產(chǎn)品概述

背景

在現(xiàn)代工業(yè)企業(yè)的信息系統(tǒng)中，由各種DCS、PLC、測控設(shè)備、SCADA構(gòu)成的過程控制系統(tǒng)位于底層車間，負(fù)責(zé)完成基本的生產(chǎn)控制。隨著企業(yè)信息化建設(shè)的發(fā)展，迫切要求實現(xiàn)過程控制系統(tǒng)與上層管理信息系統(tǒng)之間互聯(lián)互通，完成經(jīng)營管理層與車間執(zhí)行層的雙向信息交互，使企業(yè)對生產(chǎn)情況保持實時反應(yīng)，消除信息孤島與斷層現(xiàn)象。

為了獲取現(xiàn)場的生產(chǎn)信息許多企業(yè)采用人工抄表、拷盤等人力傳遞的方式定期上報信息。人工采集不僅極不方便也無法實時的采集到現(xiàn)場數(shù)據(jù)，很難滿足當(dāng)今工業(yè)控制行業(yè)對生產(chǎn)控制和信息管理方面的要求，因此實現(xiàn)信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的互聯(lián)互通已經(jīng)是大勢所趨。

但信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)實現(xiàn)互聯(lián)時，如何保障過程控制網(wǎng)絡(luò)的安全就變成了一個嚴(yán)峻的問題。特別是對于石油、石化、電力、鋼鐵、煤礦等生產(chǎn)行業(yè)，對連續(xù)生產(chǎn)的安全性和可靠性有著極高的要求，一旦實現(xiàn)了信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間的互聯(lián)，就相當(dāng)于將控制網(wǎng)絡(luò)直接暴露給互聯(lián)網(wǎng)，而面臨被攻擊的可能?？刂凭W(wǎng)絡(luò)一旦受到惡意攻擊或感染病毒，很可能導(dǎo)致網(wǎng)絡(luò)中的主機崩潰，整個控制網(wǎng)絡(luò)癱瘓，甚至造成重大安全事故。

另外，互聯(lián)網(wǎng)攻擊者可能會利用一些大型工業(yè)自動化軟件的安全漏洞獲取諸如發(fā)電廠、污水處理廠、天然氣管道以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被攻擊者掌握，那后果不堪設(shè)想。因為生產(chǎn)控制網(wǎng)絡(luò)中的計算機可以控制諸如發(fā)電機組、化學(xué)反應(yīng)釜、供水管閥門、烘干設(shè)備甚至核電站的安全系統(tǒng)等大型工程化設(shè)備，攻擊者一旦控制該系統(tǒng)就意味著可能利用控制中心系統(tǒng)切斷整個城市的供電系統(tǒng)，污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的工程系統(tǒng)內(nèi)部網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)當(dāng)中，這種可能就越來越大。

常規(guī)網(wǎng)絡(luò)安全產(chǎn)品的不足

目前工業(yè)自動化市場上還鮮有專門針對工業(yè)網(wǎng)絡(luò)安全的防護產(chǎn)品。因此工業(yè)網(wǎng)絡(luò)用戶要么將控制網(wǎng)絡(luò)封閉起來，徹底與其它網(wǎng)絡(luò)斷開，同時也斷絕了網(wǎng)絡(luò)之間信息共享與交互；要么只能選用常規(guī)網(wǎng)安產(chǎn)品，如防火墻、網(wǎng)閘來解決問題。

但常規(guī)網(wǎng)安產(chǎn)品或者由于自身存在的缺陷與不足，不能滿足工業(yè)網(wǎng)絡(luò)較高的防護要求，或者因為不是專門針對工業(yè)網(wǎng)絡(luò)設(shè)計，難以在工業(yè)場合應(yīng)用。

防火墻的不足

防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種防護設(shè)備。提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用代理、帶寬和流量控制、事件審核和報警等。防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下，雖然經(jīng)過了多年的發(fā)展和完善，但其應(yīng)用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò)，它對于工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應(yīng)。

