《升华安全佳:2023物联网安全产品及服务购买决策参考(134页).pdf》由会员分享,可在线阅读,更多相关《升华安全佳:2023物联网安全产品及服务购买决策参考(134页).pdf(134页珍藏版)》请在三个皮匠报告上搜索。
1、 目录 前言.1 从云科技.17 国泰网信.21 珞安科技.34 木链科技.46 齐安科技.50 青莲云.74 软极网络.79 三未信安.85 烁博科技.95 天懋信息.105 物盾安全.113 星阑科技.118 中电安科.126 1 前言 如何选择下一代工业物联网安全解决方案 2023 年,全球工业物联网安全市场迎来全面升级和转型的拐点。在工业 4.0、智能制造、数字孪生、万物互联、基础设施自动化的推动下,全球工业物联网市场迎来了十年高速增长期。根据 Polaris Market Research 的报告,2023-2032 年全球工业物联网市场规模将保持 23.5%的高增长率,2026 年
2、全球工业物联网市场规模将达到7717.2 亿美元,包括中国、日本在内的亚太地区的工业物联网市场增速高于全球其他地区。重新定义工业物联网安全 工业物联网的高速增长加速了 IT 与传统工业网络的融合进程。在云计算和人工智能技术的推动下,工业物联/互联网络的 OT 与 IT 系统的交互更加频繁。工业物联网可以收集传感器数据并控制物理过程,当工业物联网被连接到基于云的解决方案,不断推送、拉取、分析数据,就构成了所谓的网络物理系统(CPS)。Gartner 对网络物理系统的定义是:协调传感、计算、控制、网络和分析,与物理世界(包括人类)交互的系统。网络物理系统涵盖了互联的 IT、OT 和 IoT(物联网
3、)。2 来源:Gartner 本报告所指的“工业物联网”对应 Gartner 定义的工控系统发展的第三阶段(上图),是涵盖物联网(云、管、边、端/传感器)、IT/OT 融合系统及行业资产的网络物理系统。其中OT 涵盖了所有与实体资产操作相关的技术,包括 ICS 工控系统和非工业控制系统。(ICS专注于工业流程的控制和自动化,非工业控制系统包括电力线路的自动化控制、水务系统、交通控制系统、视频监控系统、车联网等。)3 GoUpSec 认为,无论从技术堆栈、应用场景还是威胁趋势来看,工业物联网安全(网络物理系统的初级阶段)是比工控安全(OT/ICS)覆盖范围更广,更贴合 IT+OT 融合的新安全态
4、势,以及中美两国对关键基础设施范围界定的市场概念。下一代工业物联网安全解决方案需要综合考虑 IT、OT、IoT 网络和物理世界的新威胁,覆盖资产密集型组织、关键基础设施以及制造、医疗等行业应用场景,呈现以下三大趋势:管理融合。工业物联网安全管理权移交给 CISO 统一管理。技术融合。工业物联网安全方案拥有类似 IT 系统的的完整安全基础模块:统一管理平台、网络分段隔离、数字身份、身份验证和访问控制、漏洞管理、加密、监测和检测工程等。工业物联网安全与 IT 安全厂商基于技术集成(例如 API)和市场驱动 4 建立深入的合作伙伴关系。市场融合。单点解决方案叠加将无法适应 IT/OT 融合趋势,传统
5、的 OT 安全和 IT 安全正基于新的风险管理方法快速整合,形成能够识别所有类别协议和环境的统一的端到端网络安全管理方案。重新评估工业物联网安全态势 与 IT 融合的 OT 系统能够实现更高级的数据分析和远程控制,大幅提高生产效率和运营效果。例如,通过实时数据分析,可以优化生产流程、预测维护需求。但是,工业物联网为工业网络带来效率和功能提升的同时,也导致攻击面快速扩大,安全威胁日益增长。根据 Zscaler 的企业物联网安全报告,2023 年上半年物联网恶意软件攻击同比暴增了 400%。根据 SANS 的调查,2023 年 38%的 ICS/OT 网络攻击初始媒介来自 IT网络。根据 Gart
6、ner 的预测,2023 年网络物理系统攻击导致的重大事故损失将高达 500 亿美元。随着 IT 与 OT 进一步融合,工业物联网资产与漏洞管理、威胁检测与事件响应难度不断加大,勒索软件、供应链攻击、地缘政治冲突、国家黑客与 APT 组织针对工业物联网和关键基础设施的威胁不断增长。2022 至 2023 年,全球工业物联网领域发生了多起重大安全事件。根据 Waterfall Security 5 Solutions 的工业物联网安全报告,2022 年共发生了 218 起工业网络攻击,其中 57 起对实体工业系统造成了物理影响。这些事件包括针对交通、制造和食品饮料行业的攻击,且许多攻击高度依赖
7、IT 系统。根据公开数据统计,近年来全球制造业、医疗、车联网、通信、电力遭受的工业物联网攻击占比较高,核设施、石油天然气、水利、航空、铁路、航运、航天、市政基础设施安全威胁呈上升趋势。波及多个行业的重大安全事件层出不穷,导致全行业开始重新评估其工业物联网安全态势和防御能力。2023 年,一系列重大安全事件标志着工业物联网和关键基础设施的安全风险已经全面升级,例如:武汉地震数据采集设备被植入后门程序。2023 年 7 月,武汉市应急管理局地震监测中心的部分地震速报数据前端台站采集点网络设备被植入后门程序,能够远程操控设备,窃取设备上采集的地震烈度数据。研究人员初步判定此事件伪境外政府背景黑客组织
8、发起的网络攻击行为。日本名古屋港口遭受勒索软件攻击。2023 年 7 月 4 日,日本名古屋港口控制系统遭受勒索软件攻击,导致港口内所有码头的集装箱运营受到影响,甚至影响了全球最大汽车制造商丰田公司的零件进口。以色列最大炼油厂遭黑客攻击。2023 年 8 月,伊朗黑客组织 CyberAvengers 宣称攻击了以色列最大炼油厂 BAZAN 的网络,并泄露了 BAZAN 的 SCADA 系统的屏幕截图 6 图和 PLC 代码。美国能源巨头 BHI Energy 遭勒索软件攻击。2023 年 10 月,美国能源巨头 BHI Energy披露遭遇 Akira 勒索软件攻击,泄露了 690GB 数据。
9、美国核物理实验室发生数据泄漏。2023 年 11 月,美国爱达荷国家实验室(INL)披露遭黑客攻击,数十万个人数据遭泄露。大巴黎废水处理机构网络攻击。2023年11月大巴黎废水处理机构遭遇重大网络攻击,被迫断开所有连接以保护工业系统。迪拜环球港务集团遭勒索软件攻击。2023年11月迪拜环球港务集团遭勒索软件攻击,导致港口停摆,数以万计的集装箱滞留,造成数百万美元经济损失。美国供水系统 PLC 遭遇黑客攻击。2023 年 11 月,黑客通过暴露的 Unitronics PLC 入侵美国宾夕法尼亚州阿利基帕市的供水设施,导致该市水务部门被迫关闭系统,断开PLC 的互联网连接,切换为手动操作。根据
10、Fortinet 的报告,2023 年认为自身 OT 网络安全成熟度达到 4 级(高度成熟)的组织数量锐减(从 21%降至 13%),这表明即便是自认为安全成熟度很高的关键基础设施行业,OT 专业人员也开始重新审视和评估自身的安全能力(下图):7 工业物联网普遍存在的“安全债”工业物联网攻击进入高峰期,一方面是因为黑客攻击(尤其是勒索软件)重点开始转向工业系统(受害者对停机容忍度低,更容易支付赎金),另外一方面是因为工业物联网普遍存在严重的安全债:资产可见度低。工业物联网的特点是资产规模庞大、增长快速,监控和管理难度大。物联网终端的硬件配置通常较低,安全防护能力有限,安全更新和漏洞修补困难(不
11、及时),遭受网络攻击和数据泄露的风险远超 IT 安全。物联网,包括工业物联网设备往往存在先天安全设计缺陷,根据 Unit 42 的物联网安全报告,“57%的物联网设备容易受到中度或高度严重性攻击”,并且“98%的物联网设备流量是未加密的”。物联网和 OT 网络资产的漏洞严重性更高。根据 Forescout 2023 年上半年物联网安全调查,虽然 IT 系统漏洞占比(78%)高于物联网(14%)和 OT 网络(5%),但是物联网和 OT 网络的高危漏洞占比(接近 60%)远高于 IT 系统(20%左右)。医疗、零售和制造业的物联网漏洞严重性问题尤为突出。8 工业物联网设备普遍缺乏身份管理、访问控
12、制、数据保护、和威胁防控的体系化解决方案。工业物联网安全人才和技能的短缺情况比 IT 安全领域更为严重。与物联网类似,OT 网络的安全性同样不容乐观。根据 Dragos 的2022 年工控安全年度回顾报告和 SANS 今年 11 月发布的2023 年 ICS/OT 安全现状调查报告,ICS/OT 系统普遍存在八大安全隐患:1.资产可见性差。资产可见性是 ICS/OT 最重要的安全能力,有助于观察预攻击技术,并为事故响应提供关键数据。但现实中很多公司对 OT 环境中的设备、配置文件和流量了解有限,使得威胁检测和响应变得极为困难。根据 Ponemon Institute 的数据,只有45%的组织能
13、够有效发现和维护 OT 网络的设备资产清单。2.缺乏事故响应计划:只有 52%的 ICS 设施有面向 OT/ICS 的事故响应计划。这一发现凸显了 ICS 网络安全事件准备工作中的重大差距。3.网络隔离控制不力:尽管大多数工业物联网安全主管认为他们的 ICS 网络与 IT 网络和互联网做好了隔离,但仍有高达 38%的 ICS/OT 攻击来自 IT 网络,这表明需要加强 IT与 OT 之间的用户管理分离。4.渗透测试存在风险:特别是针对普渡模型第二层设备的渗透测试,在 ICS 环境中存在安全和运营风险。建议在考虑此类测试之前,首先完善基本网络安全控制。5.缺乏主动防御能力:只有 22%的 ICS
14、 设施利用 MITRE ATT&CK ICS 框架来了解现代 9 ICS 特定威胁检测能力,这表明在主动防御策略方面存在差距。6.人为错误。工业物联网安全人才匮乏,从业人员往往缺乏有效的安全意识培训,错误信息、错误判断或者无意错误也都都可能导致人为错误,从而对 OT 系统的安全性、可用性产生重大影响。近年来一些重大的工业物联网安全事件中,因人员错误、疏忽或者社交工程攻击导致的凭证泄漏屡见不鲜。7.合规难度。近年来各国陆续出台的工控安全和关键基础设施法规和标准对工业物联网安全能力提出了更高要求,例如即将推出的 NIS2 和网络弹性法案(CRA)则对供应链安全提出了明确要求。8.操作系统过时。OT
15、 环境的一个独特挑战是无处不在的过时操作系统。OT 环境的操作系统生命周期最长可达 20 年,远长于 IT 环境的 4-6 年。系统普遍失去安全更新和补丁等技术支持。工业物联网安全的五大新威胁 根据 Dragos 的工控安全报告,2022 年全球工控系统相关硬件和软件漏洞数量比 2021 年增加了 27%,针对工业组织的勒索软件攻击增加了 87%。针对工业基础设施的攻击的复杂性和数量也有所增加,遭受攻击的工控系统(ICS)中 80%缺乏对 ICS 流量的可见性,一半存在网络分段问题和不受控制的 OT 网络连接。根据 SANS 的报告,2023 年工控系统的风险持续上升,有 44%的受访者认为
16、ICS 面临的安全威胁“很高”。1.新的攻击技术。工业物联网威胁上升可部分归因于针对关键基础设施的勒索软件活动增加,以及像 CRASHOVERRIDE 和 PIPEDREAM 这样的可扩展 ICS 针对性攻击 10框架的流行。此外,对手越来越多地使用“本地技术”攻击,这种攻击“就地取材”,将工程系统变成了自己的横向移动和通信工具,减少了对恶意软件的依赖,因此更难以检测。另一个值得关注的攻击趋势是会话劫持的增加。越来越多的攻击者开始利用远程会话协议的合法功能进行攻击,这可能对工业厂房的 OT 和 ICS 造成物理影响。2.地缘政治与黑客活动主义。俄乌战争和巴以冲突中,全球上百个黑客组织围绕不同的
17、意识形态和政治立场划分阵营,对“敌方”国家的关键基础设施展开有组织大规模攻击,标志着过去以经济为主要目的的黑客活动正大规模卷入网络犯罪、网络战争与地缘政治冲突的混战。根据 SecurityWeek 的Cyber Insights 2023报告,全球地缘政治形势对 ICS/OT 的影响正在不断扩大,表明国家级黑客组织更有动机针对关键行业的工业物联网设施,同时网络犯罪分子的“道德”约束也在减少。该报告提到,IT 与 OT 的融合是 OT 面临的最大威胁之一。当这两个网络合并时,如果没有适当的安全措施,攻击者可以通过利用 IT 访问点或云端攻击来瘫痪 OT 网络。3.供应链攻击。供应链攻击也日益成为
18、关注焦点。工业物联网供应链攻击正在进化,不仅针对 IT,也直接针对 OT。同时,越来越多的漏洞直接影响 PLC、物联网设备,这些设备往往是网络犯罪分子最容易访问的目标。根据“冰瀑漏洞报告”,工业物联网供应链中存在大量设计不安全的供应链组件,很多受影响制造商并未报告漏洞,这导致了风险管理的困难。11 4.勒索软件。勒索软件对工业基础设施环境构成的威胁也日益增长,制造业企业仍是勒索软件的主要目标。而 Pipedream 这类工具集还对整个 ICS 社区构成严重威胁,能够跨行业造成破坏。5.国家 APT 组织。针对关键国家基础设施的攻击往往是由国家 APT(高级持续性威胁)组织执行的,这些攻击受到当
19、前地缘政治状态的影响。Kaspersky 的专家预测,APT 活动将针对新的行业和地点展开,包括农业、物流、交通、替代能源领域、高科技、制药和医疗设备生产领域。趋势:以资产为中心的一体化端到端主动安全防御体系 在 OT/IT 融合的大背景下,“以资产为中心”的工业物联网安全的关键业绩指标是“运营弹性”,最终目标是将网络物理系统安全与 IT 安全纳入统一的,以零信任为关键方法的治理模型中。因此,工业物联网安全市场的技术和解决方案也随之快速分化、重组和升级,行业和细分领域的专精特深正在向一体化融合解决方案升级,目标是提供端到端的,能够识别、解析、检测所有 IT/OT 融合环境和协议类型的一体化安全
20、管理解决方案。12围绕新一代工业物联网 SOC(安全运营平台),工业物联网解决方案可分为九大类:运营平台(监测、巡检、运维、风险量化、统一安全管理平台;密码管理;漏洞管理;SIEM)物联网安全(泛终端身份管理和访问控制、接入网关、网络分段、工业防火墙、基于零信任框架的 SSE 边缘计算安全、监测审计系统)终端安全(EDR、主机安全、资产管理、防病毒软件、U 盘管理)工控系统安全(OT 防火墙、主机防护系统、漏洞管理、身份管理和验证、零信任、IAM)数据安全(DLP、安全硬件、数据加密、数据库审计与防护、备份和灾难恢复)威胁检测与响应(态势感知、IDS、蜜罐、威胁情报)供应链安全(SBOM、更新
21、管理、基于上下文的风险分析)物理安全(视频监控和人员物理访问控制、环境监测)安全服务(意识培训、安全审计、渗透测试、风险评估、应急响应)此外,面对 IT(包括云)与 OT 融合产生的巨大攻击面和新兴威胁,以及工业物联网在事件响应(不能轻易断网隔离)、漏洞扫描和管理(往往无法承受主动扫描)方面的先天局限,工业物联网安全更为依赖主动安全方法,这一趋势推动了工业物联网安全市场的八大新兴热点:基于风险的暴露管理(攻击面管理、资产与漏洞的发现与管理)零信任(机器身份与访问控制)13 安全意识培训 欺骗技术(蜜罐)入侵与攻击模拟(靶场)自主安全技术(固件/嵌入式系统安全、安全芯片、CPU、存储系统、国密算
22、法、工业无线通信安全、arm 架构设计、后量子加密算法、ML/安全大语言模型)人工智能安全技术 工业物联网安全审计、综合检测平台 工业物联网安全解决方案的关键能力和创新点 以下,是 GoUpSec 行业 CISO 调查总结的工业物联网安全解决方案十大关键能力和创新点:1.机器学习与人工智能(威胁情报、威胁检测、事件响应)2.自动化资产发现和管理 3.持续的网络威胁(被动)监控 4.物联网终端和二级设备(控制器)的完整性验证、访问控制 5.漏洞评估和风险管理 6.与 SIEM 和 SOC 的平台化集成(面向 IT/OT 融合的一体化安全管理平台)7.业务连续性(故障诊断与恢复,ByPass 功能
23、,减少误报,提高安全运维效率)148.可信计算与合规性(满足相关国家标准和等保要求)及相关行业规范 9.零信任方法(强化机器与人的身份和权限管理、重视内部威胁)10.物理安全(生产环境监控、安全培训、无人机防御)工业物联网安全解决方案选型的优先考虑因素:面对“以资产为中心”的工业物联网安全升级转型阶段面临的挑战、痛点和趋势,行业客户在选择工业物联网安全解决方案时可能需要与厂商沟通确认以下基准问题:是否支持与客户现有网络安全产品(例如 SIEM、SOAR、配置管理数据库、SOC、NAC、防火墙等)快速集成?有哪些资产发现能力(除了被动端口镜像和深度包检测以外)?支持哪些工业通信协议,数量、范围?
