鋼鐵工控系統(tǒng)安全解決方案

鋼鐵行業(yè)工控系統(tǒng)安全解決方案北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司2016年3月

目錄一安全方案設(shè)計 31.1建設(shè)目的 31.2安全現(xiàn)狀 51.3建設(shè)方案 7二方案功能介紹 112.1IAD智能保護平臺 112.2監(jiān)測審計平臺 132.3安全監(jiān)管平臺 142.4USB防護衛(wèi)士 162.5工控衛(wèi)士 17三附件 203.1產(chǎn)品清單 203.2匡恩網(wǎng)絡(luò)介紹 203.3公司榮譽 22

一安全方案設(shè)計1.1建設(shè)目的2010年“震網(wǎng)”病毒事件為世人敲響了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的警鐘。短短幾年內(nèi)，全球范圍內(nèi)針對工控系統(tǒng)攻擊事件的數(shù)量大幅提升，2013年，美國的ICS-CERT（工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組）就響應(yīng)了全球范圍內(nèi)共2000多件工控安全事件。尤其在2010年之后，隨著通訊協(xié)議、通用硬件、通用軟件在工業(yè)控制系統(tǒng)的應(yīng)用，對過程控制和數(shù)據(jù)采集監(jiān)控系統(tǒng)的攻擊增長了近10倍。目前此類事件已頻繁發(fā)生在電力、水利、交通、核能、制造業(yè)等領(lǐng)域，給相關(guān)企業(yè)造成重大的經(jīng)濟損失和震撼的社會影響，甚至威脅國家的戰(zhàn)略安全。面對如此安全形式，工信部于2011年10月下發(fā)了協(xié)〔2011〕451號文“關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知”，要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理。2013年，工信部信〔2013〕317號文工業(yè)化和信息化深度融合專項行動計劃又提出“落實451號文，加強重點領(lǐng)域工業(yè)控制系統(tǒng)的信息安全檢查、監(jiān)管和測評，實施安全風(fēng)險和漏洞通報制度”。在網(wǎng)絡(luò)互連的大背景下，工業(yè)控制系統(tǒng)的互連已經(jīng)成為不可避免的趨勢?；ミB一方面可以提高生產(chǎn)力，提升創(chuàng)新能力，減少工業(yè)能源及資源消耗，助力產(chǎn)業(yè)模式轉(zhuǎn)型升級，另一方面也會因為互聯(lián)而誘發(fā)一系列網(wǎng)絡(luò)安全問題，工業(yè)控制系統(tǒng)一直面臨著來自內(nèi)部和外部的各種惡意病毒的攻擊。目前，工業(yè)控制系統(tǒng)遭受的網(wǎng)絡(luò)攻擊已經(jīng)成為我們所面臨的最嚴重的國家安全挑戰(zhàn)之一。工業(yè)控制系統(tǒng)設(shè)計之初是為了完成各種實時控制功能，并沒有考慮到安全防護方面的問題?，F(xiàn)在他們都暴露在互聯(lián)網(wǎng)上，這給他們所控制的比如像關(guān)鍵基礎(chǔ)設(shè)施，重要系統(tǒng)等都帶來了眾多的風(fēng)險和隱患。近幾年，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事件頻發(fā)，由于工業(yè)控制系統(tǒng)安全涉及國計民生，一旦遭到破壞，危害將十分嚴重。例如，澳大利亞馬盧奇污水處理廠非法入侵事件，造成了100萬公升的污水未經(jīng)處理就直接經(jīng)引水渠排入了自然水系，造成了嚴重的環(huán)境污染。德國境內(nèi)的鋼鐵廠在去年底遭遇一次網(wǎng)絡(luò)黑客攻擊，惡意軟件攻擊了工廠的鋼鐵熔爐控制系統(tǒng)，造成了鋼鐵熔爐控制系統(tǒng)停機24小時，據(jù)測算，每一小時造成的損失高達630萬美元。震網(wǎng)病毒的攻擊致使伊朗布什爾核電站1/5的離心機報廢，放射性物質(zhì)泄露，危害絕不亞于切爾諾貝利核電站的事故，導(dǎo)致了伊朗的戰(zhàn)略核計劃倒退了兩年。中東能源行業(yè)遭遇“Flame”病毒攻擊，導(dǎo)致大量的敏感信息泄露，為爆發(fā)大規(guī)模的攻擊埋下隱患。