防火墻主要是針對通用網(wǎng)絡(luò)協(xié)議進行檢查和過濾，完全沒有覆蓋工業(yè)網(wǎng)絡(luò)協(xié)議和應(yīng)用，更談不上對于工業(yè)網(wǎng)絡(luò)協(xié)議和應(yīng)用數(shù)據(jù)的內(nèi)容進行解析和檢查。所以從這個角度來看防火墻對于工業(yè)網(wǎng)絡(luò)安全防護沒有絲毫的幫助。

為了提高安全防護能力，防火墻在發(fā)展過程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。防火墻的安全性要求越高，需要對數(shù)據(jù)包檢查的項目（即防火墻的功能）就越多越細(xì)，對CPU和內(nèi)存的消耗也就越大，從而導(dǎo)致防火墻的性能下降。這一點與工業(yè)網(wǎng)絡(luò)對于實時性的要求是相背離的。

另外，防火墻自身也有一些先天性的不足，會導(dǎo)致它防護效果下降，甚至喪失。

防火墻本身是基于TCP/IP協(xié)議體系實現(xiàn)的，所以它無法解決TCP/IP協(xié)議體系自身存在的漏洞，這會導(dǎo)致攻擊者利用TCP/IP協(xié)議自身的漏洞繞過防火墻。

防火墻是一個開關(guān)型的策略控制設(shè)備，它對于被保護對象只有允許訪問和拒絕訪問兩種處理方式，一旦允許訪問某個被保護對象，也就意味著該對象會直接暴露給攻擊者，其自身的漏洞可以被攻擊者所利用，防火墻將無法對其進行有效的保護。

網(wǎng)閘的不足

網(wǎng)閘是信息安全領(lǐng)域另外一個熱門的防護產(chǎn)品，它通常使用雙主機或三主機的硬件結(jié)構(gòu)，實現(xiàn)不同網(wǎng)絡(luò)安全區(qū)域之間的隔離，在隔離的同時還可以實現(xiàn)不同安全區(qū)域之間適度的數(shù)據(jù)擺渡。更先進一些的網(wǎng)閘還可以對擺渡的數(shù)據(jù)進行病毒查殺、數(shù)據(jù)內(nèi)容過濾，還具備一定的訪問控制、安全審計和身份認(rèn)證功能。

網(wǎng)閘看上去是一個可以阻斷不同網(wǎng)絡(luò)安全區(qū)域之間攻擊的有效手段，它也可以用于控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間的隔離和數(shù)據(jù)擺渡，但是網(wǎng)閘的問題在于其對工業(yè)網(wǎng)絡(luò)環(huán)境的適應(yīng)性不良。網(wǎng)閘主要是針對通用網(wǎng)絡(luò)協(xié)議進行處理，不支持工業(yè)網(wǎng)絡(luò)協(xié)議，更不能對工業(yè)網(wǎng)絡(luò)中大量的測點數(shù)據(jù)進行細(xì)粒度的管理。雖然很多網(wǎng)閘廠商給用戶提供開發(fā)接口，去支持用戶專有的協(xié)議，但是這對于用戶的技術(shù)要求太高，實際當(dāng)中的可操作性很差。

綜上所述，從防火墻、網(wǎng)閘之類的傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品很難從根本上保證控制網(wǎng)絡(luò)的安全。用戶需要專門針對工業(yè)網(wǎng)絡(luò)、支持廣泛工業(yè)協(xié)議的網(wǎng)絡(luò)安全設(shè)備來實現(xiàn)控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間的有效隔離和數(shù)據(jù)安全傳輸。

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)簡介

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計的安全隔離設(shè)備，用于解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護的問題。力控華康對于傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備硬件結(jié)構(gòu)進行了改良性設(shè)計，同時自主開發(fā)了工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)軟件。通過硬件和軟件兩方面的優(yōu)化和創(chuàng)新，pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)不但實現(xiàn)了對基于TCP/IP協(xié)議體系攻擊的徹底阻斷，而且也實現(xiàn)了對主流工業(yè)網(wǎng)絡(luò)協(xié)議的廣泛、深入支持和工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。

產(chǎn)品架構(gòu)

