進(jìn)入展臺(tái) 在線留言

直播推薦

更多>

【與智造同行】走進(jìn)華為AI＋制造行業(yè)峰會(huì)2025——如何讓智能制造走深走實(shí)？華為給你答案！直播回放

企業(yè)動(dòng)態(tài)

更多>

推薦展會(huì)

更多>

2025中國(guó)鄭州衡器與計(jì)量技術(shù)設(shè)備展覽會(huì)

展會(huì)城市：鄭州市展會(huì)時(shí)間：2025-11-07

淺析工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)

2022年05月26日 15:33:49人氣：3363來(lái)源：北京力控元通科技有限公司

　　工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)

　　針對(duì)傳統(tǒng)安全隔離設(shè)備在工控行業(yè)環(huán)境下應(yīng)用的不足，力控華康深知自己的社會(huì)責(zé)任所在，依托多年工控行業(yè)的技術(shù)積累，通過(guò)硬件和軟件兩方面的優(yōu)化和創(chuàng)新，開(kāi)發(fā)出了pSafetyLinkA1082（1U）/A2082（2U）工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)（簡(jiǎn)稱(chēng)PSL-A1082/A2082），不僅實(shí)現(xiàn)了對(duì)基于TCP/IP協(xié)議體系攻擊的*阻斷，也實(shí)現(xiàn)了對(duì)主流工業(yè)網(wǎng)絡(luò)協(xié)議的廣泛、深入支持和保證工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸，并解決了傳統(tǒng)安全隔離設(shè)備無(wú)法適用于工業(yè)控制網(wǎng)絡(luò)的難題。

　　產(chǎn)品架構(gòu)

　　1. 硬件架構(gòu)

　　PSL-A1082/A2082采用“2+1”的物理結(jié)構(gòu)，內(nèi)部由兩個(gè)獨(dú)立主機(jī)系統(tǒng)組成，每個(gè)主機(jī)系統(tǒng)分別具有獨(dú)立的運(yùn)算單元和存儲(chǔ)單元，各自獨(dú)立運(yùn)行力控華康自主定制的操作系統(tǒng)。一端的主機(jī)系統(tǒng)為控制端，用于連接控制網(wǎng)絡(luò)；另一端的主機(jī)系統(tǒng)為信息端，用于連接信息網(wǎng)絡(luò)。兩端主機(jī)均采用高性能嵌入式硬件，不同的主板上各有多個(gè)以太網(wǎng)接口用來(lái)連接要隔離的兩個(gè)網(wǎng)絡(luò)，兩端主機(jī)通過(guò)隔離裝置進(jìn)行連接。

　　硬件看門(mén)狗實(shí)時(shí)監(jiān)視系統(tǒng)狀態(tài)，保證整套裝置的穩(wěn)定、持續(xù)運(yùn)行。

2. 軟件架構(gòu)

　　控制端與信息端主機(jī)分別運(yùn)行力控華康自主定制的操作系統(tǒng)，主機(jī)之間的通訊使用私有協(xié)議，保證數(shù)據(jù)傳輸?shù)陌踩Ｔ撓到y(tǒng)支持通用網(wǎng)絡(luò)協(xié)議訪問(wèn)控制及安全過(guò)濾，并且全面支持各種主流工業(yè)網(wǎng)絡(luò)協(xié)議，包括OPC DA、Modbus、Siemens S7、IEC 60870-5-104，系統(tǒng)可以深度解析各種工業(yè)網(wǎng)絡(luò)協(xié)議，對(duì)協(xié)議數(shù)據(jù)進(jìn)行細(xì)粒度的處理。

　　控制端和信息端系統(tǒng)中的隔離通訊組件以及中間的隔離單元三者構(gòu)成了工業(yè)控制網(wǎng)絡(luò)隔離系統(tǒng)的核心。隔離通訊組件負(fù)責(zé)根據(jù)用戶(hù)配置取出數(shù)據(jù)包中關(guān)鍵的應(yīng)用層信息，并對(duì)數(shù)據(jù)包進(jìn)行必要的解析和安全檢查，隔離單元負(fù)責(zé)使用私有協(xié)議進(jìn)行控制端和信息端之間的數(shù)據(jù)加密擺渡。