然而，現(xiàn)實情況是工業(yè)控制系統(tǒng)滯后的系統(tǒng)運行環(huán)境以及難以實施的更新導(dǎo)致了其面臨較之傳統(tǒng)信息系統(tǒng)更為嚴峻的網(wǎng)絡(luò)安全問題。而且，工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)辦公信息網(wǎng)有著本質(zhì)上的區(qū)別，其通信協(xié)議為專有的工業(yè)控制協(xié)議，對系統(tǒng)及網(wǎng)絡(luò)環(huán)境的穩(wěn)定性要求也極高。因此，傳統(tǒng)的信息安全防護設(shè)備，如傳統(tǒng)的防火墻、病毒查殺、漏洞掃描、隔離網(wǎng)關(guān)等在進行工業(yè)控制網(wǎng)絡(luò)安全防護時起不到實質(zhì)的作用，甚至?xí)绊懝た叵到y(tǒng)正常運行。工業(yè)控制系統(tǒng)不同于傳統(tǒng)信息系統(tǒng)，其設(shè)計使用壽命一般為15至30年。對工業(yè)控制系統(tǒng)而言，從系統(tǒng)規(guī)劃、設(shè)計、實施、上線、生產(chǎn)、運維到廢棄的整個漫長的生命周期中，各個階段都面臨著不同的網(wǎng)絡(luò)安全問題。要真正做到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全，必須對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全做一個適應(yīng)工控系統(tǒng)特性的全生命周期的規(guī)劃。1.2安全現(xiàn)狀為了更好地應(yīng)對新的市場挑戰(zhàn)，各鋼鐵企業(yè)都在積極推進信息化建設(shè)，在生產(chǎn)過程中很早就采用計算機實現(xiàn)生產(chǎn)過程自動化，并逐步建成生產(chǎn)、管理、營銷等不同類型的信息系統(tǒng)，企業(yè)信息化的功能框架，即PCS、MES和ERP系統(tǒng)投入了運行，取得了良好的成果。對于強化集團管控水平、規(guī)范內(nèi)部管理、提高運作效率、節(jié)能減排、增產(chǎn)降耗發(fā)揮了巨大的作用。但與此同時，信息安全防護相對滯后，給企業(yè)信息化建設(shè)帶來一些安全隱患。（1）工業(yè)控制系統(tǒng)信息安全管理體系不完善，信息安全職責(zé)不明確。安全意識薄弱，工控系統(tǒng)的安全管理建設(shè)和安全體系建設(shè)尚處于初級建設(shè)階段。需明確負責(zé)信息安全決策、管理和執(zhí)行的監(jiān)管機構(gòu)，設(shè)置應(yīng)急保障隊伍，負責(zé)整個公司的信息安全保障工作。制定系統(tǒng)建設(shè)、運維等方面的信息安全管理制度，頒布企業(yè)內(nèi)部的信息安全標(biāo)準(zhǔn)。（2）邊界缺乏安全防護手段。大部分鋼鐵企業(yè)生產(chǎn)管理網(wǎng)部署有PCS、MES、ERP系統(tǒng)，這些系統(tǒng)和生產(chǎn)控制系統(tǒng)之間相連，但系統(tǒng)之間并未部署專業(yè)的工業(yè)控制系統(tǒng)安全隔離設(shè)備。無法有效組織來自企業(yè)管理網(wǎng)的針對工業(yè)控制系統(tǒng)的病毒、木馬、惡意程序等安全威脅。（3）需加強不同系統(tǒng)之間的訪問控制和入侵防范。整個網(wǎng)絡(luò)均采用同一網(wǎng)段的以太網(wǎng)通訊連接或者各個子系統(tǒng)、子網(wǎng)絡(luò)間缺乏必要的訪問控制條件。任何連接到網(wǎng)絡(luò)內(nèi)的PC或操作站都能訪問網(wǎng)絡(luò)中所有的PLC，對PLC進行操作甚至破壞PLC的組態(tài)程序，直接造成PLC的控制單元失靈或是現(xiàn)場設(shè)備停機或損毀；一個子系統(tǒng)感染病毒或入侵后，非常容易擴散到其他系統(tǒng)。也對業(yè)務(wù)操作帶來安全隱患。（4）缺乏操作站和服務(wù)器的安全配置和病毒防范。工業(yè)控制系統(tǒng)操作站、服務(wù)器上線后基本不會對操作系統(tǒng)進行升級，操作站和服務(wù)器一般不安裝殺毒軟件或安裝傳統(tǒng)的針對辦公網(wǎng)絡(luò)的殺毒軟件等。這樣會導(dǎo)致操作站和服務(wù)器暴露在風(fēng)險中。系統(tǒng)自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。（5）網(wǎng)絡(luò)安全審計技術(shù)不完備。