中瑞佳星ZRJX-工控安全系统

1. 产品概述

1.1. 工控网络安全系统系列说明

中瑞佳星工控网络安全系统是满足众多工业行业多种现场应用的网络安全产品，为卡轨式产品。

中瑞佳星工控网络安全系统是专门为工业控制网络量身打造的工控网络安全产品。它能实时监测工控网络的状态，检测工控网络中入侵行为，也能根据用户定义的工控网络策略，追踪工控网络安全事件，同时能对工控网络的数据进行留存。

中瑞佳星工控网络安全系统适用于SCADA、DCS、PCS、PLC等工业控制系统，可以被广泛的应到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统。

中瑞佳星工控网络安全系统产品硬件采用工业级芯片、IP40防护、无风扇、电源冗余设计，使产品既达到了工业级的可靠性和稳定性要求。

中瑞佳星工控网络安全系统采用4个业务端口，传输速率支持10/100/1000Mbps自适应支持Modbus/TCP，S7，OPCDA，DNP3，IEC104，MMS，Profinetio，Profinetdcp,GOOSESV，Ethernet/IP,OPCUA_TCP等众多工业协议深度解析。

2. 登录管理

2.1. 概述

中瑞佳星工控网络安全系统为用户提供WEB网页界面的配置、监控、管理功能。用户可以通过网页进行方便快捷、直观的系统管理，对设备进行资管理的操作。

2.2. 登录方式

打开IE或Chrome浏览器，将计算机与工控网络安全系统MGMT网口通过网线直连，并将计算机的网络地址与工控网络安全系统设为统一子网内，即配置一台192.168.11.0/24网段（例如192.168.11.121）的计算机。

工控网络安全系统出厂IP：192.168.11.11

建议使用IE7、IE8、IE9或Chrome浏览器，用https方式登录，在地址栏输入https://192.168.11.11。

2.3. 管理员帐号设定

打开工控网络安全系统页面后，首先进入的是登录页面。用户名和密码，点击【登录】按钮，进入工控网络安全系统。

3. 系统信息

登录网络安全系统后，将进入系统信息界面。该页面中的数据每10秒更新一次状态。系统信息界面分为两部分：系统状态和事件信息

3.1. 系统信息

“系统信息”主要显示当前系统的利用率和流量信息。

“利用率”有：CPU利用率、内存利用率、磁盘利用率。

“流量信息”有：总流量、近1小时设备流量排名、近1小时协议流量排名。表盘转动需要手动刷新页面。

3.2. 事件信息

“事件信息”主要显示当前系统事件条数、规则条数信息以及设备端口的连接状态

l 未读事件条数为未读的安全事件和未读的系统事件条数之和

    l 今日事件条数为今日的安全事件条数和系统事件条数之和

    l 历史事件条数为历史的安全事件和历史的系统事件之和

    l 规则总数为白名单条数、黑名单条数和IP/MAC条数之和

4. 事件信息

中瑞佳星工控网络安全系统提供对工控网络的监控功能，事件页面显示的是系统运行到当前时刻所发生的所有事件。事件分为安全事件与系统事件两种。其中安全事件是指当前工控系统中所发生的事件，系统事件则是指网络安全系统本身所发生的事件，例如设备端口状态等。

4.1. 安全事件

点击“事件信息”，则可进入安全事件信息界面。页面上方显示的是安全事件的若干重要指标。其中“高峰时段”为最近24小时之内产生安全事件最多的时间段。

时间段间隔为1小时。在安全事件页面的下半部分，显示当前系统事件列表，点击“过滤条件”可通过选择事件起源IP、目标IP、协议、开始时间、结束时间以及事件内容对当前所有系统事件进行搜索。

同时该页面提供“刷新”、“全部标记为已读”、“清空所有事件”和“导出数据”功能。

在安全事件列表中，每行所显示的是，该事件的起源设备地址、目地地址、使用的协议、攻击时间、事件等级、状态等。具体而言，该事件所对应的网络包，是由起源设备发出，发往目标设备，经过网络安全系统并被该网络安全系统所探测到。