產(chǎn)品特點(diǎn)

　　1. 安全隔離

　　● 單向隔離

　　PSL-A1082/A2082實(shí)現(xiàn)了對(duì)TCP、UDP應(yīng)用數(shù)據(jù)傳輸方向的控制。通過(guò)對(duì)TCP、UDP協(xié)議數(shù)據(jù)包的深度解析，做到對(duì)應(yīng)用數(shù)據(jù)的訪問(wèn)控制，可實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的單向傳輸。在開(kāi)啟單向傳輸功能后，應(yīng)用數(shù)據(jù)只允許單方向傳輸，反方向的傳輸將會(huì)被阻斷，確保不會(huì)有任何敏感數(shù)據(jù)泄露到安全區(qū)域以外。在數(shù)據(jù)單向傳輸?shù)耐瑫r(shí)，隔離單元會(huì)將數(shù)據(jù)包進(jìn)行拆解，使基于TCP、IP等網(wǎng)絡(luò)協(xié)議的攻擊無(wú)法通過(guò)。

　　● 雙向隔離

　　PSL-A1082/A2082在硬件方面采用了兩個(gè)獨(dú)立高性能嵌入式主機(jī)，雙主機(jī)之間通過(guò)隔離單元采用私有協(xié)議實(shí)現(xiàn)兩個(gè)安全區(qū)之間的數(shù)據(jù)交換。在啟用數(shù)據(jù)雙向隔離功能后，PSL-A1082/A2082對(duì)所有數(shù)據(jù)包進(jìn)行拆解和還原，通過(guò)私有通信方式進(jìn)行數(shù)據(jù)雙向傳輸。

　　在數(shù)據(jù)雙向傳輸?shù)耐瑫r(shí)，PSL-A1082/A2082的隔離單元會(huì)將數(shù)據(jù)包進(jìn)行拆解并在另一側(cè)進(jìn)行重組，使基于TCP、IP等網(wǎng)絡(luò)協(xié)議的攻擊無(wú)法生效，且數(shù)據(jù)傳輸時(shí)采用私有通信方式，在保證安全隔離的前提下，實(shí)現(xiàn)數(shù)據(jù)的高速交換。

　　2. 工業(yè)協(xié)議深度解析

　　PSL-A1082/A2082搭載了自研的深度數(shù)據(jù)包解析引擎，可對(duì)工控協(xié)議做到實(shí)時(shí)和精準(zhǔn)的識(shí)別，為解決工控網(wǎng)絡(luò)的安全問(wèn)題提供了技術(shù)基礎(chǔ)保障，其全面支持各大主流工業(yè)控制協(xié)議，并且能夠?qū)Ω黝?lèi)數(shù)據(jù)包進(jìn)行快速有針對(duì)性的捕獲與深度解析。對(duì)不同行業(yè)的工控系統(tǒng)，可以采取相應(yīng)針對(duì)性的數(shù)據(jù)包探測(cè)機(jī)制和解析策略。在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ)上，能夠檢測(cè)出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息，如惡意軟件、具體數(shù)據(jù)和應(yīng)用程序類(lèi)型。解析引擎執(zhí)行時(shí)能夠滿(mǎn)足工業(yè)控制系統(tǒng)在生產(chǎn)和制造過(guò)程中的通信效率的保障要求。

　　深度數(shù)據(jù)包解析引擎支持OPC DA 、Modbus、IEC 60870-5-104、西門(mén)子S7系列PLC、在內(nèi)的各大主流工控網(wǎng)絡(luò)協(xié)議，可以對(duì)工業(yè)協(xié)議進(jìn)行解析，提取其中的關(guān)鍵字段(如：控制指令、寄存器區(qū)域、寄存器地址、數(shù)據(jù)范圍等)進(jìn)行訪問(wèn)控制。

　　3. ALG應(yīng)用級(jí)網(wǎng)關(guān)

　　PSL-A1082/A2082支持FTP、SQLNET、H323、OPC協(xié)議的動(dòng)態(tài)端口應(yīng)用防護(hù)功能，通過(guò)對(duì)父連接的應(yīng)用層信息進(jìn)行解析，獲取子連接信息，實(shí)現(xiàn)對(duì)多連接協(xié)議中父連接和子連接的控制。如：OPC運(yùn)行正常，OPC數(shù)據(jù)連接所使用的動(dòng)態(tài)端口開(kāi)放或放行。