目前工控系統(tǒng)采用的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等系統(tǒng)均采用常見的華為、思科及熟知的Unix及Windows等系統(tǒng)，這些系統(tǒng)存在大量的漏洞，很容易被利用，雖然有些系統(tǒng)不與外網(wǎng)相連，但內(nèi)部系統(tǒng)及第三方系統(tǒng)的調(diào)用或通過U盤等都可能導(dǎo)致漏洞被利用。因此需要網(wǎng)絡(luò)安全審計技術(shù)，出現(xiàn)信息安全故障后有據(jù)可查，可幫助迅速處理事件。（6）缺乏信息安全監(jiān)控技術(shù).無法對網(wǎng)絡(luò)安全事故進行預(yù)警和分析，網(wǎng)絡(luò)工程師將無法以最快的速度判斷問題所在，也就無法迅速準(zhǔn)確的做出防護和修復(fù)措施。（7）存在使用移動存儲介質(zhì)不規(guī)范問題，易引入病毒以及黑客攻擊程序。在工控系統(tǒng)運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)現(xiàn)象，有可能傳染病毒、木馬等威脅進生產(chǎn)系統(tǒng)。1.3建設(shè)方案典型鋼鐵廠網(wǎng)絡(luò)拓撲圖如下：垂直劃分為互聯(lián)網(wǎng)層、辦公網(wǎng)層、監(jiān)控層、控制層及現(xiàn)場層（儀表）；水平劃分不同功能區(qū)域（燒結(jié)、煉鐵、煉鋼、軋鋼等）；根據(jù)工業(yè)控制系統(tǒng)信息安全防護思路，結(jié)合工控系統(tǒng)特點及業(yè)務(wù)關(guān)聯(lián)情況，對鋼鐵行業(yè)自動化信息網(wǎng)絡(luò)安全防護體系設(shè)計如下：1、 工控網(wǎng)絡(luò)系統(tǒng)邊界防護在監(jiān)控網(wǎng)到辦公網(wǎng)絡(luò)，控制網(wǎng)（燒結(jié)廠、煉鐵廠、煉鋼廠、軋鋼廠等）到監(jiān)控網(wǎng)邊界處，使用專業(yè)的工控網(wǎng)絡(luò)邊界防護系統(tǒng)來實現(xiàn)各工控網(wǎng)絡(luò)系統(tǒng)到辦公網(wǎng)絡(luò)及各工控網(wǎng)絡(luò)子系統(tǒng)間的隔離與訪問控制。邊界防護系統(tǒng)能夠根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、應(yīng)用層協(xié)議、端口（對應(yīng)請求的服務(wù)類型）、時間、用戶名等信息執(zhí)行訪問控制規(guī)則。能夠識別大多數(shù)主流工控協(xié)議，做到協(xié)議深層識別，明確區(qū)分正常流量和惡意流量。可以使正常業(yè)務(wù)數(shù)據(jù)順利通過，其他非法訪問、惡意流量均被禁止。2、 工控網(wǎng)絡(luò)系統(tǒng)監(jiān)測審計在監(jiān)控網(wǎng)和控制網(wǎng)（燒結(jié)廠、煉鐵廠、煉鋼廠、軋鋼廠等）邊界交換機處旁路部署監(jiān)測審計系統(tǒng)來監(jiān)測和審計工業(yè)控制層內(nèi)部的業(yè)務(wù)流量?？捎行z測網(wǎng)絡(luò)攻擊事件：采用細粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，可有效檢測各種攻擊和欺騙。能夠完整記錄多種協(xié)議的內(nèi)容。記錄內(nèi)容包括，攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時間等信息，同時對重要安全事件提供多種報警機制。3、 工控網(wǎng)絡(luò)系統(tǒng)統(tǒng)一安全管理工控網(wǎng)絡(luò)系統(tǒng)需要統(tǒng)一管理系統(tǒng)來統(tǒng)一管理、監(jiān)控、保護工業(yè)控制網(wǎng)絡(luò)安全的相關(guān)產(chǎn)品。統(tǒng)一管理系統(tǒng)可與工控網(wǎng)絡(luò)系統(tǒng)中的的其它安全產(chǎn)品共同組成的一套保護、檢測系統(tǒng)。統(tǒng)一管理系統(tǒng)負責(zé)統(tǒng)一控制管理、統(tǒng)一部署安全規(guī)則、統(tǒng)計安全信息、安全事件，能對工業(yè)控制網(wǎng)絡(luò)中的安全威脅進行分析。提供包括行為審計、事件追蹤、威脅分析、日志管理、設(shè)備管理、安全性分區(qū)等多項功能。