针对工控网络中数控终端系统与外界信息交互越来越紧密，网络威胁越多，另外一些关键文件（NC文件）通过USB接口、串口传输到数控终端系统，存在安全隐患。安盟推出了“机甲卫士系统”，通过对网口、串口及USB口的多重安全防护，从内到外防止此类威胁对数控终端系统的侵犯，保护数控终端系统正常运行。

机甲卫士系统部署在数控终端前端， 对终端设备的所有通信端口进行全方位数据防护及在线状态监测，识别非法接入数控终端的设备，并进行实时报警。

机甲卫士系统管理平台部署在工控网络机房中，通过独立的网络链路与机甲卫士系统管理平台进行网络连接。机甲卫士系统的配置与更新均通过管理平台进行下发，同时机甲卫士系统的状态与监控情况也及时反馈到集中管理平台。

一、 产品功能

安盟华御机甲卫士系统(工控主机接口防护系统)实时监控外界与工控系统之间的信息交换进行，验证信息源可信性，在线检查各种协议的合规性和操作指令的合法性，核对和辨别信息载体的特征。具备以下安全防护功能:

1.  网络数据防护

机甲卫士系统网络数据防护功能支持基于白名单的网络访问控制功能，访问控制粒度包括源目IP地址，源目端口和传输层协议，根据策略规则对数据包应用层内容判别，支持对 Modbus TCP、OPCDA、S7等工控协议和通用协议FTP、HTTP、STMP、POP3等的深度过滤和控制。

2.  串口数据防护

可对RS232串口数据进行防护，根据数据包地址信息、指令类型及数据内容进行筛查过滤，配置基于白名单的串口访问控制策略，保证在数据传输过程中的可靠性。

3.  USB安全防护

具备USB接口设备的端口状态显示、权限设置、文件管控、黑白名单策略、病毒查杀等功能。

端口状态主要显示USB外设连接至机甲卫士设备时的基本信息，包含设备名称、设备厂商、设备序列号、设备类型、设备大小、接入时间、身份授权、端口授权和状态等信息。

端口权限设置主要配置和展示每个端口的端口模式（禁用、过滤、直通）和端口授权（只读、读写），用于控制存储类USB外设读写权限，非存储类USB外设不作读写控制。

文件管控主要对已连接存储类USB外设上的文件进行杀毒、手动传输、规则匹配、关键字过滤等管控，可以按照目录层级查看文件，显示每个文件的详细信息及病毒扫描信息，便于追溯和管理，可以根据实际业务对威胁文件进行删除。

黑白名单策略主要用于配置对存储类USB外设文件读写权限控制，在端口模式是过滤情况下，策略才会生效；文件读写权限根据端口授权、USB外设身份授权和策略来进行控制，策略只针对从USB外设读取文件时进行控制；设备默认有黑名单和白名单两条策略，且默认黑名单启用、白名单禁用。

4.  协议深度解析

在策略管理中可自选配置工控协议过滤和通用协议过滤，支持对 Modbus TCP、OPCDA、OPCUA、S7、FTP等协议的协议过滤、深度解析和控制。

5.  安全审计

对审计日志进行管理。审计日志包括安全防护业务审计日志和设备系统审计日志两类，对两类日志提供日志查询、日志导出(备份)、日志统计操作。

6.  集中管理

工控集中管理平台可集中管理网络内的机甲卫士设备，注册授权各个机甲卫士设备接入集中管理平台，实时接收各设备的告警信息，监测设备运行状态，并管理各设备的防护策略和规则配置。