進入展臺在線留言

直播推薦

更多>

數(shù)字孿生賦能新型工業(yè)化分論壇直播回放

企業(yè)動態(tài)

更多>

推薦展會

更多>

2025第21屆鄭州工業(yè)自動化展

展會城市：鄭州市展會時間：2025-05-09

淺析工業(yè)網(wǎng)絡安全隔離網(wǎng)關(guān)

2022年05月26日 15:33:49人氣：3328來源：北京力控元通科技有限公司

　　工業(yè)網(wǎng)絡安全隔離網(wǎng)關(guān)

　　針對傳統(tǒng)安全隔離設備在工控行業(yè)環(huán)境下應用的不足，力控華康深知自己的社會責任所在，依托多年工控行業(yè)的技術(shù)積累，通過硬件和軟件兩方面的優(yōu)化和創(chuàng)新，開發(fā)出了pSafetyLinkA1082（1U）/A2082（2U）工業(yè)網(wǎng)絡安全隔離網(wǎng)關(guān)（簡稱PSL-A1082/A2082），不僅實現(xiàn)了對基于TCP/IP協(xié)議體系攻擊的*阻斷，也實現(xiàn)了對主流工業(yè)網(wǎng)絡協(xié)議的廣泛、深入支持和保證工業(yè)控制網(wǎng)絡數(shù)據(jù)的安全傳輸，并解決了傳統(tǒng)安全隔離設備無法適用于工業(yè)控制網(wǎng)絡的難題。

　　產(chǎn)品架構(gòu)

　　1. 硬件架構(gòu)

　　PSL-A1082/A2082采用“2+1”的物理結(jié)構(gòu)，內(nèi)部由兩個獨立主機系統(tǒng)組成，每個主機系統(tǒng)分別具有獨立的運算單元和存儲單元，各自獨立運行力控華康自主定制的操作系統(tǒng)。一端的主機系統(tǒng)為控制端，用于連接控制網(wǎng)絡；另一端的主機系統(tǒng)為信息端，用于連接信息網(wǎng)絡。兩端主機均采用高性能嵌入式硬件，不同的主板上各有多個以太網(wǎng)接口用來連接要隔離的兩個網(wǎng)絡，兩端主機通過隔離裝置進行連接。

　　硬件看門狗實時監(jiān)視系統(tǒng)狀態(tài)，保證整套裝置的穩(wěn)定、持續(xù)運行。

2. 軟件架構(gòu)

　　控制端與信息端主機分別運行力控華康自主定制的操作系統(tǒng)，主機之間的通訊使用私有協(xié)議，保證數(shù)據(jù)傳輸?shù)陌踩?。該系統(tǒng)支持通用網(wǎng)絡協(xié)議訪問控制及安全過濾，并且全面支持各種主流工業(yè)網(wǎng)絡協(xié)議，包括OPC DA、Modbus、Siemens S7、IEC 60870-5-104，系統(tǒng)可以深度解析各種工業(yè)網(wǎng)絡協(xié)議，對協(xié)議數(shù)據(jù)進行細粒度的處理。

　　控制端和信息端系統(tǒng)中的隔離通訊組件以及中間的隔離單元三者構(gòu)成了工業(yè)控制網(wǎng)絡隔離系統(tǒng)的核心。隔離通訊組件負責根據(jù)用戶配置取出數(shù)據(jù)包中關(guān)鍵的應用層信息，并對數(shù)據(jù)包進行必要的解析和安全檢查，隔離單元負責使用私有協(xié)議進行控制端和信息端之間的數(shù)據(jù)加密擺渡。

產(chǎn)品特點

　　1. 安全隔離

　　● 單向隔離

　　PSL-A1082/A2082實現(xiàn)了對TCP、UDP應用數(shù)據(jù)傳輸方向的控制。通過對TCP、UDP協(xié)議數(shù)據(jù)包的深度解析，做到對應用數(shù)據(jù)的訪問控制，可實現(xiàn)應用數(shù)據(jù)的單向傳輸。在開啟單向傳輸功能后，應用數(shù)據(jù)只允許單方向傳輸，反方向的傳輸將會被阻斷，確保不會有任何敏感數(shù)據(jù)泄露到安全區(qū)域以外。在數(shù)據(jù)單向傳輸?shù)耐瑫r，隔離單元會將數(shù)據(jù)包進行拆解，使基于TCP、IP等網(wǎng)絡協(xié)議的攻擊無法通過。