硬件架構(gòu)

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)采用“2+1”的物理結(jié)構(gòu)，內(nèi)部由兩個獨立主機系統(tǒng)組成，每個主機系統(tǒng)分別具有獨立的運算單元和存儲單元，各自獨立運行由力控華康自主開發(fā)的工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)。一端的主機系統(tǒng)為控制端，用于連接控制網(wǎng)絡(luò)；另一端的主機系統(tǒng)為信息端，用于連接信息網(wǎng)絡(luò)。兩端主機的硬件均采用高性能嵌入式計算機芯片，主板上各有多個以太網(wǎng)接口用來連接要隔離的兩個網(wǎng)絡(luò)，兩端主機各安裝一塊專用隔離卡實現(xiàn)雙主機之間的物理連接。

硬件看門狗實時監(jiān)視系統(tǒng)狀態(tài)，保證整套裝置的穩(wěn)定、持續(xù)運行。

軟件架構(gòu)

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)的控制端與信息端主機分別運行力控華康自主開發(fā)的工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)，主機之間的通訊使用私有協(xié)議，協(xié)議采用專有加密算法實現(xiàn)數(shù)據(jù)高速加解密處理，保證數(shù)據(jù)傳輸?shù)陌踩?。該系統(tǒng)全面支持各種主流工業(yè)網(wǎng)絡(luò)協(xié)議，包括OPC、Modbus、DNP 3、BACNet、IEC 60870-5-104等，而且系統(tǒng)可以深度解析各種工業(yè)網(wǎng)絡(luò)協(xié)議，對協(xié)議數(shù)據(jù)進行細(xì)粒度的處理?？刂贫撕托畔⒍讼到y(tǒng)中的隔離通信組件和中間的隔離單元三者構(gòu)成了工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)的核心。隔離通信組件負(fù)責(zé)根據(jù)用戶配置提取所需要的工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，屏蔽其它協(xié)議數(shù)據(jù)和用戶配置之外的工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，并對數(shù)據(jù)進行必要的解析和安全檢查；隔離單元負(fù)責(zé)使用加密的私有協(xié)議進行控制端和信息端之間的數(shù)據(jù)擺渡。

產(chǎn)品特點  

自主開發(fā)的PSL工業(yè)網(wǎng)絡(luò)隔離技術(shù)

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)作為控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間的安全隔離設(shè)備，其核心是PSL工業(yè)網(wǎng)絡(luò)隔離技術(shù)的應(yīng)用。PSL工業(yè)網(wǎng)絡(luò)隔離技術(shù)是硬件與軟件相結(jié)合來完成的。PSL工業(yè)網(wǎng)絡(luò)隔離技術(shù)在物理層采用了兩個獨立高性能嵌入式主機，雙主機之間采用基于總線通信的隔離卡實現(xiàn)兩個安全區(qū)之間的非網(wǎng)絡(luò)方式的數(shù)據(jù)交換；數(shù)據(jù)鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流全部進行128位加密處理，在保證安全隔離的前提下，實現(xiàn)數(shù)據(jù)的高速交換。通過物理硬件和軟件邏輯的共同作用，徹底截斷了穿透性的TCP連接，同時實現(xiàn)對工業(yè)協(xié)議數(shù)據(jù)的定向采集和轉(zhuǎn)發(fā)，達(dá)到數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過，確保控制網(wǎng)絡(luò)不受攻擊和入侵。

支持豐富的工業(yè)協(xié)議

工業(yè)網(wǎng)絡(luò)中協(xié)議標(biāo)準(zhǔn)多，國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)并存，所以對協(xié)議的支持性是衡量一個網(wǎng)絡(luò)設(shè)備能力的重要指標(biāo)。pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)支持各種主流的工業(yè)通信標(biāo)準(zhǔn)和工業(yè)控制設(shè)備，包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104、西門子S7系列PLC、AB PLC、GE PLC等，同時還可以提供協(xié)議的定制開發(fā)。

