分类

指标项

指标描述

产品形态及接口要求

产品形态

自主专用安全操作系统，软硬件 * 体化工控防火墙产品，1U标准机架安装，主机无风扇工业机箱，低功耗CPU，适合工业环境。满足复杂应用环境的接入需求。

接口要求

最多支持 * 个物理接口，主机自带不少于3个物理接口，支持2个扩展接口，扩展接口支持4电口、4光口、8电口、8光口模块，最大支持 * 个光口。最大Bypass端口对为8对。

1个MGMT端口，

1个HA端口

1个RJ * Console管理端口

2个USB2.0,

磁盘

支持CF、SATA存储，存储空间不低于 * GB。

产品性能

网络性能

网络吞吐量≥Gbps，网络时延≤ * us，最大并发连接≥ 点击查看>> ，每秒新建连接≥ * 0。

指示灯诊断

支持机箱外置LED诊断功能，包括电源状态显示、两对bypass状态指示、运行状态指示等。

网络逻辑接口

支持逻辑桥接口、逻辑链路聚合接口、VLAN子接口。

逻辑桥接口包括流统计标识、硬件接口、TRUNK模式。包括流入数据、流出数据、双向数据等TRUNK模式。逻辑链路聚合接口支持源IP地址、目的IP地址、源MAC、目的MAC、源端口、目的端口等报文发送策略。

包过滤

支持源地址、目的地址、时间、网络协议、工业协议、端口号、流入接口、流出接口等条件的单 * 或者组合，进行访问控制，支持设置访问控制规则的默认动作。支持多条访问控制规则，并可设置访问 (略) 的先后顺序。

工业协议支持

支持至少 * 种工控协议的深度解析，包括但不限于S7，IEC * ，MMS，Profinet ，Ethernet/IP, OPCUA_TCP。

▲工业协议深度防护

对S7协议实现PDU类型和功能操作的解析和控制。至少包括Job、Ack_Data等PDU类型。对GE-SRTP协议支持不少于 * 种服务请求码，包括Read System Memory、Clear Fault Table等，支持读取至少 * 种内存类型：包括I%，Q%，M%等。

功能码控制

实现指令级控制，对Modbus协议实现某个功能码或寄存器地址 (略) 解析和控制。

工业白名单

自学习工业白名单，可设置源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合，学习时长，规则组名，生成可信任白名单规则。工业白名单 (略) 、告警、丢弃 * 种默认策略。支持手动添加工业白名单。

▲工业入侵特征规则

内置工业入侵特征规则特征库，特征数量超过 * 条，包括西门子、施耐德、罗克韦尔等设备的敏感操作，包括不限于固件更新、时间修改、设备停 (略) 络报文特征。并对每 * 条入侵特征可单独设置日志记录、执行动作、策略启用等配置。

AI分析

支持选择IP地址集合、协议集合等采集策略，在不同的数据范围使用不同的协议分析，数据模型可通过相关性、阈值、敏感度等参数来微调真实数据流量模型， (略) 为安全基线， (略) 为识别及告警。

攻击事件取证

(略) 络攻击的事件ID，事件名称，保留事件攻击的数据包。

协同联动

根据联动协调密码，联动主机IP等条件选择联动设备，建立动态安全体系。

日志聚合

支持SNAT、DNAT、包过滤、IPMAC绑定、安全策略默认丢弃、入侵特征日志聚合，可根据时间、阈值、源IP、目的IP条件聚合日志。

可靠性支持

工作模式包括双机热备、负载均衡，支持4个节点集群。

NAT

支持SNAT和DNAT。

SNAT可根据源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合方式转换为单个地址、地址与端口、硬件接口等。

DNAT可可根据源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合方式转换为单个地址或地址集合， (略) 络优化算法， (略) 络负载。

DOS攻击防护

支持防护本地icmp攻击、防护SYN/ACK洪水、防护ACK洪水、防护HTTP洪水、防护CC洪水、防护远程ICMP洪水、防护数据流洪水、防护UDP协议洪水、防护最 (略) 接数攻击、防护端口扫描功能

IPSEC VPN

支持IPSEC VPN功能，IPSEC支持ESP和AH协议，加密算法支持AES * 、AES * ，验证算法支持MD5、SHA * ，封装方式支持隧道模式与传输模式，密钥周期可灵活配置。支持抗重放攻击与PFS密钥完美向前保密功能。

IPSEC隧道监控包括隧道名称、隧道类型、 (略) 、 (略) 关、 (略) 关、 (略) 、SA建立时间、连接状态等显示。

路由

支持路由查询、静态路由、策略路由、OSFP、路由探测。

策略路由包括策略路由定义与配置，策略路由定义包括路由表ID，可设置不可到达路由及黑洞路由，下 * 跳配置包括IP地址与硬件接口，可根据不同地址与接口设置权重值， (略) 络转换效率，平衡下 * 跳设备负荷。路由策略可根据源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合方式完成策略路由。

