中國電子科技網絡信息安全有限公司（簡稱中國網安）是中國電子科技集團公司根據國家總體安全戰略需要，以中國電科三十所、三十三所為核心，匯聚中國電科內部資源重點打造的網絡信息安全子集團。中國網安憑借在網絡通信、密碼及信息安全領域的深厚積淀，圍繞網絡信息安全核心領域，走軍民融合發展道路，融合發展密碼保密、信息安全、網絡與通信、網絡對抗、電磁防御五大專業，在國家網絡信息安全核心和重要領域處于國內領先地位。

中國網安工業控制安全事業部已經建成電力、核電、石化、鋼鐵等多行業控制系統試驗環境；掌握了數百種工業控制系統專用控制協議的漏洞及利用方式，對工控的防護，事業部獨創了“監·評·防·融”工控信息安全防護體系，開發了六大類安全防護設備，形成了“以密碼為基礎”、“以攻促防”、“監·評·防·融”等工控信息安全技術特色，塑造業界影響力。

網址：cetcsc.cetc.com.cn

電話：028-62380478

地址：四川省成都市雙流區西南航空港經濟開發區工業集中區內（610000）

工業隔離網關IGAP

產品概述

中國網安工業隔離網關是一款專用于工業控制網絡安全接入信息網絡的設備。通過內部的雙獨立主機系統，分別接入到控制網絡和信息網絡，雙主機之間通過專用硬件裝置連接，從物理層上斷開了控制網絡和信息網絡的直接網絡連接。同時工業隔離網關通過內嵌的高性能工業通信軟件，支持各種主流工業通信標準，如OPC、Modbus TCP等，還具備常用數據庫間的數據自動同步、雙網同網段透明部署等使用功能。

性能特點

（1）真正的物理隔離

采用雙獨立主機系統，分別接入控制網和信息網，采用2+1的硬件組織架構：兩個主機單元和一個隔離交換單元，其根本目的在于從物理和邏輯兩個層面全面打斷網絡的直接鏈接，以私有協議+加密算法+專用永健的方式保證在兩個方向上只完成特定工業應用等數據的交換從而達到“物理隔離”的目的。

（2）工業協議深度控制

支持OPC、Modbus等工業協議的數據交換深度控制，同時支持自定義應用通信擴展。

（3）強大的入侵防御能力有效抵御Dos/DDos及LAND、SNORK等典型攻擊和各種惡意的端口掃描。
（4）文件安全同步

支持Windows平臺和Linux平臺的文件同步，同步傳輸方向可控。

（5）數據庫自動同步

支持SQL Server、Oracle等常用數據庫的數據自動同步。

（6）高可用性

支持雙機熱備，自動同步運行數據及系統配置。

（7）多種部署模式

支持路由模式、雙網同網段模式以及混合模式等部署方式。

（8）安全審計

支持多種類型日志信息的記錄、統計和分析。

技術參數

（1）高性能

產品的最大數據容量為20000Items，最大數據吞吐量為10000tps，系統具有完全自主知識產權。

（2）高安全性

采用了先進的系統構架和完善的抗攻擊模塊，能夠自動適應網絡狀況，自動將“惡意的”攻擊數據從“善意的”合法客戶的數據流中過濾掉。可以實現對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對ICMP Flood完成過濾類型與代碼、頻度、包長檢查，針對UDP Flood完成頻度、包長檢查、針對Syn flood完成頻度檢查，可以在第一時間發現Dos/DDos攻擊并自動做出回應，使用戶有機會免遭它的打擊，提供高安全性和高可用性。

（3）基于角色的安全控制提供用戶策略規則，通過與安全策略規則配合，實現基于用戶角色的安全控制。

（4）良好的網絡適用性

·除了第三方日志審計功能（非必須）外，隔離網關的所有業務功能都不需要第三方軟件支持。

·產品支持透明部署。很多客戶現場存在信息網絡（管理網絡）和生產控制網絡使用相同網段的情況，隔離網關可以在使用相同網段IP地址的情況下接入網絡完成防護功能。

同時產品具有良好的擴展性，隔離網關原生支持OPC、Modbus TCP等常用工業協議的深度控制功能。

（5）工業環境適應性

產品采用全封閉無風扇的方案，全金屬外殼，支持寬溫（-20℃~60℃），系統采用電子盤存儲程序與參數，無任何轉動部件，大幅提高了系統長時間運行的可靠性。

（6）工作模式的多樣性

工作模式：路由、透明或混合的工作模式。

（7）高可用性秒級雙機熱備

高可用性熱備模式的自我恢復特性，能夠在發生意外宕機、網絡故障、性能下降、關鍵進程失敗等情況下進行自我恢復，試驗結果顯示，切換時間提高到3s以內，保證了隔離網關系統安全穩定地運行工作。

（8）抗攻擊和自我保護能力

能夠處理一些常見的對于TCP、UDP、ICMP協議的攻擊或探測如Flooding攻擊、winnuke、Snork、端口掃描等多種攻擊，并能對這些異常情況做出忽略、記錄日志以及拒絕等操作，這增強了隔離網關的抗攻擊能力。

摘自《工業控制系統信息安全產品及服務指南（2018版）》