点击安全事件列表中的“详情”，可查看当前事件的事件内容、事件协议、规则项、事件包等详细信息。

4.2. 系统事件

进入“事件信息”页面后，点击系统事件选项卡，则进入系统事件页面。

页面上方显示的是系统事件的若干重要指标。其中“高峰时段”为最近24小时之内产生系统事件最多的时间段，时间段间隔为1小时。

在系统事件页面的下半部分，显示当前系统事件列表，点击“过滤条件”可通过选择事件开始时间、结束时间以及事件内容对当前所有系统事件进行搜索。

同时该页面提供“刷新”、“全部标记为已读”、“清空所有事件”和“导出数据”功能。

在系统事件列表中，每行所显示的是，该事件的事件等级、事件类型、时间、内容和状态。其中事件等级分为信息和警告，若连接正常，则显示为信息，否则显示为警告。事件类型分为接口状态和设备状态。

5. 工控网络

工控网络包括“协议分析”和“流量分析”两部分。点击页面上的网络安全，可以看到2个选型，点击对应的按钮进入到对应的页面。

5.1. 协议分析

点击“协议分析”，进入协议分析页面。

页面上方可根据起源IP、源MAC、源端口、目标IP、目标MAC、目标端口、时间以及协议类型对所有协议进行筛选。

工控网络结果列表显示协议的起始时间、IP地址、MAC地址、端口以及协议类型。

点击协议条目栏的“详情”，可查看该协议的详细信息。详细信息窗口中除了显示协议列表中的信息外，还可查看该协议的记录时间和目标URL.

5.2. 流量分析

“流量分析”页面上方可查看总流量、设备流量占比、协议流量占比。设备流量占比和协议流量占比可选择显示最近一小时、最近一天及最近一周流量情况。

页面下方流量记录中，包括设备名称、IP地址、MAC地址、平均输入速率（1小时）、平均输出速率（一小时）、平均流量百分比、更新时间。

点击流量记录中“详情”按钮，可查看设备流量信息。包括实时流量，最近一小时、一天、一周的协议流量占比，该设备不同时间下的流量协议名、平均流量百分比。

6. 日志信息

工控网络安全系统提供了登录日志和操作日志的查询和导出功能，用户点击页面上的“日志信息”可以切换到日志信息页面。日志信息分为“登录日志”和“操作日志”两个页面。

6.1. 登录日志

点击页面上的登录日志可以切换到登录日志界面。

登录日志记录了用户的登录操作，点击“过滤条件”可以对登录日志进行搜索过滤，可以根据开始时间、结束时间、ip、登录状态、用户、原因来对登录日志进行搜索过滤。

列表部分显示了登录日志的具体信息，点击“导出全部日志”，可以以csv的格式导出全部的登录日志信息。   

点击页码可以翻页查看其它的登录日志信息，每页最多显示10条信息。

6.2. 操作日志

点击页面上的“操作日志”按钮可以切换到操作日志界面

操作日志记录了用户在vtysh里面的操作信息，用户可以根据开始时间、结束时间、IP、用户，输入命令、执行结果来对操作日志进行搜索过滤。

列表中显示了操作日志的信息，点击导出全部日志，可以以csv的格式导出全部的操作日志。

7. 规则管理

规则管理是网络安全系统的核心功能，规则管理包含了IP/MAC，黑名单和白名单的功能。点击页面上的规则管理，可以看到3个选型，点击对应的按钮进入到对应的页面。

7.1. IP/MAC

IP/MAC页面的主要功能是添加IP/MAC规则，部署IP/MAC规则，同时添加的IP/MAC信息会作为白名单学习的基础。

IP/MAC表中不允许出现相同的IP/MAC对，即IP，MAC的值不能同时相同，否则添加不成功，页面会弹出窗口：当前规则已存在，请不要重复添加。

输入合法设备名称、IP、MAC信息，点击“添加”，完成新增IP/MAC。

可点击列表上方“启用所有”把全部IP/MAC部署到网络中去，点击“禁止所有”停用全部IP/MAC，勾选相应IP/MAC 条目处的“启用状态”对特定IP/MAC进行部署。

7.2. 黑名单

黑名单中包含了各种工控设备、网络设备所含有的各种可以利用、被攻击的漏洞。黑名单中的漏洞都带有特征码，从特征码可以导出预防攻击的安全保护规则。黑名单是一个长期挖掘、收集、研发、积累的过程。