4、 工控網(wǎng)絡(luò)系統(tǒng)主機防護主機防護系統(tǒng)能夠防護工控網(wǎng)絡(luò)系統(tǒng)中的各種服務(wù)器及HMI等終端的主機安全。能夠監(jiān)控主機進程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB端口狀態(tài)。以白名單的技術(shù)方式全方位保護主機資源使用，切斷病毒和木馬的破壞路徑。同時監(jiān)控USB移動設(shè)備的文件操作，通過嚴密的設(shè)備授權(quán)管理防止機密文件的非法拷貝。5、 USB防護系統(tǒng)USB防護系統(tǒng)能加強對工控網(wǎng)絡(luò)系統(tǒng)中U盤的授權(quán)使用，能夠防護新型的U盤病毒，同企業(yè)管理安全規(guī)章制度協(xié)作，共同規(guī)范工控網(wǎng)絡(luò)中U盤的安全使用?？梢詫盤的認證、權(quán)限設(shè)置以及行為進行記錄，實現(xiàn)對自動化信息系統(tǒng)、安防監(jiān)控系統(tǒng)網(wǎng)絡(luò)中U盤的行為管理?？赏ㄟ^對內(nèi)部U盤的權(quán)限設(shè)置，只允許高級權(quán)限的U盤復(fù)制主機數(shù)據(jù)，禁止內(nèi)網(wǎng)數(shù)據(jù)的隨意傳遞，防止了核心數(shù)據(jù)的泄露。另外具備預(yù)防自動化信息系統(tǒng)網(wǎng)絡(luò)中病毒和高級USB攻擊的能力，如：死亡藍屏攻擊、USB炸彈、BadUSB攻擊、LNK攻擊等。

二方案功能介紹2.1IAD智能保護平臺匡恩網(wǎng)絡(luò)IAD智能保護平臺可通過多種安全策略，結(jié)合自動化信息系統(tǒng)網(wǎng)絡(luò)安全漏洞庫，對APT攻擊、異?？刂菩袨楹头欠〝?shù)據(jù)包進行告警和阻斷，并對各類安全威脅實施監(jiān)控，快速直觀地了解自動化信息系統(tǒng)、安防監(jiān)控系統(tǒng)等網(wǎng)絡(luò)安全狀況，實現(xiàn)自動化信息系統(tǒng)全網(wǎng)的安全防護。產(chǎn)品硬件采用工業(yè)級芯片、IP40防護、無風(fēng)扇、電源冗余、重負荷鋁合金全封閉設(shè)計，使產(chǎn)品既達到了工業(yè)級的可靠性和穩(wěn)定性要求，又具備了架構(gòu)上的高擴展型和兼容性。工控網(wǎng)絡(luò)邊界防護系統(tǒng)可以分布部署到自動化信息系統(tǒng)、安防監(jiān)控系統(tǒng)網(wǎng)絡(luò)中，通過統(tǒng)一管理系統(tǒng)統(tǒng)一管理，全方位保護工業(yè)控制網(wǎng)絡(luò)安全，節(jié)約管理成本。工控網(wǎng)絡(luò)邊界防護系統(tǒng)自主、可控產(chǎn)品，滿足實際應(yīng)用需求，具有BYPASS端口，傳輸速率支持10/100/1000Mbps自適應(yīng)，支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS等眾多工業(yè)協(xié)議深度檢測并進行保護。產(chǎn)品功能：具備網(wǎng)絡(luò)拓撲管理功能；具備集成工控專業(yè)漏洞庫，內(nèi)置漏洞庫達到800條以上，并且支持升級；具備專業(yè)協(xié)議深度解析，支持工控協(xié)議包括Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS，S7，GOOSE，SV等，并可對協(xié)議數(shù)據(jù)包深度解析；支持OPC斷線重連功能；產(chǎn)品支持分布式部署；產(chǎn)品自身采用硬件加固，軟件加固，數(shù)據(jù)加密，杜絕泄密源，自身認證授權(quán)功能；支持黑名單和白名單防御機制；具有人工智能學(xué)習(xí)功能；具有系統(tǒng)自身安全管理功能；可由獨立專用硬件的統(tǒng)一安全管理系統(tǒng)對邊界防護系統(tǒng)進行分布式管理。產(chǎn)品硬件：產(chǎn)品硬件應(yīng)采用工業(yè)級芯片、IP40防護、無風(fēng)扇、電源冗余、重負荷鋁合金全封閉設(shè)計,DIN工業(yè)現(xiàn)場導(dǎo)軌安裝方式；工作溫度范圍是-40℃至85℃；雙電源輸入，輸入電源電壓為12/24VDC(9~36VDC)，并且電源支持過載保護、反接保護、冗余保護；支持BYPASS功能，BYPASS端口為RJ-45類型，端口速率支持10/100/1000Mbps自適應(yīng)；具有1個USB2.0端口，用于系統(tǒng)的升級和配置的備份，方便維護；具有MGMT配置管理端口和CONSOLE配置端口；采用低功耗處理器，滿足處理大數(shù)據(jù)量能力，最大功耗小于15W；平均無故障時間MTBF(小時)要求高達270,000h；Tag點處理量可達50000-100000點；在線保護時時延必須<100us。