　　● 雙向隔離

　　PSL-A1082/A2082在硬件方面采用了兩個獨立高性能嵌入式主機，雙主機之間通過隔離單元采用私有協(xié)議實現(xiàn)兩個安全區(qū)之間的數(shù)據(jù)交換。在啟用數(shù)據(jù)雙向隔離功能后，PSL-A1082/A2082對所有數(shù)據(jù)包進行拆解和還原，通過私有通信方式進行數(shù)據(jù)雙向傳輸。

　　在數(shù)據(jù)雙向傳輸?shù)耐瑫r，PSL-A1082/A2082的隔離單元會將數(shù)據(jù)包進行拆解并在另一側(cè)進行重組，使基于TCP、IP等網(wǎng)絡協(xié)議的攻擊無法生效，且數(shù)據(jù)傳輸時采用私有通信方式，在保證安全隔離的前提下，實現(xiàn)數(shù)據(jù)的高速交換。

　　2. 工業(yè)協(xié)議深度解析

　　PSL-A1082/A2082搭載了自研的深度數(shù)據(jù)包解析引擎，可對工控協(xié)議做到實時和精準的識別，為解決工控網(wǎng)絡的安全問題提供了技術(shù)基礎(chǔ)保障，其全面支持各大主流工業(yè)控制協(xié)議，并且能夠?qū)Ω黝悢?shù)據(jù)包進行快速有針對性的捕獲與深度解析。對不同行業(yè)的工控系統(tǒng)，可以采取相應針對性的數(shù)據(jù)包探測機制和解析策略。在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ)上，能夠檢測出數(shù)據(jù)包的有效內(nèi)容特征、負載和可用匹配信息，如惡意軟件、具體數(shù)據(jù)和應用程序類型。解析引擎執(zhí)行時能夠滿足工業(yè)控制系統(tǒng)在生產(chǎn)和制造過程中的通信效率的保障要求。

　　深度數(shù)據(jù)包解析引擎支持OPC DA 、Modbus、IEC 60870-5-104、西門子S7系列PLC、在內(nèi)的各大主流工控網(wǎng)絡協(xié)議，可以對工業(yè)協(xié)議進行解析，提取其中的關(guān)鍵字段(如：控制指令、寄存器區(qū)域、寄存器地址、數(shù)據(jù)范圍等)進行訪問控制。

　　3. ALG應用級網(wǎng)關(guān)

　　PSL-A1082/A2082支持FTP、SQLNET、H323、OPC協(xié)議的動態(tài)端口應用防護功能，通過對父連接的應用層信息進行解析，獲取子連接信息，實現(xiàn)對多連接協(xié)議中父連接和子連接的控制。如：OPC運行正常，OPC數(shù)據(jù)連接所使用的動態(tài)端口開放或放行。

　　4. 安全防護

　　● 安全攻擊防護

　　支持單包攻擊的檢測和防御：teardrop、Land、Ping of death。

　　支持flood攻擊的檢測和防御：ICMP flood、UDP flood、SYN flood。

　　支持檢測、記錄和抵御網(wǎng)絡掃描行為(端口掃描、漏洞掃描)。

　　● 黑名單過濾

　　PSL-A1082/A2082具有關(guān)鍵字及文件類型過濾功能。使用正則表達式方式配置關(guān)鍵字內(nèi)容和策略條件協(xié)議類型、流量方向進行關(guān)聯(lián)過濾。可通過文件傳輸協(xié)議深度識別病毒文件，可對多級壓縮文件進行解壓查殺。

　　● 自身防護

　　PSL-A1082/A2082具有自身安全防護功能。支持網(wǎng)絡掃描共計防護、管理口訪問地址限制、WEB管理界面開關(guān)、SSH管理功能開關(guān)、禁止網(wǎng)絡探測診斷PING等。

　　5. 統(tǒng)一安全管理

　　工業(yè)互聯(lián)網(wǎng)等技術(shù)快速發(fā)展的形勢下，越來越多的工業(yè)控制網(wǎng)絡和信息網(wǎng)絡連接在一起。企業(yè)加大了對工控網(wǎng)絡安全的投入，紛紛開始規(guī)劃工控網(wǎng)絡安全的建設，使得工控網(wǎng)絡中多種技術(shù)類型的安全設備迅速增加?！兜缺?.0》里則提出了“集中管控”的要求，即對分布在網(wǎng)絡中的安全設備或安全組件進行管控，對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備和服務器等的運行狀態(tài)進行集中監(jiān)測，以及對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析等。

