為滿足這種高度信息化的互聯(lián),,作為國內(nèi)工控行業(yè)的佼佼者,,力控華康深知自己的社會責任所在,。鑒于傳統(tǒng)網(wǎng)閘和防火墻都不能有效滿足工業(yè)現(xiàn)場的安全需求,,為保障工業(yè)網(wǎng)絡系統(tǒng)安全穩(wěn)定運行,,力控華康基于多年工業(yè)控制領域經(jīng)驗,,通過不斷研發(fā)并結(jié)合工業(yè)現(xiàn)場環(huán)境,,推出了pSafetyLink系列工業(yè)網(wǎng)絡安全防護 網(wǎng)關,,既實現(xiàn)了工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)等公共網(wǎng)絡間的有效隔離,,又解決了兩者之間高度信息化互聯(lián)問題, 同時在此之上增加多種應用功能,,滿足各式各樣的工業(yè)現(xiàn)場安全防護需求,。
“2+1”隔離技術架構(gòu)由兩個獨立主機系統(tǒng)組成,,一端的主機系統(tǒng)為控制端,用于連接控制網(wǎng)絡,。另一端的主機系統(tǒng)為信息端,,用于連接信息網(wǎng)絡。兩端主機均采用高性能嵌入式硬件,,主板上各有多個以太網(wǎng)接口用來連接要隔離的兩個網(wǎng)絡,,兩端主機通過隔離裝置進行連接,保證數(shù)據(jù)交互的安全性,。
工業(yè)協(xié)議測點級訪問控制在對工業(yè)協(xié)議進行解析時,,可以針對測點一級進行訪問控制。例如:OPC標準可以控制到Item(項),、Modbus協(xié)議可以控制到寄存器地址,并且可以對測點進行可見范圍和讀寫權限兩方面的控制,。
可見范圍控制可指定控制端允許或不允許接入哪些測點,從而實對現(xiàn)場設備數(shù)據(jù)讀取范圍的控制,;同時當信息端有多個 監(jiān)控系統(tǒng)時,,可指定哪些測點允許暴露給哪個監(jiān)控系統(tǒng),哪些測點要進行屏蔽,,從而實現(xiàn)現(xiàn)場設備數(shù)據(jù)的定向傳輸管理,。讀寫權限控制是在測點可見時對每個測點賦予“只讀”或“讀/寫”兩種不同的權限。當設為“只讀”權限時,,所有數(shù)據(jù)禁止被修改,,從而實現(xiàn)單向數(shù)據(jù)傳輸,達到保護現(xiàn)場設備安全的目的,。
多協(xié)議數(shù)據(jù)匯聚轉(zhuǎn)換及分發(fā)支持OPC,、Modbus、IEC60870-5-101/102/103/104及各種PLC以太通訊等常用工業(yè)協(xié)議匯聚采集并轉(zhuǎn)換成用戶需要的工業(yè)協(xié)議,,同時可以多路分發(fā)給不同上位系統(tǒng),。
白名單管理通過提前計劃好的協(xié)議規(guī)則來限制網(wǎng)絡數(shù)據(jù)的交換,在控制網(wǎng)到信息網(wǎng)之間進行動態(tài)行為判斷,。 通過對約定協(xié)議的特征分析和端口限制的方法,,從根源上節(jié)制未知惡意軟件的運行和傳播。
工業(yè)網(wǎng)絡協(xié)議的深度解析搭載了自研的深度數(shù)據(jù)包解析引擎,,可對工控協(xié)議做到實時和精準的識別,,在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎 上,,能夠檢測出數(shù)據(jù)包的有效內(nèi)容特征、負載和可用匹配信息,,如惡意軟件,、具體數(shù)據(jù)和應用程序類型。深度數(shù)據(jù)包解析,。
引擎支持OPC,、Modbus,、DNP3,、IEC 60870-5-101、IEC 60870-5-104,、西門子S7系列PLC,、AB PLC 、GE PLC等提取其中的關鍵字段(如:控制指令,、寄存器區(qū)域,、寄存器地址、數(shù)據(jù)范圍等)進行訪問控制,。
文件同步具備跨系統(tǒng)平臺文件的同步功能,;支持單向和雙向同步;支持多種文件格式,,支持Windows平臺和Linux平臺,;支持內(nèi)容過濾和病毒檢測;支持強制性的文件類型,、文件內(nèi)容(黑,、白名單)等檢查。
FTP訪問支持FTP的安全訪問,,對用戶,、命令、文件類型等進行細粒度訪問控制,;支持主動模式和被動模式,,支持動態(tài)建立數(shù)據(jù)通道,支持訪問端口號自定義,;支持中文文件名的過濾控制等多種功能,。
郵件傳輸支持基于SMTP協(xié)議的郵件發(fā)送和POP3協(xié)議的郵件接收;支持透明訪問模式和普通訪問模式,; 普通訪問模式下,,可對郵件服務器地址和端口控制等多種訪問控制。
