众至工业防火墙耐高温耐低温OPC入侵防御 内建ICS工业协议物联网防火墙

ShareTech OT工业防火墙
OTS-600
 
OT环境的安全弱点
   OT的灰色地带：未知的设备，未知的联机
   不安全的身分验证：来自于设计及实施的缺陷
    不安全的协议：信息无加密
   缺乏保护的设备：无可行的保护措施
   不安全的第三方软件：终端管理装置易受攻击，可能一开始即受供应链的感染。
 

ShareTech OTS-600特点
    将工业控制网络安全区域独立隔离
透过ShareTechOTS-600防护设备对工业控制网络安全区域进行隔离防护。工业企业应根据实际的情况，在不同网络边界间或者各操作机台部署边界安全网关，实现安全的访问控制、阻隔非法的网络联机，严格禁止没有防护的工业控制网络与因特网相连接。此外，也可以利用虚拟区域隔离、端口禁用的安全配置强化内网的安全。
 
降低控制机台系统漏洞风险

USB、光驱、无线等工业主机设置，提供病毒、木马、蠕虫、恶意软件攻击渗透的途径，如果不能拆除或封闭工业主机上这些不必要的外设接口，让它有机会对ICS或SCADA系统攻击，可能会改变设备的生产流程，而遭到入侵的ICS、SCADA和其他OT系统可能会很好后门途径，恶意者容易透由路径撷取内部重要网络资源。
加上多数的工厂操作系统多采用非标准软件，无法进行及时修补。即使采用标准软件系统，要进行修补也是很困难，因为OT环境大多采24 x7全天服务，要停机更新系统是一项非常重大的任务。OTS-600内建虚拟补丁防护，帮助一些无法上Patch或更新韧体的老旧设备，从外围阻绝攻击流量。
 
监控工控网络传输行为，并对病毒与漏洞进行处置
对网络异常行为或攻击模式都能严密监测、及时发现处置、并能完整记录报告，是工控环境营运能稳定重要因素。ShareTechOTS-600在一般情况下可以透过使用分析与漏洞扫描，对工控网络中存在的病毒与漏洞进行扫描，且对网络攻击和异常行为进行识别、告警、通知与记录所有相关威胁纪录。当发现传输的流量超过平均标准设置值、加密封包有夹带恶意封包、异常的指令、病毒木马程序渗透攻击，都可实时过滤阻隔，降低危害。

隔离感染面，防止威胁扩散
对于透过技术手段，确认威胁的感染面，尽快采取应急的隔离手段。ShareTechOTS系列可以与交换器协防，除了可以对网络进行分区隔离，让各自生产线独立运作，避免当其中一个生产线遭受恶意攻击时，间接影响其他营运。众至提供的不是只针对单一点进行控管、而是希望能涵盖整个面进行完整防护，避免灾情扩散。

支持工业网络协议
内建业界常用的工业控制协议，例如，EthetCAT 使用TCP/UDP 34980、EerthNet /IP 使用 TCP 44818UDP 2222，管理者只要选取这一些协议名称，会自动对应出应该开放的Port 号，至于其他的通讯PORT当然是全部被关闭。
以计算机组装线为例，若封包夹带可疑的参数，要求机械手臂执行标准以外动作，OTS-600在接获数据封包后，将进行封包分析、阻挡，降低计算机厂商蒙受巨额财物损失。

专属OPC入侵防御机制
OPC防护是针对OT攻击防御很好的解决方案，收集所有IT、OT网络的封包与讯号，并且采用深度封包检测（DPI）的方式进行比对，分析通讯协议当中的每个层级，掌握出现异常数据的行为。让管理者可以在与关键工控设备连接的网络路径上，及时侦测到攻击事件的发生、并依照管理员的设定，中止或阻绝入侵行为，包括自动拦截弃置攻击封包，并依据设定，留下攻击的记录即通知管理者等连续的应变措施。

身分识别与存取管理
身分识别与存取管理属于传统安全领域，对工业控制系统安全来说也是一个相当重要的层面。在工控环境系统，有些单位为了远程管理的便利性，使用SSH、Telnet、网页登入联机模式，如果没有采取任何安全管理措施，例如：只限定某些特定IP才能存取，或者必须经过身分认证后才能使用服务，否则让黑客轻易入侵系统管控设备，容易引起大灾难。ShareTechOTS-600提供本机使用者/AD/POP3/Radius认证授权机制，可协助馆已人员与监控企业内部所有使用者账号，在确认使用者的ID的有效授权之后，才能允许其使用网络，让企业可以有效管理网络使用资源。
 
应用程序白名单
由于恶意软件的变种速度太快，如果靠黑名单来做把关可能没那么可靠，所以对OT设备的软件管理权限，应该都用白名单机制来进行控管。在OT场域里具有极少变动的特性，通常系统在安装后，应用程序即维持不变。管理者可以决定哪些程序是允许被执行，其余的程序将被阻挡。当所有程序被允许执行时，应用程序白名单可以过滤内容或限定其带宽使用量。
 
安全远程联机模式(VPN)
有时候工业企业需要透由远程进行维护管理，对单位来说应通过远程认证联机、加密模式确保其联机安全后，才可以允许其操作。ShareTechOTS-600可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问，并控制访问时限，并有稽核相关日志提供日后稽查左证。目前安全联机支持IPSec、PPTP、L2TP、SSLVPN等联机模式。
 
威胁情报信息Dashboard
有效收集OT设备与网络信息，在ShareTech「战情室-威胁情报信息」进行智能化的分析与检测，达到实时和准确的资安状态呈现与保护的效果。
 
设备灾难复原机制
当设备因外在事故无法正常运作时，ShareTech OTS-600硬件支持LANBYPASS模式，不影响工厂生产营运，如果是硬件损坏无法运作，管理人员透由设备内建USB插槽，平时做好配置文件备份动作，当设备真的无法运作，只要立即更换一台，将原本USB换插到新机上开启电源，就会自动将原本的配置文件数据带入，不用5分钟完成灾难救援的服务。

支援3G / 4G USB
OTS-600硬件USB端口口能用来连接3G / 4G USB，可同时启用3个WAN联机进行负载平衡或是备援动作。

支持CMS与云端管理平台
OTS-600支持CMS功能，可以提供管理者，建立与远程设备之间的联机，将该单位的OT防护设备，纳入单一接口的集中管理架构，以简化企业整体环境的IT管理工作。此外，亦提供云端管理平台，ShareTech提供企业可以在内部建置一个私有的云端管理平台，快速监控管理所有OT设备。
 

硬件简介
 
硬件外观
•    网络端口：6个GbE埠（6个RJ-45埠）
•    RS-232 Com埠：2个
•    VGA埠：1个
•    USB3.0：2
•    Bypass：1组
效能
•    防火墙吞吐量：1.8 Gbps
•    VPN吞吐量：200 Mbps（IPsec AES）
•    OPC防护：480Mbps
•    防毒：350Mbps
•    联机数：20万个
•   支援通讯协议：Modbus、DNP3、IEC-104、EtherNet/IP、LanWorks、IEC-61850、BACNet、AXView2.0
安装方式
•    Din rail 和 Wallmount
尺寸大小
•    外观：126 x 74.5 x 146 mm
电源
•    2-Pin Terminal Block +9~36VDC
适用环境
•    运作环境温度：摄氏-40度到75度
•    操作湿度：10%~80%