黑名单页面中，可对系统中所有漏洞进行编辑。点击“启用所有”把全部漏洞部署到网络中去，点击“禁止所有”停用全部漏洞，勾选相应IP/MAC 条目处的“启用状态”对特定漏洞进行部署。

部署完成后，可通过“过滤”选择显示全部、禁用或是启用漏洞条目。

点击相应漏洞条目内容栏的“详情”，可查看该漏洞的信息及修补特征。

点击“上传”按钮，可可以上传漏洞库文件，将新的漏洞规则添加到漏洞库，漏洞库文件必须为zip格式，且里面包含一个rules文件和一个json文件，rules文件记录了具体的规则内容，json文件记录了rules的详细信息。

若提交的文件格式和内容正确，漏洞的信息会在漏洞库中显示，目前黑名单中共有981条漏洞。

7.3. 白名单

“白名单”页面可以学习规则、以及对已学习到的规则进行编辑处理。

在页面上方学习区域内，可选择“开始时间”和“学习时长“

设置完毕后，点击“开始学习”。注意：学习到的内容会替换之前学习到的规则。

学习完成后，会在页面下方显示学习到规则。点击相应条目栏的“详情”，可查看该条目相同设备名称、IP地址、MAC地址和协议的所有规则详情。可全选或是点击特定规则，进行应用、删除。

8. 设备管理

“设备管理”页面分为基础设置和高级设置。

8.1. 基础设置

“基础设置”页面显示当前设备信息：设备型号、序列号及设备版本。 

l  IP设置”模块显示当前设备的IP信息，同时提供设置IP的功能，输入IP和子网掩码后，点击“设置“，页面将自动跳转到登录界面。

l “时间设置”模块同时提供手工输入时间和NTP自动同步2种方式进行时间同步系统默认选择。手动输入时间方式，若用户使用NTP自动同步方式，请首先配置NTP服务器，并将输入框中的“127.0.0.1”修改为NTP服务器的IP地址，点击设置即可。

l “登录安全设置”模块显示当前设备的系统强制登出时间、用户可尝试登录次数同时提供这系统强制登出时间的设置功能。

l “系统升级”模块点击“浏览”选择上传升级包文件，上传完成后，点击“开始升级”即可对设备进行升级。 

      8.2. 高级设置

 “高级设置”页面提供系统重置、远程登录设置、管理模式切换三部分功能。

l 系统重置模块提供重启设备和恢复出厂设置2部分功能。

重启设备：完成系统重启功能。点击“重启设备“2分钟后，页面跳转到用户登录界面。

恢复出厂设置：点击“恢复原厂设置”后，当前的所有配置将会丢失，包括已经部署的规则。2分钟后，页面跳转到用户登录界面。该操作会重启当前设备。

l 远程登录设置模块提供该功能的开启和关闭选项，默认情况为关闭，即允许所有用户登录。若需限制特定IP才能登录该网络安全系统，请点击“开启”后点击设置，在IP输入框输入允许登录该设备的IP地址，点击“确认”按钮。出现提示框，点击“确认”，允许登录的IP添加完成。

警告：使用该功能时，用户请先添加自己的IP地址，否则用户自己将不能进入该系统。

9. 用户管理

“用户管理”页面分为账户信息、密码修改、添加新用户、所有用户五个模块。

l 账户 信息模块显示当前账户名称。

l 密码设置模块提供当前用户重置密码功能，用户可根据当前密码强度的提示密码设置。

l 添加新用户模块为admin用户提供添加新的用户功能，用户可根据输入框后的提示进行添加。网络安全系统最大支持10个用户。

l 所有用户模块显示可登陆当前设备的所有用户名和上次登录的时间，从未登陆的用户“上次登录时间“显示为’---’，admin用户可对其他用户进行删除操作。

10. 数据采集

中瑞佳星工控网络安全系统提供了数据采集设置功能,通过”数据采集”,用户可以设置工控网络安全设备的数据采集口、数据采集数据包的大小，采集的IP地址范围，数据存储路径、采集时长等。

11. 退出

在主页面的右上角选择“退出”按钮，点击完后会退出页面。

退回到登录时的界面，如果想再次进入，就需要再次输入用户名和登录密码，然后点击“登录”，就可以登录到主页面了。