力控工控信息安全方案旨在構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網絡多重防御體系。
網絡安全:分區(qū)分域,隔離生產網絡與外部網絡;最小化業(yè)務域之間實現安全隔離。
應用安全:實時監(jiān)測預警;最小化應用;全數據留存,提供應用安全。
數據安全:數據保護、鏈路加密確保數據存儲傳輸安全。
控制安全:工業(yè)協議深度解析,指令級控制防護。
設備安全:黑白名單技術、集中管理與監(jiān)測。
自主開發(fā)的PSL工業(yè)網絡隔離技術PSL工業(yè)網絡隔離技術在物理層采用了兩個獨立高性能嵌入式主機,雙主機之間采用基于總線通信的隔離卡實現兩個安全區(qū)之間的非網絡方式的數據交換;數據鏈路層和應用層采用私有通信協議,數據流全部進行128位加密處理,在保證安全隔離的前提下,實現數據的高速交換。通過物理硬件和軟件邏輯的共同作用,截斷了穿透性的TCP連接,同時實現對工業(yè)協議數據的定向采集和轉發(fā),達到數據完全自我定義、自我解析、自我審查,傳輸機制具有不可攻擊性,從根本上杜絕了非法數據的通過,確保控制網絡不受攻擊和入侵。
雙數據擺渡模式提供測點管控模式和隧道管控模式兩種數據擺渡模式。測點管控模式針對工業(yè)現場數據通信需要,提供測點數據的解析和安全保護;隧道管控模式使用自主開發(fā)的安全數據傳輸方式支持數據庫、視頻等常規(guī)IT流量等更為多樣化的網絡環(huán)境中的數據擺渡。
工業(yè)協議深度過濾工控信息安全產品支持各種主流的工業(yè)通信標準和工業(yè)控制設備,包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104、西門子S7系列PLC、AB PLC、GE PLC等,同時還可以提供協議的定制開發(fā)。提供OPC、S7、MODBUS、Ethernet/IP、IEC60870-5-104、CIP、DNP3等工業(yè)協議深度解析及過濾。
測點級訪問控制可以對工業(yè)協議進行解析,提取其中的數據元素,可以作到針對測點一級的訪問控制。例如:對于OPC標準可以控制到Item(項)一級,對于Modbus協議可以控制到寄存器。產品可以對測點進行可見范圍和讀寫權限兩方面的控制。
分布部署、集中管理提供了專用的配置管理工具。該配置管理工具部署在信息端,可以對網絡中多臺安全設備進行遠程的管理,方便用戶進行集中化管控。配置管理工具具有設備自發(fā)現的功能,可以自動查找網絡中的安全設備,可以遠程監(jiān)控設備的網絡狀態(tài)、對設備進行工程配置和管理、查看各測點數據狀態(tài)、讀取和分析設備日志。
數據斷線緩存工業(yè)網絡對于數據的連續(xù)性要求極高,針對工業(yè)網絡中這種特有的要求,工控信息安全系列產品開發(fā)了斷線緩存功能。該功能可以在網絡暫時性中斷的情況下,將數據緩存在本地,并不斷檢測網絡的連通性狀態(tài),一旦網絡連通則會將緩存的數據補報到上位系統(tǒng)中,保證數據的連續(xù)性。另外,產品還支持雙機熱備功能,在關鍵的網絡通道上可以使用雙機熱備功能來保證數據鏈路的可靠性和持續(xù)性。
多重可靠性保障為了保證產品可靠性、穩(wěn)定性,工控信息安全系列產品從硬件和軟件設計上進行了多方面的優(yōu)化。硬件平臺專門面向工業(yè)應用場合設計,對PCB、電源、機箱結構、散熱進行全面優(yōu)化,從設計到生產流程都嚴格遵照工業(yè)品標準進行,以滿足苛刻工業(yè)現場的要求。系統(tǒng)診斷子系統(tǒng)實時檢測系統(tǒng)內各進程、線程的運行狀態(tài),當發(fā)現異常時自動產生報警信息,并在符合條件的情況下啟動自動恢復邏輯。I/O通信子系統(tǒng)具備完善的故障自動恢復功能。當發(fā)生網絡通信中斷的情況時,I/O通信子系統(tǒng)會立刻報告通信狀態(tài)的變化,同時啟動通信重連機制,當網絡通信恢復后,能迅速重新建立網絡連接,恢復數據通信。雙側主機均有獨立的軟件看門狗和硬件看門狗,時刻監(jiān)視系統(tǒng)狀態(tài),保證設備的穩(wěn)定運行。
工業(yè)網絡安全審計系統(tǒng)根據用戶自定義設置,留存所有網絡的原始數據,可配置為留存六個月及以上時間。對安全事件進行審計,及時追溯安全事件的軌跡。 對用戶的操作行為進行細粒度審計,方便還原操作的真相。 獨立的告警響應機制,可定義對不同安全級別的安全事件的響應方式。
工業(yè)主機安全衛(wèi)士工業(yè)主機安全衛(wèi)士正是專門為工控環(huán)境打造的終端安全防護產品,它采用了高效、穩(wěn)定、兼容、易于設置的終端安全防護技術。只允許系統(tǒng)操作或運行受信任的對象。工業(yè)主機安全衛(wèi)士還能對特定的對象(關鍵文件目錄及應用程序、動態(tài)鏈接庫、驅動文件等)提供保護,有效阻止惡意程序通過不同途徑對關鍵對象的惡意改變。
工業(yè)網絡安全管理平臺根據客戶環(huán)境和平臺業(yè)務特點,采用典型的三層架構(展示層、業(yè)務層和數據層)對工業(yè)網絡中的安全產品及安全事件進行統(tǒng)一管理,通過對控制網絡中的工業(yè)防火墻、工業(yè)安全防護網關、安全審計、主機衛(wèi)士等安全產品進行集中管理,實現對全網中各安全設備的統(tǒng)一配置、全面監(jiān)控、實時告警、流量分析等,降低運維成本、提高事件響應效率。
力控工控信息安全解決方案通過結合企業(yè)的具體情況將企業(yè)系統(tǒng)結構劃分成不同的區(qū)域幫助企業(yè)有效地建立“縱深防御”策略,阻止來自信息網或其它區(qū)域的攻擊威脅或病毒擴散,并在區(qū)域間進行隔離,避免不同區(qū)域間病毒擴散。在保護工業(yè)控制系統(tǒng)核心資產(DCS、PLC、實時數據庫等)安全的同時,不影響這些資產的正常運行,確保控制系統(tǒng)安全穩(wěn)定運行。
(1)通過在信息網與管理網之間部署力控華康ISG工業(yè)防火墻進行安全防護,通過對工業(yè)協議的深度過濾及訪問控制策略,從而確保信息網到管理網之間的數據安全。
(2)在管理網與控制網之間部署力控華康PSL工業(yè)安全隔離網關主要起到在工業(yè)控制網絡同企業(yè)管理網絡之間隔離,安全隔離網關采用物理單向隔離,有效地把內外部網絡隔離開來,實現了對基于TCP/IP協議體系攻擊的阻斷,而且可實現了工控數據的單向上傳。
控制網中,在上位機與各PLC控制設備之間部署力控華康ISG工業(yè)防火墻進行安全防護,通過對工業(yè)協議的深度過濾從而確保各PLC控制設備的安全。
京公網安備11010802042889號