在物聯(lián)網(wǎng)逐漸發(fā)展的大環(huán)境下，工業(yè)生產(chǎn)制造業(yè)領(lǐng)域中生產(chǎn)控制系統(tǒng)與上層物聯(lián)信息化平臺間的互聯(lián)互通已成為必然趨勢，控制系統(tǒng)與上層物聯(lián)信息化平臺必須同時具備開放性和安全性。

　　當(dāng)前網(wǎng)絡(luò)隔離技術(shù)正向易用性、易集成、易管理、高可靠、負(fù)載均衡、應(yīng)用融合等方向發(fā)展。旋思科技充分考慮當(dāng)前用戶的實際需求，研發(fā)出SymLink-GAP工業(yè)通信安全網(wǎng)關(guān)產(chǎn)品，該產(chǎn)品已通過公安部認(rèn)證，在兼容現(xiàn)有工業(yè)通信協(xié)議和標(biāo)準(zhǔn)的前提下，使得工業(yè)通訊和網(wǎng)絡(luò)安全高度融合。

硬件架構(gòu)

　　SymLink-GAP內(nèi)部兩端由兩個獨立主機(jī)系統(tǒng)組成，每個主機(jī)系統(tǒng)分別具有獨立的運(yùn)算單元和存儲單元，各自運(yùn)行獨立的操作系統(tǒng)和核心程序。連接保護(hù)網(wǎng)絡(luò)的一端為控制端，負(fù)責(zé)接入控制網(wǎng)絡(luò)(內(nèi)網(wǎng))；另一端為信息端，負(fù)責(zé)接入到信息網(wǎng)絡(luò)（外網(wǎng)）。兩個獨立主機(jī)之間通過一對專用隔離通信卡實現(xiàn)雙機(jī)之間的數(shù)據(jù)傳輸，數(shù)據(jù)流向為內(nèi)網(wǎng)數(shù)據(jù)單向流向外網(wǎng)。同時設(shè)計了專門的硬件看門狗時刻監(jiān)視系統(tǒng)狀態(tài)，保證裝置的穩(wěn)定、可靠運(yùn)行。

軟件架構(gòu)

　　SymLink-GAP的控制端主機(jī)提供多種工業(yè)設(shè)備數(shù)據(jù)通信規(guī)約庫，實現(xiàn)對各種設(shè)備數(shù)據(jù)的接入。SymLink-GAP的信息端主機(jī)提供多種數(shù)據(jù)服務(wù)，支持以標(biāo)準(zhǔn)協(xié)議（如Modbus，DNP，IEC-104，BACnet，OPCServer等）將數(shù)據(jù)轉(zhuǎn)發(fā)給第三方系統(tǒng)或各種數(shù)據(jù)庫。同時提供一系列具有高附加值的功能模塊，如存儲系統(tǒng)，斷線緩存，腳本引擎等。

　　SymLink-GAP工業(yè)通信安全網(wǎng)關(guān)及搭載其中的嵌入式高性能工業(yè)通信軟件，構(gòu)成完整的工業(yè)通信安全整體解決方案，高度迎合當(dāng)前技術(shù)發(fā)展趨勢及客戶需求，將控制端與信息端的通信應(yīng)用與安全穩(wěn)定性高度融合。

產(chǎn)品特性

　　融合傳統(tǒng)工業(yè)通信產(chǎn)品和傳統(tǒng)網(wǎng)閘產(chǎn)品的功能

　　以往的相關(guān)產(chǎn)品有兩類：一類是工業(yè)通信產(chǎn)品，可實現(xiàn)工業(yè)通信，但無法保證網(wǎng)絡(luò)安全；另一類是專用的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品（網(wǎng)閘），僅實現(xiàn)網(wǎng)絡(luò)單純隔離，沒有工業(yè)通信功能。SymLink-Gap在兼容現(xiàn)有工業(yè)通信協(xié)議與通信標(biāo)準(zhǔn)的前提下，實現(xiàn)內(nèi)外網(wǎng)絡(luò)隔離，從而保證系統(tǒng)安全。同時可實現(xiàn)各種工業(yè)通信協(xié)議的轉(zhuǎn)換，消除信息獨島，實現(xiàn)系統(tǒng)互聯(lián)互通。

