icon工控安全运维现状icon

大部分工业企业将工业生产环境下的资产交给设备厂商或系统集成商或第三方服务商运维。针对现场运维方式,多数企业采取粗放式管理,只是作登记、记录以及带领到现场即可,并未对运维人员运维过程进行关注,针对乱插U盘、非法外联、窃取资料等行为并不知晓。针对运维过程中出现的违规操作、误操作以及窃取生产数据等行为无监控、无审计,出现事故后无法定位追踪溯源。

 

•  安全运维体系不完善,缺乏安全的数据摆渡机制,移动存储介质交叉使用。
•  安全运维体系不完善,缺乏基本的网络隔离,第三方厂商运维设备直接入网。
•  工控安全审计建设不完善,缺少安全审计和操作日志,出现问题难以追责。
•  安全运维能力不足,上传带毒/非法的配置数据,引发安全事故。
•  部分末端通讯模块不支持远程管理,非直连模块通讯缺少成熟方案。

icon产品概述icon

 

icon产品设计理念icon

基于零信任安全理念,强身份认证+微隔离+动态安全评估,解决电力等工控现场检修作业过程中的安全隐患和问题

统一监管

检修人员、检修任务、检修授权统一管理

数据安全

下装的数据文件经过病毒和恶意代码扫描,保障数据的安全

实时监测

密盾实时监测运维电脑的违规外联与U盘接入等安全状态

身份认证

设备、人员、规则进行全方位认证授权,客户端安全检测

安全隔离

运维终端与检修设备网络之间进行有效的网络通信隔离,可精确到IP、端口、协议、指令级的访问权限控制

行为管控

管控并记录检修全过程,并进行日志、录像、报文等多维度记录

icon产品硬件形态icon

 

icon产品平板型号icon

 

icon产品加固本型号icon

 

icon安全专用密盾icon

客户端安全专用密盾,通过USBKey认证后接入运维网关,保障第三方运维人员终端电脑的安全环境

杜绝违规外联

实时监测运维电脑与互联网的联通状况,一旦发生外联行为,记录操作行为并中断检修链路。

读写控制

安全专用密盾中预留可存储空间,区分可读和可写区域,对运维过程中需要传输到检修目标系统的文件必须放置于该存储空间中进行进一步安全防护。

视频取证

实时记录检修全过程,对整个检修过程进行屏幕像。

恶意代码病毒检查

对运维电脑进行病毒查杀,对密盾中存储文件进行恶意代码检查,实现恶意代码隔离防护机制,生成告警记录并中断检修链路。

外设接入管控

安全专用密盾实时监测外接存储设备连接状态,禁止外部设备(U盘、SD卡、移动硬盘、手机等)接入。

日志告警

实时传输运维电脑操作日志到运维装置管理系统。

icon产品结构icon
运维网关
网关装置端由平板式可移动式便携专用硬件构成,作为运维客户端笔记本进入电力系统进行检修工作的“门闸”。管控检修链路,控制检修IP地址和端口,接收客户端上报的检修操作日志和监控记录等,对整个检修作业进行安全管控。
终端运维
运维终端插入安全专用密盾,内置客户端运维程序,程序与网关装置端进行通信,完成终端环境安全性检查、身份认证、审计数据上报、运维操作监控等功能。
icon运维操作流程icon

 

icon常见运维场景icon

 

icon运维场景 - 网口和串口运维icon

支持常见协议
SSH、Telnet、SFTP、FTP、SCP、Q/GDW 273、DL/T634.5104、DL/T 860、Modbus_TCP、Modbus_RTU、DL/T 634.5101、DL/T634.5103、TCP、UDP协议、XDMCP、VNC、RDP
串口运维
•  支持
RS232串行接口通信报文的转发;支持字符指令的解析,识别高风险操作指令
•  支持对DL/T634.5101、DL/T 634.5103和Modbus RTU协议转发,识别控制类指令
网口运维
•  支持网络接口运维模式,透明代理模式实现通信转发
•  针对SSH、Telnet、SFTP、FTP协议进行实时解析,识别操作指令和传输文件
•  支持识别Q/GDW273、DL/T634.5104、DL/T 860、Modbus TCP等工业控制协议中的操作指令和文件传输
•  支持SSH、Telnet、RS232、FTP、XDMCP、RDP、VNC协议的直接运维