測點級訪問控制

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)可以對工業(yè)協(xié)議進行解析，提取其中的數(shù)據(jù)元素，可以作到針對測點一級的訪問控制。例如：對于OPC標(biāo)準(zhǔn)可以控制到Item（項）一級，對于Modbus協(xié)議可以控制到寄存器。pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)可以對測點進行可見范圍和讀寫權(quán)限兩方面的控制。

● 可見范圍控制：pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)可以指定在控制端允許或不允許接入哪些測點，從而實現(xiàn)pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)對于現(xiàn)場設(shè)備數(shù)據(jù)讀取范圍的控制；同時當(dāng)信息端存在多個上位系統(tǒng)時，pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)又可以指定哪些測點允許暴露給哪個上位系統(tǒng)，哪些測點要進行屏蔽，從而實現(xiàn)了現(xiàn)場設(shè)備數(shù)據(jù)進入信息網(wǎng)絡(luò)之后的定向傳輸管理。

● 讀寫權(quán)限：當(dāng)測點可見時，pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)又對每個測點賦予“只讀”或“讀/寫”兩種不同的權(quán)限。當(dāng)設(shè)為“只讀”權(quán)限時，所有數(shù)據(jù)回置操作被禁止從而實現(xiàn)單向數(shù)據(jù)傳輸，達(dá)到保護現(xiàn)場設(shè)備安全的目的。

分布部署、集中管理

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)提供了專用的配置管理工具。該配置管理工具部署在信息端，可以對網(wǎng)絡(luò)中多臺pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)進行遠(yuǎn)程的管理，方便用戶進行集中化管控。配置管理工具具有設(shè)備自發(fā)現(xiàn)的功能，可以自動查找網(wǎng)絡(luò)中的pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)，可以遠(yuǎn)程監(jiān)控設(shè)備的網(wǎng)絡(luò)狀態(tài)、對設(shè)備進行工程配置和管理、查看各測點數(shù)據(jù)狀態(tài)、讀取和分析設(shè)備日志。

數(shù)據(jù)斷線緩存

工業(yè)網(wǎng)絡(luò)對于數(shù)據(jù)的連續(xù)性要求極高，針對工業(yè)網(wǎng)絡(luò)中這種特有的要求pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)開發(fā)了斷線緩存功能。該功能可以在網(wǎng)絡(luò)暫時性中斷的情況下，將數(shù)據(jù)緩存在本地，并不斷檢測網(wǎng)絡(luò)的連通性狀態(tài)，一旦網(wǎng)絡(luò)連通則會將緩存的數(shù)據(jù)補報到上位系統(tǒng)中，保證數(shù)據(jù)的連續(xù)性。

另外，pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)還支持雙機熱備功能，在關(guān)鍵的網(wǎng)絡(luò)通道上可以使用雙機熱備功能來保證數(shù)據(jù)鏈路的可靠性和持續(xù)性。

多重可靠性保障

為了保證產(chǎn)品可靠性、穩(wěn)定性，pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)從硬件和軟件設(shè)計上進行了多方面的優(yōu)化。

● 硬件平臺專門面向工業(yè)應(yīng)用場合設(shè)計，對PCB、電源、機箱結(jié)構(gòu)、散熱進行全面優(yōu)化，從設(shè)計到生產(chǎn)流程都嚴(yán)格遵照工業(yè)品標(biāo)準(zhǔn)進行，以滿足苛刻工業(yè)現(xiàn)場的要求。

● 系統(tǒng)診斷子系統(tǒng)實時檢測系統(tǒng)內(nèi)各進程、線程的運行狀態(tài)，當(dāng)發(fā)現(xiàn)異常時自動產(chǎn)生報警信息，并在符合條件的情況下啟動自動恢復(fù)邏輯。

● I/O通信子系統(tǒng)具備完善的故障自動恢復(fù)功能。當(dāng)發(fā)生網(wǎng)絡(luò)通信中斷的情況時，I/O通信子系統(tǒng)會立刻報告通信狀態(tài)的變化，同時啟動通信重連機制，當(dāng)網(wǎng)絡(luò)通信恢復(fù)后，能迅速重新建立網(wǎng)絡(luò)連接，恢復(fù)數(shù)據(jù)通信。

