針對(duì)傳統(tǒng)安全隔離設(shè)備在工控行業(yè)環(huán)境下應(yīng)用的不足,,作為國(guó)內(nèi)工控行業(yè)的佼佼者,力控華康深知自己的社會(huì)責(zé)任所在,,依托多年工控行業(yè)的技術(shù)積累,,通過(guò)硬件和軟件兩方面的優(yōu)化和創(chuàng)新,開發(fā)出了IN-GAPS工業(yè)安全隔離與信息交換系統(tǒng),,不僅實(shí)現(xiàn)了對(duì)基于TCP/IP協(xié)議體系攻擊的阻斷,,也實(shí)現(xiàn)了對(duì)主流工業(yè)網(wǎng)絡(luò)協(xié)議的廣泛、深入支持和保證工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸,,并解決了傳統(tǒng)安全隔離設(shè)備無(wú)法適用于工業(yè)控制網(wǎng)絡(luò)的難題,。
“2+1”隔離技術(shù)架構(gòu)由兩個(gè)獨(dú)立主機(jī)系統(tǒng)組成,,一端的主機(jī)系統(tǒng)為控制端,用于連接控制網(wǎng)絡(luò),。另一端的主機(jī)系統(tǒng)為信息端,,用于連接信息網(wǎng)絡(luò)。兩端主機(jī)均采用高性能嵌入式硬件,,主板上各有多個(gè)以太網(wǎng)接口用來(lái)連接要隔離的兩個(gè)網(wǎng)絡(luò),,兩端主機(jī)通過(guò)隔離裝置進(jìn)行連接,保證數(shù)據(jù)交互的安全性,。
工業(yè)協(xié)議測(cè)點(diǎn)級(jí)訪問(wèn)控制在對(duì)工業(yè)協(xié)議進(jìn)行解析時(shí),,可以針對(duì)測(cè)點(diǎn)一級(jí)進(jìn)行訪問(wèn)控制。例如:OPC標(biāo)準(zhǔn)可以控制到Item(項(xiàng)),、Modbus協(xié)議可以控制到寄存器地址,并且可以對(duì)測(cè)點(diǎn)進(jìn)行可見(jiàn)范圍和讀寫權(quán)限兩方面的控制。
可見(jiàn)范圍控制可指定控制端允許或不允許接入哪些測(cè)點(diǎn),,從而實(shí)對(duì)現(xiàn)場(chǎng)設(shè)備數(shù)據(jù)讀取范圍的控制,;同時(shí)當(dāng)信息端有多個(gè) 監(jiān)控系統(tǒng)時(shí),,可指定哪些測(cè)點(diǎn)允許暴露給哪個(gè)監(jiān)控系統(tǒng),哪些測(cè)點(diǎn)要進(jìn)行屏蔽,,從而實(shí)現(xiàn)現(xiàn)場(chǎng)設(shè)備數(shù)據(jù)的定向傳輸管理,。讀寫權(quán)限控制是在測(cè)點(diǎn)可見(jiàn)時(shí)對(duì)每個(gè)測(cè)點(diǎn)賦予“只讀”或“讀/寫”兩種不同的權(quán)限。當(dāng)設(shè)為“只讀”權(quán)限時(shí),,所有數(shù)據(jù)禁止被修改,,從而實(shí)現(xiàn)單向數(shù)據(jù)傳輸,達(dá)到保護(hù)現(xiàn)場(chǎng)設(shè)備安全的目的,。
多協(xié)議數(shù)據(jù)匯聚轉(zhuǎn)換及分發(fā)支持OPC,、Modbus、IEC60870-5-101/102/103/104及各種PLC以太通訊等常用工業(yè)協(xié)議匯聚采集并轉(zhuǎn)換成用戶需要的工業(yè)協(xié)議,,同時(shí)可以多路分發(fā)給不同上位系統(tǒng),。
白名單管理通過(guò)提前計(jì)劃好的協(xié)議規(guī)則來(lái)限制網(wǎng)絡(luò)數(shù)據(jù)的交換,在控制網(wǎng)到信息網(wǎng)之間進(jìn)行動(dòng)態(tài)行為判斷,。 通過(guò)對(duì)約定協(xié)議的特征分析和端口限制的方法,,從根源上節(jié)制未知惡意軟件的運(yùn)行和傳播。
