力控工控信息安全方案旨在構建在安全管理中心支持下的計算環(huán)境,、區(qū)域邊界,、通信網絡多重防御體系,。
網絡安全:分區(qū)分域,,隔離生產網絡與外部網絡;最小化業(yè)務域之間實現(xiàn)安全隔離,。
應用安全:實時監(jiān)測預警,;最小化應用;全數(shù)據(jù)留存,,提供應用安全,。
數(shù)據(jù)安全:數(shù)據(jù)保護、鏈路加密確保數(shù)據(jù)存儲傳輸安全,。
控制安全:工業(yè)協(xié)議深度解析,,指令級控制防護。
設備安全:黑白名單技術,、集中管理與監(jiān)測,。
自主開發(fā)的PSL工業(yè)網絡隔離技術PSL工業(yè)網絡隔離技術在物理層采用了兩個獨立高性能嵌入式主機,雙主機之間采用基于總線通信的隔離卡實現(xiàn)兩個安全區(qū)之間的非網絡方式的數(shù)據(jù)交換,;數(shù)據(jù)鏈路層和應用層采用私有通信協(xié)議,,數(shù)據(jù)流全部進行128位加密處理,在保證安全隔離的前提下,,實現(xiàn)數(shù)據(jù)的高速交換,。通過物理硬件和軟件邏輯的共同作用,截斷了穿透性的TCP連接,,同時實現(xiàn)對工業(yè)協(xié)議數(shù)據(jù)的定向采集和轉發(fā),,達到數(shù)據(jù)完全自我定義、自我解析,、自我審查,,傳輸機制具有不可攻擊性,從根本上杜絕了非法數(shù)據(jù)的通過,,確??刂凭W絡不受攻擊和入侵。
雙數(shù)據(jù)擺渡模式提供測點管控模式和隧道管控模式兩種數(shù)據(jù)擺渡模式,。測點管控模式針對工業(yè)現(xiàn)場數(shù)據(jù)通信需要,提供測點數(shù)據(jù)的解析和安全保護,;隧道管控模式使用自主開發(fā)的安全數(shù)據(jù)傳輸方式支持數(shù)據(jù)庫,、視頻等常規(guī)IT流量等更為多樣化的網絡環(huán)境中的數(shù)據(jù)擺渡。
工業(yè)協(xié)議深度過濾工控信息安全產品支持各種主流的工業(yè)通信標準和工業(yè)控制設備,,包括Modbus、OPC,、DNP3,、DLT 645,、IEC 60870-5-104、西門子S7系列PLC,、AB PLC,、GE PLC等,同時還可以提供協(xié)議的定制開發(fā),。提供OPC,、S7、MODBUS,、Ethernet/IP,、IEC60870-5-104,、CIP,、DNP3等工業(yè)協(xié)議深度解析及過濾,。
測點級訪問控制可以對工業(yè)協(xié)議進行解析,提取其中的數(shù)據(jù)元素,,可以作到針對測點一級的訪問控制,。例如:對于OPC標準可以控制到Item(項)一級,對于Modbus協(xié)議可以控制到寄存器,。產品可以對測點進行可見范圍和讀寫權限兩方面的控制,。
分布部署、集中管理提供了專用的配置管理工具,。該配置管理工具部署在信息端,,可以對網絡中多臺安全設備進行遠程的管理,,方便用戶進行集中化管控。配置管理工具具有設備自發(fā)現(xiàn)的功能,,可以自動查找網絡中的安全設備,,可以遠程監(jiān)控設備的網絡狀態(tài)、對設備進行工程配置和管理,、查看各測點數(shù)據(jù)狀態(tài),、讀取和分析設備日志。
數(shù)據(jù)斷線緩存工業(yè)網絡對于數(shù)據(jù)的連續(xù)性要求極高,,針對工業(yè)網絡中這種特有的要求,工控信息安全系列產品開發(fā)了斷線緩存功能。該功能可以在網絡暫時性中斷的情況下,,將數(shù)據(jù)緩存在本地,,并不斷檢測網絡的連通性狀態(tài),一旦網絡連通則會將緩存的數(shù)據(jù)補報到上位系統(tǒng)中,,保證數(shù)據(jù)的連續(xù)性,。另外,產品還支持雙機熱備功能,,在關鍵的網絡通道上可以使用雙機熱備功能來保證數(shù)據(jù)鏈路的可靠性和持續(xù)性,。