　　4. 安全防護(hù)

　　● 安全攻擊防護(hù)

　　支持單包攻擊的檢測(cè)和防御：teardrop、Land、Ping of death。

　　支持flood攻擊的檢測(cè)和防御：ICMP flood、UDP flood、SYN flood。

　　支持檢測(cè)、記錄和抵御網(wǎng)絡(luò)掃描行為(端口掃描、漏洞掃描)。

　　● 黑名單過(guò)濾

　　PSL-A1082/A2082具有關(guān)鍵字及文件類(lèi)型過(guò)濾功能。使用正則表達(dá)式方式配置關(guān)鍵字內(nèi)容和策略條件協(xié)議類(lèi)型、流量方向進(jìn)行關(guān)聯(lián)過(guò)濾。可通過(guò)文件傳輸協(xié)議深度識(shí)別病毒文件，可對(duì)多級(jí)壓縮文件進(jìn)行解壓查殺。

　　● 自身防護(hù)

　　PSL-A1082/A2082具有自身安全防護(hù)功能。支持網(wǎng)絡(luò)掃描共計(jì)防護(hù)、管理口訪問(wèn)地址限制、WEB管理界面開(kāi)關(guān)、SSH管理功能開(kāi)關(guān)、禁止網(wǎng)絡(luò)探測(cè)診斷PING等。

　　5. 統(tǒng)一安全管理

　　工業(yè)互聯(lián)網(wǎng)等技術(shù)快速發(fā)展的形勢(shì)下，越來(lái)越多的工業(yè)控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)連接在一起。企業(yè)加大了對(duì)工控網(wǎng)絡(luò)安全的投入，紛紛開(kāi)始規(guī)劃工控網(wǎng)絡(luò)安全的建設(shè)，使得工控網(wǎng)絡(luò)中多種技術(shù)類(lèi)型的安全設(shè)備迅速增加?！兜缺?.0》里則提出了“集中管控”的要求，即對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控，對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀態(tài)進(jìn)行集中監(jiān)測(cè)，以及對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析等。

　　PSL-A1082/A2082滿(mǎn)足安全運(yùn)維及等保政策需求，支持syslog日志外發(fā)、SNMP設(shè)備狀態(tài)外發(fā)及安全策略統(tǒng)一配置下發(fā)API接口等功能。

　　6. 業(yè)務(wù)可靠性

　　PSL-A1082/A2082為了符合工業(yè)現(xiàn)場(chǎng)生產(chǎn)的連續(xù)性及穩(wěn)定性在軟件上進(jìn)行全面優(yōu)化設(shè)計(jì)。

　　● 其他功能

　　系統(tǒng)內(nèi)嵌自診斷程序，實(shí)時(shí)監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，支持系統(tǒng)故障自恢復(fù)功能。

　　具有軟件狗、工程備份、流量限制、日志審計(jì)、雙機(jī)熱備等功能。

　　典型應(yīng)用

　　PSL-A1082/A2082適用于各種控制網(wǎng)絡(luò)的安全防護(hù)。典型應(yīng)用領(lǐng)域包括工業(yè)DCS控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)、電力系統(tǒng)現(xiàn)場(chǎng)IED設(shè)備的網(wǎng)絡(luò)安全防護(hù)、軌道交通ISCS的網(wǎng)絡(luò)安全防護(hù)、煤礦、冶金行業(yè)現(xiàn)場(chǎng)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)等。