● 雙側(cè)主機均有獨立的軟件看門狗和硬件看門狗，時刻監(jiān)視系統(tǒng)狀態(tài)，保證設(shè)備的穩(wěn)定運行。

主要功能

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)實現(xiàn)了控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間有效隔離，同時根據(jù)用戶配置進行必要的數(shù)據(jù)擺渡。其主要功能包括：

● 支持各種主流的工業(yè)網(wǎng)絡(luò)通信標(biāo)準(zhǔn)，包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104等，同時還提供自定義通信協(xié)議的擴展；

● 支持配置多個數(shù)據(jù)接收和轉(zhuǎn)發(fā)通道，每個數(shù)據(jù)通道下配置多個設(shè)備；支持?jǐn)?shù)據(jù)源和轉(zhuǎn)發(fā)點之間一對一、一對多、多對一、多對多的轉(zhuǎn)發(fā)。這樣可以方便用戶靈活配置，應(yīng)對現(xiàn)場不同的應(yīng)用環(huán)境；

● 支持測點的訪問控制，從而提高數(shù)據(jù)采集和轉(zhuǎn)發(fā)的安全性；

● 支持設(shè)備模板和點表導(dǎo)入功能。pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)配置管理工具除了可以對測點進行單點配置功能外，還提供了非常適用的模板功能。模板功能可以大大提高用戶工程組態(tài)的效率，減少組態(tài)的差錯率。對于OPC服務(wù)器，配置管理工具可自動遍歷服務(wù)器所有測點并生成模板，用戶也可以手工編輯模板然后導(dǎo)入到工程中；

● 專用的配置管理工具，加上設(shè)備自發(fā)現(xiàn)功能，可以幫助用戶遠(yuǎn)程管理網(wǎng)絡(luò)中多臺設(shè)備，方便快捷。而且配置以工程化文件的方式存儲，各設(shè)備的配置獨立管理，獨立分發(fā)應(yīng)用；

● 提供遠(yuǎn)程監(jiān)控運行狀態(tài)、測點數(shù)據(jù)、通信報文、日志信息等的功能；

● 集成Log Server，可以集中對日志進行存儲、查詢、導(dǎo)入和導(dǎo)出。

典型應(yīng)用

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)適用于各種控制網(wǎng)絡(luò)的安全防護。典型應(yīng)用領(lǐng)域包括流程工業(yè)DCS控制系統(tǒng)的網(wǎng)絡(luò)安全防護、電力系統(tǒng)現(xiàn)場IED設(shè)備的網(wǎng)絡(luò)安全防護、軌道交通ISCS的網(wǎng)絡(luò)安全防護、煤礦、冶金行業(yè)現(xiàn)場控制系統(tǒng)的網(wǎng)絡(luò)安全防護等。

下面分別介紹兩種常見的典型應(yīng)用場景。

基于OPC的應(yīng)用

OPC標(biāo)準(zhǔn)由于其開放性和高效性，現(xiàn)在已被廣泛應(yīng)用于自動化控制領(lǐng)域及生產(chǎn)信息管理中。目前大多數(shù)DCS系統(tǒng)、SCADA系統(tǒng)對外都提供OPC Server，以便為上層MES、生產(chǎn)調(diào)度等管理信息系統(tǒng)提供實時生產(chǎn)數(shù)據(jù)。同時幾乎所有的MES系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)的數(shù)據(jù)采集接口也都提供了OPC Client以便能實現(xiàn)對OPC Server數(shù)據(jù)的采集。然而OPC Server與OPC Client之間的通信依賴控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的直接連通。管理信息系統(tǒng)的網(wǎng)絡(luò)出于業(yè)務(wù)需要一般會連接到互聯(lián)網(wǎng)，這樣會給控制網(wǎng)絡(luò)的安全帶來極大的隱患。