 

icon运维场景 - KVM运维icon

功能说明
通过视频线、USB线连接被运维对象,获取并显示被运维对象桌面信息,通过便携式运维网关触摸屏或外接显示器、键鼠等外设实现图形化、命令行等运维操作
主屏模式
使用装置屏幕作为运维主屏,直接用装置进行运维,接线方式为:HDMI IN 连接被运维设备,USB Device连接被运维设备
副屏模式
使用外接屏幕、键鼠来运维设备,接线方式为:HDMI IN连接被运维设备、HDMI OUT连接外置显示器、USB IN1 USB IN2连接键鼠、USB OUT连接被运维设备

 

icon运维场景 - USB运维icon

功能说明
便携式运维网关通过USB连线串接在移动存储介质与被运维对象之间,实现对移动存储介质的读写操作
  *  移动存储介质支持FAT32、exFAT、NTFS等常见文件系统格式
  *  支持对疑似恶意代码文件进行自动隔离、告警

 

icon运维场景 - 特殊场景运维模式icon
旁路运维
在无法使用安全密盾的特殊场景下,跳过客户端登录,直接进行旁路运维,默认放行所有内部网络通讯。

渗透运维
在需要进行现场资产扫描、漏洞分析等特殊场景下,可启动渗透运维后直接打通当前网络,可访问目标网络中的所有设备。

快速运维
未知运维资产的情况下,支持对常见网络协议的运维,内置常见网络协议运维规则,主动检测并识别访问协议,无需提前预置运维资产信息。
icon客户价值icon
掌控现场运维隔离安全风险
有效隔离运维设备、移动存储设备与现场环境的直接连接,实现安全入网、可控访问;提供持续安全状态监测,违规立即断网。
全程日志记录安全责任到人
基于硬件的运维人员身份校验;运维任务、运维操作过程、运维结果,全程化日志记录;运维设备全程录像,让违规行为有据可查。
满足政策合规符合监管要求
满足行业对工业现场控制网络安全管控的政策法规要求以及相关的安全技术要求。
icon产品优势 - 适用于不同运维场景的多种运维模式icon
01  常规运维
适用于常规资产运维,支持网络协议、串口协议,需要提前预置运维对象的协议规则相关信息,准确记录运维行为。
 
03  旁路运维
无法使用安全密盾的特殊场景下,支持跳过客户端管控,直接使用第三方工具运维,此模式无法支持视频录制。
 
 
02  快速运维
未知运维资产的情况下,支持对常见网络协议的运维,内置常见网络协议运维规则,主动检测并识别访问协议,无需提前预置运维资产信息。
04  渗透运维
在需要进行现场资产扫描、漏洞分析等特殊场景下,可启动渗透运维,直接放行当前网络通讯,可访问目标网络中的所有设备。
icon拓展功能 - 免工具运维icon

 

icon拓展功能 - 运维网关集中管理平台icon
 
 
特有运维网关集中管理平台,实现多台便携式运维网关的集中管理,平台带来的优势有:

•  实现多台运维网关的统一任务管理和配置管理
•  将多台运维网关的日志、配置、高危指令等数据信息进行统一收集和分级管理,从全局视角呈现数据信息和统计分析
•  未来平台便于支持北向接口对接客户其它业务平台,方便各种业务数据对接,提升全工作流程的流畅性
 
icon产品应用icon

 

 
 
产品推荐 查看更多>>
    天融信网页防篡改系统

    天融信网页防篡改系统通过文件底层驱动技术对Web站点目录提供全方位的保护,保障互联网业务的正常运营,彻底解决了网站被非法修改的问题,是高效、安全、易用的新一代的网页防篡改产品。

    安全可靠

    高效稳定

    深信服SASE上网行为管理

    深信服SASE上网行为管理将上网行为管理能力在云上以服务化模式交付。企业无需购买硬件安全设备,只需在办公网环境下部署引流器(出差 / 居家远程办公时,在笔记本终端部署轻量级客户端),将上网流量引至云安全访问服务边缘PoP节点,在云平台实现上网认证、流量控制、应用管控,可扩展数据泄密分析能力,为企业提供更便捷弹性的服务。

    违规行为管控

    违规行为可视

    泄密管控与溯源

    核心文件防泄密

    阿里云企业级云网络解决方案

    NAT 网关是一款企业级的地址转换网关, 提供 NAT 代理(SNAT、DNAT)、跨可用区的容灾能力。公网NAT网关与EIP、共享带宽包配合使用,可以组合成为高性能、配置灵活的企业级公网访问出入口网关。VPC NAT网关可与高速通道,CEN TR组合成为私网互访的私网访问出入口。