　　下面分別介紹常見(jiàn)的典型應(yīng)用場(chǎng)景。

　　1. 工控網(wǎng)絡(luò)中控制網(wǎng)到信息網(wǎng)間的應(yīng)用

　　PSL-A1082/A2082部署在信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)之間，能有效的對(duì)兩網(wǎng)之間數(shù)據(jù)進(jìn)行隔離，阻止來(lái)自信息網(wǎng)的DOS/DDOS攻擊、惡意掃描、異常數(shù)據(jù)包等安全威脅。PSL-A1082/A2082可對(duì)通用網(wǎng)絡(luò)協(xié)議(如TCP、UDP、FTP、數(shù)據(jù)庫(kù)等)進(jìn)行訪問(wèn)控制和安全過(guò)濾，也支持工控主流協(xié)議(Modbus、OPC、DNP3、IEC 60870-5-104、西門(mén)子S7系列PLC、)進(jìn)行訪問(wèn)控制及深度解析，通過(guò)對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)深度解析及規(guī)則設(shè)置，可以保證只有可信任的數(shù)據(jù)能夠在工控網(wǎng)絡(luò)中傳輸，有效防護(hù)了工控網(wǎng)絡(luò)的安全。

2. 基于OPC數(shù)據(jù)、交互的應(yīng)用

　　OPC標(biāo)準(zhǔn)由于其開(kāi)放性和高效性，現(xiàn)在已被廣泛應(yīng)用于自動(dòng)化控制領(lǐng)域及生產(chǎn)信息管理中。目前大多數(shù)DCS系統(tǒng)、SCADA系統(tǒng)對(duì)外都提供OPC Server，以便為上層MES、生產(chǎn)調(diào)度等管理信息系統(tǒng)提供實(shí)時(shí)生產(chǎn)數(shù)據(jù)。同時(shí)幾乎所有的MES系統(tǒng)、生產(chǎn)調(diào)度系統(tǒng)的數(shù)據(jù)采集接口也都提供了OPC Client以便能實(shí)現(xiàn)對(duì)OPC Server數(shù)據(jù)的采集。然而OPC Server與OPC Client之間的通信依賴(lài)控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的直接連通。管理信息系統(tǒng)的網(wǎng)絡(luò)出于業(yè)務(wù)需要一般會(huì)連接到互聯(lián)網(wǎng)，這樣會(huì)給控制網(wǎng)絡(luò)的安全帶來(lái)極大的隱患。

　　PSL-A1082/A2082的雙獨(dú)立主機(jī)系統(tǒng)分為控制端和信息端，分別接入控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)，完成與OPC Server和OPC Client的通信，同時(shí)兩主機(jī)之間采用專(zhuān)用網(wǎng)絡(luò)隔離技術(shù)，在保證OPC數(shù)據(jù)快速交互的同時(shí)*阻斷其它網(wǎng)絡(luò)連接，保證了控制網(wǎng)絡(luò)的安全。

3. 基于Modbus的應(yīng)用

　　Modbus是基于PLC的一組通信協(xié)議。它已經(jīng)成為行業(yè)內(nèi)設(shè)備互相通信的標(biāo)準(zhǔn)協(xié)議，也是目前較常用的工業(yè)系統(tǒng)設(shè)備之間的通信協(xié)議。

　　調(diào)度自動(dòng)化系統(tǒng)的后臺(tái)為了實(shí)時(shí)獲取現(xiàn)場(chǎng)設(shè)備的數(shù)據(jù)，經(jīng)常需要通過(guò)網(wǎng)絡(luò)使用Modbus等通信協(xié)議進(jìn)行數(shù)據(jù)傳輸。然而調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與現(xiàn)場(chǎng)控制設(shè)備的直接連通就相當(dāng)于將控制系統(tǒng)直接暴露給外網(wǎng)而面臨被攻擊的可能。

　　PSL-A1082/A2082內(nèi)嵌力控華康自主開(kāi)發(fā)的工業(yè)網(wǎng)絡(luò)隔離系統(tǒng)，支持Modbus標(biāo)準(zhǔn)通信協(xié)議，可以實(shí)現(xiàn)調(diào)度自動(dòng)化后臺(tái)系統(tǒng)與現(xiàn)場(chǎng)設(shè)備的實(shí)時(shí)通信，并根據(jù)需要可設(shè)置數(shù)據(jù)方向、訪問(wèn)權(quán)限等。當(dāng)設(shè)置為單向方式，后臺(tái)系統(tǒng)的所有數(shù)據(jù)回置操作將被屏蔽，以保證現(xiàn)場(chǎng)控制設(shè)備的安全。