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)的雙獨立主機系統(tǒng)分為控制端和信息端，分別接入控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)，分別完成與OPC  Server和OPC  Client的通信，同時兩主機之間采用PSL專用網(wǎng)絡(luò)隔離技術(shù)，在保證OPC數(shù)據(jù)快速交互的同時徹底阻斷其它網(wǎng)絡(luò)連接，保證了控制網(wǎng)絡(luò)的安全。

基于Modbus、DNP3的應(yīng)用

Modbus是基于PLC的一組通信協(xié)議。它已經(jīng)成為行業(yè)內(nèi)設(shè)備互相通信的標(biāo)準(zhǔn)協(xié)議，也是目前最常用的工業(yè)系統(tǒng)設(shè)備之間的通信協(xié)議。

DNP3（分布式網(wǎng)絡(luò)協(xié)議）是使用在工序自動化系統(tǒng)各部件之間的通信協(xié)議，它主要用于電力、水力等公共事業(yè)領(lǐng)域。此外，它的發(fā)展使得不同形式的數(shù)據(jù)獲取與控制設(shè)備之間的交流更為便利。

調(diào)度自動化系統(tǒng)的后臺為了實時獲取現(xiàn)場設(shè)備的數(shù)據(jù)，經(jīng)常需要通過網(wǎng)絡(luò)使用Modbus、DNP3等通信協(xié)議進行數(shù)據(jù)傳輸。然而調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與現(xiàn)場控制設(shè)備的直接連通就相當(dāng)于將控制系統(tǒng)直接暴露給外網(wǎng)而面臨被攻擊的可能。

pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)內(nèi)嵌力控華康自主開發(fā)的工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)，支持Modbus、DNP3等標(biāo)準(zhǔn)通信協(xié)議，可以實現(xiàn)調(diào)度自動化后臺系統(tǒng)與現(xiàn)場設(shè)備的實時通信，并根據(jù)需要可設(shè)置數(shù)據(jù)方向、測點訪問權(quán)限等。當(dāng)設(shè)置為單向方式或測點只讀時，后臺系統(tǒng)的所有數(shù)據(jù)回置操作將被屏蔽，以保證現(xiàn)場控制設(shè)備的安全。

產(chǎn)品規(guī)格

解決方案

過程控制網(wǎng)絡(luò)與生產(chǎn)管理網(wǎng)絡(luò)之間的隔離

生產(chǎn)信息管理系統(tǒng)的服務(wù)器放在工廠的調(diào)度中心，完成數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)發(fā)布等功能。在工廠管理層與過程控制層之間，通過工業(yè)以太網(wǎng)進行通訊，兩個網(wǎng)絡(luò)之間交換的數(shù)據(jù)主要是工業(yè)現(xiàn)場的實時生產(chǎn)數(shù)據(jù)。

由于過程控制網(wǎng)絡(luò)與工廠管理網(wǎng)絡(luò)之間通過工業(yè)以太網(wǎng)直接連通，也就間接的與更上層的企業(yè)管理網(wǎng)絡(luò)連通，與互聯(lián)網(wǎng)連通。這會直接導(dǎo)致攻擊者通過以太網(wǎng)通用的攻擊方式找到安全防護相對通過上面的描述我們可以看到，沒有進行任何防護的工業(yè)網(wǎng)絡(luò)實際上從上到下都是用以太網(wǎng)進行連通的，只要上層網(wǎng)絡(luò)被突破，那下層網(wǎng)絡(luò)的安全就沒有了保障。所以我們需要保障正常業(yè)務(wù)運行的前提下，通過一定的方法和措施切斷這種上下使用同一方式直接連通的網(wǎng)絡(luò)。如下圖，我們在過程控制層與工廠管理層之間部署工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)。

比較薄弱的企業(yè)管理網(wǎng)絡(luò)中的可利用主機，并通過它作為跳板，逐步滲透進入到工廠管理網(wǎng)絡(luò)，再進入到過程控制網(wǎng)絡(luò)，進而對過程控制網(wǎng)絡(luò)中的DCS、PLC等進行控制，修改其中的控制流程和工程數(shù)據(jù)，導(dǎo)致生產(chǎn)過程異常，甚至出現(xiàn)嚴(yán)重的事故和經(jīng)濟損失。