　　基于RISC架構(gòu)的工業(yè)級設(shè)計助你的系統(tǒng)堅若磐石

　　SymLink-GAP的核心處理器采用的是基于精簡指令集RISC架構(gòu)的工業(yè)級高性能嵌入式計算機(jī)芯片，具有低功耗、低發(fā)熱、可靠性高、設(shè)備故障老化率低等特點，非常適用于需要7x24小時不停機(jī)的核心關(guān)鍵場合。

　　支持多種工業(yè)通信協(xié)議

　　SymLink-GAP搭載工業(yè)現(xiàn)場各類通信協(xié)議規(guī)約庫，可在保證網(wǎng)絡(luò)安全的前提下實現(xiàn)各種現(xiàn)場設(shè)備的數(shù)據(jù)采集及標(biāo)準(zhǔn)協(xié)議轉(zhuǎn)發(fā)。不斷擴(kuò)充協(xié)議庫使得可支持更多的設(shè)備數(shù)據(jù)接入。

　　高度保證數(shù)據(jù)完整連續(xù)性

　　斷線緩存機(jī)制保證當(dāng)數(shù)據(jù)分發(fā)的通信鏈路遇到故障或者與上位軟件系統(tǒng)失去聯(lián)系的時候，SymLinkGAP能將故障時間段內(nèi)的數(shù)據(jù)存儲在SD卡中，故障清除后，SymLink-GAP可將故障期間緩存的數(shù)據(jù)補(bǔ)齊給上層系統(tǒng)，最大限度的保證了數(shù)據(jù)的完整性和連續(xù)性。

　　融合多種安全技術(shù)

　　◆? 網(wǎng)絡(luò)隔離技術(shù)

　　SymLink-GAP采用截斷 TCP 連接的方法，徹底割斷穿透性的 TCP 連接。控制端與信息端主機(jī)之間采用專有的網(wǎng)絡(luò)隔離傳輸技術(shù)。物理層采用專用隔離硬件，鏈路層和應(yīng)用層采用私有通信協(xié)議，數(shù)據(jù)流采用128 位以上加密方式傳輸，更加充分保障數(shù)據(jù)安全。

　　通過物理隔離與專有隔離傳輸技術(shù)，實現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查，傳輸機(jī)制具有徹底不可攻擊性，從根本上杜絕了非法數(shù)據(jù)的通過，確保控制端不會受到攻擊、侵入。

　　◆? 數(shù)據(jù)點訪問控制

　　SymLink-GAP實現(xiàn)了對工業(yè)現(xiàn)場通信協(xié)議的解析可以實現(xiàn)工業(yè)控制系統(tǒng)具體測點的安全控制，更可以實現(xiàn)現(xiàn)場設(shè)備具體寄存器地址的安全控制。

　　◆? 單向控制

　　要對SymLink-GAP裝置進(jìn)行各種操作（如：用戶管理，IP配置，修改工程、升級程序、查詢?nèi)罩镜龋荒芡ㄟ^SymLink-GAP裝置的控制端進(jìn)行，這種設(shè)計雖然給遠(yuǎn)程維護(hù)帶來一些不便，但卻是保障工業(yè)網(wǎng)絡(luò)（內(nèi)網(wǎng)）安全的必須。

　　數(shù)據(jù)的流向完全是由控制端（內(nèi)網(wǎng)）單向傳輸?shù)叫畔⒍耍ㄍ饩W(wǎng)），這種限制保障了控制端（內(nèi)網(wǎng)）的數(shù)據(jù)可及時，完整的傳到信息網(wǎng)，又可完全杜絕外網(wǎng)的錯誤數(shù)據(jù)，惡意數(shù)據(jù)，病毒等傳向控制端（內(nèi)網(wǎng)）。