　　PSL-A1082/A2082滿足安全運維及等保政策需求，支持syslog日志外發(fā)、SNMP設備狀態(tài)外發(fā)及安全策略統(tǒng)一配置下發(fā)API接口等功能。

　　6. 業(yè)務可靠性

　　PSL-A1082/A2082為了符合工業(yè)現(xiàn)場生產(chǎn)的連續(xù)性及穩(wěn)定性在軟件上進行全面優(yōu)化設計。

　　● 其他功能

　　系統(tǒng)內(nèi)嵌自診斷程序，實時監(jiān)測系統(tǒng)的運行情況，支持系統(tǒng)故障自恢復功能。

　　具有軟件狗、工程備份、流量限制、日志審計、雙機熱備等功能。

　　典型應用

　　PSL-A1082/A2082適用于各種控制網(wǎng)絡的安全防護。典型應用領(lǐng)域包括工業(yè)DCS控制系統(tǒng)的網(wǎng)絡安全防護、電力系統(tǒng)現(xiàn)場IED設備的網(wǎng)絡安全防護、軌道交通ISCS的網(wǎng)絡安全防護、煤礦、冶金行業(yè)現(xiàn)場控制系統(tǒng)的網(wǎng)絡安全防護等。

　　下面分別介紹常見的典型應用場景。

　　1. 工控網(wǎng)絡中控制網(wǎng)到信息網(wǎng)間的應用

　　PSL-A1082/A2082部署在信息網(wǎng)絡與控制網(wǎng)絡之間，能有效的對兩網(wǎng)之間數(shù)據(jù)進行隔離，阻止來自信息網(wǎng)的DOS/DDOS攻擊、惡意掃描、異常數(shù)據(jù)包等安全威脅。PSL-A1082/A2082可對通用網(wǎng)絡協(xié)議(如TCP、UDP、FTP、數(shù)據(jù)庫等)進行訪問控制和安全過濾，也支持工控主流協(xié)議(Modbus、OPC、DNP3、IEC 60870-5-104、西門子S7系列PLC、)進行訪問控制及深度解析，通過對工控網(wǎng)絡數(shù)據(jù)深度解析及規(guī)則設置，可以保證只有可信任的數(shù)據(jù)能夠在工控網(wǎng)絡中傳輸，有效防護了工控網(wǎng)絡的安全。

2. 基于OPC數(shù)據(jù)、交互的應用

　　OPC標準由于其開放性和高效性，現(xiàn)在已被廣泛應用于自動化控制領(lǐng)域及生產(chǎn)信息管理中。目前大多數(shù)DCS系統(tǒng)、SCADA系統(tǒng)對外都提供OPC Server，以便為上層MES、生產(chǎn)調(diào)度等管理信息系統(tǒng)提供實時生產(chǎn)數(shù)據(jù)。同時幾乎所有的MES系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)的數(shù)據(jù)采集接口也都提供了OPC Client以便能實現(xiàn)對OPC Server數(shù)據(jù)的采集。然而OPC Server與OPC Client之間的通信依賴控制網(wǎng)絡與信息網(wǎng)絡的直接連通。管理信息系統(tǒng)的網(wǎng)絡出于業(yè)務需要一般會連接到互聯(lián)網(wǎng)，這樣會給控制網(wǎng)絡的安全帶來極大的隱患。

　　PSL-A1082/A2082的雙獨立主機系統(tǒng)分為控制端和信息端，分別接入控制網(wǎng)絡和信息網(wǎng)絡，完成與OPC Server和OPC Client的通信，同時兩主機之間采用專用網(wǎng)絡隔離技術(shù)，在保證OPC數(shù)據(jù)快速交互的同時*阻斷其它網(wǎng)絡連接，保證了控制網(wǎng)絡的安全。

3. 基于Modbus的應用

　　Modbus是基于PLC的一組通信協(xié)議。它已經(jīng)成為行業(yè)內(nèi)設備互相通信的標準協(xié)議，也是目前較常用的工業(yè)系統(tǒng)設備之間的通信協(xié)議。