24、是否提供以资产发现、可见性和网络拓扑为中心的统一安全管理平台功能?是否易于部署(本地、云、混合)?资产发现和威胁检测方案是连续的还是基于时间点的?提供哪些资产拓扑和数据流映射和可视化方式(从基本的普渡模型、VLAN 试图到自定义映射甚至创建数字孪生)?漏洞管理是否支持情景化风险评分,能否防止 IT 扫描器直接接触和影响 OT 网络?定价模型(通常较为复杂)是否存在成本陷阱?监控工具如何降低误报和标记优先级?15 是否提供测试平台、仿真或以安全为中心的数字孪生解决方案?是否提供硬件/固件/软件供应链安全解决方案?是否提供针对垂直行业(例如医疗、国防、交通运输)的定制安全解决方案/案例?与工控设备
25、厂商、其他相关安全厂商和机构存在何种股权、(潜在)收购、合作关系。是否有预防勒索软件、DDoS、中间人攻击、内部威胁、APT 的针对性方案?是否提供免费测试?(由于工业物联网部署的独特性,不存在所谓通用的工业物联网安全解决方案,因此在企业环境中对方案进行选型测试很有必要)正如前文所述,新一代工业物联网安全解决方案是涉及物理安全、网络安全、设备安全、系统安全、供应链安全、生产安全的高度复杂的跨行业、跨领域综合项目,面临着独特而严峻的挑战。在 OT/IT 融合的大背景下,“以资产为中心”的工控物联网的核心目标和锚定的关键业绩指标是“运营弹性”,最终目标是将工控环境的网络物理安全与 IT 安全纳入统
26、一的治理模型中。在这一重大范型转移的历史性阶段,如何重新认识工业物联网安全的新定义、新威胁和新趋势,决定了企业和关键基础设施行业能否正确甄别并选择合适的解决方案和战略合作伙伴来打造面向未来的安全智能工业网络。16为了帮助 CISO 拨开营销迷雾,提高市场能见度,全面了解潜在物联网战略合作伙伴,GoUpSec 深入调研了 13 家国内物联网“酷厂商”(包括专业厂商和综合安全厂商),从产品功能、应用行业、成功案例、安全策略等维度对各厂商物联网产品及服务进行调研了解,整理形成了 2023 年中国网络安全行业物联网产品及服务购买决策参考。本次报告共收录 13 家国内网络安全厂商,共计 40 个安全产品
27、及服务,具体成功实施案例28 例,适用于政府、能源、电力电网、煤矿、军工、烟草、轨道交通、市政燃气、石油石化、智能制造、金融、水利、智慧城市、教育、医疗、运营商等重点行业。17从云科技 一、公司名称:北京从云科技有限公司 二、公司 logo:三、物联网安全产品名称:DAS 物联接入安全系统 四、产品特点及优势:特点:1、集资产管理、风险发现、资产识别、安全防护四大核心能力于一体;2、可识别传统智能终端,哑终端等多类型终端指纹,实现终端特征、行为准入控制,物联平台隐身防护 18优势:业务系统隐身:SPA 单包授权机制隐藏物联中心平台,避免物联网资产暴露,尽可能地减少攻击面避免大部分网络攻击,降低
28、风险。数据安全传输:旁路接入物联网网关实现物联信息加密传输,防止物联网数据被泄漏保护数据安全。终端防仿冒:持续探测,协议识别,发现不是原有的物联网设备时自动切断阻止非法接入。IOT 指纹识别:根据设备多种指纹信息、协议制定准入控制规则联动资产管理平台阻止非授信设备接入网络,合理控制授信设备接入权限。五、成功案例:案例 A:XX 铁路局 问题:1、不满足铁路站场局域网移动智能终端安全接入平台技术条件的行业标准。在设备准入、威胁防控、数据保护、身份管理等方面缺失体系化、规范化和专业化的整体方案;2、物联资产入网缺乏管控手段,物联网边缘存在安全风险;3、人机卡之间身份绑定关系较为薄弱,存在伪冒身份风
29、险 客户价值:1、铁路的业务系统提供了网络隐身能力,降低业务系统被攻击的风险。192、泛终端指纹准入和动态访问控制功能,实现了智能终端和哑终端的零信任安全接入,以及业务访问的精细化访问管控;3、SIM 卡管理和 IoT 资产识别和管理功能,替代了传统的手动整理,客户物联终端资产台账自动梳理、清晰明了。案例 B:XX 炼化 问题:1、多种类型的物联终端,无法进行有效的接入管控,存在很大的安全隐患;2、物联中心平台对外暴露,存在被攻击的风险;3、物联资产采用手动记录方式进行梳理,效率低、易出错。客户价值:1、对不同上行方式的各种终端,都提供了专属准入控制能力,全面覆盖无死角;2、对物联网边界安全建
30、设进行了零信任理念的体系化升级,在合规的基础上,有效降低甚至杜绝被攻击事件发生;3、对物联业务资产进行全面纳管,提高管理效率,较低资产损耗。六、适用行业:20电力、交通、运营商、能源等 七、联系人姓名及职位 姓名:罗文文 职位:市场 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄 物联网是未来数字世界、智慧社会的新基座。在技术、经济的推动下,AIoT 正引领物联网进入感知、理解和自学习为特征的智能设备时代,也对安全合规性提出了更高的要求。从云科技一直非常重视 AIoT 安全领域,并进行多方面的布局。泛终端接入安全方案正持续为各行业上百家企业
31、提供全方位的安全保障,助力他们在智能化转型中实现更大的成功。王维 产研 VP 21国泰网信 一、公司名称:北京国泰网信科技有限公司 二、公司 logo:三、物联网安全产品名称:1、物联网边缘计算数据采集装置 2、物联安全接入网关 3、桌面型加密认证装置 4、工业无线数据安全终端 5、智能物联网锁 四、产品特点及优势:22特点:1.物联网边缘计算数据采集装置 特点:随着物联网、工业互联网的高速发展,海量数据需要在网络边缘侧进行分析、处理和存储。物联网边缘计算数据采集装置是国泰网信公司集多年安全技术研究经验,并结合工业互联网的技术以及工业现场数据采集技术,设计研发出符合能耗监测、边缘计算 3.0
32、规范的一款产品。可应用于能耗监测、危险源监测、环境监测、智能工厂、智慧城市、石油化工、油气生产自动化、电力物联网等行业。优势:1)定制化边缘计算能力:产品可根据用户需求定制计算性能、存储空间、网络通信性能及底层操作系统,为应用系统厂商所提供的边缘计算程序提供完善的硬件平台支撑。2)双向身份认证:基于国产密码算法,实现物联网终端(需具备密码能力)与边缘计算设备、边缘计算设备与应用系统之间的身份认证。身份认证机制可根据实际情况选择,如基于 PKI/CA、基于对称加密算法等。3)数据加密传输:基于国产密码算法,实现物联网终端(需具备密码能力)与边缘计算设备、边缘计算设备与应用系统之间数据的加密传输。
33、具体加密机制可根据用户需求定制,23如 IPSec VPN、应用层加密等。4)指令完整性校验:可对下行指令进行完整性校验,确保指令信息在传输过程中未被篡改。5)协议过滤:基于机器学习机制,产品可自动学习网间正常通信的协议规则,形成“协议白名单”,对非“白名单”协议进行阻断或告警,保障通信安全。6)网络隔离:内置千兆摆渡隔离模块,可实现内网侧边缘计算系统与外网侧公共网络的安全隔离,保障内网侧工控数据实时采集不受外网侧公共网络的侵害。7)多种网络类型适配:支持以太网、串口、蓝牙、zigbee、LORA、工控协议等多种网络协议类型以及 OPC 接入。网络类型可选配、可定制、可扩展。8)兼容多种认证加
34、密设备:可自身配对使用形成安全通信通道;或与我司各类加密网关设备、第三方加密认证网关设备配合使用。9)自身安全性保障:基于可信计算机制,内置可信计算芯片,确保产品自身核心进程/服务及边缘计算业务系统核心程序不会被非法篡改。10)容器技术:应用 Docker 容器技术解决多用户平台系统的开发,动态增补采集系统功能,扩展兼容能力。2.物联安全接入网关 24特点:物联安全接入网关是国泰网信研制的一款集密码技术与网络隔离技术于一身的物联网应用层边界防护设备,用户可以通过它实现对物联网设备通信数据内外网物理隔离、专用安全协议包解析和过滤、通道加密、接入认证等。产品支持 SM1/SM2/SM3/SM4 商
35、密算法,融合 IPSec/SSL 安全协议,兼容各类物联网设备终端,可为物联网设备终端提供可视化监控及身份认证和数据加密隔离的安全接入解决方案。物联网关采用线程池、多缓冲以及异步处理等技术实现海量终端高速接入,最大并发连接可达百万级。产品具备安全、完善的密钥管理机制,可有效保证设备密钥的安全,广泛应用于电力、能源、交通、金融、军工、军队、电子商务、移动通信等行业。优势:1)多重应激紧急防护:多重应激紧急防护机制,可以全面的保护内部存储密钥和敏感信息的安全。2)完整的密钥管理机制:基于三层密钥技术管理体系,实现物联网终端加密数据完善的密钥管理机制。3)丰富的物联网终端安全认证:兼容百余种物联网终
36、端的接入认证,对未知终端提供快速认证开发接口。4)高运算的多链路接入:采用线程池、多缓冲以及异步处理等技术实现海量终端高速接入,最大并发连接可达百万级 5)多因子组合 认证支持用户名、口令、硬件身份识别介质多认证因子细粒度控制。253.桌面型加密认证装置 特点:桌面型加密认证装置是一种小微型加密认证网关设备。产品基于国密算法实现身份认证、访问控制、数据加解密等功能,具有体积小巧、部署简单、成本低廉等特点,能够适应以太网、串口总线、无线网络等多种网络类型。产品可自身配对使用或与其他加密认证网关类产品配合使用,有效解决工控终端与应用系统、物联网终端与应用系统以及小型数据中心之间的安全互联,实现数据
37、/指令的传输加密和完整性校验。优势:1)多重应激紧急防护:多重应激紧急防护机制,可以全面的保护内部存储密钥和敏感信息的安全。2)完整的密钥管理机制:基于三层密钥技术管理体系,实现物联网终端加密数据完善的密钥管理机制。3)丰富的物联网终端安全认证:兼容百余种物联网终端的接入认证,对未知终端提供快速认证开发接口。264)高运算的多链路接入:采用线程池、多缓冲以及异步处理等技术实现海量终端高速接入,最大并发连接可达百万级 5)多因子组合 认证支持用户名、口令、硬件身份识别介质多认证因子细粒度控制。4.工业无线数据安全终端 特点:工业无线数据安全终端采用低功耗 ARM、纯国产化设计,基于工业物联网架构
38、进行油气田流量计数据采集上传。主要功能特点为:通过 4G 网络,以 MQTT 协议定时上报现场仪表监测数据,并可进行远程维护配置及升级,也可通过串口进行现场维护配置及升级;具备l5kVESD 防浪涌、抗干扰能力;具有 SM1-SM4 国密算法对传输数据进行加解密保护,确保上报数据安全。该设备通过 RS485 串口以 Modbus-RTU 协议与油气田现场仪表通信采集数据,并通过无线 4G 向远程中心服务器上报采集数据。27优势:1)气表流量计数据采集:采用工业标准协议采集流量表数据。2)软件配置:通过配詈软件可以远程适配不同仪表的参数。3)数据安全传输:在数据传输过程中,产品支持基于国密算法的
39、 IPSec VPN 和应用层加密等指令完整性校验。4)工业级设计:满足工业物联网恶劣环境的应用。5.智能物联网锁 特点:智能物联网锁采用物联网架构,基于机械锁体、传统锁体材质,不改变锁体本身的防爆防护等级,利用智能芯片技术、蓝牙技术、电子技术、集成电路设计等有效解决传统机械锁钥匙单一匹配、开锁过程无法记录、联网监控机房断电无法进出等问题。优势:1)安全坚固:采用 304 不锈钢通体密封,无法用螺丝刀等简单工具破损,达到物理安全的要求。同时采用宽温设计和防尘防雨设计,适合在野外应用。2)记录备份,事件追溯:开锁过程实时上传数据进行备份,确保发生事件后可追溯。283)稳定可靠:使用目前应用广泛的
40、蓝牙通信技术作为数据交互的基础,该项公认的通信技术为产品带来可靠的保障。4)国密算法加密:使用国密数字证书认证技术为安全性保驾护航。开锁密码使用“一次一密”方式,保证不重复。内置国密安全芯片存储数字证书,保证密钥存储安全以及加密过程安全。5)供电分离:锁具驱动的供电设备与锁体分离,避免了操作现场需给锁具充电才能使用的情况。采用无线供电方式,锁具自身无外露电器端子,增强了锁具的电器可靠性。6)授权灵活:通过管理系统可灵活控制操作员的开锁授权,“钥匙”管理更加便捷。7)状态主动上报:锁体自带电池,可定时上报锁体状态信息,锁具异常开启主动上报。8)日志审计:管理系统记录每个锁具开启与关闭时间、操作员
41、信息、操作员位置信息,为运维管理提供了充分的数据。9)超长寿命:锁体内部采用一次性锂亚电池,具有高能量密度、高可靠性、宽温度范围等特点,较之普通一次性电池和可充电锂电池有明显的性能优势,可保证锁具状态监测工作 8 年以上。五、成功案例:1.某电力物联网安全综合解决方案 项目背景 随着物联网技术的快速发展,越来越多的新兴技术应用在电力物联网领域中。在某电力物联网项目建设中,电力物联网网络边界较为模糊,采用传统的网络安全防护手段和隔离技术难以满足业务发展需求。为支撑电力物联网的建设,满足智慧物联体系在电力行业中的发展需 29求,目前亟需加强电力物联网的安全应用,保障电力终端设备、网络管道、业务应用
42、的安全。方案介绍 方案整体以国产密码技术为核心,结合电力物联网“云-管-边-端”四层架构,构建电力物联网安全解决方案,保障电力物联网终端接入安全、边缘计算安全、管道传输安全和平台应用安全。通过在云端应用层部署统一密码服务平台,保障云端上层业务的密码应用安全,提供重要数据的加密存储、完整性校验及对下端进行证书下发、密钥管理等功能;在管道层部署物联网安全接入网关和信息网络安全隔离装置,保障各类终端接入远程通信网络的安全和隔离防护;在边缘层部署边缘物联代理设备,提供边缘计算能力和密码防护能力;终端层根据不同业务、不同属性的终端类型,进行物联网终端改造。针对变电场景,传感器类终端设备直接接入站内应用,
43、再与边缘物联代理设备之间进行身份认证;巡检机器人、智能类终端设备可进行升级改造,添加安全芯片或者软件密码模块等,实现终端加固措施、使底层终端自身具备密码能力,保障终端安全接入和数据传输加解密。针对配电场景,对原有配电终端(RTU、DTU)进行升级改造,添加配网模块,完成终端接入的认证和数据传输加密;新建配电终端已经包含智能芯片,可直接接入。针对用电场景,智能电表等设备直接接入边缘物联代理设备,完成设备的安全接入认证和数据加密。30客户价值 1)全方位防护:针对电力物联网“云管边端”进行全方位密码安全防护,保障设备的接入认证、数据传输加解密以及业务应用的安全。2)统一技术服务:电力终端设备数据统
44、一标准化接入,统一感知接入,终端侧统一改造。3)海量异构设备接入:高并发、低延迟,满足海量电力异构终端的安全接入。2.某单位视频监控物联系统解决方案 项目背景 视频监控系统的安全隐患引起国家层面的高度重视,党政机关和涉密单位应当注意防范由于视频监控引起的失泄密风险。针对党政机关和涉密单位的涉密视频监控系统建设,国家相关主管部门已经组织编写并正式发布了相应的国家保密标准。该标准依托分级保护相关标准法规,结合视频监控的特点,从物理环境、设备选型、通信网络及其边界、计算环境、信息安全、安全管理等多个维度进行了体系化的规定,以确保视频监控系统和敏感信息的安全。该标准于 2022 年 6 月 1 日起正
45、式实施,并明确要求党政机关和涉密单位的涉密视频监控系统应严格按照该标准进行建设。方案介绍 该系统是一套符合安全保密技术要求的视频监控系统,可针对涉密视频信息的采集、传输、存储、使用建立完备的安全防护体系,实现了涉密视频信息全过程的实时管控,解决了涉密视频数据“信息孤岛”问题。31该系统拓展了视频监控在涉密生产过程管控、远程监控、质量管理以及重要资产远程监管、边界安全防护等场景中的应用。在安全保密和安全生产方面,为事前预防、事中响应、事后追查提供了安全可靠的技术手段。该系统部署在涉密信息系统中,由安全保密摄像头、涉密视频监控管理软件、视频存储设备、视频解码器等软硬件组成,采用身份鉴别、双向身份认