工業(yè)網(wǎng)絡(luò)協(xié)議的深度解析搭載了自研的深度數(shù)據(jù)包解析引擎,,可對(duì)工控協(xié)議做到實(shí)時(shí)和精準(zhǔn)的識(shí)別,,在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ) 上,能夠檢測(cè)出數(shù)據(jù)包的有效內(nèi)容特征,、負(fù)載和可用匹配信息,,如惡意軟件、具體數(shù)據(jù)和應(yīng)用程序類型,。深度數(shù)據(jù)包解析,。
引擎支持OPC、Modbus,、DNP3,、IEC 60870-5-101、IEC 60870-5-104,、西門子S7系列PLC,、AB PLC 、GE PLC等提取其中的關(guān)鍵字段(如:控制指令,、寄存器區(qū)域,、寄存器地址、數(shù)據(jù)范圍等)進(jìn)行訪問(wèn)控制,。
文件同步具備跨系統(tǒng)平臺(tái)文件的同步功能,;支持單向和雙向同步;支持多種文件格式,支持Windows平臺(tái)和Linux平臺(tái),;支持內(nèi)容過(guò)濾和病毒檢測(cè),;支持強(qiáng)制性的文件類型、文件內(nèi)容(黑,、白名單)等檢查,。
FTP訪問(wèn)支持FTP的安全訪問(wèn),對(duì)用戶,、命令,、文件類型等進(jìn)行細(xì)粒度訪問(wèn)控制;支持主動(dòng)模式和被動(dòng)模式,,支持動(dòng)態(tài)建立數(shù)據(jù)通道,,支持訪問(wèn)端口號(hào)自定義;支持中文文件名的過(guò)濾控制等多種功能,。
郵件傳輸支持基于SMTP協(xié)議的郵件發(fā)送和POP3協(xié)議的郵件接收,;支持透明訪問(wèn)模式式和普通訪問(wèn)模式; 普通訪問(wèn)模式下,,可對(duì)郵件服務(wù)器地址和端口控制等多種訪問(wèn)控制,。
安全瀏覽支持本地認(rèn)證、Radius,、LDAP認(rèn)證,,支持URL過(guò)濾、ActiveX,、Cookie,、JavaApplet等惡意代碼過(guò)濾。實(shí)現(xiàn)控制網(wǎng)用戶安全瀏覽信息網(wǎng)資源,,有效保證控制網(wǎng)數(shù)據(jù)的安全,。
安全通道支持高速代理、路由和透明三種模式,,可以對(duì)源地址和端口,、目的地址和端口進(jìn)行訪問(wèn)控制;支持多種應(yīng)用服務(wù)類型,, 如H323,、H323_GK、SNMP,、DNS等協(xié)議,。
應(yīng)用協(xié)議支持應(yīng)用協(xié)議有HTTPS、HTTP,、FTP,、SMTP,、POP3、TNS,、DNS,、Telnet、SAMBA,、NFS、IMAP,、定制TCP和UDP,、 SNMP、SSH,、RTSP,、MMS、H.323,、LDAP協(xié)議,、IRC等協(xié)議。
數(shù)據(jù)庫(kù)訪問(wèn)/同步支持MySql,、Oracle,、SQL Server等主流數(shù)據(jù)庫(kù)間單向和雙向同步;支持同構(gòu),、異構(gòu)同步,;支持一對(duì)多,多對(duì)一同步,;支持字段級(jí)的同步,,具有條件同步等多種同步策略。
實(shí)現(xiàn)對(duì)多種主流數(shù)據(jù)庫(kù)系統(tǒng)的安全訪問(wèn),;支持SQL Server和Oracle數(shù)據(jù)庫(kù)SQL語(yǔ)句過(guò)濾功能,;支持對(duì)源地址、目的地址的訪問(wèn)控制,。
視頻協(xié)議支持視頻協(xié)議傳輸包括:RTP實(shí)時(shí)傳輸協(xié)議,,RTCP實(shí)時(shí)傳輸控制協(xié)議,RTSP實(shí)時(shí)流協(xié)議,,SRTP實(shí)時(shí)傳輸協(xié)議RTP的伴生協(xié)議,,SRTCP實(shí)時(shí)傳輸控制協(xié)議伴生協(xié)議,MMS實(shí)時(shí)流傳輸協(xié)議等,。在綁定視頻媒體協(xié)議后,,確保通道中傳輸?shù)臄?shù)據(jù)須符合以上的媒體格式,否則丟棄,。
