當下，越來越多的工業設備連入工業互聯網，工業領域關鍵信息基礎設施作為工廠運行的神經中樞，正成為黑客攻擊的重點目標，網絡安全隱患日益突出。因而，守住工業網絡的安全防線，著力保障工業互聯網設備接入安全、平臺安全、數據安全至關重要。

　　東土科技（300353）升級版工業網絡安全解決方案采用了防御縱深體系設計，能夠建設符合工控系統安全的計算環境、區域邊界、通信網絡和安全管理中心，合理劃分安全區域，從網絡、終端、應用、數據等層面加強主動防范措施。

　　該方案還具備系統管理、安全管理和審計管理等功能平臺，通過安全管理平臺集中管理安全防護設備，對網絡攻擊威脅等安全事件的過程進行溯源，有效提高信息安全工作效率，降低人員安全維護成本。

　　亮點一

　　強化安全區域邊界——工控防火墻

　　東土科技工控防火墻是一款涵蓋傳統防火墻、工控協議數據包深度解析、工控協議指令控制等功能在內的工控網絡安全防護產品。

　　特點如下：

　　1. 在流會話的基礎上，實現狀態檢測防火墻功能，智能檢測 TCP流量狀態信息并進行控制，智能進行應用層檢測并打開動態端口；

　　2. 具備識別超過4000+互聯網應用特征攻擊行為的能力，支持基于規則庫的特征行為控制，做到細粒度的內容識別控制、審計和安全防護，對常見的SYN Flood、ICMP Flood、UDP Flood 、TearDrop、Land、超大ICMP等異常包攻擊行為進行阻斷和防護；

　　3. 支持對包括Ethernet/IP、CIP、DNP3、Modbus、OPC DA、OPC UA、S7、S7 COMM PLUS、IEC104、BACNET、Profinet、IEC61850MMS、TRDP、自定義等在內的各類主流工控網絡協議的深度解析，并在此基礎上基于工控網絡白名單對工控流量進行智能保護和指令級控制。

　　· 對生產網絡進行邏輯安全區域劃分，細粒度加強訪問控制；

　　· 防止其他區域遭受感染后在生產網絡中出現威脅攻擊橫向蔓延；

　　· 提供基于工控協議S7、Modbus/TCP、OPC Classic、DNP3、IEC60870-5-104、CIP、Bacnet等協議指令級安全策略控制；

　　· 硬件采用工業級IP40防護等級、端口可bypass等工業高可靠性設計。

　　強化邊界，基于“白名單”，對協議功能碼、點值進行有效控控制，基于區域化降低整體風險。

　　亮點二

　　確保安全通信網絡——工控安全監測審計系統

　　東土科技工控安全監測審計系統可提供網絡監測、協議分析和安全審計功能，能夠確保安全通信網絡。

　　特點如下：

　　1. 通過對工控網絡流量進行采集、分析和監測，結合特定的安全策略，監測審計系統可快速識別網絡中的異常、攻擊行為，并實時告警；

　　2. 記錄所有網絡通信行為，為工業控制系統的安全事故調查提供堅實的基礎；

　　3. 監測審計系統的軟件為東土科技自主研發，支持IEC61850、IEC60870-5-104、DNP3、OPC、S7Comm、S7Comm PLus、Modbus-TCP、Profinet、CIP等眾多工業協議字段級的深度解析，有效實現在線監測審計分析，并能通過對流量的分析動態建立工控網絡資產臺賬。

　　· 對網絡流量的深度解析、特征匹配，實現對組態變更，異常操控指令，PLC程序下裝等關鍵事件進行識別和告警，保證工控系統在正確配置下運行；

　　· 基于內置的工控關鍵事件庫，精準匹配，對生產網中的關鍵事件進行快速識別，例如診斷碼-重啟通信、非法地址、非法數據值、刪除信號量、刪除節點請求、PLC停止、重置通訊參數等行為；

　　· 圖形化自定義關鍵名單，定制具有行業屬性的關鍵特征規則庫。

　　通過對工控協議指令級的識別，實現對生產網的“關鍵事件”的可知。

　　亮點三

　　營造安全計算環境——工控主機安全衛士

　　東土科技工控主機安全衛士采用零信任的安全機制，可對工控上位機及服務器實現全方位安全防護，保障用戶業務連續穩定運行。

　　特點如下：

　　1. 通過掃描主機運行進程，建立應用程序白名單基線，禁止非授權應用的加載及執行；

　　2. 保護關鍵目錄及注冊表，管理主機外設及移動存儲權限，全方位實現安全防護。

　　· 對工控網絡中的操作員站、上位機采用輕量級Agent部署，采用“白名單”機制，對自身的程序進程的運行進行管控；

　　· 對外設U盤等存儲介質進行權限控制，受控使用避免外部存儲帶入病毒、木馬；

　　· 監測關鍵目錄、注冊表等，防止惡意代碼對操作員站、工程師站的干預。

　　對移動存儲介質U盤等進行管控，切斷病毒入口；對操作員站進行進程服務白名單管理，有效防止惡意代碼運行。

　　亮點四

　　建設安全管理中心——工控安全管理平臺

　　東土科技工控安全管理平臺可實現對安全設備的集中監控與策略配置，采用組件化開發技術，專注于安全管理和安全分析。通過融合網絡中的安全設備、網絡設備、應用系統、操作系統等安全要素數據，消除安全孤島，并采用大數據技術實現整體安全分析及檢測。

　　· 對安全設備、網絡設備、主機設備的日志和告警進行歸一化采集和關聯分析，展現安全態勢和預警；

　　· 全面提升安全防護效率和安全管理能力，加強運行監控；

　　· 滿足等保、關基及行業要求的日志存儲時效要求。

　　展示工控網絡中的資產、流量、協議、威脅、事件、異常行為；實現集中的安全管理、分析、處置，形成動態閉環的安全防護措施。

　　案例分享

　　浙江某煤焦輸送系統控制中心

　　在浙江某煤焦輸送系統控制中心的等保二級安全建設中，東土科技提供了升級版工業網絡安全解決方案并進行了深度的參與。在不改變現有網絡整體框架的基礎上進行網絡安全防護設備的安裝及調試，保證產品接入控制系統后不會造成現有控制系統產生報警或異常狀況。除了安全建設，東土科技還參與了配套的安全應急響應服務及應急指導服務的相關工作，協助公司完善應急管理工作，并定期進行應急預案演練，增加應急響應能力。此次安全建設成果顯著，東土科技得到了客戶高度認可。

　　東土科技升級版工業網絡安全解決方案可廣泛應用于電力、石油、石化、軌道交通、煙草、煤炭、鋼鐵及先進制造等領域。工業網絡安全隱患不容小覷，如您也要防患于未然，東土科技創新的解決方案定替您未雨綢繆，共同打造工業網絡安全生態！