46、证、访问控制、数据保护、安全审计、完整性校验、保密违规行为监测等技术和相关安全保密管理措施,实现涉密视频数据的安全采集、传输、存储和查看等功能。客户价值 1)高保密性:遵循相关保密标准,符合相关测评要求,可在涉密环境下使用。2)安全可靠:建立健全人防、物防、技防三位一体的视频监控安全防范体系。3)高效灵活:针对于国产化环境进行适配,并进行性能优化,系统稳定性、适用性高于同类产品。32六、适用行业:电力、石油石化、能源、交通等行业 七、联系人姓名及职位 姓名:史瑀 职位:品牌运营事业部 经理 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:
47、国泰网信自成立之初即将商用密码应用及工控网络安全作为公司发展方向,已构建全体系商用密码产品及工控网络安全产品,是国内最早同时具备两类产品自主研发能力的网络安全厂商,也是率先将二者融合解决工业物联网安全问题的厂商。未来,国泰网信将继续以客户需求为导向,不断创新,为客户提供更加全面、高效的物联网安全产品及解决方案,保障用户在数字化转型中的顺利运营和可持续发展,为数字中国建设保驾护航。北京国泰网信科技有限公司 CEO 李欣 34 珞安科技 一、公司名称:北京珞安科技有限责任公司 二、公司 logo:三、物联网安全产品名称:边缘物联代理装置系统、油气物联网安全审计系统、油气物联网接入认证系统、四、产品
48、特点及优势:35 1、边缘物联代理装置系统 边缘物联代理装置系统是珞安科技依据能源电力行业智慧能源体系建设和中国智能制造 2025 发展规划,研发的一款集设备认证、数据采集、协议转换、加密通信、边缘计算等业务功能与安全防护于一体的硬件产品,拥有广泛的数据采集和强劲的边缘计算能力,可实现设备的快速接入,降低云端计算资源的压力。特点:工业级环境硬件设计 边缘物联代理装置系统硬件采用全工业级设计,工业级芯片、抗高温、耐低温、高 IP 防护级别、故障容错、低功耗、无风扇、电磁绝缘、隔绝湿热、外壳防护等工业指标设计,能满足严苛的工业环境使用,保证业务稳定正常运行。丰富的工业协议和接口,广泛行业场景应用
49、边缘物联代理装置系统兼容多种主流工业通信协议和电力通讯协议,支持如下协议:IEC60870-101/103/104、DLT645、DLT698、CJ188、Q/GDW 1376.1-2013、36MODBUS 等。安全可靠的数据通讯 边缘物联代理装置系统提供了完备的安全保护机制,确保在快速组建物联网应用的同时,无需担忧安全性问题。产品基于硬件及操作系统层面的安全机制和服务,向下主要实现终端的安全准入、安全监测;向上利用安全芯片、数据加密等措施强化本体安全防护,强化数据在本地存储及传输安全。强大的边缘计算能力 产品从硬件设计和软件功能上,对设备的边缘计算能力进行了强有力支撑;内置边缘计算框架,实
50、现业务容器化、支持人工智能算法、物模型管理和远程 OTA 等功能。产品多样性及合规性 基于不同的物联网应用场景,提供符合不同硬件配置的通用型产品,还针对电力行业推出了符合国家电网行业标准的国网定制版产品;对其他行业的需求也可提供定制化的产品设计及研发服务,以满足客户多样化的业务需求及合规性需求。优势:工业级环境硬件设计;安全可靠的数据通讯、产品多样性及合规性;强大的边缘计算能力;丰富的工业协议和接口。37 2、油气物联网安全审计系统 油气物联网安全审计系统是一款针对油气行业开发的安全事件审计类产品,产品避免了油气管道 SCADA 系统出现安全事件后,没有审计记录和追溯手段,无法判断是由误操作、
51、滥用还是入侵等导致的问题。该产品通过提供终端、主机以及网络流量设备的日志收集、分析及安全预警等功能,解决了针对油气管道 SCADA 系统审计可查、问题可溯和攻击的自动识别等问题。特点:面向工业环境的全要素日志采集 系统提供对 SCADA 系统(如:操作员站、工作站等)运行日志、工业设备(PLC、RTU 等)日志、工业网络流量日志、网络设备(如:路由器、交换机等)日志的实时采集和标准化处理。强大的关联分析能力 系统通过大数据检索技术,提供对日志关联分析功能的快速支持;通过可视化关联规则解析 38器,自定义基于逻辑表达式或事件之间的关联关系等规则的设定,快速获取事件数据关联结果。适应隔离环境的分级
52、式部署 针对工业场景内网相互隔离的环境,提供分布式数据采集与集中化审计分析相结合的部署模式,兼顾安全与统一化管理的诉求。丰富的自定义报表 系统根据不同业务场景,预置丰富多样的报表和安全事件生成模板,同时支持管理员根据需要进行自定义的报表设计,实现所见即所得。先进的安全告警机制 系统通过流处理、规则引擎等先进的技术手段,实现对日志事件中的危险事件即时识别,之后通过邮件、短信、工单等方式通知用户,实现对事件实时告警。优势:海量的数据处理能力;多种异构数据源的解析能力;高效的数据分析手段、自定义的报表设计、先进的安全事件告警机制设计。39 3、油气物联网接入认证系统 油气物联网接入认证系统是一款针对
53、油气行业开发的设备安全接入和通信权限管理类产品,主要用于解决油气行业地域分布广、基层站点多、站场无人值守等工业生产环境下设备安全入网的问题。产品采用串联或旁路的方式接入网络,通过入网设备自动发现、入网设备注册授权、设备指纹智能识别、入网设备身份校验等技术手段,实现对油气网络边界的安全管控和设备管理。特点:丰富的工业设备支持 支持西门子、施耐德、罗克韦尔、ABB 等主流工控厂商,支持 SiemensS7、Modbus、DNP3、EtherNet/Ip、BACnet、Fox 等工控协议。多样化的认证方案 40智能识别入网设备终端类型,切换合适的认证方案,如:上位机 Agent 方式、网络交换设备可
54、信方式、工控设备基于设备指纹的自动认证方式等。可视化网络安全报告 通过安全报警信息(数量、级别、时段、类型等)、终端信息(类型、型号、认证状态等)、时空信息等多维度分析网络安全状况,生成管理建议报告。多维度网络拓扑展示 基于网络设备(交换,路由、无线)、终端设备(上位机、服务器、PLC)、组织信息(部门、小组、标签)、软件信息等实现网络拓扑绘制和展示。强大的网络自适应能力 主动探测、被动监听、行为建模等多种技术,构建智能指纹特征采集引擎;智能识别入网设备,有效防范私接网络设备、冒用网络端口等违规行为。智能化终端识别 适应各种混合网络环境、兼容新老网络设备;硬件为工业级标准,完美适配油气网络特点
55、(野外、无人值守、低温、潮湿、高原、烟雾等环境)。优势:灵活入网方式、适应复杂油气场景的管控要求;适配油气行业场景的无感知安全认证;油气终端设备智能识别和管控。五、成功案例:41案例:某职教中心综合能源分体式空调项目 客户需求:长期以来,空调在改善和提高建筑物内部环境舒适度的同时,由于数量众多、安装分散、且就近墙面插座取电等情况,存在用电严重浪费的现象,据统计,空调能耗一般占公共机构建筑能耗的 40%-60%。针对学校楼宇中不同品牌生产的分体式空调,如何进行远程集中式管理,从而有效降低整体电量能耗,是该学校面临的一个实际难题。部署产品:边缘物联代理装置系统 解决方案:数据采集与安全传输 在每个
56、分体空调的插座处部署支持Lora通讯的智能空调控制器,通过内置的红外发射芯片,监听遥控器发出的红外指令,解析空调实时状态,采集现场温度、空调电压、电流等数据,同时通过 lora 加密协议保证数据的安全通信传输。数据处理与边缘计算 将所有的智能空调控制器进行标注、分组,每组智能空调控制器分别对应部署边缘物联代理装置系统,内置边缘计算框架,快速接入能耗设备,将海量数据本地处理后通过 4G 无线方式将数据传输到物联网管理平台,减少网络流量成本,同时适配国网物联网平台模型,实现上报数据的自动化匹配。42能耗分析与报表统计 物联网管理平台通过上传的数据监测查看空调总用电量、运行数、节能电量、减少碳排放量
57、等整体指标,同时自动统计任何时间段每台空调的用电量,配合室温数据,分析不同空调用电差异的原因,实现空调的精细化管理。远程控制与策略下发 物联网管理平台下发命令到边缘物联代理装置系统,系统将接收到的控制命令通过 Lora 的方式将命令下发给每个智能空调控制器,实现对空调的远程控制和管理,同时根据不同的季节模式,使用电量超标告警等智能控制空调策略。实施效果:通过分析统计,在开启节能控制时,效果普遍较好,整体节能率在 2.9321.85之间,平均节能率为 13.7,且运行时间越长,节能率越高。整体方案降低了用能成本,提高了综合用能效益及管理效益,为行业降低能耗水平、企业提高能源利用效率提供了有力保障
58、。43 六、适用行业:电力电网、石油石化 七、联系人姓名及职位 姓名:李连昭 职位:市场经理 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:44 物联网作为新兴技术在工业领域有着广泛的应用场景。随着物联网的普及,其连接性和数据传输面临更多的安全风险,加强物联网设备和网络的安全性成为未来发展的重要方向。珞安科技作为专注工业网络空间安全的国家专精特新“小巨人”企业,将充分发挥自身技术创新方面的优势,用专业可靠的产品筑牢物联网安全防线,全力保障国家关键信息基础设施的安全与稳定。北京珞安科技有限责任公司副总裁 关勇 45 46木链科技 一、公司
59、名称:浙江木链物联网科技有限公司 二、公司 logo:三、物联网安全产品名称:BoleanGuard物联网设备综合检测平台 四、产品特点及优势:特点:针对工业互联网的特殊高复杂环境创新研发,利用新型模糊测试算法自动学习协议状态机,对协议状态机和设备进行 fuzz,挖掘潜在设备安全漏洞和协议逻辑漏洞,并以此结果输出专业工业漏洞报告。优势:471、内置海量专业测试知识库储备实现检测门槛极大降低。2、“B-Fuzz”叠加“五大引擎”大幅提升平台运行效率。3、“漏挖、漏扫、固件”三维度全面检测设备安全缺陷。4、“任务、结果、状态、趋势”可视数据图表直观展示。5、“发现、验证、挖掘、优化”闭环式全流程漏
60、洞管理。五、成功案例:案例名称:某省电科院电力物联网设备安全检测平台 客户及所属行业:国网某省电力科学研究院,电力行业 客户需求:1、提升设备网络安全风险检测效率。2、从源头降低供应链所提供物联网设备的网络安全隐患。部署方案:应用效果:481、检测速度和效率提升 项目交付后,针对省内 10 家电力公司进行安全检测,耗时 3 周,发现高、中、低危漏洞共 500 余个。较过往,检测速度及威胁检测效率均有 2-3 倍提升。2、区域网安能力提升 项目交付后,收到省内电力公司委托检测 10 余起,涵盖摄像头、智能电表、融合终端 3 大类 11 个品牌共计 43 件设备。其中,29 件设备存在不同程度安全
61、隐患。电力公司协同生产厂商进行隐患修复后,设备方可交付、上线。六、适用行业:军工制造、电力能源等 七、联系人姓名及职位 姓名:章宇杭 职位:市场经理 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:49 2023 年已行至过半,先为上半年成功闯关过险的同行伙伴们加油打气!考虑行业瞬息万变,我们仍需时刻警醒,与用户比肩而立,以问题为导向进行关键技术攻关克难或是应用能力技术增强。只有这样,网络安全才能“进现场、接地气”,真正地在制造强国、网络强国和数字中国建设过程中发挥起关键支撑作用。期待大家继续携手、坚守,砥砺前行!浙江木链物联网科技有限公
62、司副总经理 郭宾 50齐安科技 一、公司名称:浙江齐安信息科技有限公司 二、公司 logo:三、物联网安全产品名称:1、检修作业安全运维系统 2、一体化远程运维系统 3、USB 安全隔离保护系统 4、安全配置核查系统 515、工控网络安全审计系统 四、产品特点及优势:1、检修作业安全运维系统 产品特点:检修作业安全运维系统是一款面向工业控制系统现场运维作业时存在的风险,临时部署于运维工具和被运维对象之间,通过对作业全过程的实时监测、行为管控、权限控制等手段,有效提升现场运维环节的安全级别的便携式终端设备 优势:便携易用:部署简单,可快速接入现场环境进行运维,小巧轻便,利于携带 安全可靠:国产化
63、 CPU 和系统,国密算法加密;arm 架构设计,产品稳定性强 功能强大:支持恶意代码查杀、指令阻断、攻击拦截、网络外联管控等功能 2、一体化远程运维系统 产品特点:一体化远程运维系统是针对新能源电场的升压站/换流站的二次系统进行远程运维的专业系统,解决人员身份认证、高风险指令二次授权、杜绝上传下载文件恶意代码感染,与业务系统数据互通形成全程闭环管理,减少运维安全风险,可大幅度提升现场运维效率和运维安全 52性。优势:无人值守、提效降本:通过集控中心远程运维,实现无人值守、快速响应,减少运维人员数量,降低人力成本,提高团队能力,提升整体运维效率 全程审计、安全合规:认证授权、安全防护、运维全过
64、程审计,保障运维操作安全合规 简单易用、专业集成:产品简单、易用,不改变工作习惯,不增加工作负担,通过多种运维方式,适配二次系统运维复杂场景,并支持与第三方审计平台、病毒升级平台对接 3、USB 安全隔离保护系统 产品特点:USB 安全隔离保护系统一款针对 USB 存储设备接入安全而设计开发的软硬件一体化产品。产品部署于存储设备与内网计算机之间,融合了认证、授权、杀毒和审计功能,实现了基于USB 存储设备事件的全生命周期管理,保障了网内计算机环境安全。优势:易用稳定:部署简单,运维方便,产品支持长时间不间断运行 安全可靠:国产化 CPU 和系统,超 600 万病毒库文件 53功能强大:支持一机
65、多杀、精准恶意病毒识别、全方位访问控制、高效安全隔离及完整事件审计 4、安全配置核查系统 产品特点:安全配置核查系统是一款便携式轻量化工具,依据各网省的相关规范,对电力监控系统进行安全配置核查,提供合适的加固建议,并能生成报告。安全配置核查系统广泛适配二次系统,有效给一线核查人员减负,形成管理闭环。优势:操作省时提效:核查自动化、报告轻量化,省时高效,降低执行难度 指标全面完备:完备的配置指标库,支持自定义配置,确保核查指标实现全面覆盖 业务可控可溯:配置核查过程自动化、全记录、可追溯,确保配置加固风险可控,责任可查 5、工控网络安全审计系统 产品特点:54工控网络安全审计系统是一款专用于工业
66、网络异常流量监测的安全审计设备,通过对Modbus、OPC、S7、DNP3、IEC104 等多种工控协议进行深度解析,能够对网络中各种已知和未知攻击行为进行实时监测和告警,同时对攻击行为进行详细的安全审计,为后续的事件追溯提供帮助。优势:异常资产实时发现与告警:构建信任设备白名单,当流量中出现不在信任设备白名单里面的异常资产时,能够及时告警通知管理员;无损工业网络监测:采用旁路镜像的方式部署在工业网络,实时监测客户网络安全且不会对客户实际业务造成影响;IT/OT 威胁全面检测:系统具备针对传统网络协议和工控自有协议的网络安全检测能力,适合 IT/OT 混合网络环境。五、成功案例:案例 A:移动
67、存储介质安全接入解决方案 项目背景 在电力监控系统的生产运维中,经常会用到移动存储介质,但是移动存储介质中的病毒存在传染性强、隐蔽性高、破坏力强等特点,大部分控制工控系统的入侵都是通过 U 盘摆渡进行入侵,对生产运行所带来巨大威胁。55主要安全隐患包括:1)没有针对病毒传播的防控机制,一旦用户使用已被感染病毒、木马等恶意程序的移动存储介质,会使这些恶意程序在调度数据网传播,导致较大的安全风险。2)缺少接入介质的认证机制,无法管控移动存储介质随意接入带来的管理风险,无法保障用户数据传输行为的合规性;3)用户在终端上数据传输行为,没有审计机制,引发安全问题甚至数据泄露后无法回溯定位;解决方案 现场
