信息安全事关工业生产运行、国家经济安全和人民生命财产安全,需要切实加强工业控制系统信息安全管理。
工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》中要求:
- “连接管理要求”部分,“严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机”。
- “配置管理要求”部分,“严格账号管理,根据工作需要合理分类设置账户权限。” “定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务。”
- “设备选择与升级管理要求”部分,“加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采用远程在线服务。”
针对以上要求,我们首先会想到使用传统堡垒机,来实现对于外来服务人员操作的管理和审计,但其存在以下弊端:
- 无管控U盘技术手段。无管控使用U盘,会导致感染脆弱的工业控制系统被恶意代码攻击,导致勒索病毒爆发。
- 无串口操作管控手段。传统堡垒机采用网络协议代理技术,无法对工业现场常见的串口运维进行认证、鉴权和审计。导致安全管理面缺失,无法管控串口运维的恶意行为或误操作。
- 采用旁路部署方式。外来服务人员现场直连运维时,传统堡垒机会被绕过,从而会导致管理失控,可能会发生越权操作、后门植入等。
产品简介
针对外来服务人员的现场运维管理需求,推荐使用北京瓷器活科技有限公司自主研发的工业便携运维管理和审计系统(简称“瓷器活工业便携堡垒机”)。
瓷器活工业便携堡垒机采用瑞芯微CPU和麒麟操作系统,是一款大小类似于电脑笔记本的国产化便携式硬件设备,提供触摸屏和基于指纹的双因素认证,便于快速部署、直观便捷操作。基于提供的网口、USB口、串口、HDMI口等多种类型接口的输入口和输出口,设备串接在运维终端与被运维对象之间,实现对外来服务人员现场运维的接入管理、操作授权、操作管理、操作审计。同时,对接入过程进行网络攻击防护和全流量审计,方便事后溯源。
俯视图
前接口板图
后接口板图 通过USB的输入输出接口,瓷器活工业便携堡垒机串接在移动存储介质与被运维对象之间,实现被运维对象对移动存储介质的读写操作,同时实现查杀文件病毒、控制读写权限、文件留存事后审计等。
通过视频线、USB鼠标键盘连接被运维对象,瓷器活工业便携堡垒机实现轻量化与传统KVM运维两种操作模式,实现对于KVM运维的全程屏幕录像和鼠标键盘行为记录。
通过RS232的输入输出接口,瓷器活工业便携堡垒机串接在运维终端与被运维对象之间,实时解析通信,识别管控操作指令。支持IEC101/104、Modbus RTU/ASCII、PPI、MPI、PROFIBUS-DP等常协议的指令级解析。
瓷器活工业便携堡垒机实时解析识别管控操作指令和传输文件,查杀文件病毒,对高危操作进行二次审批放行、报警或阻断。支持SSH、Telnet、SFTP、FTP、SCP、Q/GDW 273、DL/T 634.5101、DL/T 634.5104、IEC 61850、Modbus等协议的指令级解析。
使用瓷器活工业便携堡垒机,通过串行接入方式对外部设备进行鉴权准入、并赋权访问范围及访问端口,同时进行全程网络攻击防护和流程审计,有效管控外部设备接入风险。如运维设备是多台,可以先接入独立交换机,通过工业便携堡垒机接入工业控制网络。
瓷器活工业便携堡垒机可托管远端设备认证密码,运维人员无需掌握登录密码,现场通过单点登录方式访问运维远端设备,并基于安全策略对运维指令、上传下载文件等行为进行安全控制。确保实现“运维范围可控、运维过程可管、运维结果可查”的安全闭环管理。
产品特色
运维终端须插入设备签发的 USB Key,实现对运维终端的安全认证。运维终端如有非法外联、网络攻击、网络嗅探等行为,设备实时切断运维链路。
设备串行部署于运维终端与被运维对象之间,从而实现将运维终端和U盘隔离在工业控制网之外,满足了工信部《通知》中的“连接管理要求”部分要求。
设备采用透明代理工作模式,无需对设备进行网络配置,运维终端也无需配置代理IP。串接设备后,不改变原有运维方式、运维习惯。
设备提供生物识别认证和触摸显示屏,可以快速调整运维操作策略。
设备提供电池,无外部供电情况下可持续稳定工作6小时以上。