　　調(diào)度自動化系統(tǒng)的后臺為了實時獲取現(xiàn)場設備的數(shù)據(jù)，經(jīng)常需要通過網(wǎng)絡使用Modbus等通信協(xié)議進行數(shù)據(jù)傳輸。然而調(diào)度數(shù)據(jù)網(wǎng)絡與現(xiàn)場控制設備的直接連通就相當于將控制系統(tǒng)直接暴露給外網(wǎng)而面臨被攻擊的可能。

　　PSL-A1082/A2082內(nèi)嵌力控華康自主開發(fā)的工業(yè)網(wǎng)絡隔離系統(tǒng)，支持Modbus標準通信協(xié)議，可以實現(xiàn)調(diào)度自動化后臺系統(tǒng)與現(xiàn)場設備的實時通信，并根據(jù)需要可設置數(shù)據(jù)方向、訪問權(quán)限等。當設置為單向方式，后臺系統(tǒng)的所有數(shù)據(jù)回置操作將被屏蔽，以保證現(xiàn)場控制設備的安全。

　　PSL-A2082特點及應用

　　數(shù)據(jù)庫同步：

　　用戶的實際應用系統(tǒng)中，往往具有不同的用戶群及不同的網(wǎng)絡應用。但應用之間共享應用數(shù)據(jù)卻往往是必要的。因此，PSL-A2082將數(shù)據(jù)庫同步功能作為其數(shù)據(jù)交換的基本功能之一。

　　PSL-A2082數(shù)據(jù)庫訪問模塊通過數(shù)據(jù)庫應用代理的方式將數(shù)據(jù)庫服務映射到網(wǎng)閘的一端，應用程序可以直接訪問映射的數(shù)據(jù)庫服務，由網(wǎng)閘完成數(shù)據(jù)庫的數(shù)據(jù)內(nèi)容安全傳輸。數(shù)據(jù)庫同步模塊可以將一端網(wǎng)絡中的數(shù)據(jù)庫內(nèi)容同步復制到網(wǎng)閘另一端網(wǎng)絡的數(shù)據(jù)庫中。

　　● 數(shù)據(jù)庫單向同步及雙向同步

　　● 數(shù)據(jù)庫全表復制及增量復制

　　● 數(shù)據(jù)庫同構(gòu)及異構(gòu)同步

　　● 同步任務配置，包括主鍵沖突處理、同步動作、啟動模式、時間及間隔、表字段等屬性的控制

　　支持關(guān)系數(shù)據(jù)庫的應用：

　　在工業(yè)網(wǎng)絡中存在很多關(guān)系數(shù)據(jù)庫，這些重點設備本身是用來完成特定生產(chǎn)、監(jiān)控任務的應用系統(tǒng)，其自身沒有任何的安全防護措施，可以通過網(wǎng)絡對其進行任意的訪問。一旦這些重點設備受到惡意攻擊或者有人為誤操作的影響，將會直接危及整個生產(chǎn)過程，影響生產(chǎn)安全，甚至發(fā)生事故

關(guān)鍵詞：操作系統(tǒng)數(shù)據(jù)傳輸工業(yè)控制系統(tǒng)控制系統(tǒng)SCADA

上一篇：SCL-1巖石耐崩解試驗儀使用說明

下一篇：無線電子吊秤無信號怎么辦

全年征稿/資訊合作 聯(lián)系郵箱：1271141964@qq.com

免責聲明

凡本網(wǎng)注明"來源：智能制造網(wǎng)"的所有作品，版權(quán)均屬于智能制造網(wǎng)，轉(zhuǎn)載請必須注明智能制造網(wǎng)，http://towegas.com。違反者本網(wǎng)將追究相關(guān)法律責任。
企業(yè)發(fā)布的公司新聞、技術(shù)文章、資料下載等內(nèi)容，如涉及侵權(quán)、違規(guī)遭投訴的，一律由發(fā)布企業(yè)自行承擔責任，本網(wǎng)有權(quán)刪除內(nèi)容并追溯責任。
本網(wǎng)轉(zhuǎn)載并注明自其它來源的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點或證實其內(nèi)容的真實性，不承擔此類作品侵權(quán)行為的直接責任及連帶責任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時，必須保留本網(wǎng)注明的作品來源，并自負版權(quán)等法律責任。
如涉及作品內(nèi)容、版權(quán)等問題，請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關(guān)權(quán)利。

国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

淺析工業(yè)網(wǎng)絡安全隔離網(wǎng)關(guān)

免責聲明