用永健的方式保证在两个方向上只完成特定工业应用等数据的交换从而达到“物理隔离”的目的。
(2)工业协议深度控制
支持OPC、Modbus等工业协议的数据交换深度控制,同时支持自定义应用通信扩展。
(3)强大的入侵防御能力有效抵御Dos/DDos及LAND、SNORK等典型攻击和各种恶意的端口扫描。
(4)文件安全同步
支持Windows平台和Linux平台的文件同步,同步传输方向可控。
(5)数据库自动同步
支持SQL Server、Oracle等常用数据库的数据自动同步。
(6)高可用性
支持双机热备,自动同步运行数据及系统配置。
(7)多种部署模式
支持路由模式、双网同网段模式以及混合模式等部署方式。
(8)安全审计
支持多种类型日志信息的记录、统计和分析。
技术参数
(1)高性能
产品的最大数据容量为20000Items,最大数据吞吐量为10000tps,系统具有完全自主知识产权。
(2)高安全性
采用了先进的系统构架和完善的抗攻击模块,能够自动适应网络状况,自动将“恶意的”攻击数据从“善意的”合法客户的数据流中过滤掉。可以实现对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析,如针对ICMP Flood完成过滤类型与代码、频度、包长检查,针对UDP Flood完成频度、包长检查、针对Syn flood完成频度检查,可以在第一时间发现Dos/DDos攻击并自动做出回应,使用户有机会免遭它的打击,提供高安全性和高可用性。
(3)基于角色的安全控制提供用户策略规则,通过与安全策略规则配合,实现基于用户角色的安全控制。
(4)良好的网络适用性
·除了第三方日志审计功能(非必须)外,隔离网关的所有业务功能都不需要第三方软件支持。
·产品支持透明部署。很多客户现场存在信息网络(管理网络)和生产控制网络使用相同网段的情况,隔离网关可以在使用相同网段IP地址的情况下接入网络完成防护功能。
同时产品具有良好的扩展性,隔离网关原生支持OPC、Modbus TCP等常用工业协议的深度控制功能。
(5)工业环境适应性
产品采用全封闭无风扇的方案,全金属外壳,支持宽温(-20℃~60℃),系统采用电子盘存储程序与参数,无任何转动部件,大幅提高了系统长时间运行的可靠性。
(6)工作模式的多样性
工作模式:路由、透明或混合的工作模式。
(7)高可用性秒级双机热备
高可用性热备模式的自我恢复特性,能够在发生意外宕机、网络故障、性能下降、关键进程失败等情况下进行自我恢复,试验结果显示,切换时间提高到3s以内,保证了隔离网关系统安全稳定地运行工作。
(8)抗攻击和自我保护能力
能够处理一些常见的对于TCP、UDP、ICMP协议的攻击或探测如Flooding攻击、winnuke、Snork、端口扫描等多种攻击,并能对这些异常情况做出忽略、记录日志以及拒绝等操作,这增强了隔离网关的抗攻击能力。
摘自《工业控制系统信息安全产品及服务指南(2018版)》