68、部署示意图 在移动介质与系统之间部署 USB 安全隔离保护系统,实现以下防护及管理功能:56 杀毒隔离 基于传输数据特征码及检测算法进行格式分析和病毒识别,杜绝病毒通过移动存储设备传播和影响内网安全。支持多台 PC 机同时使用,支持多 U 盘同时查杀。访问控制 可精细到读写层面,基于下发策略实现对 USB 存储设备中的文件进行如读、写、删除、重命名,移动,上传文件等多方面的安全操作,可多人同时使用同一个隔离设备,对移动存储设备进行访问。安全白名单 支持自动、手动方式生成白名单检查规则,未加入白名单的非法文件和应用程序无法通过安全检验,有效阻止各类未知恶意文件的感染、运行和扩散,确保将病毒、木马
69、以及恶意软件阻挡在内网运行环境之外。介质管控 对移动存储介质采取身份认证和权限控制,只有经过授权的移动存储介质才能被 USB 安全隔离保护系统识别,防止非法 U 盘的接入,独有的介质管控技术,安全系数更高。共享区 提供公共的存储空间供用户使用,做文件存储。灵活访问 支持 SFTP、Web 等操作系统自带的文件访问方式对存储介质高效访问。权限控制 系统可划分不同的安全管理角色进行合理的权限分配,授权用户能够根据预定义的策略访问相应资源。可针对 IP 进行锁定设置,非合法 IP 段内访问都将被禁止操作。57 三权分立 符合安全合规要求,采用三权分立的用户管理方式,分为系统管理员、操作管理员和审计管
70、理员。系统管理员负责设备管理及策略管理,操作管理员负责对 U 盘授权、隔离区、白名单及用户进行管理,审计管理员负责事后审计信息的管理,三者权限各自独立,互不干涉。审计日志 实时监控 USB 接口接入,对系统管理员和操作管理员及普通用户的登录和操作进行记录,详实记录移动存储设备接入后的执行动作,包括发生的日期和时间、事件主体身份、事件描述,供用户进行日志审计和行为追溯。支持实时查看 USB 存储设备插入/拔出的告警,支持查看历史告警记录。USB 安全隔离保护系统安装 agent(凝思)将移动存储介质(插拔状态、USB 的接口号、设备名称、厂商名称、设备编号、厂商编号、接口编号、接口协议)审计信息
71、通过 II 型装置上报网安平台。综合优势 a)专业的杀毒引擎 采用国网认可恶意代码查杀引擎,对接入的移动存储介质进行扫描过滤,基于传输数据特征码及深度检测算法进行格式分析和病毒识别,杜绝病毒通过移动存储介质传播和影响内网安全。b)安全高效数据摆渡 无需在主机上安装任何驱动,设备安全稳定随时可进行过滤访问,解决了 USB 口禁用 58导致数据摆渡低效问题的同时,又保障了内网安全性。c)效益分级保障安全环境 采用 USB 接口和网络接口进行 USB 安全隔离和行为管理,有效杜绝移动介质病毒传播,安全有效的对内外网进行隔离,有效保障数据交互安全性。d)严格的身份认证 USB 安全隔离保护系统采取身份
72、认证和权限控制,以“白名单”形式对终端采取信任、禁止、放行操作。e)强大的一机多杀 支持多台工作站同时使用,支持多 U 盘同时查杀。案例 B:电力监控系统站端运维接入安全解决方案 项目背景 电力行业是关键基础设施的重要组成部分,不仅关系到民众日常生活,同样对工控领域、甚至对国家安全都影响深远。当前,电力监控系统面临诸多安全隐患:1、针对关键基础设施的恶意攻击频发;2、运维人员繁杂,安全意识薄弱;3、笔记本电脑、移动存储等设备随意接入系统网络进行系统维护;4、运维过程缺少监管,发生事件无法追溯举证。59解决方案 现场部署示意图 检修作业安全运维系统支持网络接口、串行接口、USB 接口和 KVM
73、四种运维模式。运维人员在现场作业时可根据运维需求选择不同的接入模式,将安全运维网关部署在运维工具和被运维对象之间,按照操作步骤打通检修链路即可开始运维作业。在运维过程中通过检修作业安全运维系统达到有效管控的目的:1)对运维电脑的网络连接和外设接口状态进行实时监测,避免运维电脑违规外联或泄露内部数据;2)对运维过程传输的文件进行恶意代码查杀,避免未安装防病毒软件或未及时更新病毒库的电力监控系统被病毒入侵;3)实时监测运维过程的网络通讯,避免运维电脑向站控层网络和设备发起多种类型的扫描和网络攻击,禁止高危端口通信;4)对运维过程的高风险指令和控制类指令进行精准识别,避免误操作;605)对运维操作过
74、程进行授权管理和二次确认,并通过视频、文件、通讯数据包、日志等多种方式对运维过程进行记录,解决因缺少访问控制措施(如防火墙)及运维审计所带来的问题。综合优势 a)专业合规 检修作业安全运维系统基于电力监控系统网络安全建设的现状,依据国调中心的 电力监控系统便携式运维网关技术规范(试行)进行设计开发。b)简单易用 操作界面以“简单易用”为出发点进行图形化设计,支持一键生成检修任务、OCR 快速识别工作票信息生成检修任务,业务流程做到即插即用,不做多余设置,简单便捷,方便现场运维人员快速开展工作。同时系统硬件体积小,重量轻,携带方便,解决变电站点多面广、位置分散、运维风险高的应用需求。c)安全可靠
75、 检修作业安全运维系统基于国产化操作系统和国产 CPU 研发,安全自主可控;硬件采用便携式设备,通过了国调中心组织的便携式运维网关专业检测,满足电力监控系统现场使用条件;同时,系统采用国密算法保证鉴别信息和重要业务数据等敏感信息存储的保密性。d)多维审计 对检修运维作业全过程传输文件、通信流量、事件信息、告警信息、二次授权等内容进行完整记录及分类归档,并支持查看与导出管理,生成运维审计报告。61e)业务闭环 支持扩展检修作业安全运维系统多业务场景,通过贯通 OMS、PMS 等业务系统,实现任务自动下发。支持与型监测装置、网安平台实时通讯,支持安全管控中心集中管理;支持各班组安全运维网关的审计数
76、据上传和校验,相关负责人可定期查看,生成相关的审计报告,做到“可查”、“可审”、“可管”。案例 C:新能源电场二次系统远程运维安全解决方案 项目背景 基于“碳达峰、碳中和”的要求,国内新能源发电正在快速发展,新能源电场在长期的运行过程中,电力监控系统不可避免地需要进行设备维护、更新升级、配置调整、数据备份,需要运维人员持续地投入。当前对新能源电场电力监控系统的检修运维工作存在多方面的的难处:1、新能源电场数量多、分布广泛,距离市区较远,技术人员到达电场所需的通勤时间长,导致问题处理不够及时;2、电场的电力监控系统存在设备种类多、型号多、设备厂商多,检修运维工作的内容复杂,运维过程涉及的工具和协
77、议也非常多,运维工作难度大;3、运维过程缺乏有效防护和监控,面临一系列的安全风险隐患。62解决方案 系统架构示意图 一体化远程运维系统由两部分构成,分为一体化运维管控平台(简称“平台端”)和安全运维终端(简称“终端”)。平台端部署于集控中心,终端部署于各新能源电场的升压站/换流站,平台端和终端之间通过专用通信通道进行加密通讯。通过平台端和终端的配合工作,一体化远程运维系统支持运维人员从集控中心远程运维厂站端系统,也支持在厂站端现场运维二次系统。终端具备访问控制、病毒查杀、高危操作、二次授权等功能,保障操作合规,保护站内二次系统网络安全。同时终端会进行多维度的审计,并将审计数据传回至平台端。远程
78、运维方式 运维人员在集控中心通过工作站登录平台端的界面,选择某个基于工单生成的运维任务,启动任务开始对指定电场的二次系统进行运维。平台端随即和终端在专用通信通道上建立加密通信通道,以终端为代理,访问电场内指定的被运维系统进行运维。63现场运维方式 运维人员到场站现场后,打开自己携带的运维电脑,通过网线连接到安全运维终端,在运维电脑上打开操作界面,选择指定的运维任务,开始运维。综合优势 a)提升运维效率 运维人员可在集控中心,通过一体化远程运维系统对维新能源电场的电力监控系统进行远程运维,对站端问题进行快速响应,提升运维效率,形成管理上、技术上的运维闭环。b)无人值守 使用一体化远程运维系统后,
79、场站端无需运维人员值守,可提升自动化运维能力,也减少第三方服务人员的进站频次。c)提效降本 大幅减少现场运维人员数量,从而降低人力成本。提高集控中心配备的精干运维人员工作饱和度,覆盖各场站的远程运维工作,提高运维频次,及时发现场站二次系统隐患,也可快速提升运维人员的专业能力。d)安全合规 对运维全过程进行认证授权、安全防护,对高风险操作进行二次授权,保障运维操作安全可控,保障站端电力监控系统的网络安全。同时,通过运维过程全流程多维度的审计,做到事后可追溯,责任清晰。64 案例 D:西山煤电某煤业公司资产巡检管理系统项目 项目背景 煤炭的生产过程中,矿井机电设备是煤矿采掘的基础,机电设备的检修和
80、管理是整个煤矿安全管理的重要组成部分。由于煤矿井下生产环境复杂,空间相对狭小,空气湿度较大,工作条件及其恶劣,再加上电气设备和电缆易受砸压而使绝缘损坏,所以井下极易发生人身触电、漏电及短路等一系列的电气故障,给煤矿的安全生产带来一系列的困难:1、台账管理不规范,无法及时对新设备和报废设备进行登记;2、巡检难度大,井下工作条件复杂,纸张记录不易保存,难以查阅;3、历史信息查阅不方便,对巡检记录难以形成有效利用;4、检修不及时或者漏检,无法判断普通巡检和开盖巡检是否真实有效;5、检修技术知识缺乏,随着机电设备种类的增多,缺乏指导性的文件说明支撑检修工作。因此,必须做好井下机电设备的检修和管理工作,
81、为煤矿的安全生产提供有力的保障。解决方案 煤矿资产巡检管理系统,由煤矿特制 RFID 电子标签+具备煤安认证的防爆手持操作终端+云管理平台构成。通过该系统,可使巡检规范化,避免漏检和无效巡检,至少提升 6550%的巡检效率。综合优势 一站式巡检:规整检修流程,可对巡检项进行个性化配置,即使在离线的情况下,也可通过扫描标签,避免漏检和无效巡检;RFID 标签:煤矿特制 RFID 电子标签采用超高频芯片,IP68 防护等级,可抗金属干扰、耐低温和高温等复杂环境;防爆手持终端:通过煤安认证,深入考虑煤矿井下工作环境而设计,超长工作续航,为日常巡检、运维、检修、设备上下井等工作提供定制化的“最多跑一次
82、”功能设计;巡检管理:针对巡检预先进行提醒,可对巡检项进行个性化配置,防止漏检和无效巡检,记录巡检全过程,并形成有效的数据管理,帮助煤矿企业对全流程数据进行分析和预测;定制化报表:无需煤矿企业信息化人员参与定制过程,只需将想得到的报表结果或纸质文件提供,齐安科技将根据诉求进行定制化报表处理,快速响应及满足客户希望呈现的内容及结果。66 案例 E:中国航天科工集团某研究所安全检测平台 项目背景 随着工业 4.0、智能制造、工业互联网等概念的产生和发展,全球工控产业体系迅速扩大,工控系统的独立性日益降低,工控网络安全面临的风险愈加严峻。各类关键设备都将面对更多样的攻击手段、更隐蔽的攻击形式。中国航
83、天科工集团某研究所针对这一问题,计划建设一体化的工控安全检测与攻击平台,形成完善的设备脆弱性检测能力和完整的测试工作流程,以便高效检测各类设备的安全隐患,提高工控网络的整体健壮性。解决方案 项目研发和部署了工控安全检测与攻击平台,平台依托强大的指纹库、漏洞库等基础能力,通过丰富的测试引擎集成了健壮性测试、脆弱性检测、后门检测、风险评估等测试子系 67统,能够执行资产测绘、漏洞扫描验证、模糊测试、协议分析等全面的安全测试任务。测试任务自动调度,生成详细测试结果,并自动生成测试报告、可视化数据统计等分析信息,帮助用户发现各类测试对象的安全问题,形成高效的安全检测工作方案。同时,平台针对重要的 PL
84、C、工业机器人、数控机床、工业控制系统,分别定制和集成了攻击工具套件,具备对此类重要工控设备的针对性深度测试手段,包括协议漏洞攻击、终止 CPU 运行攻击、DoS 攻击、敏感数据窃取等。能够确保针对工控设备的安全测试深入有效,提高工控设备和工业现场的安全水平。工控安全检测与攻击平台部署完成后,协助该研究所建立了深入有效的安全测试手段和完整的安全检测工作方案,切实提高了对各类设备的深入检测能力和对工控网络的整体防护能力。综合优势 覆盖面广:依托 10 万余条漏洞数据及 40 余种工控协议的解析,测试对象覆盖工控设备、安防设备、网络设备等六大类约 2000 余种设备,均具备全面的扫描和攻击测试能力
85、,针对PLC 等关键设施还具有深度测试能力,建立了完整的测试手段和测试工作方案。准确性高:依托庞大的设备指纹库、漏洞库和测试用例库,能够准确发现各类设备的脆弱性问题,深度发掘未知漏洞,保障安全测试的高效可靠和结果的准确性,工控设备的典型漏洞扫描准确率可达 95%以上。集成度高:各类安全测试引擎深度集成,通过简洁易用的 UI 界面提供完整测试方案执行及测试结果展示能力,进一步提高安全测试工作效率。68系统架构 案例 F:某油气田公司等级保护解决方案 项目背景 某油气田公司主要经营油气勘探开发、炼油化工、油气集输和销售业务,近年来公司积极推进数字化转型,OT 与 IT 的融合打通了公司生产、集输、
86、销售环节,使得原本封闭的系统、数据、网络不在封闭,暴露在互联网之下。极易引起恶意攻击、管理性操作失误等,造成以下系统安全事故的发生。通讯网络风险:油气田内部网络无任何审计措施,无法鉴别内部的网络运行状况,对于内部病毒,木马、入侵攻击等行为缺乏必要的审计措施,出现问题无法有效定位,69溯源,同时生产数据无加密传输,内部存在窃取、篡改的风险 主机安全风险:油气田各场站,作业区、净化厂、分公司存在大量主机、服务器,这些主机涉及日常生产操作,未进行合规的安全配置及安全防护,容易遭受勒索病毒、U 盘木马等安全风险。边界防护风险:油气田生产控制网各子系统做了相应的区域划分,但是处于逻辑互联的状态,缺乏有效
87、的隔离和防护手段。70解决方案 边界防护:在各场站接入作业的监控中心前部署工控防火墙。允许生产数据上送,防止企业内部敏感数据泄露,同时阻止外部非法工业指令下发,以保护工业生产网络安全。网络监测:在作业区边界进行安全监测,部署工控网络安全审计系统、工控入侵监测系统。71主机防护:部署工业主机卫士,有效保护主机的安全状态,部署 USB 隔离设备,防止病毒传播。统一管理:在作业区的的生产汇聚交换机部署运维堡垒机系统、工业安全集中管理系统。对网络中部署的所有安全设备进行统一监控、日志采集泛化、安全分析、策略下发,为工控网络安全运营提供决策支持。加强安全事件响应速度与安全运维能力,提升工控网络整体信息安
88、全水平。综合优势 数据防泄密 提升公司油气开采、输送等过程中的安全可靠性,降低或避免敏感业务数据通过网络传输过程中所面临的窃听、恶意篡改、中间人攻击等风险。设备统一管理 将地域分散的网络中的安全设备、网络设备、工控设备、工业主机卫士统一管理,策略下发,对日志进行集中统一管理、减少管理人员工作量,降低人力投入,提高了运维人员工作效率。六、适用行业:电力、煤矿、军工、烟草、轨道交通、市政燃气、石油石化、智能制造 七、联系人姓名及职位 72姓名:薛琨 职位:副总 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:让工业更安全 让安全更简单 浙江齐
