相比下一代防火墙、APT(高级持续性威胁)等与互联网安全相关的热门概念,“网闸”一词要显得冷门的多。这主要是因为在过去很长一段时间中,各大安全厂商都将重心放在了传统安全产品的更新换代上,鲜有关注网闸类产品(或安全隔离产品)。其实随着智慧城市(平安城市)建设的起步、广播电视(制播分离)的高速发展,以及政府信息服务的全面普及等,网闸产品在各行业市场的需求已经越来越大。而作为最早进入“网闸”市场的传统安全厂商—网御星云凭借对该市场的专注,自2011年开始持续领跑,并基于行业、市场和用户的新需求,于2013年推出了下一代网闸产品(NGGAP)。
网御星云的下一代网闸产品拥有“万、全、智、策、”四大特性,其中,万,即万兆线速数据交换性能;全,即全业务应用支持;智,即智能数据交换(打造全新应用体验);策,即数据安全三防策略(构筑数据金仓)。通过1年的市场检验,这四大特性不仅得到了行业的认可,更已成为衡量下一代网闸产品的行业标准!
网御星云“网闸”亮剑工控市场
随着行业技术的发展,工业控制系统的结构不断向以太网进步,开放性也日益增强,这就导致了其在与管理系统甚至互联网互通互联时,极易遭到来自企业管理网或互联网的病毒、木马和黑客攻击。在震网病毒、荷兰地铁脱轨、美伊利诺伊州供水系统被破坏等事件出现后,全世界的工业大国都纷纷将工控及其安全问题提到战略级别,其中我国工信部就下发了《关于加强工业控制系统信息安全管理的通知》的通知,强调加强工业信息安全的重要性、紧迫性,同时加强国家主要工业领域基础控制设施与SCADA系统的安全保障工作也是当务之急。
如何保证工控安全?网御星云认为:要保证工控系统的安全,首先要确保在工厂网络局部存在病毒感染时不会向其它设备或网络扩散,从而保证装置安全稳定运行。网闸通过截断TCP连接,对工业协议(modbus、DNP3)数据进行数据交换,能够实现对应用层数据的深度解析控制,确保无风险,是最适合应用在工控系统的设备之一。为此,网御星云将下一代网闸产品(NGGAP)再“升级”,打造了针对工业控制系统安全防护的产品—
网御工控安全隔离网闸
网御星云网闸在工业控制系统中的部署
网御星云网闸在工业控制系统中的部署
如上图所示,常见的工业控制系统包含计划管理、制造执行和工业控制三个层面,其中计划管理层包含了管理网(IP互联网)和生产网,在此部署,可使两个网络之间不存在逻辑连接,即两网之间不存在通信,只进行数据摆渡,从而真正实现“无协议隔离、内容检测、数据交换”。最终从物理上阻断具有潜在攻击可能的一切连接,实行强制内容检测,保证两网之间的高级别安全。
众所周知,OPC是世界领先的工业整合标准,它提供了不同的工业子系统之间的数据交换标准,重要性不言而喻。而由于OPC采用的是动态端口,因此传统防火墙无法提供有效防护,这就会导致安全威胁通过OPC将上层威胁迁入到核心设备层。为此,我们还需要将网御星云网闸部署在计划管理层和制造执行层之间,届时网闸通过阻断网络直接连接,对OPC应用数据解析,并采用代理的方式进行隔离审查,可确保数据不具有攻击及有害的特性!
此外,考虑到不同工业环境的不同需求,拥有两种产品形态,即机架式和导规加固型。其中机架式可用于机房等环境;而导规加固型则适用于高温、高湿、多尘等恶劣工业环境,凭借军用级加固硬件平台,其可适应从-40至60摄氏度的宽温环境,同时拥有抗盐雾、抗电磁干拢、全封闭式机箱结构、防尘接口等高级别的防尘设计,能够应用在高温炙人的沙漠油田、火星迸射的炼钢厂、海风盐雾交加的风力发电厂等严酷的生产环境中。而特别值得一提的是,还采用轻量化加固操作系统平台,可避免传统系统平台重启、死机等在工控环境中零容忍故障的发生。
综合来看,应用于工业控制系统中的具备两大显著特性,第一,信息收集与同步,包括生产数据收集、工业实时数据库同步、关系型数据库同步、及生产文件数据同步;第二,非法指令过滤,包括支持OPC协议解析、支持协议格式检查及内容过滤、支持DCS/SCADA网络、支持同步、异步监测数据的传输等。而正是凭借这两大特性,使得工控安全真正得到了保证!
打造智能数据交换平台
在工控行业,管理网(IP互联网)和生产网之间需要网闸产品来保证安全。而在未来,跨领域、跨部门的数据交换行为(包括数据抽取、数据聚合、数据清洗、数据同步、数据分发、以及数据备份等等)会越来越多,数据交换大平台即将形成。
当然,数据交换平台化也带了新的挑战,包括谁来用数据?交换过程是否安全?交换行为能否审计等等,都是必须要解决的问题。为此,网御星云同样基于网闸产品打造了智能数据交换平台解决方案,通过接入对象审核,边界接入区过滤,应用服务区提供共享服务,以及安全隔离区消除威胁等多个步骤,保护业务专网。即实现了来源可信、交换可控,行为可追溯!
WEB数据安全防护
近两年,随着网上审批平台、网上办公等平台的大规模应用,政务行业动态站点面临的数据安全威胁日益增大,WEB数据安全问题日趋严峻,但传统的网页防篡改产品只能针对静态文件进行防护,WEB防火墙(WAF)也无法根本防护动态站点数据。为此,网御星云基于网闸产品打造了WEB数据安全防护系统(WDS),旨在解决动态站点数据篡改、数据泄露等问题!
网御星云WDS由数据防篡改探针系统、数据防篡改备份/恢复系统、数据防篡改隔离系统等组成,可很好的解决WEB站点文件(静态)被篡改,数据库(动态)被篡改等难题,并可针对交互数据实现数据同步。而在这一切的背后,是三大核心技术的支撑,即异常数据实时定位技术、动态数据实时反向跟踪技术(基于应用数据白名单的反响跟踪技术,可实时对篡改数据进行恢复)、以及备份数据安全隔离技术(基于“2+1”架构,切断内外网TCP/IP连接,系统主动获取代替被动接收数据,为备份数据库构建安全堡垒)。
“网闸”前景广阔!
综上所述,如今的网闸产品早已突破了传统市场的束缚,开始向着工控、WEB安全等领域全面拓展,由此不难预计,“网闸”产品的市场必将变得更加广阔!而广阔的市场,也必将吸引更多的竞争者,但作为网闸市场的领跑者,我们相信网御星云也将凭借丰富的技术、产品经验,以及坚持不懈的创新精神,继续领跑!