安全攻擊防護(hù)DDoS攻擊防護(hù):包括TCP Flood,、UDP Flood、SYN Flood、ICMP Flood,、IP Flood,。異常數(shù)據(jù)包攻擊:包括Ping of death、IP碎片攻擊,、TCP碎片攻擊,。
病毒檢測(cè):包括HTTP、SMTP,、POP3,、FTP、IM即時(shí)通訊,、S7_300等多種協(xié)議雙向檢測(cè),。
斷線緩存保證數(shù)據(jù)的完整性、連續(xù)性,、可靠性,,當(dāng)信息測(cè)網(wǎng)絡(luò)故障時(shí)數(shù)據(jù)緩存到本地,等待網(wǎng)絡(luò)恢復(fù)后數(shù)據(jù)補(bǔ)報(bào),。
雙機(jī)熱備雙機(jī)熱備模式下,,兩臺(tái)工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)通過(guò)心跳檢測(cè)進(jìn)行互相監(jiān)控,如果其中的一臺(tái)出現(xiàn)故障(宕機(jī),、網(wǎng)絡(luò)故障),,那么另一臺(tái)就頂替出現(xiàn)故障的網(wǎng)關(guān)提供服務(wù)。保證了網(wǎng)絡(luò)的高可用性和高安全性,,提升了系統(tǒng)的可靠性,。
IN-GAPS 2000部署在信息管理層與生產(chǎn)管理層之間,用來(lái)阻止來(lái)自信息網(wǎng)的DOS/DDOS攻擊,、惡意掃描,、異常數(shù)據(jù)包等安全威脅;可對(duì)通用網(wǎng)絡(luò)協(xié)議進(jìn)行訪問(wèn)控制和安全過(guò)濾,,并且支持對(duì)工控主流協(xié)議進(jìn)行訪問(wèn)控制及深度解析,,可以限制只有可信任的數(shù)據(jù)能夠在工控網(wǎng)絡(luò)中傳輸,有效保護(hù)了工控網(wǎng)絡(luò)的安全,。
OPC標(biāo)準(zhǔn)由于其開放性和高效性,,現(xiàn)在已被廣泛應(yīng)用于自動(dòng)化控制領(lǐng)域及生產(chǎn)管理中。然而OPC Server與OPC Client之間的通信依賴控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的直接連通,,這樣會(huì)給控制網(wǎng)絡(luò)的安全帶來(lái)極大的隱患,。
Modbus是基于PLC的一組通信協(xié)議,已經(jīng)成為行業(yè)內(nèi)設(shè)備互相通信的標(biāo)準(zhǔn)協(xié)議,。DNP(3 分布式網(wǎng)絡(luò)協(xié)議)是使用在工序自動(dòng)化系統(tǒng)各部件之間的通信協(xié)議,,主要用于電力,、水力等公共事業(yè)領(lǐng)域。
在工業(yè)網(wǎng)絡(luò)中存在很多關(guān)系數(shù)據(jù)庫(kù)系統(tǒng),、視頻監(jiān)控系統(tǒng),,是用來(lái)完成特定生產(chǎn)、監(jiān)控任務(wù)的應(yīng)用系統(tǒng),,其自身沒(méi)有任何的安全防護(hù)措施,,一旦這些重點(diǎn)系統(tǒng)受到惡意攻擊或者有人為誤操作的影響,將會(huì)直接危及整個(gè)生產(chǎn)過(guò)程,,影響生產(chǎn)安全,,甚至發(fā)生事故。IN-GAPS 2000的雙獨(dú)立主機(jī)系統(tǒng)保持OPC Server,、Modbus設(shè)備、DNP3設(shè)備,、關(guān)系數(shù)據(jù)庫(kù),、視頻監(jiān)控等和上層間的通信,同時(shí)兩主機(jī)之間采用專用網(wǎng)絡(luò)隔離技術(shù),,在保證數(shù)據(jù)快速交互的同時(shí)阻斷所有網(wǎng)絡(luò)連接,,保證了控制設(shè)備的安全。
訂閱號(hào)
力控小程序
京公網(wǎng)安備11010802042889號(hào)