安全瀏覽支持本地認證,、Radius,、LDAP認證,,支持URL過濾、ActiveX,、Cookie,、JavaApplet等惡意代碼過濾。實現(xiàn)控制網(wǎng)用戶安全瀏覽信息網(wǎng)資源,,有效保證控制網(wǎng)數(shù)據(jù)的安全,。
安全通道支持高速代理、路由和透明三種模式,,可以對源地址和端口,、目的地址和端口進行訪問控制;支持多種應用服務類型,, 如H323,、H323_GK、SNMP,、DNS等協(xié)議,。
應用協(xié)議支持應用協(xié)議有HTTPS、HTTP,、FTP,、SMTP、POP3,、TNS,、DNS、Telnet,、SAMBA,、NFS、IMAP,、定制TCP和UDP,、 SNMP、SSH,、RTSP,、MMS、H.323,、LDAP協(xié)議,、IRC等協(xié)議。
數(shù)據(jù)庫訪問/同步支持MySql,、Oracle,、SQL Server等主流數(shù)據(jù)庫間單向和雙向同步;支持同構(gòu)、異構(gòu)同步,;支持一對多,,多對一同步;支持字段級的同步,,具有條件同步等多種同步策略,。
實現(xiàn)對多種主流數(shù)據(jù)庫系統(tǒng)的安全訪問;支持SQL Server和Oracle數(shù)據(jù)庫SQL語句過濾功能,;支持對源地址,、目的地址的訪問控制。
視頻協(xié)議支持視頻協(xié)議傳輸包括:RTP實時傳輸協(xié)議,,RTCP實時傳輸控制協(xié)議,,RTSP實時流協(xié)議,SRTP實時傳輸協(xié)議RTP的伴生協(xié)議,,SRTCP實時傳輸控制協(xié)議伴生協(xié)議,,MMS實時流傳輸協(xié)議等,。在綁定視頻媒體協(xié)議后,,確保通道中傳輸?shù)臄?shù)據(jù)須符合以上的媒體格式,否則丟棄,。
安全攻擊防護DDoS攻擊防護:包括TCP Flood,、UDP Flood、SYN Flood,、ICMP Flood,、IP Flood。異常數(shù)據(jù)包攻擊:包括Ping of death,、IP碎片攻擊,、TCP碎片攻擊。
病毒檢測:包括HTTP,、SMTP,、POP3、FTP,、IM即時通訊,、S7_300等多種協(xié)議雙向檢測。
斷線緩存保證數(shù)據(jù)的完整性,、連續(xù)性,、可靠性,當信息測網(wǎng)絡故障時數(shù)據(jù)緩存到本地,,等待網(wǎng)絡恢復后數(shù)據(jù)補報,。
雙機熱備雙機熱備模式下,兩臺工業(yè)網(wǎng)絡安全防護網(wǎng)關通過心跳檢測進行互相監(jiān)控,如果其中的一臺出現(xiàn)故障(宕機,、網(wǎng)絡故障),,那么另一臺就頂替出現(xiàn)故障的網(wǎng)關提供服務。保證了網(wǎng)絡的高可用性和高安全性,,提升了系統(tǒng)的可靠性,。
pSafetyLink部署在信息管理層與生產(chǎn)管理層之間,用來阻止來自信息網(wǎng)的DOS/DDOS攻擊,、惡意掃描,、異常數(shù)據(jù)包等安全威脅;可對通用網(wǎng)絡協(xié)議進行訪問控制和安全過濾,,并且支持對工控主流協(xié)議進行訪問控制及深度解析,,可以限制只有可信任的數(shù)據(jù)能夠在工控網(wǎng)絡中傳輸,有效保護了工控網(wǎng)絡的安全,。
OPC標準由于其開放性和高效性,,現(xiàn)在已被廣泛應用于自動化控制領域及生產(chǎn)管理中。然而OPC Server與OPC Client之間的通信依賴控制網(wǎng)絡與管理網(wǎng)絡的直接連通,,這樣會給控制網(wǎng)絡的安全帶來極大的隱患,。
Modbus是基于PLC的一組通信協(xié)議,已經(jīng)成為行業(yè)內(nèi)設備互相通信的標準協(xié)議,。DNP(3 分布式網(wǎng)絡協(xié)議)是使用在工序自動化系統(tǒng)各部件之間的通信協(xié)議,,主要用于電力、水力等公共事業(yè)領域,。
在工業(yè)網(wǎng)絡中存在很多關系數(shù)據(jù)庫系統(tǒng),、視頻監(jiān)控系統(tǒng),是用來完成特定生產(chǎn),、監(jiān)控任務的應用系統(tǒng),,其自身沒有任何的安全防護措施,一旦這些重點系統(tǒng)受到惡意攻擊或者有人為誤操作的影響,,將會直接危及整個生產(chǎn)過程,,影響生產(chǎn)安全,甚至發(fā)生事故,。IN-GAPS 2000的雙獨立主機系統(tǒng)保持OPC Server,、Modbus設備、DNP3設備,、關系數(shù)據(jù)庫,、視頻監(jiān)控等和上層間的通信,同時兩主機之間采用專用網(wǎng)絡隔離技術,,在保證數(shù)據(jù)快速交互的同時阻斷所有網(wǎng)絡連接,,保證了控制設備的安全,。
訂閱號
力控小程序
京公網(wǎng)安備11010802042889號