2.2監(jiān)測審計平臺匡恩網(wǎng)絡(luò)監(jiān)測審計平臺可通過特定的安全策略，快速識別出工控網(wǎng)絡(luò)內(nèi)部存在的非法操作、異常事件、外部攻擊等并能夠?qū)崟r告警。監(jiān)測審計系統(tǒng)采用旁路監(jiān)聽方式進行部署，方便各種結(jié)構(gòu)的網(wǎng)絡(luò)部署，在旁路部署方式時實現(xiàn)安全監(jiān)測的同時，完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運行，可廣泛應(yīng)用于各類網(wǎng)絡(luò)應(yīng)用環(huán)境。產(chǎn)品功能：采用旁路接入方式，對工控網(wǎng)絡(luò)進行實時安全監(jiān)測審計；黑名單規(guī)則、白名單規(guī)則可以統(tǒng)一調(diào)入到規(guī)則庫下發(fā)部署到監(jiān)測審計系統(tǒng)，設(shè)備可自動調(diào)整下發(fā)規(guī)則及策略之間沖突，簡化配置，實現(xiàn)一鍵式部署；基于人工智能學(xué)習(xí)引擎技術(shù)，自動學(xué)習(xí)數(shù)據(jù)行為并提取特征，自動生成適合當(dāng)前工控網(wǎng)絡(luò)環(huán)境的白名單安全規(guī)則；可視化工控網(wǎng)絡(luò)拓撲圖：提供直觀清晰的網(wǎng)絡(luò)拓撲圖并集成網(wǎng)絡(luò)告警信息，是用戶在了解網(wǎng)絡(luò)拓撲的同時獲知網(wǎng)絡(luò)告警分布，輕松掌握網(wǎng)絡(luò)狀況；實時網(wǎng)絡(luò)監(jiān)測：對工控網(wǎng)絡(luò)數(shù)據(jù)、工控設(shè)備間的網(wǎng)絡(luò)流量監(jiān)測進行實時監(jiān)測、實時告警，幫助用戶實時掌握工業(yè)控制網(wǎng)絡(luò)運行狀況；網(wǎng)絡(luò)安全審計：對網(wǎng)絡(luò)中存在的所有活動提供行為審計、內(nèi)容審計，生成完整記錄便于事件追溯；工控異常行為審計：基于工業(yè)協(xié)議的深度包解析白名單和黑名單的工控異常行為審計，協(xié)助用戶發(fā)現(xiàn)網(wǎng)絡(luò)中存在的違規(guī)下發(fā)的控制操作；未知設(shè)備接入監(jiān)測：對工業(yè)控制網(wǎng)內(nèi)未知的設(shè)備接入進行實時告警，迅速發(fā)現(xiàn)網(wǎng)絡(luò)中存在的非法接入；工業(yè)控制設(shè)備異常連接告警：對拓撲圖中的工業(yè)控制設(shè)備實時進行連接狀態(tài)檢測，向用戶提出告警，幫助用戶定位工業(yè)控制設(shè)備網(wǎng)絡(luò)異常；防御策略建議：根據(jù)監(jiān)測結(jié)果，提供防御策略建議，幫助用戶構(gòu)建適用的專屬工業(yè)控制網(wǎng)絡(luò)安全防御體系；工控時鐘同步：和工業(yè)現(xiàn)場提供的時鐘進行同步，保障審計事件時間和工業(yè)現(xiàn)場控制設(shè)備時序的一致性；支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS，S7，Ethernet/IP，GOOSE，SV等眾多工業(yè)協(xié)議深度監(jiān)測審計分析；采用自主研發(fā)軟件系統(tǒng)平臺。產(chǎn)品硬件：采用重負荷鋁合金全封閉機身設(shè)計；采用了工業(yè)級芯片、無風(fēng)扇、電源冗余設(shè)計，達到IP40的防護等級；支持工作寬溫-40℃~+85℃；達到三防（防潮濕、防鹽霧、防霉菌），抗電磁干擾要求等；網(wǎng)絡(luò)端口為RJ45端口，傳輸速率支持10/100/1000Mbps自適應(yīng)。2.3安全監(jiān)管平臺自動化信息系統(tǒng)網(wǎng)絡(luò)中需要一套統(tǒng)一管理系統(tǒng)來統(tǒng)一管理、監(jiān)控、保護工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)品?？