外接式主机安全防护解决方案-一种外接式计算机接口安全防护产品

外接式主机安全防护解决方案一种外接式计算机接口安全防护产品全球主机安全防护现状及问题国际国内关键基础设施领域主机设备安全防护现状全球海量工业生产控制关键设备及存储、服务器的全球海量工业生产控制关键设备及存储、服务器的USB口、串口等接口无安全防护、无技术管控伊朗核设施2010年2010年，震网病毒席卷全球，伊朗核设施遭受攻击，U盘带入病毒芯片制造2018年，2018年，台积电网络遭病毒攻击，导致生产线全数停摆。直接损失约19亿元人民币，U盘带入病毒数据中心2023年3月，2023年3月，由于数据中心机房配套冷源控制系统工作异常，造成腾讯云、微信出现大面积服务异常电力、石油（开采、运输、炼化）、烟草、煤炭、钢铁、化工、市政、水利枢纽、汽车制造、公共服务、医疗设备、轨道交通、食药电力、石油（开采、运输、炼化）、烟草、煤炭、钢铁、化工、市政、水利枢纽、汽车制造、公共服务、医疗设备、轨道交通、食药品制造、互联网+高端制造、军工制造。具有生产制造设备系统和主机信息安全所涉及行业1、军工行业（航天、兵器、核工业等）军工单位的生产网、试验网使用有大量的数控机床、试验测试设备、服务器、存储设备等，此类设备无法像涉密计算机按照保密标准安装防病毒、三合一等安全保密软件，无法对USB接口、串口等数据接口2、国家关键基础设施行业（石油、电力、铁路、民航等）涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电石油、电力、铁路、公共服务、医疗设施等领域使用有大量服务器、操作员站、工程师站、电力设备、医疗设备、存储设备，这些设备均无法像普通办公电脑安装防病毒、主机审计、工控卫士等安全软件，无法对数据导入导出、日常操作、运维操作进行技术管控和安全审 3、智能制造行业（汽车、药品、芯片制造等）企业的管理网络、生产网络已经和用户端的互联网连通，数据实现了全面互通，信息安全体系架构也已建立，但在最基础的生产端，还存在安全缺陷——生产主机及服务器、存储设备的USB口、串口无有效各类型主机设备长期处于无安全技术防护的“裸奔”状态备数控机床等各类型加工设备具有调试/数据拷贝接口的生产控制设备工程师站操作员站部分服务器所有存储设备CT、核磁、超声等特种医疗设备工控主机设备及服务器软件白名单软件白名单外挂式“网关型”设备现有其他国内外安全产品均无法解决工控主机设备安全防护问题“中间机”“中间机”+客户端软件安全功能受限的问题安全功能受限的问题软件不能具有各种全面的安全防安全功能受限产品升级频率的问题安全产品的核心是各种防护策略正常运行的影响评估也有一定困难升级影响运行平台适用性的问题软件产品只能支持部分windows平兼容性很差软件兼容性的问题软件兼容性的问题软件安全产品与工控主机内所运行的工业控制软件兼容性存在问控制系统稳定运行软件冲突影响运行 “中间机”+客户端软件无法在主机设备使用的原因霍尼韦尔SMX霍尼韦尔SMX Exchange）绕不开软件起到简单杀毒中间机的作用软件方案的通病依然存在赛门铁克ICSP只关注移动介质安全只关注移动介质安全重点关注对移动介质导入的病毒和主机网络防护安全功能单一数据接口管控粗放数据接口管控粗放体业务场景灵活开放使用；一旦数据接口防护手段单一USB介质防护能力弱只能对USB存储介质类型进行授权加密狗等通用USB设备进行细粒度USB介质管理不够细化用户操作主机行为无审计用户对于工控设备本身的操作，如修改控制系统参数配置、非授权访问/删除文件等行为无法审用户操作行为无监管审计数据导入导出措施缺失数据导入导出措施缺失不能杀毒；对于需要从工控设备数据流转无法审计追溯国家网络安全相关法规《信息安全技术网络安全等级保护基本要求》等标准正式发布，2019《关键信息基础设施安全保护条例》2021年9《信息安全技术网络安全等级保护基本要求》等标准正式发布，2019《关键信息基础设施安全保护条例》2021年9保护法》，2021年8月20日发布，2021年11月1日起施《中华人民共和国网络安全法（草案）》动计划（2018-2020）》《中华人民共和国数据安全法》，2021年6月10日发*明确关键信息基础设施保护范围*对个人信息安全防护提出要求2019年5月13日，国家市场监督管理总局召开新闻发布会，正式发布GB/T22239-2019《信息安全技术网络安全等级保护基本要求》2.0版本，于2019年12月1日正式实施。等级保护的对象由等保1.0的信息系统扩展至网络基础设施、云计算、大数据、物联网以及工业控制系统。对网络基础设施、云计算、大数据、物联网及工业控制系统主机设备安全提出明确要求：（一）应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。