1.工控信息安全現(xiàn)狀
隨著兩化融合�、工業(yè) 4.0���、中國(guó)制造 2025
概念的落地��,傳統(tǒng)的流程領(lǐng)域工廠(chǎng)必然走向聯(lián)網(wǎng)����、融合�����,這個(gè)過(guò)程就如目前電商對(duì)傳統(tǒng)零售商的沖擊一樣,產(chǎn)業(yè)升級(jí)過(guò)程是不可逆轉(zhuǎn)�����。工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議�、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接����,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散���,工業(yè)控制系統(tǒng)的安全問(wèn)題日益突出��?��!罢鹁W(wǎng)”病毒事件充分反映出工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢(shì)。
傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備主要是面向 IT 系統(tǒng)的防火墻��,其基本原理是基于TCP/IP 協(xié)議進(jìn)行封包����、過(guò)濾���。工控系統(tǒng)與傳統(tǒng) IT 設(shè)備的不同,其通訊協(xié)議也不是
TCP/IP 協(xié)議��,所以傳統(tǒng)的防火墻技術(shù)無(wú)法解決工控系統(tǒng)遇到的網(wǎng)絡(luò)邊界安全問(wèn)題�����。
針對(duì)這種工控信息的安全現(xiàn)狀�����,雙和科技公司開(kāi)發(fā)出了基于雙 CPU 架構(gòu)與通訊白名單的 HH800GS
工業(yè)安全網(wǎng)閘產(chǎn)品����,可以有效解決這些網(wǎng)絡(luò)安全問(wèn)題���。
2.產(chǎn)品概述
HH800GS 工業(yè)安全網(wǎng)閘是專(zhuān)為工控系統(tǒng)量身定做的網(wǎng)閘設(shè)備����,其基本功能包括:
支持多種主流的工業(yè)通訊協(xié)議�,可以同時(shí)連接 OPC 服務(wù)器、OPC 客戶(hù)端�、SQL ServerOracle 等關(guān)系數(shù)據(jù)庫(kù)、Modbus
主站、Modbus 從站�、ModbusTCP 主站、ModbusTCP 從站�、Profibus-DP 主站、Profibus-DP 從站���、和利時(shí)公司
FM/SM/K 全系列 IO 硬件���、西門(mén)子 ET200M、西門(mén)子S7300 等 IO 模塊���、DP 從站設(shè)備(變頻器��、智能采集設(shè)備)���、PA 儀表。
l 基于雙 CPU 架構(gòu)設(shè)計(jì)�,內(nèi)部雙 CPU 之間使用自定義的私有協(xié)議,阻斷依賴(lài) TCP/IP 協(xié)議的病毒傳播���,同時(shí)阻斷基于 IP
網(wǎng)絡(luò)協(xié)議的黑客攻擊通道�,保護(hù)數(shù)據(jù)通訊�。通訊白名單的設(shè)計(jì)��,可以使數(shù)據(jù)通訊安全等級(jí)和控制顆粒度高于目前通用的網(wǎng)閘設(shè)備�。
l 內(nèi)置數(shù)據(jù)庫(kù)�����,支持快速運(yùn)算�����,支持輕量級(jí)的控制運(yùn)算(用于量程轉(zhuǎn)換���、閉環(huán)控制、查表等)����,支持主備雙重冗余實(shí)現(xiàn)高可靠性,可查詢(xún)顯示歷史數(shù)據(jù)���。
3.產(chǎn)品特點(diǎn)
HH800GS 專(zhuān)門(mén)針對(duì)電力�、石化�����、化工等工業(yè)控制系統(tǒng)特點(diǎn)進(jìn)行設(shè)計(jì),其特點(diǎn)如下:
?�。?) 雙 CPU 架構(gòu)設(shè)計(jì)���。