锒骶W(wǎng)絡(luò)安全監(jiān)管平臺可與工控網(wǎng)絡(luò)中的其它安全產(chǎn)品（IAD智能保護平臺、監(jiān)測審計平臺等）共同組成的一套保護、檢測系統(tǒng)。統(tǒng)一管理系統(tǒng)負責(zé)統(tǒng)一控制管理、統(tǒng)一部署安全規(guī)則、統(tǒng)計安全信息、安全事件，能對自動化信息系統(tǒng)網(wǎng)絡(luò)中的安全威脅進行分析。提供包括行為審計、事件追蹤、威脅分析、日志管理、設(shè)備管理、安全性分區(qū)等多項功能。產(chǎn)品功能采用高性能硬件；整合工業(yè)控制網(wǎng)絡(luò)安全漏洞庫，并能集成第三方管理分析工具插件；安全終端管理：可對邊界防護系統(tǒng)、檢測審計系統(tǒng)等安全終端進行統(tǒng)一控制配置、管理、部署安全規(guī)則，監(jiān)測通信流量與安全事件；源頭事件追蹤：可對邊界防護系統(tǒng)、檢測審計系統(tǒng)等安全終端所產(chǎn)生的安全事件和系統(tǒng)事件進行行為關(guān)聯(lián)性追蹤，找到引起當(dāng)前結(jié)果事件的源頭事件；基準(zhǔn)行為審計：可建立自動化信息系統(tǒng)網(wǎng)絡(luò)的日常行為基準(zhǔn)，對當(dāng)前網(wǎng)絡(luò)的異常行為做實時動態(tài)的行為審計，可發(fā)現(xiàn)內(nèi)部誤操作，內(nèi)部攻擊等；網(wǎng)絡(luò)拓撲管理：可對自動化信息系統(tǒng)中的網(wǎng)絡(luò)拓撲進行構(gòu)建和提供管理工具，提供資產(chǎn)信息展示功能，同時關(guān)聯(lián)多種安全分析工具；系統(tǒng)入侵檢測：對自動化信息系統(tǒng)網(wǎng)絡(luò)的當(dāng)前和歷史行為與事件進行工業(yè)控制安全入侵分析、檢測與發(fā)現(xiàn)，提供防護、修護策略。產(chǎn)品參數(shù)采用雙存儲方式，系統(tǒng)和數(shù)據(jù)分盤存儲；采用RAID冗余，防止數(shù)據(jù)由于存儲損壞丟失；采用STN顯示屏顯示設(shè)備狀態(tài)、參數(shù)等；支持過載保護、反接保護、冗余保護；平均無故障時間200000小時；支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS等協(xié)議。2.4USB防護衛(wèi)士匡恩UBO系列產(chǎn)品是專門為實現(xiàn)USB的全面防護而設(shè)計，滿足工控、軍工、石油石化、電力等系統(tǒng)內(nèi)涉密計算機對USB設(shè)備安全防護的需求。UBO能夠提供內(nèi)網(wǎng)USB管理，支持對U盤的認證、權(quán)限設(shè)置以及行為記錄，從而實現(xiàn)對內(nèi)網(wǎng)U盤的行為管理。通過認證機制，區(qū)分內(nèi)部安全U盤與外部U盤，使內(nèi)網(wǎng)U盤的使用行為更規(guī)范；支持對內(nèi)部U盤的權(quán)限設(shè)置，只允許高級權(quán)限的U盤復(fù)制主機數(shù)據(jù)，禁止內(nèi)網(wǎng)數(shù)據(jù)的隨意傳遞，防止了核心數(shù)據(jù)的泄露。產(chǎn)品采用純硬件設(shè)計，無需在內(nèi)網(wǎng)主機安裝軟件，避免傳統(tǒng)防護產(chǎn)品軟件對內(nèi)網(wǎng)工程軟件的影響。UBO在提供內(nèi)網(wǎng)USB設(shè)備管理的同時，還具備預(yù)防內(nèi)網(wǎng)病毒和高級USB攻擊的能力。傳統(tǒng)的USB防護設(shè)備只能夠防護部分已知的病毒和攻擊，仍停留在用戶數(shù)據(jù)層面的防護，而新興的USB病毒及攻擊已可以從計算機的硬件、操作系統(tǒng)、應(yīng)用程序等多層面進行攻擊，使得USB安全產(chǎn)品的防護作用越來越微弱。UBO具備硬件、操作系統(tǒng)、應(yīng)用程序、系統(tǒng)數(shù)據(jù)等多層防護手段，可全面防護USB病毒和攻擊。UBO采用三層的立體防護，徹底消除了USB使用中的安全威脅：通過硬件防護技術(shù)有效攔截死亡藍屏攻擊、USB炸彈、BadUSB攻擊、LNK攻擊等USB高級攻擊；具備先進的文件過濾技術(shù)，可根據(jù)用戶系統(tǒng)特點及相應(yīng)配置，過濾所有可疑文件，切斷病毒傳播途徑；支持單向拷貝技術(shù)，防止數(shù)據(jù)泄露事故。