89、安信息科技有限公司董事长、创始人兼研究院院长 阮涛 74青莲云 一、公司名称:北京方研矩行科技有限公司(青莲云)二、公司 logo:三、物联网安全产品名称:物联网终端系统安全管理(TinyEye)物联网终端安全接入网关(TinyGate)物联网固件安全检测平台(TinyScan)四、产品特点及优势:1.物联网终端系统安全管理(TinyEye)特点:TinyEye 针对设备系统安全能够提供跨平台的终端安全管理能力,覆盖系统基线安全、文件安全、登录安全、流量安全、行为安全等全方位的终端设备深 75度监控体系,将处于企业 IT 系统边界防护之外的终端设备统一集中管理,通过与安全管理平台的联动,可以针
90、对异常攻击行为进行主动防御,实现精确到每台设备的实时安全管控。优势:业界首创、多操作系统兼容、支持定制化、实时监控、实时分析、实时告警、主动防御、热补丁、黑白名单、资源占用低,已适配多家厂商终端产品(案例多)。2.物联网终端安全接入网关(TinyGate)特点:TinyGate 提供设备安全接入能力,覆盖设备授权、身份鉴权、密钥管理、加密传输、会话管理、数据签名等多种功能,保护物联网设备及数据免受重放攻击、伪造攻击、数据篡改、会话劫持等网络攻击,并通过安全 API 和 RPC 系统调用与企业后端业务平台无缝集成,保障整个通信链路的安全和数据完整性。优势:业界首创、符合等保 2.0 物联网安全扩
91、展部分合规要求、兼容性强(已支持国内外主流通信模组和嵌入式操作系统 30 余款)、支持多种加密方式、支持低功耗、支持国内主流安全芯片、支持双向三重身份认证、支持一机一密、支持一连一密、支持动态密钥、支持会话生命周期管理等多种通信链路安全机制。763.物联网固件安全检测平台(TinyScan)特点:物联网安全检测平台以 SaaS 服务的形式,提供覆盖设备固件、等保合规、客户端 APP 的远酲自动化安全检测服务,并出具可下载、可复测的企业专属安全检测报告,帮助企业建立属于自己的安全测试流程,定期监测产品安全漏洞。优势:动/静态双检测引擎覆盖设备端、客户端的全栈物联网安全检测平台、数百种检测策略、云
92、端检测集群极速分析、详细的漏洞修复建议。平台已通过中国信息通信研究院“先进网安能力验证评估计划”第六期云(原生)安全产品测试,符合 FT-S04-015-01网络安全产品能力评价体系 物联网终端安全检测与防护产品评价方法的检验标准。五、成功案例:如案例需脱敏,案例名称可参考:案例 A:某电网配电物联网安全建设项目 案例 B:某分布式光伏能源物联网安全建设项目 案例 C:某银行物联网金融安全建设项目 案例 D:某市智慧环保物联网安全建设项目 77六、适用行业:能源、金融、环保、水利、智慧城市、商业地产、工业制造 七、联系人姓名及职位 姓名:杨贺 职位:市场 联系方式: 八、
93、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:物联网时代下的边缘设备面临着许多维度的安全风险,针对此种现状,青莲云采用“分层部署,纵深防御”的核心思想构建整体安全架构,用软件定义物联网业务安全,实现端到端安全覆盖,一方面解决了物联网边缘设备如路由器、网关、DTU 等系统级安全问题,另一方面也解决了物联网云平台边缘安全问题,助力企业实现稳定的数字化、智能化转型。青莲云创始人兼 CEO 董方 79 软极网络 一、公司名称:软极网络技术(北京)有限公司 二、公司 logo:三、物联网安全产品名称:软极全栈数字靶场平台 四、产品特点及优势:特点:软极全栈数字靶场平台具有“大规模环境
94、灵活逼真构建、细粒度任务导调、全面实时数据采集与分析、多维资源标准化融合、全域智能量化评估、分布式互联与管理”等卓越能力,是国内首个实现全栈能力的网络靶场平台。基于强大的平台能力,软极网络坚持“平台 80+生态”理念,联合生态伙伴共同实现行业应用场景的繁荣,支持全行业、全场景的网络空间安全能力提升。优势:软极网络基于 1 个强大的全栈能力靶场平台,延伸出极智靶场、极灵靶场、极云靶场和极盾主动防御系统 4 大产品体系,并根据行业应用的独特需求,联合生态伙伴打造了面向城市靶场、工控靶场、车联网靶场、密码靶场、教育靶场、测试靶场、数据开放靶场等 N个业务场景的解决方案,形成完整的 1+4+N 产品与
95、解决方案体系。1.极智靶场是全能型的网络靶场产品,能够快速构建虚实互联、高逼真度的仿真场景,详细定义试验任务,全量采集试验数据,全方位分析、评估网络安全潜在威胁,从而满足全业务场景、全生命周期的网络安全管理需求。2.极灵靶场是一款轻量化、易部署的教培型网络靶场产品,助力高等院校及网络安全职业教育机构高效完成教学任务。3.极云靶场基于云开放靶场提供 CRaaS 服务,让用户能够快速开展网络场景仿真、安全测试、人才训练、攻防演练等业务。4.极盾是基于“盾立方-四蜜”体系构建的主动防御产品,对关键系统进行“攻击感知、攻击吸引、攻击观测、溯源威慑”的立体防护。81五、成功案例:某客户的工控靶场项目 一
96、、客户痛点:1、攻击难复现,场景复杂,多协议、多技术、多设备新老并存,安全问题难以有效验证、复现和推演。2、场景难共享,仿真工业场景周期长,费用多,缺乏有效的互联互通技术机制,难以快速共享共用。3、技能难提升,工控安全技能零散多样,需要指导性学习框架和实战环境,但不能干扰生产环境。二、解决方案 三、方案亮点 开箱即用:内置典型工业场景基础模板,提供网络仿真、漏洞、攻击工具和攻击路径以及对应处置流程的全套要素,场景搭建快速便捷 82互联共享:同构异构互联,共享靶标,共享资源,统一的资源控制,集约建设,高效共用 学用衔接:技能树指导学员成长,不仅仅是理论学习,融合动手实验,培训案例化,实验场景化,
97、考试实战化,巩固知识,学以致用 四、应用场景 工控安全技术研究,仿真构建关键工业基础设施的工业控制、信息管理、办公 OA 等系统,解析 DCS、PLC、SCADA 等工控系统协议,深度挖掘工控系统漏洞,研究工控网络攻击技术。工控系统安全评估,借助先进的大规模虚拟化和虚实互联技术,工控靶场可以在有限的资源内一比一复现真实工控网络,进行工控系统的安全渗透测试、数据采集分析和安全评估。工控安全产品评测,工控安全产品接入到逼真复现的工控网络中,真实测试产品的防护能力,验证产品的选型和部署,评估对控制系统的影响,避免干扰生产。工控安全人才培养,开展学习、演练、竞赛等一系列活动,提高工控网络安全人员和运维
98、人员的综合技术水平,提升网络安全应急能力。六、适用行业:软极网络靶场已服务于多个国家级靶场以及政府、教育科研、能源、通信、智能网联汽车等关键行业,其中包括鹏城靶场、宁波工 83控靶场、中汽创智车联网测试靶场、某公安省市一体化分布式靶场等多个具有行业标杆意义的大型网络靶场项目。七、联系人姓名及职位 姓名:王琦 职位:品牌市场 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:我们致力于提升软极全栈数字靶场平台核心技术能力,打造专业的网络靶场平台。基于对技术革新和行业发展的深度理解和独特见解,我们独创了“Powered by”和“Inside
99、in”双模式的“平台+生态”战略,我们期待与优秀的生态伙伴共同合作,以方案竞争力为基础,提供更高效、更专业的服务。期待与您共同探索新的可能,打造领先的网络靶场解决方案,实现用户的最佳体验,释放业务价值。84郑志彬,软极网络联合创始人兼 CEO,博士,教授级高工,鹏城国家靶场项目副总师。历任华为无线标准预研部经理、安全解决方案部部长、公司战略部副部长、全球智慧城市业务部总裁等;担任北京邮电大学、广州大学客座教授;兼任中国网络空间安全协会副理事长、中国通信标准化协会通信与数字安全技术委员会副主席;长期从事网络安全、智慧城市、云计算、大数据等领域的研究,拥有发明专利 150 余项,获得国家技术发明奖
100、二等奖两项。85三未信安 一、公司名称:三未信安科技股份有限公司 二、公司 logo:三、物联网安全产品名称:三未信安 IPSec SSL VPN 综合安全网关、三未信安密钥管理系统、三未信安数字证书认证系统 三未信安 XT200 物联网安全芯片 四、产品特点及优势:1、三未信安 IPSec SSL VPN 综合安全网关:86特点:双安全协议支持 提供完善的物联网定制协议;多层数据加密支持 采用虚拟网卡等技术实现 L3L7 层数据加密支持;各类业务广泛的支持 能够支持 TCP、UDP、B/S 应用和 C/S 应用等;安全合规 综合安全网关采用高安全强度的国产密码算法保护传输数据,符合公安部、国
101、家密码管理局等相关部委制定的政策法规,符合等保、密评等对数据加密传输的保护要求。优势:更严格的身份鉴别 基于国产商用 SM2 算法的身份认证机制,产品通过国家密码管理局检测,可有效防范身份冒用等安全风险;多种密钥管理方式 综合安全网关对密钥采用集中管理,并通过专用密码模块加密保障密钥的安全。综合安全网关支持对接三方密钥管理系统,在密码建设中有效降低密钥管理的复杂度。87 多场景加密传输 综合安全网关支持多种平台客户端对网关、网关对网关等多种加密传输应用场景,用户可选择适合自身场景的加密传输方式。2、三未信安密钥管理系统:特点:加密对象全生命周期管理 安全密钥生成、安全密钥下发、安全密钥运算 多
102、种算法密钥管理 丰富的开发接口 分布式部署 优势:加密对象统一管理 支持对称密钥、非对称密钥、数字证书和秘密数据等多种加密对象的统一管理,并提供加密对象的生命周期管理、加密属性管理及策略配置。KMIP 协议支持 支持标准的 KMIP 协议,对已经实现 KMIP 协议的客户系统无需任何对接,注册后直接实现系统调用,大幅度降低企业运营成本。细粒度密钥策略 88对每个密钥分配唯一密钥用户,只有认证后的用户才能访问相应密钥,可对密钥设置加解密、签名验证和密钥获取等控制策略,并配置密钥的访问时间等细粒度控制,通过访问控制策略保证密钥的安全使用和安全管理。丰富的应用场景 支持业务系统敏感数据加密和密钥管理
103、、虚拟机加密、数据库透明数据加密、文件系统与磁盘加密等丰富的数据加密和密钥管理扩展方案。合规性 采用合规的密码算法、密码产品、密码协议和密码技术,硬件密码模块(HSM)采用符合国家批准的三级密码模块或 FIPS 140-2 level 3 硬件。3、三未信安数字证书认证系统:特点:系统按照功能可以分为签发管理服务和 RA 管理两大部分。签发管理服务主要负责各种证书管理业务的处理;RA 管理支持用户在线申请、证书更新、证书冻结、证书解冻、证书延期证书注销、证书下载、密钥恢复等功能的人机交互,在人员管理上采用 3 级管理模式,各级人员分管不同业务处理,每种人员在执行操作时进行签名以保证操作的不可抵
104、赖性。优势:安全密钥存储 89安全密钥存储是 PKI 平台中安全技术的核心,是安全的重要保证。本系统采用 SJJ1012 加密服务器生成、管理 CA 根密钥及系统密钥,并能够支持符合密码设备应用接口规范的硬件密码设备。大容量证书 系统通过使用合理的架构及稳定的数据存储方式,可支持 100 万-1000 万证书的应用管理。合规高强度密码算法 系统支持国家密码管理局指定的 SM1、SM2、SM3、SM4 密码算法,极大提高了密码保护强度。成熟规范的设计架构 系统采用业界主流的内部模块架构方式,方便系统模块的组装,以及日后的维护、扩展,能够适应高速的业务处理需要,使整个系统适应未来业务的发展和技术升
105、级的需要。采用先进的内存检测机制,保证业务服务系统无内存冲突、泄露,保证长期稳定运行。完善的自身保护措施 支持多种硬件加密设备及密码算法;支持基于数字证书的身份验证机制;采取局域网的构建技术,对网络设备进行安全配置;管理员采用硬件密码设备进行身份认证。90 并行处理能力 系统采用多进程、多线程模块化设计,拥有强大的并行处理能力。可移植性 CA 系统服务器采用纯 java 语言开发,可支持多种操作系统平台;终端插件支持多种浏览器,包括 IE9+、火狐、谷歌、360 等。多证书支持 系统支持 RSA、SM2、ECDSA 三种算法,系统能够初始化三种算法根,依据需求颁发任一算法的证书。灵活定制 系统
106、各项策略配置具备极强的灵活性,并且能够对模块进行裁剪,即可建设大规模运营级系统也可定制化企业级系统。在线能力 依据 CMP、TCP 协议提供在线 API 方式为移动终端提供证书签发能力,同理能够无缝对接支持 CMP、TCP 协议的第三方应用服务器进行整体方案集成。4、三未信安 XT200 物联网安全芯片 特点:XT200 物联网安全芯片是三未信安面向物联网等安全领域推出的低成本、低功耗密码芯片,采用高安全等级设计、具有较高的算法性能,可应用于物联网终端设备、工业互联网、车联网、区块链、智慧城市、智慧农业、智能家居、智慧医疗、充电桩等。91XT200 物联网安全芯片具备密码算法全、性能高的特点,
107、支持全系列国密算法、真随机数发生器、硬件安全以及唯一芯片序列号。优势:这款芯片基于国产 32 位 RISC-V 处理器设计,最高主频 150MHz,支持主流RTOS 操作系统;算法方面,支持 SM1、SM2、SM3、SM4、SM7、SM9、ZUC 全系国密算法及 AES、DES、RSA2048、ECDSA、SHA256 等主流国际算法,其中 SM2签名性能可达 10000 次/秒,验签可达 3500 次/秒,SM4 加解密性能可达 70Mbps。此外,该款芯片应用接口丰富,支持 GMAC、USB、UART、SPI、I2C、CAN 等通信接口;安全等级高,符合国密二级安全芯片设计,满足工业级设计
108、;同时还支持区块链专用密码算法 ECDSA(secp256r1/secp256k1/Ed25519 等),可用于实现区块链数字钱包等。总体而言,XT200 物联网安全芯片是一款适用于数据安全、车联网、安全网关、工业互联网、区块链等市场的芯片产品。五、成功案例:如案例需脱敏,案例名称可参考:案例 A:四维图新车联网方案 92 案例 B:工业互联网密码安全认证与数据安全合规性案例 三未信安致力于工业互联网技术体系的中的研究,在高速加密硬件研究、结构化/非结构化数据加解密、安全认证等工作上都有长足的研究。目前已经参与到工业互联网创新发展项目、新基建、核高基等项目建设当中,研究使用、产出了包括密码服务
109、平台、密钥管理系统、标识解析解析 handle 身份权限管理系统、多标识协议解析安全认证网关等产品。联合发布工业互联网标识解析安全白皮书;牵头或参与制定工业互联网标识解析接入认证 安全接入认证框架等工作。已经与茅台、海康等联合分别实现了数据溯源工作。六、适用行业:七、联系人姓名及职位 93七、联系人姓名及职位 姓名:郑晶晶 职位:市场部经理 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:数据安全对密码的需求是广泛的、多样化的,各种形态的数据在存储、流转、使用等过程中需要不同的密码技术来支持。因此,密码厂家应该利用自己的优势,结合新需求进
110、行创新,满足数据新业态的需求;同时,要进行密码技术标准化,把密码产业做大、做强。张岳公 三未信安科技股份有限公司董事长兼总经理 95烁博科技 一、公司名称:烁博信息科技(上海)有限公司 二、公司 logo:三、物联网安全产品名称:视频综合安全网关 视频安全接入网关 物联网安全基座 脆弱性检测系统 视频安全准入系统 纵向安全防护系统 安全管理平台 96安全联网设备 视频防泄密 视频安全审计 透传水印网关 视频/数据安全交换接入系统 公共显示屏内容安全 四、产品特点及优势:视频综合安全网关 特点:准入控制:能够根据不同设备类型、个性化准入规则,设备品牌、设备标签等不同维度的实现精细化准入控制,并对