網(wǎng)絡(luò)病毒與黑客均依賴(lài) TCP/IP 協(xié)議進(jìn)行遠(yuǎn)程攻擊��,HH800GS 通過(guò)設(shè)計(jì)雙CPU 架構(gòu)�����,且雙 CPU
之間數(shù)據(jù)轉(zhuǎn)發(fā)使用私有協(xié)議�,從原理上切斷所有的 TCP/IP 連接�,使網(wǎng)絡(luò)病毒與黑客攻擊無(wú)法穿透 HH800GS 安全網(wǎng)閘。
?��。?) 通訊白名單設(shè)計(jì)����。
在數(shù)據(jù)通訊前�,需通過(guò) HH800GS 內(nèi)置的通訊組態(tài)軟件 GTPlus 建立通訊白名單,限定通訊內(nèi)容�����。只有通訊白名單內(nèi)的數(shù)據(jù)點(diǎn)可以通過(guò) HH800GS
轉(zhuǎn)發(fā)。同時(shí)���,還可以針對(duì)通訊點(diǎn)進(jìn)行邏輯保護(hù)��,例如:通過(guò)組態(tài)實(shí)現(xiàn)“當(dāng)某個(gè)通訊點(diǎn)值超出最大限值時(shí)�,不進(jìn)行轉(zhuǎn)發(fā)�,保持該點(diǎn)上次值”。數(shù)據(jù)流方向可以通過(guò)組態(tài)設(shè)置為單向或雙向���。
4.產(chǎn)品基本配置
硬件采用工業(yè)級(jí)芯片��、IP40 防護(hù)�����、無(wú)風(fēng)扇、鋁合金全封閉設(shè)計(jì)�,適合全天候、嚴(yán)苛惡劣環(huán)境�����。
產(chǎn)品型號(hào) | HH800GS |
RJ-45 通信端口 | 4 個(gè) |
RS-232/485/422 通訊端口 | 4 個(gè) |
CPU | INTEL ATOM D2550(1.8GHZ 雙核 4 線(xiàn)程) |
內(nèi)存 | 2G |
Tag 點(diǎn)處理量 | 30000 |
歷史數(shù)據(jù)存儲(chǔ) | 3 年(64G) |
USB 接口 | 4 個(gè) |
VGA 接口 | 2 個(gè) |
5. 產(chǎn)品典型部署方式
HH800GS 產(chǎn)品部署在 OPC 通訊設(shè)備之間���,工廠(chǎng)信息化系統(tǒng)與生產(chǎn)系統(tǒng)之間�����,工控子系統(tǒng)之間等場(chǎng)合����。
(1) OPC 通訊保護(hù)��。
HH800GS 產(chǎn)品內(nèi)置了OPC 客戶(hù)端和服務(wù)器端軟件���,已經(jīng)在出廠(chǎng)前配置完畢(包括 DCOM 配置�����、權(quán)限設(shè)置等等)�����,現(xiàn)場(chǎng)可以直接使用�����。同時(shí)���,還可以保護(hù)
OPC 數(shù)據(jù)通訊的信息安全����。
?���。?) 工廠(chǎng)信息化通訊保護(hù)。
工廠(chǎng)信息化改造時(shí)��,可以通過(guò) HH800GS 將采集信息直接通過(guò) ODBC 協(xié)議寫(xiě)入 PI 數(shù)據(jù)庫(kù)��、SQLServer
等主流關(guān)系數(shù)據(jù)庫(kù)�����。同時(shí)�,提供數(shù)據(jù)通訊的信息保護(hù),有效防止工廠(chǎng)信息系統(tǒng)影響工廠(chǎng)的生產(chǎn)系統(tǒng)��。
(3)工控子系統(tǒng)之間的通訊保護(hù)��。
以軌道交通綜合監(jiān)控系統(tǒng)(ISCS)為例��,進(jìn)行說(shuō)明����。軌道交通 ISCS 系統(tǒng)包括:中心 PSCADA 監(jiān)控系統(tǒng),中心 BAS
監(jiān)控系統(tǒng)等�,在這些子系統(tǒng)之間,可以通過(guò) HH800GS 進(jìn)行數(shù)據(jù)通訊保護(hù)�����。
6. 產(chǎn)品資質(zhì)
HH800GS 工業(yè)安全網(wǎng)閘已經(jīng)成功申請(qǐng)了相應(yīng)的軟件著作權(quán)�,對(duì)其產(chǎn)品專(zhuān)利進(jìn)行保護(hù)。