UBO依托匡恩網(wǎng)絡(luò)的技術(shù)優(yōu)勢，充分研究、吸收工控網(wǎng)絡(luò)安全攻防技術(shù)的前沿成果，極具技術(shù)前瞻性,是目前國內(nèi)對USB安全防護最全面、最可靠的產(chǎn)品。產(chǎn)品圖片產(chǎn)品功能純硬件使用方式，涉密主機無需安裝軟件，避免系統(tǒng)軟件對工控系統(tǒng)軟件的影響；支持USB設(shè)備的授權(quán)、管理功能，滿足工控領(lǐng)域?qū)SB設(shè)備行為管理的需求；支持U盤身份驗證，拒絕非認證U盤的接入；硬件防拔除設(shè)計，杜絕設(shè)備被人為移除的可能性；適合各種操作系統(tǒng)，滿足各類數(shù)據(jù)存儲需求；具有詳細的日志記錄，記錄不可刪除、不可篡改，追溯性強；產(chǎn)品技術(shù)領(lǐng)先，可有效預(yù)防死亡藍屏、USB炸彈、BadUSB、LNK攻擊、等高級USB攻擊，技術(shù)水平遠遠領(lǐng)先于同類產(chǎn)品，具備國內(nèi)最全的USB漏洞庫。2.5工控衛(wèi)士匡恩網(wǎng)絡(luò)工控衛(wèi)士是一款軟件產(chǎn)品，能對自動化信息系統(tǒng)網(wǎng)絡(luò)中的上位機與工控服務(wù)器全面的安全防護，能夠監(jiān)控工控主機的進程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB端口狀態(tài)，以白名單的技術(shù)方式，全方位地保護主機的資源使用。根據(jù)白名單的配置，主機防護系統(tǒng)禁止非法進程的運行，禁止非法網(wǎng)絡(luò)端口的打開與服務(wù)，禁止非法USB設(shè)備的接入，從而切斷病毒和木馬的傳播與破壞路徑。自動化信息主機防護系統(tǒng)提供嚴格的USB存儲設(shè)備管理。U盤、USB硬盤等存儲設(shè)備在接入工控主機使用前，必須先經(jīng)過使用授權(quán)。授權(quán)級別包括：讀寫、只讀、只寫三種權(quán)限。未經(jīng)授權(quán)的USB存儲設(shè)備不能使用，經(jīng)過授權(quán)的設(shè)備，也不能進行超越其權(quán)限的操作。通過授權(quán)管理，主機防護系統(tǒng)能夠有效防止文件泄密。同時，能審計USB存儲設(shè)備的文件操作行為，為事后追責(zé)提供依據(jù)。工控網(wǎng)絡(luò)主機防護系統(tǒng)需具有技術(shù)前瞻性，對Havex、沙蟲等最新工控病毒、BadUSB等最新攻擊方法具有防護手段。進程管理：可禁止白名單以外的非法進程運行，并產(chǎn)生安全事件；記錄非法進程的運行企圖，采取“暫停-檢查-啟動”三步過程，任何進程在啟動前，都必須暫停下來接受檢查；能夠發(fā)現(xiàn)隱藏的病毒進程，禁止其運行；能夠列出進程句柄，并能發(fā)現(xiàn)隱藏的DLL；通過檢查程序的證書、校驗值，來確認程序的完整性，從而阻止被病毒感染、篡改的程序運行。網(wǎng)絡(luò)管理：禁止打開白名單以外的非法端口，并產(chǎn)生安全事件，記錄非法端口的打開企圖；能夠控制其網(wǎng)絡(luò)流量，避免網(wǎng)絡(luò)擁塞；能發(fā)現(xiàn)使用PCAP發(fā)包方式隱藏起來的網(wǎng)絡(luò)通信；提供QoS管理，當(dāng)網(wǎng)絡(luò)流量過高時，能通過限速來降低流量。USB管理：禁止白名單以外的非法USB設(shè)備連接，并產(chǎn)生安全事件，記錄非法USB設(shè)備的連接企圖，提供端口級保護；提供內(nèi)核態(tài)PNP監(jiān)聽；支持復(fù)合型USB設(shè)備識別；提供USB存儲設(shè)備的多種操作權(quán)限授予：讀寫、只讀、禁止使用；提供USB存儲設(shè)備的操作記錄，此記錄不可刪除、不可篡改。白名單功能：提供主機掃描功能，快速建立白名單，提供白名單的導(dǎo)入導(dǎo)出功能，快速復(fù)制白名單，提高部署速度；需要運行新的程序、添加新的網(wǎng)絡(luò)服務(wù)和USB設(shè)備時，可以很方便地將這些新的設(shè)置追加到白名單中。安全事件管理：探測到非法進程、非法網(wǎng)絡(luò)端口、非法USB設(shè)備時，會產(chǎn)生安全事件，提醒用戶；提供安全事件的記錄，此記錄不可刪除、不可篡改。

