〖新品出击〗工业互联网之工控信息安全产品
供稿:北京力控元通科技有限公司
01工控信息安全新品——增强型防火墙
力控华康工业防火墙HC-ISG(2.0)是专用于工业控制安全领域的增强级边界安全防护产品,能够有效对 SCADA、DCS、PCS、PLC、RTU等工业控制系统进行网络安全防护。HC-ISG(2.0)主要用于实现工业基础设施在网络环境中的边界防护,从而阻断非法访问、病毒传播和恶意攻击等,同时也能有效避免工作人员误操作等安全问题。HC-ISG(2.0)广泛应用于各工业现场,包括核设施、钢铁、有色、石油天然气、化工、电力、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、民航以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络。
全新一代增强级工业防火墙HC-ISG(V2.0),全面提升和扩展了入侵防御、URL过滤、病毒过滤、网络扫描防护、IP/MAC绑定等功能,可识别和预防网络中病毒传播、恶意攻击等行为,避免其影响控制网络和破坏生产流程;新增加并提供流量带宽管理、NAT及IPv6隧道等功能,可满足更多维度的网络环境需求,更加适应当前工业网络环境与信息化网络环境相融合的发展趋势;工业协议方面,提供针对工业协议的指令级深度检测,实现对Modbus、OPC主流工业协议和规约的细粒度检查和过滤,并支持智能协议识别和辅助规则生成;同时HC-ISG(2.0)具备高可用性及全透明无间断部署功能,有效保证业务连续性。典型部署:
位置1:生产管理层和信息管理层的纵向防护,阻断来自上层信息网的威胁。
位置2、3、5:对重要系统及实时数据库的服务器进行专门防护,切断恶意访问、恶意代码渗透及病毒感染。
位置4、10、11:隔离工程师站等主机设备,确保上位机系统主机对控制器的合法访问及控制,阻断非法指令下置及非法访问,从而保证生产现场的安全有序生产。同时降低工程师站等主机设备存在的安全风险。
位置6、7、8、9、13:过程控制层不同区域间的横向防护,防止不同区域间的交叉感染。
位置7、12、14:保护重要控制系统或设备,只允许必要的数据包通过,阻断对重要控制系统或设备的所有非法访问及控制。
02工控信息安全新品——单项导入网闸
随着信息化的不断发展,计算机网络的建设和应用的普及,形成了内网、专网和外网共存的复杂网络结构。工业4.0时代的到来,两化的不断融合,工控系统管控一体化趋势逐渐加强,使得工控系统、信息管理系统与互联网相连通,同时工控系统日益复杂化,各种SCADA、DCS、PLC、测控设备组成的过程控制系统越来越多地涉及到通用网络协议(HTTPS、HTTP等)、通用软件以及大流量的数据(数据库、视频等),以各种方式与互联网等公共网络连接,使得处于物理隔离的不同网络间的数据交换越来越频繁,交换的数据量也呈指数上升。特别是石油、石化、电力、钢铁、煤矿等生产行业,对生产的连续性、安全性和可靠性有着极高的要求,一旦实现了信息网络与控制系统网络之间的高度互联,就相当于将控制系统网络直接暴露给互联网,从而面临被攻击的风险,如果受到恶意攻击或感染病毒,很可能导致系统中的主机崩溃、整个控制网络瘫痪,造成重大安全事故、危及人员的生命财产安全乃至造成重大社会危害。
为保障工业网络系统安全稳定运行,力控华康通过不断研发,推出了uSafetyGap工业安全隔离单向导入系统,利用光单向传输的特性构建了一条安全、单向的传输通道,实现了工控网络到信息网络间的单向数据传输,既做到了工业控制系统与互联网等公共网络间的有效隔离,又解决了两者之间高度信息化互联问题,并且在此之上增加多种应用功能,满足各式各样的工业现场安全防护需求。
采用“2+1”的物理结构,内部由两个独立主机系统组成,采用基于SFP的单向光纤通道,将电信号转换成光信号传输,从物理上保证单向传输,不存在任何反馈信号。支持主动文件传输、被动文件传输、邮件中继转发、数据库同步等丰富的数据类型传输。支持对OPC、Modbus TCP等常用工控协议的深度解析。支持病毒检测、关键字过滤模块对于设备接收到的数据进行进行病毒检测以及关键字过滤。
典型部署:
uSafetyGap部署在信息管理层与生产管理层之间,隔断来自信息网的DOS/DDOS攻击、恶意扫描、异常数据包等安全威胁,保证数据的单向传输,确保了工控网络的安全;
uSafetyGap部署在过程控制层与生产管理层之间,隔断生产管理层的一些异常行为,提供了OPC Server、Modbus、DNP3等工业协议以及关系数据库与上层间的数据交互,有效保护了工控网络的安全;
uSafetyGap部署在过程控制层中不同的控制系统网络,实现了不同网络间的相互隔离,同时也防止了不同网络间交叉感染,确保了过程控制层不同网络间的设备安全。