（二）控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求。（三）应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的应通过相关的技术措施实施严格的监控管理。2022年4月15日，国家市场监督管理总局、国家标准化委员会发布中华人民共和国国家标准公告（2022年第6号），全国信息安全标准化技术委员会归口的10项国家标准正式发布，分别从数据安全、密码算法、风险评估、安全服务、可信执行、可信计算、政务安全、工控安全、移动安全、智能家居安全等维度，对相关安全要求进行规定。中国电子技术标准化研究院联合41家单位制定了GB/T41400-2022《工业控制系统信息安全防护能力成熟度模型》，从工业设备安全、工业主机安全、边界安全、数据安全等10个方面，提出了安全防护能力建设的具体过程。在工业设备以及工业主机安全防护方面提出明确要求：（一）组织拆除或封闭工业主机上不必要的USB、光驱、无线等接口，防止病毒、木马、蠕虫等恶意代码入侵，并避免数据泄露。（二）组织确需使用工业主机外设接口时，通过主机外设安全管理技术手段实施访问控制，不准许未授权的外设终端接入。2020年12月14日，国家市场监督管理总局、国家标准化委员会发布中华人民共和国国家标准公告，发布了GB/T39680-2020《信息安全技术-服务器安全技术要求和测评准则》，从服务器安全功能要求、安全保障要求、安全测评准则等4个方面，提出了服务器安全防护的具体要求。在服务器硬件接口安全防护方面提出明确要求：硬件接口安全，应对具备维护或调试功能的外部硬件接口采取安全控制措施，如采用专用工具、认证等。外接式主机安全防护解决方案所采用的技术路线针对工控主机设备、存储设备及部分服务器无法安装安全软件的特点，本技术方案采用外接硬件的铠甲式主机接口安全防护技术路线，通过通用数据接口（USB、串口、网口等）与工控主机设备一对一连接，因此能够兼容所有品牌的主机设备，兼容所有类型的操作系统，并且能够做到即插即用，不占用主机设备本身的硬件资源，不影响主机内其他软件的正常运行，开创性地实现了无需在主机设备上安装软件就能够对主机的USB接口、串口和网口等所有接口进行全面安全防护和技术管控的目标！即插即用无需与工控主机设备进行适配即插即用无需与工控主机设备进行适配，部署便捷，不会影响工业生产的正常进数据安全可对工控主机设备在日常使用运维过程中的数据拷贝行为实现病毒查杀和操作受控上日常使用的所有USB设备、外接笔基于飞腾CPU及银河麒麟操作系统的PKS2.0体系，软自主可控兼容所有兼容所有可对不同品牌不同型号的工控主机设备实现全面兼容，针对工控主机设备及服务器防护的六大安全功能外接式主机网络防护外接式病毒深度检测与查杀*外接式主机网络防护工控设备的网络数据进行审计和防护。支持对多种工业协议和文件传输协议的解析工控设备的网络数据进行审计和防护。支持对多种工业协议和文件传输协议的解析成多种防病毒引擎外接式数据接口管控外接式介质管控与数据保护外接式数据接口管控工控设备的操作行为进行审计和阻断通信信道隔离网络运维操作审计从硬件架构设计上严格区分USB存储介质传输通从硬件架构设计上严格区分USB存储介质传输通产品多种产品形态针对工控主机设备防护的标准版一对一防护设备针对服务器防护的机架式一对一防护设备产品多种产品形态针对数据中心服务器防护的一对多机柜版防护设备（一台防护设备可防护1-2个机柜的多台服务器）产品现场部署情况况产品现场部署情况产品现场部署情况产品在船舶某制造现产品现场部署情况产品在航空某制造现产品现场部署情况产品在某交通数据中心实行业推广应用情况产品已应用于某核集团、某船舶制造集团、某航空制造集团、某兵器制造集团、中国某汽、某海油、某航信、某部委等多家单位，针对不同品牌、不同操作系统、不同数据接口的数控机床、工控上位机、服务器、存储设备进行全面安全防护和技术管控，在不影响上述设备正常操作使用的情况下，在使用现场做到了全面兼容、即插即用，对上述设备的所有USB口、串口和网口实现了全面管控和审计，可确保上述设备与外接的USB设备、串口设备、外接调试设备之间的数据交换实现可用、可管、可控，得到用户一致好评。产品资质情况产品已通过公安部信息安全专用产品检测，并取得了销售许可证和网络安全产品检测证书。产品已通过国家保密科技测评中心检测，并取得涉密信息系统产品检测证书。是目前首个既通过公安部检测，又通过国家保密科技测评中心检测并颁发证书的工控主机安全防护产品。市场推广及行业应用领域国防装备领域海军火箭军军工科研生产领域航空航发航天兵器船舶核工业电力及新能源领域火电核电水电光伏风电石油石化领域领域油气开采油气炼化油气管网