111、仿冒、私接终端实时阻断。资产管理:基于设备发现感知技术,智能化识别网络中存在的各类资产,实现设备秒级发现,精准识别。安全防护:产品集成了第二代防火墙、防病毒、防 DDOS、入侵防御等功能,支持 IPV4/IPV6 双栈环境,对网络和终端提供全面的安全保护。风险评估:产品集成的漏洞及弱口令扫描能力,能够实现对全网设备的漏洞及弱口令检测功能。防止因设备漏洞或者弱口令而造成的网络攻击风险 社会资源接入:支持将非标协议转换成国标,实现全网共享的需求;支持对视频终端设备进行实时 97的播放和回放。集中管控:支持外置视频安全态势感知平台的集中管理和策略下发,实现统一的存储和展示,统一的管理和分析。优势:前
112、端设备高效管控:内置设备指纹库,通过识别视频设备的 IP 地址、MAC 地址、设备类型、厂商等信息,实施指纹准入认证,阻断非法设备入网,保障公安视频传输网安全。资产检测与管理:定期监测合法摄像头资产,发现漏洞及时整改,消除安全隐患。开发者跟踪漏洞信息,更新漏扫库,保证最新视频漏洞扫描。构建边界防护体系:对标 GA/T 1788 标准体系,对多终端数量、多设备类型的网络边界实现全面防护,实现横纵向网络边界立体化防御。多功能一体化:多功能一体化的视频安全设备,一款产品适用于多个场景,满足不同的安全需求。视频安全接入网关 特点:终端准入:绑定物联网数据采集设备的指纹信息,实现基于网络元组、设备指纹以
113、及协议认证等多种方式的白名单准入,并通过多种形式对准入的设备进行分类统计和资产管控;非法外联监测:对终端带宽超限、开放违规端口、异常网络行为、异常协议、连接互联网等方面的异常网络行为进行管控、处理和记录;协议识别:可以解析 GB28181、GA1400、ONVIF、RTSP 等主流视频协议和视频控制 98协议及海康、大华等主流安防厂商厂商私有协议;流量管控:实时对视频流量进行监测并对异常实施控制及告警;风险评估:可对 IPC、NVR、视频平台、数据库等常见漏洞进行扫描和弱口令检测。优势:1、丰富的视频监控 IOT 类设备指纹库及物联网协议库;2、支持虚拟化部署,可利用现有服务器或云资源快速部署
114、;3、多种模式部署,灵活兼容华为、锐捷等主流设备的联动优化。4、集中管理、规模部署,高效便捷。视频防泄密 特点:视频水印防泄密:通过与防泄密客户端的联动,视频调阅过程中画面会被添加各种水印,水印会记录操作人员的客户端用户名、IP、终端 MAC 等内容。截屏录屏防泄密:视频防泄密客户端会对操作终端的录屏,截屏的动作进行阻断,防止视频通过截屏、录屏的方式外泄。文件外发管控:对视频数据的外发进行审批同时加密,并限制视频查阅的次数、有效期等,超出了查阅次数及有效期的视频数据自动失效。客户端白名单:允许指定的视频客户端软件可以访问视频平台。避免利用第三方视频客户端软件泄漏视频。病毒在线查杀:在不影响业务
115、的情况下对 HTTP,FTP 中上传下载的文件,进行查杀,有效防止在视频终端设备被攻破的情况下,对终端植入病毒,从而进行更广泛的传播。99优势:视频文件透明加密:文件透明加密,不影响视频的正常播放和使用,确保视频文件在传输、存储和共享的过程中的安全性,防止敏感信息泄露。多种水印加密:支持加载文字、二维码和点状多种水印。实现显性水印威慑和隐性水印溯源功能。这样做既可以有效阻止非法使用,又能对违规行为进行溯源,提供更加强大的安全保障。丰富的协议识别库:可识别数百种与视频传输网相关联的应用协议特征,用户可以根据该协议库实施访问控制,实现流量的精细管理。客户端强兼容性:极强的兼容性,可兼容几乎所有的的
116、视频管理平台,对于个别不兼容系统可进行快速的适配处理。安全管理平台 特点:集中管理:提供全网视频安全接入网关设备的集中管理,划分逻辑区域树,远程管理和单独报表查询分支节点,满足集中化管理和个性化配置需求。分级管理:支持管理员分级管理,根据不同的区域进行权限配置,包括只读和读写权限,实现总部、区域和本地管理员的分级管理。实时监控:提供实时监控分支机构视频安全接入网关设备的状态,快速发现和解决异常状况,确保网络稳定高效。统计分析:支持对分支机构视频安全接入网关设备进行区域、终端和服务的安全统计分析,帮助管理人员进行安全分析并制定合理的安全策略。100日志集中:分支机构视频设备实时将日志发送到集中管
117、理平台,实现了统一监控和集中管理日志。异常告警:预设各区域设备的异常告警阈值,一旦超过阈值,设备将实时发送告警信息到集中管理平台,生成异常告警日志。优势:简运维:足不出户管理全网设备,统一配置,简化运维工作。易排障:一键远程管理分支设备,实现故障提前感知,快速处理。易部署:旁路部署完全不影响原有的网络结构,简单方便。助决策:多维度统计分析,辅助管理人员做出最佳决策。物联网安全基座 特点:身份认证:基于 SM9 算法,采用设备硬件特征形成设备指纹进行身份认证。风险评估:智能网络进程防护,全面监控终端行为。攻击防护:基于单包授权技术,隐藏设备暴露面,保证物联网前端设备端口不暴露,攻击无着落点。杜绝
118、篡改:实时扫描物联网采集设备操作系统可执行文件和动态库,保证在运行过程中不被篡改。传输加密:基于国密算法加密传输,保障数据传输安全。优势:多终端融合:可快速适配 LINUX 内核的各类物联网操作系统。101多业务融合:以 SDK 方式嵌入,功能模块化配置。多场景融合:适用于多种物联网采集设备安全防护场景。多维度防护:基于内核驱动层安全防护技术,提供系统级别的安全,稳定性更强,防御更全面。五、成功案例:某市平安校园安全联网方案案例 客户是市教育局 问题及痛点:1、全市区域多个学校,监控设备成千上万,监管难,不能及时发现资产在线情况,不能防止摄像头的假冒及反向入侵;2、校园公共场所视频尚未联网至上
119、级教育主管部门,使主管部门无法及时了解和掌控事件的全局并协调公安、医疗等部门及时处理相关应急事项。客户价值:提升校园、教育局安全管理水平,快速应对突发事件,加强安全监管和预防工作,并为学校及师生提供安全保障。某高速路网视频安全防护方案案例 客户是高速管理公司 项目背景:2019 年 11 月 13 日,交通运输部办公厅发布 全国高速公路视频联网监测工作实施方案 102和全国高速公路视频联网技术要求,要求全面加快推进可视、可测、可控、可服务的高速公路运行监测体系建设。根据要求,高速公路视频监控建设联网应用系统需加强网络安全传输、系统安全保障、重要信息安全管控等技术手段建设,提升高速公路视频监控系
120、统安全防护能力。需求痛点:1、视频准入安全风险:高速视频网相对规模较为庞大,视频监控摄像头分布区域广泛,对于大量视频监控前端摄像头目前尚缺少统一的管理手段;摄像头被破坏,非法入侵者擅自更换高速公路视频网内的监控设备,就可以实现各级视频平台网络入侵和非法数据访问。2、视频数据泄密溯源难:高速公路视频网络与政府部门视频监控网等不同信息系统之间存在着信息交换与共享需求,带来了视频数据泄露的安全隐患。跨平台、跨网络的访问则难以防护,数据泄密后难以追溯。3、安全事件难发现:高速公路网络相对复杂,一旦发生安全事件,传统安全检测机制难以追溯到真实源头并及时告警。4、IPC 资产不可视:各级交通运输部门面对众
121、多的 IPC 资产,管理难度大,存在较大的安全隐患,资产分布广泛,高速发生安全事故时,无法在第一时间直接定位摄像头的具体位置,应急响应不及时。客户价值:视频数据可溯源:防止视频图像数据内部泄露,保障平台之间视频交互的安全。全流程的行为记录,泄密发生时做到快速定位和责任界定。设备安全准入:路段中心处可实现精准拦截,杜绝违规替换及非法外联,降低视频前端非法 103准入风险。视频安全预警及联动处置:精准定位攻击来源,对横向流量访问识别控制,拦截横向攻击,构建全网安全运营中心;同时可实现全网 IPC 资产检视,及时发现风险问题;可通过行为分析识别视频网内异常流量。某地公安视频传输网边界安全方案案例 安
122、全需求:1.公安视频传输网和公安信息网、其他政府委办局专网、互联网之间的数据安全等级不一致,数据安全资源的互换需要有专属的机制实现安全交换;2.公安视频传输网和各级平台与上下级主干网络需要安全的连接和访问控制,防止来自上下级网络的非法访问问题。客户价值:1.安全合规:符合 GA/T 1788、GA/T 1400、GB/T28181、GB35114 等标准。2.实现了对所有边界安全平台的集中管理和可视化监控。集控系统可采集所有边界安全平台的运行状态,收集边界安全平台的系统日志和安全日志,集中进行可视化展示和监控。六、适用行业:公安、教育、金融、交通、运营商 七、联系人姓名及职位 104姓名:秦忠
123、鹏 职位:市场负责人 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:凡益之道,与时偕行。烁博科技将更加坚定发展战略,持续在视频安全领域深耕,加大研发投入,升级产品体系,同时继续加强场景化方案打造,成为新一代数字安全产品及解决方案提供商,全面提升企业的综合竞争力和品牌影响力。李志伟 CEO 105天懋信息 一、公司名称:广州天懋信息系统股份有限公司 二、公司 logo:三、物联网安全产品名称:天懋专网安全雷达系统、天懋边界安全监测系统、天懋专网空间测绘系统、天懋网络违规行为分析系统 四、产品特点及优势:(产品可不止一个,不超过 5 个,特
124、点优势分开来写)产品 特点 优势 天 懋 专 网安 全 雷 达天懋专网安全雷达系统基于用户实体行为分析专网空间态势全面掌控 106系统 (UEBA)技术,大规模网络多源数据感知技术和大数据多维特征融合计算技术等,精准测绘专网空间结构,动态描绘网络资产画像,主动感知、研判全网安全态势,提供智能数据取证,为专网安全管理工作提供全面可靠的数据支撑。多源感知网络空间关键信息,基于大数据多维特征融合计算技术进行网络空间立体建模,动态构建专网网络空间数字化全息投影,洞察专网变化与发展态势。资产画像清晰完整 从资产实体属性、虚拟属性、管理属性、风险属性等多维度构建资产大数据画像,可视化呈现资产全生命周期关键
125、信息。多源感知,多方联动 全方位感知网络边界风险状况,及时发现违规外联、网中网等异常行为,并可联动各类安全产品,实现多层面的边界风险管控。网络防护能力全面提升 多维度捕捉网络攻击痕迹,深度挖掘异常网络行为,强化 IOT 设备风险隐患监测,帮助管理者消除网络监管盲区,强化网络管控能力。自动取证,快速溯源 自动化智能取证,提供风险节点行为画像、资产态势等多维度的详细取证数据,高效协助安全风险事件的核实、追查、取证与追溯。107上线即用,随需扩展 采用非侵入式数据采集技术,旁路部署,简单配置即可上线运行,并可按需扩展。天 懋 边 界安 全 监 测系统 天懋边界安全监测系统解决方案基于多维远程监测技术
126、与网络末梢风险感知技术,可实时监测全网边界防护安全,及时发现违规外联行为,准确定位网中网,感知边界设备,实现网络边界安全防护的有效监管,提升网络安全的纵深防御能力。部署便捷,随需扩展 采用非侵入式数据采集技术,旁路部署、简易配置即可上线运行,支持设备模块按需扩展,不影响网络及业务的正常运行。多源感知,精准可靠 全方位感知网络边界安全状况,及时发现、准确定位风险点,协助管理者快速排除边界风险,消除网络监管盲区,强化网络管控能力。自动取证,快速溯源 自动化智能取证,提供风险节点行为画像、资产态势等多维度的详细取证数据,高效协助安全风险事件的核实、追查、取证与追溯。多方联动,高效封堵 提供标准化数据
127、接口,轻松结合各类安全控制产品,实现多层面、多角度的网络边界风险联合管控。108天 懋 专 网空 间 测 绘系统 天懋专网空间测绘系统基于大规模网络多源数据感知技术和大数据多维特征融合计算技术,精准测绘专网网络空间结构,动态描绘网络资产画像,洞察专网网络空间与资产态势,实现专网网络空间与资产的可视化管理,为专网管理和运维工作提供强有力支撑。空间测绘精准可靠 多源感知网络空间关键信息,基于大数据多维特征融合计算技术进行网络空间立体建模,动 态构建专网网络空间全息测绘模型。掌控专网空间态势 专网网络空间数字化全息投影,实时展现专网空间和资产现状,洞察专网变化与发展态势。资产画像清晰完整 从资产实体
128、属性、虚拟属性、管理属性、风险属性等多维度构建大数据资产画像,可视化呈 现资产全生命周期关键信息。数据检索智能便捷 海量数据标签化模糊查询,智能关联分析检索内容,帮助用户高效挖掘目标数据,为部署和 优化专网管理措施与技术手段提供数据研判支撑。天 懋 网 络违 规 行 为分析系统 天懋网络违规行为监测分析系统结合公安行业的个性化需求,通过多种非侵入式手段采集数据,凭借天懋网络数据智能分析引擎(TINDAE)部署灵活,快速上线 采用旁路部署模式,无需安装 Agent 和应用改造,配置简单,轻松实现入网即上线。全域覆盖,全网感知 109对用户行为数据和网络威胁进行分析,主动监测、识别全网安全问题,如
129、边界安全、违规行为、异常行为及潜在的安全隐患等,并提供回溯分析、追责取证,帮助管理者全方位掌握公安信息网的安全状况,快速处置违规行为,提升合规管理水平。对专网边界进行全覆盖监测,及时发现、准确定位安全问题,消除网络监管盲区,强化边界安全防护的有效监管。提升安全管理水平 内置各级主管单位安全管理和考核指标,合规管理更轻松高效。精准取证,有据可查 基于分析模型精准取证,提供多维度的详细取证数据,快速研判及查处,提升安全威胁事件处理效率与效果。五、成功案例:如案例需脱敏,案例名称可参考:案例 A:某智能制造大型企业办公应用 API 访问控制项目 案例 B:某物联网科技平台企业业务 API 零信任访问
130、控制项目 案例一:某市交警公安视频网安全监测项目 案例简介:在某市交警公安视频网的市局核心节点部署安全监测系统,通过构建主动安 110全监测机制,运用高效、智能的多种数据分析技术对公安网络进行全覆盖的安全监测、分析 客户需求:提升视频网主动安全能力,实时感知边界安全风险、及时监管资产安全状况、主动处置安全隐患,全面保障视频网的安全。案例亮点:-主动探测全网节点的网络行为,对全网安全隐患和威胁数据进行主动监测。为各类上网违规行为和安全威胁监测分析提供安全分析数据和威胁预警信息,包括空间测绘、资产安全、边界安全、网络攻击、异常访问、信令安全、违规行为和安全隐患等。-基于网络流量数据、网络行为数据采
131、集,及综合的数据统计、分析,构建网络违规行为监测分析机制,对公安视频网多维度的行为进行威胁建模,帮助全面洞悉网络与信息安全的态势,更加主动、弹性、及时地应对各类安全事件。-完善安全管理制度,形成有效的安全管理体系,指导安全基础设施建设工作,加强安全运维管理,保障监控发现安全问题或事件能够得以有效、快速处置。111 案例二:某市财政局内网安全监管项目 案例二简介:在某市财政局通过云节点方式部署系统,通过在市级及下级区县单位核心旁路接入云数据节点设备,全面采集全市网络安全数据,经过规整后统一传输给部署在市局信息中心的安全大数据云数据管理设备,综合分析研判网内安全状况,保障财政内网的安全。客户需求:
132、要求符合财政专网网络安全接入规范、绘制网络拓扑结构、禁止非法接入及使用无线等违规行为、并部署具备违规非法外联的产品,严格把握边界安全。案例亮点:-测绘全网节点,梳理网络架构,理清网络家底;-感知边界风险,预防违规接入,保证接入合规;-主动安全监测,研判内网行为,遏制风险扩散;-本地化云节点,集中化云管理,全面高效管理;-加强纵深防御,完善防护系统,保障专网安全。六、适用行业:政府、公安、军队、交通、金融、教育、医疗、运营商 112 七、联系人姓名及职位 姓名:佟天时 职位:市场总监 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:作为国内
