一、 前言

工业控制系统作为国家基础设施的关键系统，其安全性、稳定性关系到国计民生。震网病毒暴发后，工业安全逐渐引起国家、行业、战略等方面的高度重视。以工控网中常见的数控终端为例，相当一部分数控终端直接与工控网络或终端连接，攻击者可以从 DNC 服务器对所有数控终端发起攻击，或者直接接入工控网交换机进行攻击。

而一些较为先进的数控终端还开放了SSH、HTTP、时钟同步等服务，这些都有可能成为攻击者的攻击目标。部分数控终端所采用的系统版本较为老旧，极有可能存在远程代码执行漏洞或拒绝服务漏洞，从而使攻击者完全控制数控终端或使其宕机，在这种情况下，轻则严重影响工厂生产，重则对终端造成不可恢复的破坏。

另外，对于车间里没有安全防范机制的终端，可以通过网口、串口及 USB口下载任何形式的数据到终端内，直接导致很多安全问题，同时终端也会通过网络接口上传一些数据到 DNC 服务器。

二、 产品概述

安盟华御机甲卫士具备防火墙、防病毒、抗攻击等功能，从而为受控主机提供了一个安全防护“金刚罩”！部署于受控主机（数控机床 / 工控主机 / 关键控制系统）前，通过串接方式接管受控主机的网口、串口、USB口。并提供网口和串口的 Bypass 功能，可实现在设备断电或系统故障时，不影响业务连续性。

三、 产品价值

安盟华御机甲卫士对外界与工控系统之间的信息交换进行实时监控，对信息源可信性进行验证，对各种协议的合规性和操作指令的合法性进行在线检查，对信息载体的特征进行核对和辨别。

3.1 解决主机安全问题

安盟华御机甲卫士能够有效抵御病毒，抗黑客攻击或渗透，防止恶意代码的攻击对受控主机攻击与破坏行为，真正帮助企业发现工控网络攻击，解决安全问题。

3.2 加强数控机床安全防护

通过与数控机床进行一对一部署，不仅够有效抵御病毒，抗黑客攻击或渗透，而且可以防范USB炸弹和USB端口烧毁等硬件攻击，最大程度地保障数控机床的网络安全和物理安全。

3.3 网络安全可信合规

安盟华御机甲卫士防火墙模块助力工控企业满足等级保护、企业内控、网络安全法等合规性要求。

3.4 安全管控责任到人

针对移动存储介质基于角色进行注册和管控，使用过程中进行全流程审计，便于事后追查原因与界定责任。

四、 产品特色

4.1 多重安全防护

基于网口、串口、USB口接管的安全防护，机甲卫士可设置禁用、透传及过滤三种网络工作模式。能够与受控主机一对一对接，既可抵御网络层侧的威胁攻击，又可屏蔽内部侧的恶意泄露数据和病毒传播风险。

4.2深度协议解析

支持对OPC UA/DA、ModbusTCP、S7、IEC-61850、IEC-104、DNP3、Profinet等工业控制协议深度解析和管控，并且可对数控机床私有协议进行定制开发

4.3 多维文件过滤

在USB口接管的安全防护中支持文件规则过滤功能，同时提供对U盘或移动硬盘内文件的真实类型识别、内容检查、关键字过滤等策略。

4.4全面病毒查杀

支持病毒查杀双引擎，在USB口接管的安全防护中可对移动存储类设备进行手动、自动的病毒查杀，并提供查杀结果告警及处理方法提示。

4.5 高效集中管理

自带集中管理功能，可实现高效率对机甲卫士群批量管理、统一部署、在线监测等安全运维的目标。

五、 应用场景

5.1 一对一保护数控机床方案

方案价值

接管数控机床的外联端口

机甲卫士与数控机床进行一对一部署，全面接管数控机床的网口、串口、USB口。

USB口安全防护

具备U盘的管控、防止勒索病毒、USB炸弹以及USB端口烧毁等防护手段。

防火墙防护

机甲卫士启动工业防火墙功能，实现对数控机床的访问控制和抵御外联网络的攻击。

串口指令控制

机甲卫士部署在维护终端与数控机床之间， 通过相互串口连接，检查控制维护终端的指令及参数。

5.2 一对多保护受控主机方案

方案价值

全面保护操作区设备

一台机甲卫士保护操作区全部受控主机（数控机床/工控主机/关键控制系统）。

文件入网病毒查杀

U盘插在机甲卫士前面板，文件通过机甲卫士过滤和病毒查杀后，映射至文件服务

器内。操作区内受控主机通过网络（如FTP服务）从文档服务器获取安全的文件。

防火墙防护机

甲卫士启动工业防火墙功能，部署在操作区网络边界，实现访问控制和抵御外联网络的攻击。