工业网闸是依靠雄厚的技术优势与多年信息安全产品研发的积累,严格遵照国家有关主管部门的设计规范,针对工业控制领域信息化的特点与要求,设计开发的工业网闸,该产品是具有完全自主知识产权的安全隔离与信息交换系统。
该产品利用网络隔离与访问控制技术,可以隔离工业生产网中的管理层与生产控制层,对重点数据提供高安全隔离的保护,保障生产的安全有序进行。同时该产品还可以帮助管理网络实现对生产网络的数据采集,保障常用工业指令的正确传输,保证了生产控制网和生产管理网的通讯安全。
该产品主要应用于中石油、中石化、中海油等化工企业,军工生产企业,地铁、铁路、汽车制造企业,钢厂、冶炼厂工控网络,煤炭、矿产厂工控网络,电力、水处理、航空和食品加工等诸多工业生产领域的信息系统安全建设中,实现对工控系统的安全保护。
● 高安全性的“2+1”系统架构
产品硬件由内网堡垒机系统、外网堡垒机系统和隔离交换矩阵三部分构成。内网堡垒机系统与内网(生产网)相连,外网堡垒机系统与外网(管理网)相连,双堡垒机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网之间的安全交换。
● 多协议数据汇聚转发
设备支持Modbus、OPC、IEC 101/102/103/104及主流品牌PLC以太网等常用工业协议,支持数据多路分发给不同上位系统。
● 应用防护功能
内外网堡垒机采用星云自主知识产品的安全通用平台,安全通用平台具备入侵检测和抗DDoS/DOS能力,可以有效的防范黑客攻击。同时融合独创的智能算法形成“智能白名单技术”对数据报文的协议格式和数据内容进行快速严格检查,实现对各种畸形攻击数据报文的拦截。内置自主研发的防病毒引擎,可高效过滤多种形式的病毒。
● 安全审计功能
系统能详细记录人、时间、事件、级别等信息,便于事后追溯,亦可将日志信息输出至第三方平台统一管理。
● 可靠性保障
为了保证产品可靠性,设备内嵌的高性能工业通信软件提供完善的系统在线自诊断、故障自动恢复、看门狗管理等系统功能。可实时检测系统内各进程、线程的运行状态,同时对关键的硬件模块进行诊断,当发现异常时自动产生报警信息,并在符合条件的情况下启动自动恢复逻辑。当发生网络通信中断的情况时,I/O通信子系统会立刻报告通信状态位的变化,同时启动通信重连机制,当网络通信恢复后,能迅速重新建立网络连接,恢复数据通信。产品双侧主机均有独立的软硬件看门狗,保障每侧主机的稳定运行。
● 工业加固设计
▪ 针对工控行业生产环境通常在比较恶劣的环境下运行,对数据的安全性要求也更高,产品做了加固、防尘、防潮、防腐蚀、防辐射、防过压、滤波设计、 固态电容元件等特殊设计;
▪ 丰富的扩展接口设计,可以实现定制化以满足不同的需要;
▪ 内/外网堡垒机专用的自主知识产权的操作系统VSP,固化于硬件中,防篡改;
● 深度的数据安全检测
▪ 统一安全引擎:对隔离交换OPC协议进行全文数据还原,对命令请求、协议格式等实施深度检测和过滤,并支持对特定应用协议标签的检测控制;
▪ 智能黑白名单:针对文件名、命令、域名等内用进行严格控制,创建黑名单和白名单任务策略,拦截各种非法数据报文,保证数据的安全性;
▪ 安全访问控制:针对数据库和文件数据,通过访问用户身份识别,保证数据不被非法访问和传递;
▪ 高效的病毒过滤技术:自主研发的防病毒引擎,获得网络防病毒技术专利,结合了特征值检测和启发式检测,高效过滤多种形式的病毒。
● 产品的高可靠性
▪ 领先的自身可靠性设计:电源冗余、双机热备、端口冗余、链路聚合等;
▪ 独有的动态负载均衡技术:业界独有6机以上负载均衡;
▪ 电信级可靠性设计:如防过压设计、滤波设计、 固态电容元件、整体运行管理监控等;
● 全面的应用支持
▪ 功能模块:数据采集、文件交换、应用防护、安全审计等功能,可满足工业控制领域安全隔离与数据采集的基本需求。
▪ 多网隔离:满足多种网络形式接入,比如“一对一、一对多、多对一”的网络隔离。
● 专业技术实力
▪ 拥有业内一流的安全隔离网闸研发团队,技术积累超过10年。
▪ 聘请多位石油炼化专家,以保证产品功能设计更贴合工控领域业务处理流程。
工厂网络可以分为三层:管理协同层、生产管理层、生产制造层。管理协同层MES服务器通过通用网闸与MES客户端同步数据,使用数据库同步模块或文件交换模块。生产管理层的MES客户端通过工业安全隔离网闸访问OPC服务器,进行采集数据,使用OPC应用数据传输功能。