针对外来服务人员的现场运维管理需求,推荐使用唐槐科技自主研发的工业便携运维管理和审计系统(简称“便携运维网关”)。
便携运维网关采用瑞芯微 CPU 和麒麟操作系统,是一款大小类似于电脑笔记本的国产化便携式硬件设备,提供触摸屏和基于指纹的双因素认证,便于快速部署、直观便捷操作。基于提供的网口、USB 口、串口、 HDMI 口等多种类型接口的输入口和输出口,设备串接在运维终端与被运维对象之间,实现对外来服务人员现场运维的接入管理、操作授权、操作管理、操作审计。同时,对接入过程进行网络攻击防护和全流量审计,方便事后溯源。
应用场景
· USB 介质操作场景
通过 USB 的输入输出接口,瓷器活工业便携堡垒机串接在移动存储介质与被运维对象之间,实现被运维对象对移动存储介质的读写操作,同时实现查杀文件病毒、控制读写权限、文件留存事后审计等。
· KVM 形式运维场景
通过视频线、USB 鼠标键盘连接被运维对象,瓷器活工业便携堡垒机实现轻量化与传统KVM 运维两种操作模式,实现对于 KVM 运维的全程屏幕录像和鼠标键盘行为记录。
· 串口运维场景
通过 RS232 的输入输出接口,瓷器活工业便携堡垒机串接在运维终端与被运维对象之间,实时解析通信,识别管控操作指令。支持 IEC101/104、Modbus RTU/ASCII、PPI、MPI、 PROFIBUS-DP 等常协议的指令级解析。
· 网络运维场景
实时解析识别管控操作指令和传输文件,查杀文件病毒,对高危操作进行二次审批放行、报警或阻断。支持 SSH、Telnet、SFTP、FTP、SCP、Q/GDW 273、 DL/T 634.5101、DL/T 634.5104、IEC 61850、Modbus 等协议的指令级解析。
· 外来人员现场准入场景
外来服务人员设备接入到工业现场控制室或工程师站时,通常直连交换机或被运维资产,无技术手段控制外来设备的访问范围及权限,容易造成隐蔽越权访问、IP 端口资产探测、网络攻击、漏洞利用等风险。
唐槐便携运维网关通过串行接入方式对外部设备进行鉴权准入、并赋权访问范围及访问端口,同时进行全程网络攻击防护和流程审计,有效管控外部设备接入风险。如运维设备是多台,可以先接入独立交换机,通过工业便携堡垒机接入工业控制网络。
· 运维专班远端运维场景
工业环境存在大量远端设备,如控制器、下位机、传感器等。通常运维专班根据纸质运维工单进行巡检或现场维护。现场人员可接入远端任意设备进行操作,无法通过技术手段管控现场运维行为,也无法记录运维过程,容易造成违规操作及高危指令的误操作等风险。
唐槐便携运维网关可托管远端设备认证密码,运维人员无需掌握登录密码,现场通过单点登录方式访问运维远端设备,并基于安全策略对运维指令、上传下载文件等行为进行安全控制。确保实现“运维范围可控、运维过程可管、运维结果可查 ”的安全闭环管理。
产品特色
·
隔离管控运维终端
运维终端须插入设备签发的 USB Key,实现对运维终端的安全认证。运维终端如有非法外联、网络攻击、网络嗅探等行为,设备实时切断运维链路。
设备串行部署于运维终端与被运维对象之间,从而实现将运维终端和 U 盘隔离在工业控制网之外,满足了工信部《通知》中的“连接管理要求”部分要求。
·
简单易用快速部署
设备采用透明代理工作模式,无需对设备进行网络配置,运维终端也无需配置代理 IP。串接设备后,不改变原有运维方式、运维习惯。
设备提供生物识别认证和触摸显示屏,可以快速调整运维操作策略。
设备提供电池,无外部供电情况下可持续稳定工作 6 小时以上。
·
最小化运维管控
基于事前工单策略或现场安全策略,设备全面接管运维终端的网络、串口、KVM 形式、 U 盘等操作,来限定运维终端的管理主机范围、操作权限等,实现最小化授权管理和审计。从而,满足了工信部《通知》中的“配置管理要求”部分要求。
设备支持对 SSH、Telnet、SFTP、FTP、SCP、Q/GDW 273、DL/T 634.5101、DL/T 634.5104、 IEC 61850、Modbus 等协议的指令级解析,可管控工业协议的控制信令、参数、值域等。
·
直观事后回放审计
记录运维过程中的权限认证、操作过程、文件传输、屏幕及图像、通信报文、风险管控、接口使用等,特定内容可以回放观看。
设备可主动上传至日志审计平台,实现集中审计备案。
