1.工控信息安全現狀
隨著(zhù)兩化融合���、工業(yè) 4.0��、中國制造 2025
概念的落地����,傳統的流程領(lǐng)域工廠(chǎng)必然走向聯(lián)網(wǎng)��、融合���,這個(gè)過(guò)程就如目前電商對傳統零售商的沖擊一樣��,產(chǎn)業(yè)升級過(guò)程是不可逆轉�����。工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議�����、通用硬件和通用軟件�����,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接���,病毒����、木馬等威脅正在向工業(yè)控制系統擴散����,工業(yè)控制系統的安全問(wèn)題日益突出�����?�!罢鹁W(wǎng)”病毒事件充分反映出工業(yè)控制系統信息安全面臨的嚴峻形勢�����。
傳統的網(wǎng)絡(luò )安全設備主要是面向 IT 系統的防火墻�����,其基本原理是基于TCP/IP 協(xié)議進(jìn)行封包��、過(guò)濾���。工控系統與傳統 IT 設備的不同����,其通訊協(xié)議也不是
TCP/IP 協(xié)議�����,所以傳統的防火墻技術(shù)無(wú)法解決工控系統遇到的網(wǎng)絡(luò )邊界安全問(wèn)題�����。
針對這種工控信息的安全現狀�����,雙和科技公司開(kāi)發(fā)出了基于雙 CPU 架構與通訊白名單的 HH800GS
工業(yè)安全網(wǎng)閘產(chǎn)品�,可以有效解決這些網(wǎng)絡(luò )安全問(wèn)題�����。
2.產(chǎn)品概述
HH800GS 工業(yè)安全網(wǎng)閘是專(zhuān)為工控系統量身定做的網(wǎng)閘設備�����,其基本功能包括:
支持多種主流的工業(yè)通訊協(xié)議����,可以同時(shí)連接 OPC 服務(wù)器���、OPC 客戶(hù)端���、SQL ServerOracle 等關(guān)系數據庫��、Modbus
主站�����、Modbus 從站�、ModbusTCP 主站��、ModbusTCP 從站��、Profibus-DP 主站����、Profibus-DP 從站�����、和利時(shí)公司
FM/SM/K 全系列 IO 硬件�����、西門(mén)子 ET200M�、西門(mén)子S7300 等 IO 模塊�、DP 從站設備(變頻器��、智能采集設備)����、PA 儀表�����。
l 基于雙 CPU 架構設計��,內部雙 CPU 之間使用自定義的私有協(xié)議�����,阻斷依賴(lài) TCP/IP 協(xié)議的病毒傳播���,同時(shí)阻斷基于 IP
網(wǎng)絡(luò )協(xié)議的黑客攻擊通道���,保護數據通訊���。通訊白名單的設計����,可以使數據通訊安全等級和控制顆粒度高于目前通用的網(wǎng)閘設備����。
l 內置數據庫���,支持快速運算���,支持輕量級的控制運算(用于量程轉換��、閉環(huán)控制���、查表等)���,支持主備雙重冗余實(shí)現高可靠性�,可查詢(xún)顯示歷史數據���。
3.產(chǎn)品特點(diǎn)
HH800GS 專(zhuān)門(mén)針對電力��、石化��、化工等工業(yè)控制系統特點(diǎn)進(jìn)行設計�����,其特點(diǎn)如下:
?。?) 雙 CPU 架構設計�����。
網(wǎng)絡(luò )病毒與黑客均依賴(lài) TCP/IP 協(xié)議進(jìn)行遠程攻擊��,HH800GS 通過(guò)設計雙CPU 架構���,且雙 CPU
之間數據轉發(fā)使用私有協(xié)議�����,從原理上切斷所有的 TCP/IP 連接�,使網(wǎng)絡(luò )病毒與黑客攻擊無(wú)法穿透 HH800GS 安全網(wǎng)閘����。
?���。?) 通訊白名單設計�����。
在數據通訊前�,需通過(guò) HH800GS 內置的通訊組態(tài)軟件 GTPlus 建立通訊白名單�,限定通訊內容�����。只有通訊白名單內的數據點(diǎn)可以通過(guò) HH800GS
轉發(fā)��。同時(shí)�,還可以針對通訊點(diǎn)進(jìn)行邏輯保護����,例如:通過(guò)組態(tài)實(shí)現“當某個(gè)通訊點(diǎn)值超出最大限值時(shí)��,不進(jìn)行轉發(fā)�����,保持該點(diǎn)上次值”�����。數據流方向可以通過(guò)組態(tài)設置為單向或雙向�。
4.產(chǎn)品基本配置
硬件采用工業(yè)級芯片����、IP40 防護�、無(wú)風(fēng)扇����、鋁合金全封閉設計�,適合全天候��、嚴苛惡劣環(huán)境�����。
產(chǎn)品型號 | HH800GS |
RJ-45 通信端口 | 4 個(gè) |
RS-232/485/422 通訊端口 | 4 個(gè) |
CPU | INTEL ATOM D2550(1.8GHZ 雙核 4 線(xiàn)程) |
內存 | 2G |
Tag 點(diǎn)處理量 | 30000 |
歷史數據存儲 | 3 年(64G) |
USB 接口 | 4 個(gè) |
VGA 接口 | 2 個(gè) |
5. 產(chǎn)品典型部署方式
HH800GS 產(chǎn)品部署在 OPC 通訊設備之間����,工廠(chǎng)信息化系統與生產(chǎn)系統之間�,工控子系統之間等場(chǎng)合����。
?����。?) OPC 通訊保護��。
HH800GS 產(chǎn)品內置了OPC 客戶(hù)端和服務(wù)器端軟件��,已經(jīng)在出廠(chǎng)前配置完畢(包括 DCOM 配置����、權限設置等等)��,現場(chǎng)可以直接使用�����。同時(shí)����,還可以保護
OPC 數據通訊的信息安全�����。
?�。?) 工廠(chǎng)信息化通訊保護���。
工廠(chǎng)信息化改造時(shí)���,可以通過(guò) HH800GS 將采集信息直接通過(guò) ODBC 協(xié)議寫(xiě)入 PI 數據庫�����、SQLServer
等主流關(guān)系數據庫����。同時(shí)��,提供數據通訊的信息保護����,有效防止工廠(chǎng)信息系統影響工廠(chǎng)的生產(chǎn)系統����。
(3)工控子系統之間的通訊保護����。
以軌道交通綜合監控系統(ISCS)為例�����,進(jìn)行說(shuō)明�����。軌道交通 ISCS 系統包括:中心 PSCADA 監控系統�����,中心 BAS
監控系統等��,在這些子系統之間����,可以通過(guò) HH800GS 進(jìn)行數據通訊保護��。
6. 產(chǎn)品資質(zhì)
HH800GS 工業(yè)安全網(wǎng)閘已經(jīng)成功申請了相應的軟件著(zhù)作權�����,對其產(chǎn)品專(zhuān)利進(jìn)行保護���。