基于事前工单策略或现场安全策略,设备全面接管运维终端的网络、串口、KVM形式、U盘等操作,来限定运维终端的管理主机范围、操作权限等,实现最小化授权管理和审计。从而,满足了工信部《通知》中的“配置管理要求”部分要求。
设备支持对 SSH、Telnet、SFTP、FTP、SCP、Q/GDW 273、DL/T 634.5101、DL/T 634.5104、IEC 61850、Modbus等协议的指令级解析,可管控工业协议的控制信令、参数、值域等。
记录运维过程中的权限认证、操作过程、文件传输、屏幕及图像、通信报文、风险管控、接口使用等,特定内容可以回放观看。
设备可主动上传至日志审计平台,实现集中审计备案。
客户收益
瓷器活工业便携堡垒机是现场运维现场的“监工”和“摄像头”,不仅对运维人员进行流程化规范管理,还可以通过技术手段对运维行为进行安全隔离和全程记录,形成完整的运维安全管理闭环。
瓷器活工业便携堡垒机可以解决工信部451号通知的部分要求,通过接入鉴权、过程控制、事后审计保障现场运维安全,有效地解决了现场运维安全管理上的技术空白。
通过瓷器活工业便携堡垒机的深度分析和管控能力,降低了监督人员技术能力要求,提高了运维效率和监管效率。
硬件规格
|
产品型号 |
CT-POAS-H10 |
CT-POAS-H20 |
| CPU型号 |
RK3568 |
RK3588 |
| CPU核心数及主频 |
4核 主频2.0G |
8核 主频2.4G |
| 运行内存 |
标配8GB |
标配8GB,最大支持32GB |
| 存储容量 |
512G/1T/2T 固态硬盘,标配1T |
512G/1T/2T 固态硬盘,标配1T |
| 显示屏 |
11.6寸 10点触摸屏
1366*768/1920*1080 |
11.6寸 10点触摸屏
1920*1080 |
| 电池容量 |
55Wh/100Wh,标配55Wh |
55Wh/100Wh,标配100Wh |
| 接口配置 |
4K HDMI入,4K HDMI出 |
4K HDMI入,4K HDMI出 |
| 1个OSB OTG |
1个OSB OTG |
| 3个USB device(KVM模式) |
3个USB device(KVM模式) |
| 4个 USB HOST |
4个 USB HOST |
| 2个千兆网口 |
2个千兆网口 |
| 1个RS232母 一个RS232 公 |
1个RS232母 一个RS232 公 |
| 一个3.5mm立体声输出 |
一个3.5mm立体声输出 |
| 内置4欧2W扬声器 |
内置4欧2W扬声器 |
| 指纹模块 |
指纹模块 |
| 一个500W摄像头 |
一个500W摄像头 |
| 一个debug调试接口 |
一个debug调试接口 |
核心功能
|
功能项 |
功能描述 |
| 终端安全监测 |
运维终端须插入设备签发的 USB Key,实现对运维终端的安全认证。运维终端如有非法外联、网络攻击、网络嗅探等行为,设备实时切断运维链路。 |
| 运维授权管理 |
可以基于事前工单策略或现场安全策略,来限定运维终端的管理主机范围、操作权限等,实现最小化授权。 |
| 网络准入管理 |
通过网络的输入输出接口,设备串接并鉴权后,通过透明模式接入受控网络,可通过安全策略配置访问地址范围和端口,无需改变原有运维习惯,同时对接入过程进行网络攻击防护和全流量审计,方便事后溯源。 |
| 网络运维管理 |
运维过程中识别管控操作指令和传输文件,查杀文件病毒,对高危操作进行二次审批放行、报警或阻断。 |
| 串口运维管理 |
通过RS232的输入输出接口,设备串接在运维终端与被运维对象之间,实时解析通信,识别管控操作指令。 |
| KVM形式运维管理 |
通过视频线、USB鼠标键盘连接被运维对象,设备实现轻量化与传统KVM运维两种操作模式,实现对于KVM运维的操作管控与行为记录。 |
| USB设备管理 |
通过USB的输入输出接口,设备串接在移动存储介质与被运维对象之间,实现被运维对象对移动存储介质的读写操作,同时实现查杀文件病毒、控制读写权限、文件留存事后审计等。 |
| 运维审计 |
审计记录运维过程中的权限认证、操作过程、文件传输、屏幕及图像、通信报文、风险管控、接口使用等,特定内容可以回放观看。 |