　　◆? 身份認(rèn)證

　　當(dāng)要對SymLink-GAP裝置進(jìn)行各種操作（如：修改工程、升級程序、查詢?nèi)罩镜龋r，SymLink-GAP提供了嚴(yán)格的身份認(rèn)證來管理連接權(quán)限。SymLink-GAP采用基于數(shù)字簽名技術(shù)的高安全性認(rèn)證機(jī)制，保證了系統(tǒng)的機(jī)密性、完整性。

　　◆? 數(shù)據(jù)安全技術(shù)

　　SymLink-GAP采用多種技術(shù)來保證現(xiàn)場設(shè)備數(shù)據(jù)安全，包括限制數(shù)據(jù)訪問IP地址，設(shè)置測點的讀寫權(quán)限，入侵防范檢測等。通過這些防范技術(shù)，可對現(xiàn)場數(shù)據(jù)進(jìn)行全方位的保護(hù)。

實際應(yīng)用—SymLink-GAP電力系統(tǒng)中的應(yīng)用

　　需求與現(xiàn)狀

　　用戶屬于電力行業(yè)此類行業(yè)對信息網(wǎng)絡(luò)安全性要求較高，現(xiàn)需要將電力集團(tuán)的部分實時數(shù)據(jù)與市級電力調(diào)度中心系統(tǒng)對接。電力集團(tuán)的實時歷史數(shù)據(jù)庫平臺采用的是霍尼韋爾的PHD軟件平臺，市級電力調(diào)度中心系統(tǒng)平臺所采用的是自有協(xié)議平臺，不能直接與PHD提供的接口對接，同時還需考慮電力系統(tǒng)的數(shù)據(jù)安全穩(wěn)定性，必須保障安全、穩(wěn)定、優(yōu)質(zhì)、快速。

　　因此要實現(xiàn)安全并且高效的系統(tǒng)對接，必須采用物理級的安全隔離設(shè)備，該設(shè)備可以實現(xiàn)與電廠側(cè)PHD系統(tǒng)的接口連接，協(xié)議開發(fā)，數(shù)據(jù)采集；與市級電力調(diào)度中心側(cè)系統(tǒng)的接口連接，協(xié)議開發(fā)，數(shù)據(jù)轉(zhuǎn)發(fā)推送。并可在安全隔離的要求下完成實時數(shù)據(jù)點配置管理，轉(zhuǎn)發(fā)數(shù)據(jù)點的配置管理。

　　解決方案

　　充分考慮用戶當(dāng)前的需求，按下圖所示系統(tǒng)架構(gòu)進(jìn)行設(shè)計：

　　在此方案架構(gòu)中，采用工業(yè)通信安全網(wǎng)關(guān)SymLink-GAP作為數(shù)據(jù)采集轉(zhuǎn)發(fā)裝置，該裝置配套的高性能通信軟件，可對電廠側(cè)PHD數(shù)據(jù)庫完成協(xié)議解析、數(shù)據(jù)處理工作；對市級調(diào)度系統(tǒng)實現(xiàn)協(xié)議解析及數(shù)據(jù)轉(zhuǎn)發(fā)推送，從而實現(xiàn)電力集團(tuán)與市級調(diào)度系統(tǒng)的安全對接通信。

　　總結(jié)

　　SymLink-GAP工業(yè)通信安全網(wǎng)關(guān)的應(yīng)用極大地提高了底層生產(chǎn)控制系統(tǒng)的安全級別，杜絕了來自外網(wǎng)的黑客行為、病毒程序、網(wǎng)絡(luò)蠕蟲等對工業(yè)網(wǎng)絡(luò)的危害，同時具備的數(shù)據(jù)采集轉(zhuǎn)發(fā)功能將控制端與信息端的通信應(yīng)用與安全穩(wěn)定性高度融合。