多重可靠性保障為了保證產品可靠性,、穩(wěn)定性,工控信息安全系列產品從硬件和軟件設計上進行了多方面的優(yōu)化,。硬件平臺專門面向工業(yè)應用場合設計,,對PCB、電源,、機箱結構,、散熱進行全面優(yōu)化,從設計到生產流程都嚴格遵照工業(yè)品標準進行,,以滿足苛刻工業(yè)現(xiàn)場的要求。系統(tǒng)診斷子系統(tǒng)實時檢測系統(tǒng)內各進程,、線程的運行狀態(tài),,當發(fā)現(xiàn)異常時自動產生報警信息,并在符合條件的情況下啟動自動恢復邏輯,。I/O通信子系統(tǒng)具備完善的故障自動恢復功能,。當發(fā)生網絡通信中斷的情況時,,I/O通信子系統(tǒng)會立刻報告通信狀態(tài)的變化,,同時啟動通信重連機制,,當網絡通信恢復后,能迅速重新建立網絡連接,,恢復數(shù)據(jù)通信,。雙側主機均有獨立的軟件看門狗和硬件看門狗,時刻監(jiān)視系統(tǒng)狀態(tài),,保證設備的穩(wěn)定運行。
工業(yè)網絡安全審計系統(tǒng)根據(jù)用戶自定義設置,留存所有網絡的原始數(shù)據(jù),,可配置為留存六個月及以上時間,。對安全事件進行審計,,及時追溯安全事件的軌跡,。 對用戶的操作行為進行細粒度審計,,方便還原操作的真相,。 獨立的告警響應機制,可定義對不同安全級別的安全事件的響應方式,。
工業(yè)主機安全衛(wèi)士工業(yè)主機安全衛(wèi)士正是專門為工控環(huán)境打造的終端安全防護產品,,它采用了高效、穩(wěn)定,、兼容、易于設置的終端安全防護技術,。只允許系統(tǒng)操作或運行受信任的對象,。工業(yè)主機安全衛(wèi)士還能對特定的對象(關鍵文件目錄及應用程序,、動態(tài)鏈接庫,、驅動文件等)提供保護,,有效阻止惡意程序通過不同途徑對關鍵對象的惡意改變,。
工業(yè)網絡安全管理平臺根據(jù)客戶環(huán)境和平臺業(yè)務特點,采用典型的三層架構(展示層,、業(yè)務層和數(shù)據(jù)層)對工業(yè)網絡中的安全產品及安全事件進行統(tǒng)一管理,,通過對控制網絡中的工業(yè)防火墻、工業(yè)安全防護網關,、安全審計,、主機衛(wèi)士等安全產品進行集中管理,實現(xiàn)對全網中各安全設備的統(tǒng)一配置,、全面監(jiān)控、實時告警,、流量分析等,,降低運維成本,、提高事件響應效率。
力控工控信息安全解決方案通過結合企業(yè)的具體情況將企業(yè)系統(tǒng)結構劃分成不同的區(qū)域幫助企業(yè)有效地建立“縱深防御”策略,,阻止來自信息網或其它區(qū)域的攻擊威脅或病毒擴散,,并在區(qū)域間進行隔離,,避免不同區(qū)域間病毒擴散。在保護工業(yè)控制系統(tǒng)核心資產(DCS,、PLC、實時數(shù)據(jù)庫等)安全的同時,,不影響這些資產的正常運行,,確保控制系統(tǒng)安全穩(wěn)定運行,。
(1)通過在信息網與管理網之間部署力控華康ISG工業(yè)防火墻進行安全防護,,通過對工業(yè)協(xié)議的深度過濾及訪問控制策略,從而確保信息網到管理網之間的數(shù)據(jù)安全,。
(2)在管理網與控制網之間部署力控華康PSL工業(yè)安全隔離網關主要起到在工業(yè)控制網絡同企業(yè)管理網絡之間隔離,,安全隔離網關采用物理單向隔離,有效地把內外部網絡隔離開來,,實現(xiàn)了對基于TCP/IP協(xié)議體系攻擊的阻斷,,而且可實現(xiàn)了工控數(shù)據(jù)的單向上傳,。
控制網中,在上位機與各PLC控制設備之間部署力控華康ISG工業(yè)防火墻進行安全防護,,通過對工業(yè)協(xié)議的深度過濾從而確保各PLC控制設備的安全,。
京公網安備11010802042889號