通過部署工業(yè)網(wǎng)絡(luò)隔離網(wǎng)關(guān)實現(xiàn)和達(dá)到以下幾個目標(biāo)和效果：

● 通過工業(yè)隔離網(wǎng)關(guān)“2+1”的物理結(jié)構(gòu)和中間私有協(xié)議加密通信機制實現(xiàn)過程控制網(wǎng)絡(luò)和上層網(wǎng)絡(luò)在物理和邏輯上的雙重隔離，實現(xiàn)網(wǎng)絡(luò)的縱向隔離和分區(qū)；

● 阻斷所有TCP連接，將來自于上層網(wǎng)絡(luò)的通用網(wǎng)絡(luò)攻擊、病毒傳播行為阻隔在過程控制網(wǎng)絡(luò)以外；

● 通過工業(yè)隔離網(wǎng)關(guān)上點表的配置，采集和匯聚生產(chǎn)現(xiàn)場的各種實時數(shù)據(jù)；

● 通過工業(yè)隔離網(wǎng)關(guān)上數(shù)據(jù)轉(zhuǎn)發(fā)功能，將采集到的數(shù)據(jù)分類、定向轉(zhuǎn)發(fā)給工廠管理網(wǎng)絡(luò)中不同的應(yīng)用服務(wù)器；

● 通過對測點級的訪問控制功能，保護測點不被隨意修改，防止上位機的誤操作和人為蓄意破壞；

● 通過數(shù)據(jù)采集和轉(zhuǎn)發(fā)功能最大限度的保證原有實時數(shù)據(jù)及時的上報到上層網(wǎng)絡(luò)中，實現(xiàn)對生產(chǎn)過程“零”影響。

過程控制網(wǎng)絡(luò)內(nèi)部子系統(tǒng)之間的隔離

在實際的生產(chǎn)環(huán)境中，由于地理位置不同、廠區(qū)不同、工藝流程不同過程控制網(wǎng)絡(luò)內(nèi)部又可能分為多個子系統(tǒng)，各子系統(tǒng)有自己獨立的的控制系統(tǒng)和控制流程，同時也會與平行的其它子系統(tǒng)有一定的數(shù)據(jù)交換。

由于過程控制網(wǎng)絡(luò)內(nèi)各子系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施水平不一，所以經(jīng)常會出現(xiàn)一些子系統(tǒng)使用無線、GPRS\CDMA、衛(wèi)星等安全保障機制較差的通用網(wǎng)絡(luò)線路與整個網(wǎng)絡(luò)系統(tǒng)相連的情況，這類子系統(tǒng)將會是整個網(wǎng)絡(luò)中最為薄弱的地方，也會成為攻擊者打開突破口的地方。一旦攻擊者從安全防護薄弱的子系統(tǒng)滲透成功，那就意味著他可以繼續(xù)進入過程控制網(wǎng)絡(luò)中平行的各子系統(tǒng)以及上層網(wǎng)絡(luò)，最終會波及到整個企業(yè)的管理、生產(chǎn)、控制網(wǎng)絡(luò)，產(chǎn)生不可預(yù)計的損失。

基于上面的分析，我們需要在過程控制網(wǎng)絡(luò)內(nèi)部不同子系統(tǒng)之間部署工業(yè)隔離網(wǎng)關(guān)，如下圖。

通過在過程控制網(wǎng)絡(luò)內(nèi)部部署工業(yè)隔離網(wǎng)關(guān)，達(dá)到以下的防護目的：

● 利用工業(yè)隔離網(wǎng)關(guān)阻斷各子系統(tǒng)之間TCP連接，實現(xiàn)各子系統(tǒng)之間橫向安全區(qū)的劃分；

● 防止過程控制網(wǎng)絡(luò)內(nèi)部各子系統(tǒng)之間的橫向影響和干擾，例如病毒傳播、攻擊滲透等；

● 實現(xiàn)對于重點設(shè)備和工藝流程的安全防護；

● 通過橫向分區(qū)，有利于強化安全管理，分清管理責(zé)任。