产品资质

产品资质

(略) 计算机信息系统安全专用产品销售许可证书（工控）（提供证书复印件， (略) 商公章）

计算机软件著作权登记证书（提供证书复印件， (略) 商公章）

分类

指标项

指标描述

产品形态

产品架构

自主专用安全操作系统，软硬件 * 体化工控安全监测审计产品，1U标准机架安装， (略) 署。适合工业环境。

接口要求

主机自带不少于6个电口，支持2个扩展接口，扩展接口支持4电口、4光口、8电口、8光口模块。

支持2个扩展槽位，最多支持 * 个电口，最多支持 * 个光口。

产品性能

网络吞吐量

≥ * M

系统配置管理

可绑定IP/MAC地址，且可做唯 * 性检查

磁盘

支持CF、SATA存储，存储空间不低于 * GB。

部署方式

支持旁 (略) 署，无扰接入工 (略) 络，保证工控系统业务系统不受影响。

(略) 署，集中策略管理与下发，降低运维成本。

用户管理

支持“ * 权分立”的用户管理体系，web管理支持密码连续登录错误自动锁定账号，密码长度不低于 * 位且要求字母和数字组合

应用和服务

支持自定义应用和服务

防护洪水攻击

支持防护本地icmp攻击、防护SYN/ACK洪水、防护ACK洪水、防护HTTP洪水、防护CC洪水、防护远程ICMP洪水、防护数据流洪水、防护UDP协议洪水、防护最 (略) 接数攻击、防护端口扫描功能

DNS安全检测

支持DNS洪泛攻击检测，支持采集策略选择，并对采集策略 (略) DNS特征检查和DNS防护。可选择源IP统计，自动域名防护，域名黑名单，域名访问限制等单 (略) DNS洪泛检测。

IP/MAC绑定

可绑定IP/MAC地址，且可做唯 * 性检查

访问控制列表

支持源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等条件的单 * 或者组合，进行访问控制，支持设置访问控制规则的默认动作。支持多条访问控制规则，并可设置访问 (略) 的先后顺序。

地址支持单个地址，地址池，地址段等组合。协议对象支持自定义协议与多种协议的组合。

数据采集策略

支持访问控制列表规则和工业白 (略) 设置数据采集策略， (略) 段或 (略) 数据审计。

工业协议支持

支持至少 * 种工控协议的深度解析，包括但不限于S7，Ethernet/IP, OPCUA_TCP。

实现指令级控制，对Modbus协议实现某个功能码或寄存器地址 (略) 解析和控制；

对S7协议实现PDU类型和功能操作的解析和控制。至少包括Job、Ack_Data等PDU类型。

对GE-SRTP协议支持 * 种服务请求码，包括Read System Memory、Clear Fault Table等，支持读取至少 * 种内存类型：包括I%，Q%，M%等。

工业白名单

自学习工业白名单，可设置源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合，学习时长，规则组名，生成可信任白名单规则。工业白名单 (略) 、告警、丢弃 * 种默认策略。

支持手动添加工业白名单，对modbus TCP协议的功能码、地址、 (略) 控制。

工业入侵特征规则

内置工业入侵特征规则特征库，特征数量超过 * 条，包括西门子、施耐德、罗克韦尔等设备的敏感操作，包括不限于固件更新、时间修改、设备停 (略) 络报文特征。并对每 * 条入侵特征可单独设置日志记录、执行动作、策略启用等配置。

支持源地址集、目的地址集、时间对象、用户、应用、动作的配置。

恶意代码检测

通过内置的恶意代码引擎，通过异常 (略) 络内主机可能感染恶意代码以及感染恶意代码的严重程序。

AI分析

支持选择IP地址集合、协议集合等采集策略，在不同的数据范围使用不同的协议分析，数据模型可通过相关性、阈值、敏感度等参数来微调真实数据流量模型， (略) 为安全基线， (略) 为识别及告警。

攻击事件取证

▲ (略) 络攻击的事件ID，事件名称，保留事件攻击的数据包。

协同联动

根据联动协调密码，联动主机IP等条件选择联动设备，建立动态安全体系。

会话统计

分别按照协议、源地址、源端口、目的地址、目的端口、 (略) 字节与数据包数量、超时时间、连接状态、应用等统计会话。支持会话状态查询。支持会话列表导出。

流量审计

支持基于接口，基于应用，基于用户的流量显示，流量显示 (略) 速率，连接数。

事件显示

包括工业白名单事件，工业入侵特征事件，DNS监测，DDoS事件等显示。

工业白名单事件包括源IP、目的IP、源端口、目的端口、协议名、匹配规则等内容。支持导出安全事件，支持安全事件查询，包括源地址、目的地址、源端口、目的端口、协议名、规则来源、时间等单 * 或者组合。

工业入侵事件包括攻击类型统计、入侵特征事件列表，入侵事件列表包括特征组、特征ID、事件名称、事件级别、源IP、目的IP、源端口、目的端口、协议、攻击次数等内容。

DDoS防护统计包括时间过滤、攻击类型过滤，包括时间、源地址、源端口、目的地址、目的端口、协议、攻击次数、攻击类型等内容。

日志显示

包括系统日志、操作日志、安全日志等显示。日志显示可在web界面上通过按钮控制日志是否记录，日志记录控制的类别包括包过滤日志，应用安全日志，操作日志，入侵检测日志，DDoS日志等。