133、专网安全领域的引领者,天懋信息基于“主动安全监管”的理念,致力于实现从宏观空间到网络端点各类安全事件的主动感知、智能研判、实时预警、网格化管控、精准定位、快速取证和联动防控,为强化网络空间治理,筑牢网络安全防线,保障业务应用稳定运行,打击入侵渗透和数据窃取案事件提供强有力支撑。帮助政企客户构建更完善的安全监管和治理体系,为国家关键信息基础设施产业发展提供有力支撑。113物盾安全 一、公司名称:上海物盾信息科技有限公司 二、公司 logo:二、物联网安全产品名称:物安盾-智能设备诊断管理平台 四、产品特点及优势:特点:1、通过对物联设备运行数据的采集,实现从设备离线根因分析,研判故障节点和责任范
134、围,打通配自系统数据,结合流程化消缺工单指派消缺人,生成处置建议,提升配网终端的消缺时效。1142、通过对 FTU、DTU 等远程通信模组(CPE)设备进行优化替换,可提升 CPE与主站间加密通道的稳定性和安全性,自主离线优化通信方式,提升配电终端设备的在线率。3、安全接入区的故障终端检测装置可针对电力 IEC-101、104、61850 开启基线自学习模式,通过链路基线、流量大小、内容基线、秩序基线、频度基线等建立多维度的数据自学习分析模型。实现报文级的故障分类与研判,辅助故障精准定位。4、依托省市两级平台的数据共享贯通,记录全省内终端的故障类型及故障原因,针对不同厂商设备出现的故障进行统计
135、展示,排名故障率最高厂商,反馈厂商故障原因提升终端质量。优势:1、实现终端安全一对一保护,安全微隔离,解决东西流量安全问题。2、管理平台一旦完成安全策略下发后,终端安全策略可以在设备本地独立执行,保护终端免受侵害。3、结合场景下的业务需求特点以及未来互联网的发展趋势,通过全面采集现场 的设备本体信息、流量信息、协议报文等构建物联网安全源数据,对源数据采用机器学习等大数据分析技术进行分析形成物联网安全基线,基线包括资产状态基线、资产行为基线、网络连接基线。基于基线去分析识别现场的安全隐患、安全事件。异常行为等 115五、成功案例:客户名称:某石油有限责任公司 行业:储能 客户需求:对油气田井区、
136、计量间、集输站、联合站等相关业务站点的前端物联网设备做好安全状态监测与安全防护,需对其整个油气生产物联网系统构建统一的物联网安全管理平台。项目价值:在油气田井区、计量间、集输站、联合站的作业监控终端、采油机等终端前部署物盾物联网安全服务平台,为终端提供一对一安全防护,防止油田被偷盗采集,减少损失。对运行状态及安全状态常态化监控,保护传输链路通信安全,在油气生产物联网业务系统区域部署物联网安全感知与管理平台,数据实时回传,为油气田日常的安全运维提供安全监管抓手。客户名称:某电力有限责任公司 行业:电力 客户需求:业务环境中存量智能电网设备频繁掉线、业务部门、运营商与维保部门责任主体划分不明确,设
137、备故障溯源难。项目价值:满足电力 36 号文中所指出的“安全分区、网络专用、横向隔离、纵向认证”十六字方针。针对电厂工业系统的不同层次,基于“一个中心,三重防护“的指导思想,在每层都提供了必要的安全防护机制。构建了以预测为核心的事前-事中-事后处置体系,针对目前地潜在攻击威胁具备极强的抵御能力。通过深度电力协议解析,快速帮助业务部门准确定位设备故障及安全事件发生源头,116同时还能够帮助运维技术人员快速分析故障、准确定位故障点、高效排除故障,有效减少生产网故障中断数量和中断时间,保障生产网高效、稳定运行。六、适用行业:交通、电力、石油、水利、智能制造等 七、联系人姓名及职位 姓名:余雪梅 职位
138、:市场 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:物联网的快速发展为我们带来了无限的可能性,但也伴随着巨大的安全风险。在这个数字化时代,保护数据和设备的安全至关重要。物盾科技致力于成为您的可靠合作伙伴,为您提供全面的物联网安全解决方案。我们拥有专业的团队和先进的技术,能够帮助您识别和应对各类安全威胁。我们将与您紧密合作,共同构建一个安全、可信赖的物联网世界。物盾科技创始人 CEO 汤晓冬 117。118星阑科技 一、公司名称:北京星阑科技有限公司 二、公司 logo:三、物联网安全产品名称:Starcross loT Securit
139、y monitoring Platform 四、产品特点及优势:1、Starcross loT Security monitoring Platform 星阑科技物联网安全监测平台可以帮助用户解决物联网中存在的安全风险和威胁,确保物联网设备、通信网络和数据流动的安全。特点:1)实时性:平台具备实时监测和响应能力,能够及时检测、警报和处理威胁事 119件,减少风险造成的损失和影响。2)智能化:平台利用大数据分析和模式识别算法,可以发现隐藏的威胁模式和攻击方式,并提供智能的安全决策和防御策略。3)综合性:物联网安全监测平台能够覆盖整个物联网生态系统,包括物联网设备、通信网络、数据传输等多个层面的安
140、全监测和管理。4)可扩展性:该平台支持灵活的部署和资源扩展,能够适应不同规模和复杂度的物联网环境,满足不同组织的安全需求。优势:1)全面保护:物联网安全监测平台能够全方位地保护物联网设备、通信网络和数据的安全,提供综合性的安全防护措施,降低威胁对整个系统的影响。2)智能分析:通过大数据分析和人工智能技术,平台可以对物联网中的安全数据进行深度挖掘和分析,发现潜在的威胁,并提供智能的安全决策支持。3)提高效率:自动化的监测和响应能力减少了对人力资源的依赖,提高了安全事件的处理效率,同时减少了误报和漏报的风险。4)合规性支持:该平台提供标准化和合规性的安全管理功能,能够满足行业法规和安全标准的要求,
141、帮助组织达到合规性目标。2、物联网智能安全监测系统 随着人工智能技术的进一步发展,深度学习和增强学习算法将在物联网安全监测系统中得到更广泛的应用。这些算法可以通过分析大量的安全数据并对模式进行学习,提高对威胁的检测准确性和速度。120特点:1)自动化:该系统采用人工智能技术,能够自动进行异常检测、行为分析和威胁识别,无需人工干预。2)持续性:系统能够实时监测物联网设备的安全状态,并对潜在威胁做出快速响应,保持安全防护的持续性。3)高效性:利用机器学习和大数据分析能力,系统能够快速发现和识别异常活动,减少了对人工资源的依赖,提高了安全性能。4)精确性:通过深度学习算法和模式识别技术,系统能够准确
142、地识别恶意行为并与正常行为进行区分,降低了误报率。优势:1)及时防御:系统通过实时监测和主动应对威胁,能够迅速识别并阻止潜在攻击,降低了事件溯源的成本和损失。2)弹性适应:该系统能够根据不同的物联网设备和网络环境,智能调整安全策略和防御规则,以适应不断变化的威胁。3)全面保护:系统覆盖了整个物联网生态系统,能够对连接的设备、传输的数据和通信渠道进行综合性的安全保护。4)数据智能分析:通过对大量安全数据的分析和挖掘,系统能够发现隐藏的威胁模式和异常行为,提供更全面的安全防护。5)降低成本:自动化监测和响应减少了对人力资源和手动操作的需求,同时能够及时发现问题并采取措施,降低了安全事件的处理成本。
143、121五、成功案例:如案例需脱敏,案例名称可参考:案例 A:某智能制造大型企业办公应用 API 访问控制项目 案例 B:某物联网科技平台企业业务 API 零信任访问控制项目)客户:某智慧交通科技公司 所属行业:智慧交通 客户需求:解决实时监测问题以及智能数据分析模型的落地 解决办法:物联网智能安全监测系统应用于智慧交通,与客户本身的监控系统进行嵌入式结合,可以进行实时监测交通设施和车辆等的运行状况,发现异常并及时处理,保障基本出行安全;对设备信息总览,批量导入设备,自动配置设备参数;采集策略管理,可定时、分时段、分条件、实时进行在线采集;设备健康实时监控,包括电压、通讯状态、地理信息、环境量等
144、要素;集成设备交互、配置、升级等各项功能,精细化管理,大大缩短运维时间;通过分析历史数据和实时数据,可以更好地预测和优化路况,指导交通规划和调度,提高道路利用率和运输效率;帮助客户实现自动化监测和处理,减少了对人力资源的依赖,降低了管理成本。122 客户:某大型工控公司 所属行业:工控物联网 客户需求:解决工业物联网系统面临的安全隐患 解决办法:星阑科技采用开放式系统设计,集工业现场网络、数据采集、协议解析、边缘计算、时序存储、应用容器等核心能力为一体。有效整合设备连接、系统接入、数据资产、工业机理、边缘算力与组态模型等资源。轻松实现工厂全要素的数据互联,打破数据孤岛,协助企业进行工业物联网内
145、部资产管理,降低运维成本。系统支持千万级设备接入、百万级消息并发能力,提高安全可靠的数据处理能力,方便各种设备安全的接入并实现大数据汇聚。支持资产主数据的集中管控与分发。提供一站式业务数据管理能力:数据填报、数据存储、标签管理与数据资产查看。提供广泛的数据分享服务,适配主流北向协议,支持定制开发,支持多种部署方式,包括私有化部署,公有云或者混合云部署的部署方式。123 六、适用行业:互联网、车联网、政府、智慧交通、工控、医疗、智慧城市 七、联系人姓名及职位 姓名:郝明 职位:市场总监 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语:随着“
146、互联网+”时代的到来,物联网发展愈发迅猛。与传统信息安全领域威胁相比,物联网终端更关联了实际资产,一旦出现安全威胁,损失的不单单是信息资产,更有可能产生直接的人身安全或生产资产安全问题。而且,物联网的采用呈指数级增长,面临着海量的物联网设备和传感器,保护这些设备免受攻击和未授权访问的威胁至关重要。物联网设备之间的相互连接和数据交换,网络安全将变得更加复杂和严峻。星阑科技长期投入打造数据基座与智能化基座,以应用层基础数据为核心帮助运维与安全团队构建多场景一体化监测方案。其中包含了先进的数据采集、大数据 124分析平台、AI 技术,通过高度自动化的方式实现对海量数据的高效处理和智能化管理,不仅可以
147、帮助企业构建完善的数据流程和数据资产管理体系,还能通过深度挖掘数据的潜在价值,为业务提供全新的商业洞察和决策支持。星阑科技DataGPT 大模型使用运维、安全、数据治理等长期积累的行业数据进行精调。其核心作用一是凭借数据关联与推理能力拓展检测效果边界、二是通过丰富的知识库与专家标注数据提供专业领域知识的迁移复用,作为“Copilot/智能问答专家”实现行业场景化的运营效率提升。未来,星阑科技将坚守技术创新和客户至上的原则,不断提升我们的产品和服务,为客户提供卓越的物联网安全解决方案,携手并肩,引领物联网安全的新纪元。星阑科技 CEO 王郁 126 中电安科 一、公司名称:杭州中电安科现代科技有
148、限公司,简称”中电安科”二、公司 logo:三、物联网安全产品名称:工控防火墙、工控安全监测审计系统、工控安全管理平台、工控入侵检测系统、配置核查管理系统、网络准入控制系统、态势感知系统、漏洞扫描系统 四、产品特点及优势:1、工控防火墙 特点:中 电 安 科 公 司 的 工 控防 火 墙 是 面 向 工 控 网络 研 发 的 涵 盖 传 统 防火 墙、工控 协 议 数 据 包 深 度 解析、工 控 协 议 指 令 控制 等 功 能 在 内 的 工 控网 络 安 全 防 127护 产 品。产 品 综 合 运用 了 多 核 并 行 控 制、非 共 享 式 TCP 协 议栈、数 据 路径 智 能 优
149、 化 等 多 项 技术,在 实 现 精 确 访 问控 制 和 细 致 指 令 内 容过 滤 的 同 时达 到 较 高 的 性 能 水 平。支 持 灵 活 的 安 全 区域 隔 离 和 丰 富 的 安 全策 略 控 制 功能,实 现 防 火 墙 最 为核 心 的 网 络 隔 离 和 访问 控 制。同 时 采 用 安全 策 略 规 则高 速 匹 配 算 法,确 保安 全 策 略 规 则 查 找 和匹 配 速 度 的 同 时 性 能不 受 影 响。在 流 会 话 基 础 上 实 现了 状 态 检 测 防 火 墙 功能。支 持 对 Ethernet/IP、CIP、DNP3、Modbus、OPC、S7、
150、IEC61850-MMS、IEC104 等 各类 主 流 工 控网 络 协 议 的 深 度 解 析。通 过 集 成 工 控 漏 洞库 和 工 控 入 侵 检 测 特征 库,以 工控 网 络 黑 名 单 技 术 对工 控 网 络 中 的 攻 击 和入 侵 行 为 进 行 检 测 和阻 断。优势:(1)采 用 多 核 架 构 和 高 效的 并 行 调 度 算 法。(2)灵 活 高 效 全 面,场 景支 持 更 丰 富。(3)专 业 智 能 引 擎,立 体防 护 更 安 全。(4)带 宽 优 化 管 理,用 户体 验 更 迅 速。(5)增 值 营 销 特 性,营 销推 广 更 精 准。(6)高 可
151、靠 性。2、工控安全监测审计系统 特点:中电安科的工控安全监测审计系统旁路部署在工控网络中,通过对工控网络流量的采集、分析和监测,可自动发现网络中的所有 IoT 和 ICS 资产,并维护最新的资产清单,显示设备类型、制造商、开放的端口、序列号、固件版本、IP/MAC 地址等。支持 IEC61850、IEC60870-5-104、DNP3、Modbus TCP、S7Comm、CIP、OPC 等众多工业协议深度解析,对网络数据中通讯行为进行建模,自动构建安全基线,快速识别网络异常行为并实时告警。彻底改变工控网络不可知的现状,将工控网络变得“可知”、“可管”,及时发现工控网络中的信息安全风险。优势:
152、(1)全面的工控网络异常行为检测和深度分析(2)支持多达 80 余种工控协议的深度报文解析(3)白名单策略基线自学习(4)强大的工控漏洞库入侵检测能力(5)支持用户自定义协议(6)基于通信流量的网络拓扑图 128 3、工控安全管理平台 特点:工 控 安 全 管 理 平 台 是针 对 工 业 网 络 设 计 的,集 安 全 可 视 化、监测、预警 和 响 应 处 置 于 一 体的 信 息 安 全 产 品。系统 通 过 收 集 并 存 储 工控 环 境 的 资产、运 行 状 态、漏 洞、安 全 配 置、日 志、流 量 等 安 全 数 据,内置 大 数 据 存储 和 多 种 智 能 分 析 引擎,融
153、 合 多 种 情 境 数据 和 外 部 安 全 情 报,有 效 发 现 网络 内 部 的 违 规 资 产、行 为、策 略、威 胁,以 及 网 络 外 部 的 攻 击和 威 胁,及时 预 警,提 供 包 括 工单 在 内 的 多 种 响 应 方式,使 安 全 防 护 和 管理 工 作 规 范化、流 程 化,并 通 过丰 富 的 仪 表 板 将 网 络安 全 态 势 呈 现 给 客 户。优势:(1)采 用 先 进 的 B/S 前 端技 术 架 构,可 视 化 参数 设 置,支 持 自 定 义仪 表板,快 速 便 捷。(2)先 进 的 大 数 据 技 术 架构,满 足 海 量 异 构 数据 的 采