三附件3.1產(chǎn)品清單產(chǎn)品名稱IAD智能防護（臺）檢測審計（臺）工控衛(wèi)士（套）USB防護衛(wèi)士（臺）安全監(jiān)管平臺（臺）總計6120+20+1注：IAD智能保護平臺及檢測審計平臺部署數(shù)量依據(jù)現(xiàn)場環(huán)境決定；工控衛(wèi)士及USB防護衛(wèi)士需根據(jù)工控系統(tǒng)中服務(wù)器及終端設(shè)備數(shù)量配置。3.2匡恩網(wǎng)絡(luò)介紹匡恩網(wǎng)絡(luò)是一家致力于工業(yè)控制網(wǎng)絡(luò)安全的創(chuàng)新高科技公司。公司根據(jù)客戶實際需求，提供與工控網(wǎng)絡(luò)安全相關(guān)的整體解決方案。公司團隊由工控網(wǎng)絡(luò)安全資深技術(shù)專家、高素質(zhì)開發(fā)人才和優(yōu)秀管理團隊組成，在相關(guān)領(lǐng)域有著豐富的經(jīng)驗與實踐。公司產(chǎn)品在核心技術(shù)上擁有對立自主地知識產(chǎn)權(quán)。我們通過團隊卓越的創(chuàng)新設(shè)計和研發(fā)能力致力于幫助客戶減少工控網(wǎng)絡(luò)安全隱患，提高系統(tǒng)整體穩(wěn)定性。我們秉承著新科技、嚴標(biāo)準(zhǔn)、高質(zhì)量的宗旨，為匡恩客戶帶來安全、可靠、完善的工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，同時與生產(chǎn)商、運營商、科研機構(gòu)等開展廣泛深入的合作，實現(xiàn)共贏。匡恩網(wǎng)絡(luò)秉承以下三個方針：專注匡恩專注于解決工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，全力打造自主可控的硬件和軟件平臺。創(chuàng)新：我們倡導(dǎo)基于工控網(wǎng)絡(luò)本質(zhì)需求的創(chuàng)新；匡恩已經(jīng)在七個城市建立了研發(fā)中心；目前已經(jīng)有30多項專利和大量軟件著作權(quán)，知識產(chǎn)權(quán)還在不斷的擴展。合作匡恩是一個開放的平臺，致力于推動工業(yè)控制與網(wǎng)絡(luò)安全理念的融合；匡恩提供產(chǎn)品、工具、服務(wù)和培訓(xùn)；匡恩希望與有志于解決工控網(wǎng)絡(luò)安全問題的企業(yè)和專家廣泛合作，攜手共建國家的網(wǎng)絡(luò)安全。首創(chuàng)工控網(wǎng)絡(luò)全生命周期的安全防護理念匡恩網(wǎng)絡(luò)是業(yè)界唯一一家提供自主可控的工業(yè)控制系統(tǒng)全生命周期網(wǎng)絡(luò)安全解決方案的廠商。其全生命周期的工控網(wǎng)絡(luò)安全解決方案覆蓋了工業(yè)控制網(wǎng)絡(luò)安全工作中的漏洞挖掘、威脅管理、監(jiān)控審計、數(shù)據(jù)采集隔離、智能保護五大環(huán)節(jié)，集成了匡恩網(wǎng)絡(luò)國際領(lǐng)先的人工智能算法、工控協(xié)議深度包解析、模式匹配等關(guān)鍵技術(shù)。其中，漏洞挖掘產(chǎn)品擁有豐富的檢測套件，能夠發(fā)現(xiàn)工業(yè)控制系統(tǒng)中存在的漏洞，并且有效地進行根源分析和對工具的進一步開放，減少零日漏洞等風(fēng)險；威脅管理產(chǎn)品保障了工業(yè)控制系統(tǒng)中的設(shè)備、協(xié)議、結(jié)構(gòu)、行為和流程等一系列元素的整體安全性；監(jiān)控審計產(chǎn)品采用外掛方式可快速識別出系統(tǒng)中的非法操作、異常事件以及外部攻擊并發(fā)出告警；數(shù)據(jù)采集隔離產(chǎn)品可以實時對采集的信息進行深度解析，確保采集數(shù)據(jù)的完整性和安全性；智能保護產(chǎn)品能識別系統(tǒng)中的非法操作、異常行為以及外部攻擊，在第一時間執(zhí)行告警和阻斷?？锒骶W(wǎng)絡(luò)全生命周期的工控網(wǎng)絡(luò)安全解決方案3.3公司榮譽公司資質(zhì)1）中關(guān)村高新技術(shù)企業(yè)2）ISO9000質(zhì)量體系認證3）信息安全風(fēng)險評估服務(wù)資質(zhì)(三級）4）信息系統(tǒng)安全集成服務(wù)資質(zhì)（三級）公司所屬聯(lián)盟及協(xié)會1）中關(guān)村物聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟會員單位2）中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟會員單位3）北京市信息產(chǎn)業(yè)協(xié)會常