日志聚合

▲支持包过滤、IPMAC绑定、安全策略默认丢弃、入侵特征日志聚合，可根据时间、阈值、源IP、目的IP条件聚合日志。（提供截图）

报表管理

支持配置报表条件，包括报表内容，报表类型等，记录历史报表及当前报表。报表内容包括工业白名单事件、工业入侵检测事件、DNS事件、DDoS事件等内容，报表类型支持生成日报表、周报表、月报表，并支持指定时间报表，报表的类型支持PDF、TXT、HTML、CSV等。

升级

支持产品升级，License升级，特征库升级。产品升级记录升级后的版本、升级方式、升级时间及更新描述。

产品资质

销售许可证

具备中华人民 (略) 颁发的《计算机信息系统安全产品销售许可证》（提供证书复印件， (略) 商公章）

计算机软著

具备计算机软件著作权证书（提供证书复印件， (略) 商公章）

分类

特性/功能

详细描述

通用指标

集中管理

支持终端主机状态监控， (略) (略) 管控，安全策略管理、白名单库管理、终端资产管理、终端外设管理等。支 (略) 、 (略) 批量下发，支持日志集中审计管理。

终端防护软件

防护策略

支持审计模式及保护模式

白名单管理

支持白名单库自学习。自动扫描主机可信路径或目录，快速创建主机应用程序白名单库。

支持白名单导入导出。

支持白名单追加功能， (略) 新的程序、网络服务和主机外设设备时，可以将这些新的设置追加到白名单中。

支持文件及软件的临时授权。

应用程序管控

支持进程白名单。禁止白名单以外的 (略) ，并产生安全事件，记录非 (略) 企图

支持对特定类型VBS、BAT、EXE等PE文 (略) 策略。

数据完整性保护

支持终端应用程序及文件完整性保护，防止文件或数据被篡改。

外设管控

支持主机外设管控：可以对USB存储设备、非USB存储设的管控。

支持主机外设接入告警，对白名单外USB设备接入主机有报警提示，并产生安全事件。

支持安全U盘使用。在安装有终端防护软件的主机上能够正常使用安全U盘。能对 (略) 访问策略控制（访问策略包括禁用、只读、读写）

支持主机外设操作权限授予。提供主机外设的多种操作权限授予：只读、读写、禁止使用，并记录操作日志

主机非法外联检测

▲支持主机非法外联探测， (略) 主机 (略) (略) 告警提示。

(略) 卡监测

支持 (略) 卡检查，能够识别白 (略) 卡，并告警提示。

安全审计

支持安全事件及系统操作事件的全面审计，对白名单策略以外的安全事件及 (略) 全面审计，包括安全事件发生时间、事件类型、响应方式、重复次数、执行对象、 (略) 为、系统性的记录与审计。

支持审计日志不可删除或篡改功能。可以自定义日志存储磁盘路径，存储日志不受时间限制，取决于磁盘空间大小。

支持日志查询功能，可以按照时间、事件类型、响应方式、重复次 (略) 检索查询；

支持对不同权限的系 (略) 为的日志审计，包括：时间、事件、操作对象、行为等详尽信息，方便区分正常更新过程还 (略) 为

自身保护

禁止自身文件、进程、或注册表被恶意篡改、卸载、 (略) 为

支持白名单文件修改或删除。

预置工业软件白名单

▲内置主流工业软件的白名单。预置的白名单库包括像西门子Wincc、施耐德Intouch、GE 公司的Ifix、 (略) 亚控Kingview、力控力控Forcecontrol (略) 商的工控HMI组态软件。

与操作系统及工业应用软件兼容性良好，不影响工控 (略)

