1.工控信息安全現狀
隨著兩化融合、工業 4.0、中國制造 2025 概念的落地,傳統的流程領域工廠必然走向聯網、融合,這個過程就如目前電商對傳統零售商的沖擊一樣,產業升級過程是不可逆轉。工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡連接,病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統的安全問題日益突出。“震網”病毒事件充分反映出工業控制系統信息安全面臨的嚴峻形勢。
傳統的網絡安全設備主要是面向 IT 系統的防火墻,其基本原理是基于TCP/IP 協議進行封包、過濾。工控系統與傳統 IT 設備的不同,其通訊協議也不是 TCP/IP 協議,所以傳統的防火墻技術無法解決工控系統遇到的網絡邊界安全問題。
針對這種工控信息的安全現狀,雙和科技公司開發出了基于雙 CPU 架構與通訊白名單的 HH800GS 工業安全網閘產品,可以有效解決這些網絡安全問題。
2.產品概述
HH800GS 工業安全網閘是專為工控系統量身定做的網閘設備,其基本功能包括:
支持多種主流的工業通訊協議,可以同時連接 OPC 服務器、OPC 客戶端、SQL ServerOracle 等關系數據庫、Modbus 主站、Modbus 從站、ModbusTCP 主站、ModbusTCP 從站、Profibus-DP 主站、Profibus-DP 從站、和利時公司 FM/SM/K 全系列 IO 硬件、西門子 ET200M、西門子S7300 等 IO 模塊、DP 從站設備(變頻器、智能采集設備)、PA 儀表。
l 基于雙 CPU 架構設計,內部雙 CPU 之間使用自定義的私有協議,阻斷依賴 TCP/IP 協議的病毒傳播,同時阻斷基于 IP 網絡協議的攻擊通道,保護數據通訊。通訊白名單的設計,可以使數據通訊安全等級和控制顆粒度高于目前通用的網閘設備。
l 內置數據庫,支持快速運算,支持輕量級的控制運算(用于量程轉換、閉環控制、查表等),支持主備雙重冗余實現高可靠性,可查詢顯示歷史數據。
3.產品特點
HH800GS 專門針對電力、石化、化工等工業控制系統特點進行設計,其特點如下:
(1) 雙 CPU 架構設計。
網絡病毒與均依賴 TCP/IP 協議進行遠程攻擊,HH800GS 通過設計雙CPU 架構,且雙 CPU 之間數據轉發使用私有協議,從原理上切斷所有的 TCP/IP 連接,使網絡病毒與攻擊無法穿透 HH800GS 安全網閘。
(2) 通訊白名單設計。
在數據通訊前,需通過 HH800GS 內置的通訊組態軟件 GTPlus 建立通訊白名單,限定通訊內容。只有通訊白名單內的數據點可以通過 HH800GS 轉發。同時,還可以針對通訊點進行邏輯保護,例如:通過組態實現“當某個通訊點值超出限值時,不進行轉發,保持該點上次值”。數據流方向可以通過組態設置為單向或雙向。
4.產品基本配置
硬件采用工業級芯片、IP40 防護、無風扇、鋁合金全封閉設計,適合全天候、嚴苛惡劣環境。
產品型號 | HH800GS |
RJ-45 通信端口 | 4 個 |
RS-232/485/422 通訊端口 | 4 個 |
CPU | INTEL ATOM D2550(1.8GHZ 雙核 4 線程) |
內存 | 2G |
Tag 點處理量 | 30000 |
歷史數據存儲 | 3 年(64G) |
USB 接口 | 4 個 |
VGA 接口 | 2 個 |
5. 產品典型部署方式
HH800GS 產品部署在 OPC 通訊設備之間,工廠信息化系統與生產系統之間,工控子系統之間等場合。
(1) OPC 通訊保護。
HH800GS 產品內置了OPC 客戶端和服務器端軟件,已經在出廠前配置完畢(包括 DCOM 配置、權限設置等等),現場可以直接使用。同時,還可以保護 OPC 數據通訊的信息安全。
(2) 工廠信息化通訊保護。
工廠信息化改造時,可以通過 HH800GS 將采集信息直接通過 ODBC 協議寫入 PI 數據庫、SQLServer 等主流關系數據庫。同時,提供數據通訊的信息保護,有效防止工廠信息系統影響工廠的生產系統。
(3)工控子系統之間的通訊保護。
以軌道交通綜合監控系統(ISCS)為例,進行說明。軌道交通 ISCS 系統包括:中心 PSCADA 監控系統,中心 BAS 監控系統等,在這些子系統之間,可以通過 HH800GS 進行數據通訊保護。
6. 產品資質
HH800GS 工業安全網閘已經成功申請了相應的軟件著作權,對其產品進行保護。