　　PSL-A2082特點(diǎn)及應(yīng)用

　　數(shù)據(jù)庫(kù)同步：

　　用戶(hù)的實(shí)際應(yīng)用系統(tǒng)中，往往具有不同的用戶(hù)群及不同的網(wǎng)絡(luò)應(yīng)用。但應(yīng)用之間共享應(yīng)用數(shù)據(jù)卻往往是必要的。因此，PSL-A2082將數(shù)據(jù)庫(kù)同步功能作為其數(shù)據(jù)交換的基本功能之一。

　　PSL-A2082數(shù)據(jù)庫(kù)訪問(wèn)模塊通過(guò)數(shù)據(jù)庫(kù)應(yīng)用代理的方式將數(shù)據(jù)庫(kù)服務(wù)映射到網(wǎng)閘的一端，應(yīng)用程序可以直接訪問(wèn)映射的數(shù)據(jù)庫(kù)服務(wù)，由網(wǎng)閘完成數(shù)據(jù)庫(kù)的數(shù)據(jù)內(nèi)容安全傳輸。數(shù)據(jù)庫(kù)同步模塊可以將一端網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)內(nèi)容同步復(fù)制到網(wǎng)閘另一端網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)中。

　　● 數(shù)據(jù)庫(kù)單向同步及雙向同步

　　● 數(shù)據(jù)庫(kù)全表復(fù)制及增量復(fù)制

　　● 數(shù)據(jù)庫(kù)同構(gòu)及異構(gòu)同步

　　● 同步任務(wù)配置，包括主鍵沖突處理、同步動(dòng)作、啟動(dòng)模式、時(shí)間及間隔、表字段等屬性的控制

　　支持關(guān)系數(shù)據(jù)庫(kù)的應(yīng)用：

　　在工業(yè)網(wǎng)絡(luò)中存在很多關(guān)系數(shù)據(jù)庫(kù)，這些重點(diǎn)設(shè)備本身是用來(lái)完成特定生產(chǎn)、監(jiān)控任務(wù)的應(yīng)用系統(tǒng)，其自身沒(méi)有任何的安全防護(hù)措施，可以通過(guò)網(wǎng)絡(luò)對(duì)其進(jìn)行任意的訪問(wèn)。一旦這些重點(diǎn)設(shè)備受到惡意攻擊或者有人為誤操作的影響，將會(huì)直接危及整個(gè)生產(chǎn)過(guò)程，影響生產(chǎn)安全，甚至發(fā)生事故

關(guān)鍵詞：操作系統(tǒng)數(shù)據(jù)傳輸工業(yè)控制系統(tǒng)控制系統(tǒng)SCADA

上一篇：SCL-1巖石耐崩解試驗(yàn)儀使用說(shuō)明

下一篇：無(wú)線電子吊秤無(wú)信號(hào)怎么辦

全年征稿/資訊合作 聯(lián)系郵箱：1271141964@qq.com

免責(zé)聲明

凡本網(wǎng)注明"來(lái)源：智能制造網(wǎng)"的所有作品，版權(quán)均屬于智能制造網(wǎng)，轉(zhuǎn)載請(qǐng)必須注明智能制造網(wǎng)，http://www.caslcampaign.com。違反者本網(wǎng)將追究相關(guān)法律責(zé)任。
企業(yè)發(fā)布的公司新聞、技術(shù)文章、資料下載等內(nèi)容，如涉及侵權(quán)、違規(guī)遭投訴的，一律由發(fā)布企業(yè)自行承擔(dān)責(zé)任，本網(wǎng)有權(quán)刪除內(nèi)容并追溯責(zé)任。
本網(wǎng)轉(zhuǎn)載并注明自其它來(lái)源的作品，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載時(shí)，必須保留本網(wǎng)注明的作品來(lái)源，并自負(fù)版權(quán)等法律責(zé)任。
如涉及作品內(nèi)容、版權(quán)等問(wèn)題，請(qǐng)?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系，否則視為放棄相關(guān)權(quán)利。

免费看aⅴ,天天插天天干天天射,呦女网,入逼逼

淺析工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)

免責(zé)聲明