支持在不影响使用的情况下对工控软件的安装和升级；

支持安装、卸载无需重启系统。

账户管理

支持 * 权分立，支持用户及管理员账号的切换及密码修改等操作。（提供功能截图， (略) 商公章）

产品资质

中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》

中华人民共和 (略) 颁发的《计算机软件著作权登记书》

分类

指标项

指标描述

产品形态

产品架构

自主专用安全操作系统，软硬件 * 体化工控安全监管平台，1U标准机架安装。适合工业环境。

接口要求

主机自带6个电口，支持2个扩展接口，扩展接口支持4电口、4光口、8电口、8光口模块。

▲支持≥2个扩展槽位，最多支持 * 个电口，最多支持 * 个光口。

产品性能

管理能力

最多管理≥ * 台安全设备，可以管理≥ * 工业卫士。

实时监控

清晰的监控总览界面，避免过多信息。包括安全事件数量、事件趋势和安全设备连接状态。

事件实时监控，包括事件总数、未读事件数以及事件发生的时段，智能分析事件高峰时段，将事件信息分为安全事件和系统事件两类分别监控。

设备实时监控， (略) 络安全设备、工控设备在线、掉线的状态的告警显示。

每秒不少于 * 条事件同时上报。

日志管理

支持安全事件和日志数据的存储、查询。

记录监管平台登录日志，监管平台操作日志，配置管理日志、并支持日志数据查询、导出和删除。

支持记录安全设备、工控设备、网络设备和安全卫士主机等终端设备的用户登录日志，终端用户操作日志。

设备管理

支持安全设备、工控设备、网络设备和安全卫士主机资产的管理功能。

支持新增工控设备、网络设备、安全设备、工业卫士等终端。

支持对工控设备、网络设备的自动发现功能。

(略) 络中第 (略) 商、序列号、型号等信息，并能够查看工业卫士主机的状态、IP地址等信息。

支持对工业卫士主机的USB防护，可以远程控制防护的开启或关闭。

支持工业卫士远程安装、升级。

支持对 (略) 设备重启、SSH设置、升级。

支持设备分组功能，根据设备的重要性、部门、类型等信 (略) 分类分组。

安全策略管控

支 (略) 策略查看、策略备份和策略复制，以及对 (略) 安全策略统 * 配置、统 * 下发，并支持增量配置功能。

支持按计划远程备份设备策略配置，按 (略) 安全策略下发功能。

工业卫士白名单库管理，可通过平台对终端工业卫士软件上的白名单添加、删除操作；

(略) 络安全设备， (略) 集中策略配置管理，按定时计划调度远程备份设备系统策略配置

拓扑管理

▲支持将安全设备、工控设备、网络设备和工控主机等 (略) 络拓扑图的功能，并支持拓扑的上传和下载。

运维管理

支持日志定时清理，支持磁盘空间不足告警提示功能。

支持 * 权分立：系统管理员、安全审计员、操作员。

支持系统重置和升级。

产品资质

销售许可证

产品具有中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》

(略) 颁发的计算机软件著作权登记证书

产品具有中华人民共和 (略) 颁发的《计算机软件著作权登记证书》

分类

特性/功能

详细描述

产品架构

系统基本架构

采用了“2+1”架构， (略) 主机系统、外网主机系统、双向隔离通 (略) 件组成。内网主 (略) 主机系统是两套独立的系统，各自都拥有自己的CPU、操作系统、存储器和总线，在两套系统之间除了双向隔离通 (略) 并不存在任何直接或间接的联系。 (略) 主机系统分别连接可 (略) 络，对 (略) 预处理，以实现安全应用数据的剥离。

硬件要求

硬件架构

(双主机+物理隔离单元）物理隔离；支持DNP3、S7等多种工控协议传输。可设定为单向/双向传输模式；工作模式支持透明、代理及路由 * 种工作模式； (略) 应用环境， (略) 个6个 * / 点击查看>> M (略) 端口，包括1个RJ * 管理端口，1个HA口，2个Console口，4个USB2.0，2U机架安装，冗余安全电源等。

产品性能

网络吞吐量

≥ * Mbps

网络时延

≤1ms

最大并发连接

≥ * 0

文件同步

支持专用客户端软件和无 (略) 署方式，提高易用性

支持NFS、SMB、FTP、SFTP等文件系统类型；文件服务器支持windows、Linux等操作系统。

支持文件加密传输，算法支持3DES和AES * ，可选择支持国密算法。

Windows客 (略) 支持两种方式：图形界面、系统服务；支持自定义系统服务名称和系统服务描述。

支持对已 (略) 标记，避免设备或软件重启重复传输已发送文件。

支持实时、周期、定时等 * 种时间策略。

支持接收 (略) 理，处理方式支持替换、时间戳标记。

接收 (略) 理方式支持前缀、后缀、文件名、文件夹等 * 种方式。

支持文件类型、文件名称、大小、扩展名、关键字、最后修改时间过滤；支持文件病毒检测。

支持强制访问控制：对客 (略) 用户名密码认证；对用户、 (略) 分级管理，发送用户不允许发送高于自身级别的文件，接收用户不允许接收高于自身级别的文件。

数据库同步

支持内置客户端方式，无需第 * 方软件支撑，无需改变数据库原有结构。

支持Oracle、Sqlserver等主流关系型数据库同步；支持异构数据库同步。

支持同步任务快速配置，配置表级别对应关系，无需配置字段级别对应关系

支持大字段（Blob）病毒检测和普通字段关键字检测。

支持增量更新、全表复制两种同步方式；支持实时、周期、定时等 * 种时间策略。

支持灵活的数据库冲突策略，可配置：覆盖/丢弃。

支持数据库任务连接实时状态判断；支持数据库任务配置关联性查看。

支持双向同步，即两张表互为源表和目的表。

应用层协议

支持应用层协议访问功能，包括FTP访问、邮件访问、HTTP访问等。

FTP访问支持源地址过滤、目的地址过滤、用户过滤、文件类型过滤、病毒检测；支持用户上传、下载权限控制。

HTTP访问支持POST、GET、HEAD等请求方法的过滤；支持URL过滤、文件类型过滤、病毒检测。

邮件访问支持邮件发件人/收件人、附件的文件类型过滤；支持邮件主题/正文敏感关键字等过滤方式。

FTP、HTTP、SMTP、POP3应用层协议的文件类型过滤基于文件真实格式特征，不依赖扩展名。

TCP/UDP代理

支持通用TCP/UDP协议。

支持代理模式和地址透明模式。

定制访问

支持私有协议访问功能；支持映射模式和路由模式。

▲双机热备

支持主备模式、主主模式的容错能力；支持主从设备之间配置文件自动同步。

▲工控协议

支持支持DNP3、S7等多种工控协议传输。

产品资质

资质

(略) 计算机信息系统安全专用产品销售许可证书

(略) 颁发的《计算机软件著作权登记书》

分类

指标项

指标描述

产品形态及接口要求

产品形态

自主专用安全操作系统，软硬件 * 体化工控防火墙产品，1U标准机架安装，主机无风扇工业机箱，低功耗CPU，适合工业环境。满足复杂应用环境的接入需求。

接口要求

最多支持 * 个物理接口，主机自带不少于3个物理接口，支持2个扩展接口，扩展接口支持4电口、4光口、8电口、8光口模块，最大支持 * 个光口。最大Bypass端口对为8对。