154、集、存 储 和 分析。(3)灵 活 的 组 件 化 架 构 设计。(4)支 持 100 多 种 工控 协议 的 智 能 解 析。(5)多 样 的 日 志 采 集 手 段,全 面 采 集 工 业 网 络中 的 日 志 信 息 并 范 化、统 一 管理。(6)内 置 丰 富 报 表 模 板,自 动 生 成 网 络 安 全 报表,支 持 导 出 多 种 格式 报 表。4、工控入侵检测系统 特点:中 电 安 科 公 司 的 工 控入 侵 检 测 系 统 专 为 严酷 环 境 下 的 工 业 安 全应 用 而设 计。工 控 入 侵 检 测系 统 采 用 多 核 并 行 系统 为 上 层 应 用 封 装
155、底层 数 据,提供 底 层 数 据 的 高 速 转发 和 安 全 感 知 能 力。工 控 入 侵 检 测 系 统 具备 一 体 化 处理 引 擎,支 持 智 能 白名 单 学 习 功 能,能 够识 别 并 对 OPC、Profinet、BACnet、DNP3、IEC104、Modbus 等 工控 协 议 进 行 深 度 解 析。“白 名 单自 学 习+手 动 调 整 策略”的 方 式 对 控 制 访问 做 到 精 细 化 处 理,发 现 异 常 流 量和 行 为 及 时 检 测 和 告警。入 侵 检 测 系 统 能够 识 别 超 过 4000+互联 网 应 用 特征 攻 击 行 为,支 持 基
156、于 规 则 库 的 特 征 行 为控 制,做 到 细 粒 度 的内 容 识 别 控制、审 计 和 安 全 检 测,对 常 见 的 SYN Flood、ICMP Flood、UDP Flood、TearDrop、Land、超大 ICMP 等 异 常 包 攻击 行 为 进 行 检 测。优势:129(1)发 现、映 射 整 个 工 控网 络 系 统、网 络 资 产、资 产 状 态 检 测。(2)对 网 络 数 据、事 件 进行 实 时 监 测、告 警 和分 析。(3)与 防 火 墙、交 换 机 联动 配 合,实 时 拦 截 高风 险 事 件 为 工 控 网 络系 统 保 驾护 航。(4)白 名 单
157、策 略 学 习,为工 控 网 络 系 统 威 胁 事件 提 供 取 证、调 查 有分 析 溯源。5、配置核查管理系统 特点:中 电 安 科 配 置 核 查 管理 系 统 是 一 款 针 对 自动 合 规 性 核 查 的 轻 量级 工具。产 品 采 用 机-机(计 算 机 与 计 算 机)交互 方 式 代 替 传 统 人-机交 互 方 式自 动 访 问 IT 资 产;内 置 丰 富 的 安 全 配 置 知识 库,包 含 信 息 系 统安 全 等 级 保护、工 信 部、中 国 移动、中 国 电 信 等 行 业安 全 配 置 规 范 及 检 查项 要 求;支持 自 定 义 安 全 配 置 基线;采
158、用 机 器 语 言 模拟 人 访 问 IT 资 产 的 全 过 程,自 动采 集 各 IT 资 产 的 安 全 配 置,并 对 安 全 配 置信 息 进 行 自 动 化 解 析,与 安 全 知识 库 中 的 安 全 配 置 要求 及 基 准 点 比 对,以检 查 安 全 配 置 与 预 期的 符 合 情况,并 出 具 丰 富 详 实的 核 查 报 告。系 统 可大 幅 节 省 传 统 的 手 动单 点 安 全 配置 检 查 时 间,提 高 检查 结 果 的 准 确 性,给出 不 合 规 项 和 修 复 加固 建 议,让检 查 工 作 变 得 轻 松 简单。优势:(1)丰 富 的 配 置 核 查
159、 项(2)支 持 自 定 义 核 查 项 目(3)基 于 规 范 模 板 的 配 置核 查 (4)多 样 的 设 备 管 理 模 型(5)灵 活 的 部 署 方 案(6)支 持 多 实 例、多 应 用域 (7)支 持 自 动 探 测 被 核 查的 操 作 系 统(8)提 供 更 细 的 自 有 检 查规 范 粒 度 6、网络准入控制系统 特点:130网 络 准 入 控 制 系 统 是基 于 第 三 代 准 入 控 制技 术、面 向 下 一 代 准入 控 制(NG NAC)的 纯硬件 高 性 能 网 络 准 入 控制 设 备;是 在 总 结 了大 量 内 网 安全 案 例 和 用 户 需 求 的
160、基 础 上,秉 承“无 需改 变 网 络、终 端 部 署灵 活”而 研制 的 新 一 代 入 网 规 范管 理 系 统。产 品 率 先提 出 准 入 平 台 的 概 念,广 泛 结 合用 户 已 有 的 交 换 机、杀 毒 软 件、AD 域、LDAP 服 务 器 等,完 全实 践 了“入网-在 网-出 网”的 整体 化 流 程,能 够 达 到“违 规 不 入 网、入 网必 合 规”的管 理 规 范,满 足 等 级保 护 对 网 络 边 界、终端 防 护 的 相 应 要 求,同 时 提 供 更高 效、更 智 能 的 网 络准 入 防 护 体 系。主 要从 终 端、网 络、人 员、管 理 4 个维
161、 度,对 网 络 使 用、安 全、管 理 中 的 各 种元 素 进 行 全 面 的 管 控。优势:(1)安 全 高 效 的 系 统 平 台。(2)完 善 的 来 宾 管 理。(3)强 大 的 设 备 指 纹 特 征定 位。(4)卫 星 式 安 全 透 视。(5)国 产 化 终 端 安 全 管 理。(6)完 善 的 终 端 补 丁 管 理。(7)Win10 大 补 丁 下发 策略。(8)十 万 点 终 端 集 中 管 理。(9)支 持 复 杂 的 大 网 络 环境。(10)灵 活 全 面 的 权 限 管 理。7、态势感知系统 特点:中 电 安 科 态 势 感 知 系统 是 一 款 融 合 了 大
162、 数据 技 术 和 机 器 学 习 技术 开 发 的全 新 网 络 安 全 态 势 感知 与 监 测 预 警 产 品。态 势 感 知 系 统 采 用 组件 化 开 发 技术,专 注 于 安 全 管 理和 安 全 分 析;集 安 全可 视 化、监 测、预 警和 响 应 处 置于 一 体;通 过 多 种 数据 分 析 方 法 构 建 动 态的、多 层 次 的、全 天候 的 网 络 安全 态 势 知,结 合 等 级保 护 管 理,为 政 企 客户 构 建 网 络 安 全 动 态深 度 防 御 体系。优势:(1)灵 活 的 大 数 据 技 术 架构。(2)智 能 的 资 产 发 现 技 术。131(3
163、)自 有 漏 洞 情 报 库。(4)日 志 集 模 式 识 别 和 可视 化 范 化 技 术。(5)多 层 次 智 能 安 全 分 析技 术。(6)开 放、可 扩 展 的 套 件化 应 用 开 发 平 台。(7)专 业 的 安 全 运 营 服 务团 队。8、漏洞扫描系统 特点:中 电 安 科 的 漏 洞 扫 描系 统 是 在 十 多 年 安 全研 究 沉 淀 和 安 全 服 务经 验 的 基础 上,严 格 按 照 计 算机 信 息 系 统 安 全 的 国家 标 准、相 关 行 业 标准 设 计、开发 的 新 一 代 漏 洞 扫 描管 理 平 台。系 统 涵 盖了 空 间 资 产 探 测、系统
164、漏 洞 扫描、WEB 漏 洞 扫 描、网 站 安 全 监 测、数 据库 漏 洞 扫 描、基 线 配置 核 查、工控 漏 洞 扫 描、WIFI 安 全 检 测、APP 漏 洞扫 描、Docker 漏 洞 扫描、大 数 据漏 洞 扫 描、视 频 监 控安 全 检 测、Windows 安 全 加 固、等 保 合 规关 联 等 模块,能 够 全 面、精 准地 检 测 信 息 系 统 中 存在 的 各 种 脆 弱 性 问 题(如 各 种 安全 漏 洞、安 全 配 置 问题、不 合 规 行 为 等),在 信 息 系 统 受 到 危害 前,提 供专 业、有 效 的 漏 洞 分析 和 修 补 建 议;并 结合
165、 可 信 的 漏 洞 管 理 流程 对 漏 洞 进行 预 警、扫 描、修 复、审 计,防 患 于 未 然。优势:(1)全 面、统 一 的 漏 洞 扫描 (2)领 先、丰 富 的 漏 洞 知识 库 (3)强 大、精 准 的 扫 描 技术 (4)专 业、直 观 的 报 表 管理 (5)可 靠、实 时 的 网 站 监控 (6)完 备、可 信 的 闭 环 管理 五、成功案例:案 例 名 称:某 港 口 物 联 网 网 络 安 全 解 决 方 案 一、项 目 背 景 及 需 求:某港口部署在云平台和边缘计算节点,借助传统信息安全防护措施对应用系统进行网 132络安全防护,通过边缘网关设备协议转换方式实现
166、设备接入安全防护。由于物联网终端接入方式多样,终端设备基数大、分布广,一旦物联网终端被破坏、被控制、被攻击、被滥用,不仅影响物联网应用的安全稳定,导致隐私数据泄露、生命财产安全受损,更有可能危害生产安全,造成更严重的影响。因此,需要进一步加强物联网终端以及网络传输过程的安全能力。中电安科结合该港口现有物联网现状,加快物联网安全保障体系和安全管理体系建设,强化物联网安全技术防护能力,促进物联网健康良性发展,从满足等保要求转变为满足企业网络安全责任,完成港口物联网安全规划。二、物 联 网 安 全 现 状 1、终端种类多规模大,难统一监管。物联网终端数量多,全网资产的具体情况无法准确掌握,存在同类终
167、端产品不同品牌厂家的情况,资产难以统一监管。大量终端设备接入缺少防护手段,不具备配合物联网系统进行加密保护的能力,终端节点面临各种安全威胁和漏洞隐患挑战。2、安全防护能力有限,易被控制。物联网终端物理位置分散,容易通过技术手段进行替换、更改配置、植入病毒等,通过该终端可进入生产网络环境肆意进行破坏。不同的物联网应用在提供服务的过程中,还发挥中间件、通讯数据转发等作用,物联网平台调用数据过程,无法将数据实施全盘纳管,面临着信息窃取、数据外泄、恶意软件、web 网络攻击等应用安全风险。3、数据安全风险大,易被窃取篡改。大量的物联网终端暴露在没有固定网络安全防护能力的环境中,数据端到端传输存储过程都
168、是明文的状态,容易被窃取泄露。物联网采集数据量较大且涉及敏感的个人信息时,采用数据安全防护措施,但数据传输过程未使用 133密码产品,未采用有效的密码算法保证数据传输的安全性。4、数据量大且分散,难以评估管理。物联网场景所产生的告警日志、安全事件和终端数据分布于各个系统内,无法根据这些数据信息全面对资产安全状况进行评估,同时缺少集中处理安全问题的入口,导致安全事件碎片化,增加安全运营人员的工作负担。三、规划目标与原则 1、规划目标 根据物联网安全的实际情况,以筑牢物联网基础安全、防范公共网络安全风险为目标,规划物联网安全框架,加强物联网安全接入能力建设,促进物联网安全建设落地实施,支撑和保障物
169、联网应用的安全有序发展。全面满足合规建设要求。依据GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求中基本要求和物联网安全扩展要求,完善物联网安全架构体系,补充物联网专项安全管理制度和流程,加强技术防护能力,确保满足国家相关网络安全政策法规要求,符合等级保护安全建设要求。加强安全威胁防御能力。依据物联网应用系统特点和物联网业务系统部署情况,结合智慧港口大量物联网终端接入场景,加强密码算法、网关采集、准入鉴权等技术措施,提高物联网数据采集、传输及存储过程的安全防护能力,有效抵御网络攻击等风险,降低物联网业务安全事故的发生。2、规划原则 为了保证物联网安全规划满足某港口整体网络
170、安全发展战略要求,应遵循如下原则进行设计:134需求牵引,全局统筹。紧密贴合港口物联网产业发展现状和趋势,着力构建科学合理、先进适用、开放融合的物联网安全能力,强化统筹协调,指导物联网安全建设有序开展。聚焦重点,智能防御。围绕港口物联网基础设施和重点业务应用,推进关键技术在物联网网络安全中的应用,满足物联网业务的安全防护需求,提高智能防御能力。灵活扩展,多网合一。构建云-边网络协同的灵活扩展架构体系,减少物联网资源消耗、灵活扩展系统应用功能。可信互联,隐私防护。聚合多元数据加强认证鉴权实现全网互联可控,实现敏感数据在不可信网络全程不可见,网络互联通讯行为可追溯。四、物联网安全总体框架 根据某港
171、口物联网系统被保护对象业务属性特性,按照功能层次及技术特点进行物联网安全防护框架设计,建设规划符合政策法规及标准规范要求,平衡物联网应用发展趋势与物联网安全防护要求,依照物联网的安全架构分层模型加强技术防护、完善管理建设、持续运行保障,提高物联网安全防御能力,持续保障业务稳定运行。(1)增强技术防护措施 依据物联网业务系统特点加强安全防护能力,针对智慧港口大量终端、工业设备及视频监控接入的情况,建设实现包括“感知安全”、“网络安全”、“平台安全”的技术防护能力提升。结合密码技术、鉴权控制、准入认证、安全隔离、访问控制等安全技术措施,形成覆盖终端感知、网络传输、平台接入、开发测试、态势感知的物联
172、网安全技术防护架构,提升物联网安全整体防护技术水平。135港口物联网感知终端包括为 RFID、视频监控、智能终端、传感器以及物联网网关等类型,针对不同终端类型,采用不同技术措施提高感知安全防护能力;物联网网络传输过程主要采用无线传输和有线传输两种方式,结合有线和无线的传输方式特性,采取相应技术措施实现网络安全防护能力;物联网平台主要分为统建的部署在云平台的物联网平台,在云安全防护措施的基础上加强安全接入平台建设及安全开发测试环境建设,结合安全态势感知平台进一步完善具备物联网特性的安全功能提升,实现物联网平台的安全技术防护能力提升。(2)完善安全管理机制 针对物联网各业务环节的管理要求,在管理体
173、系基础上,补充完善物联网安全管理制度,设置物联网专职的安全工作岗位并配备安全管理人员,按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,建立健全物联网安全责任制,为技术防护与运行保障提供管理支撑。(3)构建运行保障模式 构建贯穿监测预警、安全检查、漏洞识别、攻防对抗的物联网安全运行全过程保障模式,为技术防护、管理建设提供支撑服务,整合安全防护措施和安全运维能力,实现全面覆盖、持续不断、动态调整的物联网安全运行保障效果。六、适用行业:港口码头 136七、联系人姓名及职位 姓名:赵萌 职位:市场经理 联系方式: 八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方
174、的寄语:近年来,在政策、技术、市场的多重利好驱动下,物联网行业发展迅速,终端智能设备数量呈几何增长。在网络安全领域,工业和物联网安全也是近几年的热门方向。当前我国信息化和工业化正在进行深度的融合发展,各级政府、企事业单位、尤其是传统产业,都是数字化转型的主角。在未来,所有的设备、网络都将打通,呈现“万物互联”的状态。在“万物互联”的发展新时期,我们要注意到,物联网安全的问题已经映射到现实世界,尤其在工业领域、关键信息基础设施行业,联网设备一旦被攻击,将给个人、社会甚至国家带来严重的危害。为了应对工业互联网、物联网、关键信息基础设施行业中的安全问题,中电安科提出“可知、可管、可控”的安全理念,致
175、力于为行业提供更加全面、安全的工业和物联网安全解决方案。“可知”就是摸清家底,利用工控流量监测审计产品旁路获取工控系统的资产信息、流量信息、链路信息、工控行为信息、协议信息等,形成白名单特征库;“可管”是 137指通过多个维度实时与白名单库对比分析,识别异常行为并发出告警;最后是“可控”,有了相对精准的告警信息、日志信息,以及庞大的安全处置知识库,可以从技术和管理两个维度对威胁进行管控,从而达成工控安全防护目标。未来,中电安科将紧跟数字化发展需求,帮助工业和物联网相关单位,构建安全体系和全生命周期安全威胁监测、防护,降低工业和物联网设备因遭受网络攻击带来的损失。杭州中电安科现代科技有限公司总经理赵峰