1个MGMT端口，

1个HA端口

1个RJ * Console管理端口

2个USB2.0,

磁盘

支持CF、SATA存储，存储空间不低于 * GB。

产品性能

网络性能

网络吞吐量≥Gbps，网络时延≤ * us，最大并发连接≥ 点击查看>> ，每秒新建连接≥ * 0。

指示灯诊断

支持机箱外置LED诊断功能，包括电源状态显示、两对bypass状态指示、运行状态指示等。

网络逻辑接口

支持逻辑桥接口、逻辑链路聚合接口、VLAN子接口。

逻辑桥接口包括流统计标识、硬件接口、TRUNK模式。包括流入数据、流出数据、双向数据等TRUNK模式。逻辑链路聚合接口支持源IP地址、目的IP地址、源MAC、目的MAC、源端口、目的端口等报文发送策略。

包过滤

支持源地址、目的地址、时间、网络协议、工业协议、端口号、流入接口、流出接口等条件的单 * 或者组合，进行访问控制，支持设置访问控制规则的默认动作。支持多条访问控制规则，并可设置访问 (略) 的先后顺序。

工业协议支持

支持至少 * 种工控协议的深度解析，包括但不限于S7，IEC * ，MMS，Profinet ，Ethernet/IP, OPCUA_TCP。

▲工业协议深度防护

对S7协议实现PDU类型和功能操作的解析和控制。至少包括Job、Ack_Data等PDU类型。对GE-SRTP协议支持不少于 * 种服务请求码，包括Read System Memory、Clear Fault Table等，支持读取至少 * 种内存类型：包括I%，Q%，M%等。

功能码控制

实现指令级控制，对Modbus协议实现某个功能码或寄存器地址 (略) 解析和控制。

工业白名单

自学习工业白名单，可设置源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合，学习时长，规则组名，生成可信任白名单规则。工业白名单 (略) 、告警、丢弃 * 种默认策略。支持手动添加工业白名单。

▲工业入侵特征规则

内置工业入侵特征规则特征库，特征数量超过 * 条，包括西门子、施耐德、罗克韦尔等设备的敏感操作，包括不限于固件更新、时间修改、设备停 (略) 络报文特征。并对每 * 条入侵特征可单独设置日志记录、执行动作、策略启用等配置。

AI分析

支持选择IP地址集合、协议集合等采集策略，在不同的数据范围使用不同的协议分析，数据模型可通过相关性、阈值、敏感度等参数来微调真实数据流量模型， (略) 为安全基线， (略) 为识别及告警。

攻击事件取证

(略) 络攻击的事件ID，事件名称，保留事件攻击的数据包。

协同联动

根据联动协调密码，联动主机IP等条件选择联动设备，建立动态安全体系。

日志聚合

支持SNAT、DNAT、包过滤、IPMAC绑定、安全策略默认丢弃、入侵特征日志聚合，可根据时间、阈值、源IP、目的IP条件聚合日志。

可靠性支持

工作模式包括双机热备、负载均衡，支持4个节点集群。

NAT

支持SNAT和DNAT。

SNAT可根据源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合方式转换为单个地址、地址与端口、硬件接口等。

DNAT可可根据源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合方式转换为单个地址或地址集合， (略) 络优化算法， (略) 络负载。

DOS攻击防护

支持防护本地icmp攻击、防护SYN/ACK洪水、防护ACK洪水、防护HTTP洪水、防护CC洪水、防护远程ICMP洪水、防护数据流洪水、防护UDP协议洪水、防护最 (略) 接数攻击、防护端口扫描功能

IPSEC VPN

支持IPSEC VPN功能，IPSEC支持ESP和AH协议，加密算法支持AES * 、AES * ，验证算法支持MD5、SHA * ，封装方式支持隧道模式与传输模式，密钥周期可灵活配置。支持抗重放攻击与PFS密钥完美向前保密功能。

IPSEC隧道监控包括隧道名称、隧道类型、 (略) 、 (略) 关、 (略) 关、 (略) 、SA建立时间、连接状态等显示。

路由

支持路由查询、静态路由、策略路由、OSFP、路由探测。

策略路由包括策略路由定义与配置，策略路由定义包括路由表ID，可设置不可到达路由及黑洞路由，下 * 跳配置包括IP地址与硬件接口，可根据不同地址与接口设置权重值， (略) 络转换效率，平衡下 * 跳设备负荷。路由策略可根据源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合方式完成策略路由。

产品资质

产品资质

(略) 计算机信息系统安全专用产品销售许可证书（工控）（提供证书复印件， (略) 商公章）

计算机软件著作权登记证书（提供证书复印件， (略) 商公章）

分类

指标项

指标描述

产品形态

产品架构

自主专用安全操作系统，软硬件 * 体化工控安全监测审计产品，1U标准机架安装， (略) 署。适合工业环境。

接口要求

主机自带不少于6个电口，支持2个扩展接口，扩展接口支持4电口、4光口、8电口、8光口模块。

支持2个扩展槽位，最多支持 * 个电口，最多支持 * 个光口。

产品性能

网络吞吐量

≥ * M

系统配置管理

可绑定IP/MAC地址，且可做唯 * 性检查

磁盘

支持CF、SATA存储，存储空间不低于 * GB。

部署方式

支持旁 (略) 署，无扰接入工 (略) 络，保证工控系统业务系统不受影响。

(略) 署，集中策略管理与下发，降低运维成本。

用户管理

支持“ * 权分立”的用户管理体系，web管理支持密码连续登录错误自动锁定账号，密码长度不低于 * 位且要求字母和数字组合

应用和服务

支持自定义应用和服务

防护洪水攻击

支持防护本地icmp攻击、防护SYN/ACK洪水、防护ACK洪水、防护HTTP洪水、防护CC洪水、防护远程ICMP洪水、防护数据流洪水、防护UDP协议洪水、防护最 (略) 接数攻击、防护端口扫描功能

DNS安全检测

支持DNS洪泛攻击检测，支持采集策略选择，并对采集策略 (略) DNS特征检查和DNS防护。可选择源IP统计，自动域名防护，域名黑名单，域名访问限制等单 (略) DNS洪泛检测。

IP/MAC绑定

可绑定IP/MAC地址，且可做唯 * 性检查

访问控制列表

支持源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等条件的单 * 或者组合，进行访问控制，支持设置访问控制规则的默认动作。支持多条访问控制规则，并可设置访问 (略) 的先后顺序。

地址支持单个地址，地址池，地址段等组合。协议对象支持自定义协议与多种协议的组合。

数据采集策略

支持访问控制列表规则和工业白 (略) 设置数据采集策略， (略) 段或 (略) 数据审计。

工业协议支持

支持至少 * 种工控协议的深度解析，包括但不限于S7，Ethernet/IP, OPCUA_TCP。

实现指令级控制，对Modbus协议实现某个功能码或寄存器地址 (略) 解析和控制；

对S7协议实现PDU类型和功能操作的解析和控制。至少包括Job、Ack_Data等PDU类型。

对GE-SRTP协议支持 * 种服务请求码，包括Read System Memory、Clear Fault Table等，支持读取至少 * 种内存类型：包括I%，Q%，M%等。

工业白名单

自学习工业白名单，可设置源地址、目的地址、时间、网络协议、端口号、流入接口、流出接口等单 * 或者组合，学习时长，规则组名，生成可信任白名单规则。工业白名单 (略) 、告警、丢弃 * 种默认策略。

支持手动添加工业白名单，对modbus TCP协议的功能码、地址、 (略) 控制。

工业入侵特征规则

内置工业入侵特征规则特征库，特征数量超过 * 条，包括西门子、施耐德、罗克韦尔等设备的敏感操作，包括不限于固件更新、时间修改、设备停 (略) 络报文特征。并对每 * 条入侵特征可单独设置日志记录、执行动作、策略启用等配置。

支持源地址集、目的地址集、时间对象、用户、应用、动作的配置。

恶意代码检测

通过内置的恶意代码引擎，通过异常 (略) 络内主机可能感染恶意代码以及感染恶意代码的严重程序。

AI分析

支持选择IP地址集合、协议集合等采集策略，在不同的数据范围使用不同的协议分析，数据模型可通过相关性、阈值、敏感度等参数来微调真实数据流量模型， (略) 为安全基线， (略) 为识别及告警。

攻击事件取证

▲ (略) 络攻击的事件ID，事件名称，保留事件攻击的数据包。

协同联动

根据联动协调密码，联动主机IP等条件选择联动设备，建立动态安全体系。

会话统计

分别按照协议、源地址、源端口、目的地址、目的端口、 (略) 字节与数据包数量、超时时间、连接状态、应用等统计会话。支持会话状态查询。支持会话列表导出。

流量审计

支持基于接口，基于应用，基于用户的流量显示，流量显示 (略) 速率，连接数。

事件显示

包括工业白名单事件，工业入侵特征事件，DNS监测，DDoS事件等显示。

工业白名单事件包括源IP、目的IP、源端口、目的端口、协议名、匹配规则等内容。支持导出安全事件，支持安全事件查询，包括源地址、目的地址、源端口、目的端口、协议名、规则来源、时间等单 * 或者组合。

工业入侵事件包括攻击类型统计、入侵特征事件列表，入侵事件列表包括特征组、特征ID、事件名称、事件级别、源IP、目的IP、源端口、目的端口、协议、攻击次数等内容。

DDoS防护统计包括时间过滤、攻击类型过滤，包括时间、源地址、源端口、目的地址、目的端口、协议、攻击次数、攻击类型等内容。

日志显示

包括系统日志、操作日志、安全日志等显示。日志显示可在web界面上通过按钮控制日志是否记录，日志记录控制的类别包括包过滤日志，应用安全日志，操作日志，入侵检测日志，DDoS日志等。

日志聚合

▲支持包过滤、IPMAC绑定、安全策略默认丢弃、入侵特征日志聚合，可根据时间、阈值、源IP、目的IP条件聚合日志。（提供截图）

报表管理

支持配置报表条件，包括报表内容，报表类型等，记录历史报表及当前报表。报表内容包括工业白名单事件、工业入侵检测事件、DNS事件、DDoS事件等内容，报表类型支持生成日报表、周报表、月报表，并支持指定时间报表，报表的类型支持PDF、TXT、HTML、CSV等。

升级

支持产品升级，License升级，特征库升级。产品升级记录升级后的版本、升级方式、升级时间及更新描述。

产品资质

销售许可证

具备中华人民 (略) 颁发的《计算机信息系统安全产品销售许可证》（提供证书复印件， (略) 商公章）

计算机软著

具备计算机软件著作权证书（提供证书复印件， (略) 商公章）

分类

特性/功能

详细描述

通用指标

集中管理

支持终端主机状态监控， (略) (略) 管控，安全策略管理、白名单库管理、终端资产管理、终端外设管理等。支 (略) 、 (略) 批量下发，支持日志集中审计管理。

终端防护软件

防护策略

支持审计模式及保护模式

白名单管理

支持白名单库自学习。自动扫描主机可信路径或目录，快速创建主机应用程序白名单库。

支持白名单导入导出。

支持白名单追加功能， (略) 新的程序、网络服务和主机外设设备时，可以将这些新的设置追加到白名单中。

支持文件及软件的临时授权。

应用程序管控

支持进程白名单。禁止白名单以外的 (略) ，并产生安全事件，记录非 (略) 企图

支持对特定类型VBS、BAT、EXE等PE文 (略) 策略。

数据完整性保护

支持终端应用程序及文件完整性保护，防止文件或数据被篡改。

外设管控

支持主机外设管控：可以对USB存储设备、非USB存储设的管控。

支持主机外设接入告警，对白名单外USB设备接入主机有报警提示，并产生安全事件。

支持安全U盘使用。在安装有终端防护软件的主机上能够正常使用安全U盘。能对 (略) 访问策略控制（访问策略包括禁用、只读、读写）

支持主机外设操作权限授予。提供主机外设的多种操作权限授予：只读、读写、禁止使用，并记录操作日志

主机非法外联检测

▲支持主机非法外联探测， (略) 主机 (略) (略) 告警提示。

(略) 卡监测

支持 (略) 卡检查，能够识别白 (略) 卡，并告警提示。

安全审计

支持安全事件及系统操作事件的全面审计，对白名单策略以外的安全事件及 (略) 全面审计，包括安全事件发生时间、事件类型、响应方式、重复次数、执行对象、 (略) 为、系统性的记录与审计。

支持审计日志不可删除或篡改功能。可以自定义日志存储磁盘路径，存储日志不受时间限制，取决于磁盘空间大小。

支持日志查询功能，可以按照时间、事件类型、响应方式、重复次 (略) 检索查询；

支持对不同权限的系 (略) 为的日志审计，包括：时间、事件、操作对象、行为等详尽信息，方便区分正常更新过程还 (略) 为

自身保护

禁止自身文件、进程、或注册表被恶意篡改、卸载、 (略) 为

支持白名单文件修改或删除。

预置工业软件白名单

▲内置主流工业软件的白名单。预置的白名单库包括像西门子Wincc、施耐德Intouch、GE 公司的Ifix、 (略) 亚控Kingview、力控力控Forcecontrol (略) 商的工控HMI组态软件。

与操作系统及工业应用软件兼容性良好，不影响工控 (略)

支持在不影响使用的情况下对工控软件的安装和升级；

支持安装、卸载无需重启系统。

账户管理

支持 * 权分立，支持用户及管理员账号的切换及密码修改等操作。（提供功能截图， (略) 商公章）

产品资质

中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》

中华人民共和 (略) 颁发的《计算机软件著作权登记书》

分类

指标项

指标描述

产品形态

产品架构

自主专用安全操作系统，软硬件 * 体化工控安全监管平台，1U标准机架安装。适合工业环境。

接口要求

主机自带6个电口，支持2个扩展接口，扩展接口支持4电口、4光口、8电口、8光口模块。

▲支持≥2个扩展槽位，最多支持 * 个电口，最多支持 * 个光口。

产品性能

管理能力

最多管理≥ * 台安全设备，可以管理≥ * 工业卫士。

实时监控

清晰的监控总览界面，避免过多信息。包括安全事件数量、事件趋势和安全设备连接状态。

事件实时监控，包括事件总数、未读事件数以及事件发生的时段，智能分析事件高峰时段，将事件信息分为安全事件和系统事件两类分别监控。

设备实时监控， (略) 络安全设备、工控设备在线、掉线的状态的告警显示。

每秒不少于 * 条事件同时上报。

日志管理

支持安全事件和日志数据的存储、查询。

记录监管平台登录日志，监管平台操作日志，配置管理日志、并支持日志数据查询、导出和删除。

支持记录安全设备、工控设备、网络设备和安全卫士主机等终端设备的用户登录日志，终端用户操作日志。

设备管理

支持安全设备、工控设备、网络设备和安全卫士主机资产的管理功能。

支持新增工控设备、网络设备、安全设备、工业卫士等终端。

支持对工控设备、网络设备的自动发现功能。

(略) 络中第 (略) 商、序列号、型号等信息，并能够查看工业卫士主机的状态、IP地址等信息。

支持对工业卫士主机的USB防护，可以远程控制防护的开启或关闭。

支持工业卫士远程安装、升级。

支持对 (略) 设备重启、SSH设置、升级。

支持设备分组功能，根据设备的重要性、部门、类型等信 (略) 分类分组。

安全策略管控

支 (略) 策略查看、策略备份和策略复制，以及对 (略) 安全策略统 * 配置、统 * 下发，并支持增量配置功能。

支持按计划远程备份设备策略配置，按 (略) 安全策略下发功能。

工业卫士白名单库管理，可通过平台对终端工业卫士软件上的白名单添加、删除操作；

(略) 络安全设备， (略) 集中策略配置管理，按定时计划调度远程备份设备系统策略配置

拓扑管理

▲支持将安全设备、工控设备、网络设备和工控主机等 (略) 络拓扑图的功能，并支持拓扑的上传和下载。

运维管理

支持日志定时清理，支持磁盘空间不足告警提示功能。

支持 * 权分立：系统管理员、安全审计员、操作员。

支持系统重置和升级。

产品资质

销售许可证

产品具有中华人民 (略) 颁发的《计算机信息系统安全专用产品销售许可证》

(略) 颁发的计算机软件著作权登记证书

产品具有中华人民共和 (略) 颁发的《计算机软件著作权登记证书》

分类

特性/功能

详细描述

产品架构

系统基本架构

采用了“2+1”架构， (略) 主机系统、外网主机系统、双向隔离通 (略) 件组成。内网主 (略) 主机系统是两套独立的系统，各自都拥有自己的CPU、操作系统、存储器和总线，在两套系统之间除了双向隔离通 (略) 并不存在任何直接或间接的联系。 (略) 主机系统分别连接可 (略) 络，对 (略) 预处理，以实现安全应用数据的剥离。

硬件要求

硬件架构

(双主机+物理隔离单元）物理隔离；支持DNP3、S7等多种工控协议传输。可设定为单向/双向传输模式；工作模式支持透明、代理及路由 * 种工作模式； (略) 应用环境， (略) 个6个 * / 点击查看>> M (略) 端口，包括1个RJ * 管理端口，1个HA口，2个Console口，4个USB2.0，2U机架安装，冗余安全电源等。

产品性能

网络吞吐量

≥ * Mbps

网络时延

≤1ms

最大并发连接

≥ * 0

文件同步

支持专用客户端软件和无 (略) 署方式，提高易用性

支持NFS、SMB、FTP、SFTP等文件系统类型；文件服务器支持windows、Linux等操作系统。

支持文件加密传输，算法支持3DES和AES * ，可选择支持国密算法。

Windows客 (略) 支持两种方式：图形界面、系统服务；支持自定义系统服务名称和系统服务描述。

支持对已 (略) 标记，避免设备或软件重启重复传输已发送文件。

支持实时、周期、定时等 * 种时间策略。

支持接收 (略) 理，处理方式支持替换、时间戳标记。

接收 (略) 理方式支持前缀、后缀、文件名、文件夹等 * 种方式。

支持文件类型、文件名称、大小、扩展名、关键字、最后修改时间过滤；支持文件病毒检测。

支持强制访问控制：对客 (略) 用户名密码认证；对用户、 (略) 分级管理，发送用户不允许发送高于自身级别的文件，接收用户不允许接收高于自身级别的文件。

数据库同步

支持内置客户端方式，无需第 * 方软件支撑，无需改变数据库原有结构。

支持Oracle、Sqlserver等主流关系型数据库同步；支持异构数据库同步。

支持同步任务快速配置，配置表级别对应关系，无需配置字段级别对应关系

支持大字段（Blob）病毒检测和普通字段关键字检测。

支持增量更新、全表复制两种同步方式；支持实时、周期、定时等 * 种时间策略。

支持灵活的数据库冲突策略，可配置：覆盖/丢弃。

支持数据库任务连接实时状态判断；支持数据库任务配置关联性查看。

支持双向同步，即两张表互为源表和目的表。

应用层协议

支持应用层协议访问功能，包括FTP访问、邮件访问、HTTP访问等。

FTP访问支持源地址过滤、目的地址过滤、用户过滤、文件类型过滤、病毒检测；支持用户上传、下载权限控制。

HTTP访问支持POST、GET、HEAD等请求方法的过滤；支持URL过滤、文件类型过滤、病毒检测。

邮件访问支持邮件发件人/收件人、附件的文件类型过滤；支持邮件主题/正文敏感关键字等过滤方式。

FTP、HTTP、SMTP、POP3应用层协议的文件类型过滤基于文件真实格式特征，不依赖扩展名。

TCP/UDP代理

支持通用TCP/UDP协议。

支持代理模式和地址透明模式。

定制访问

支持私有协议访问功能；支持映射模式和路由模式。

▲双机热备

支持主备模式、主主模式的容错能力；支持主从设备之间配置文件自动同步。

▲工控协议

支持支持DNP3、S7等多种工控协议传输。

产品资质

资质

(略) 计算机信息系统安全专用产品销售许可证书

(略) 颁发的《计算机软件著作权登记书》