01工控信息安全新品——增強型防火墻
力控華康工業防火墻HC-ISG(2.0)是專用于工業控制安全領域的增強級邊界安全防護產品,能夠有效對 SCADA、DCS、PCS、PLC、RTU等工業控制系統進行網絡安全防護。HC-ISG(2.0)主要用于實現工業基礎設施在網絡環境中的邊界防護,從而阻斷非法訪問、病毒傳播和惡意攻擊等,同時也能有效避免工作人員誤操作等安全問題。HC-ISG(2.0)廣泛應用于各工業現場,包括核設施、鋼鐵、有色、石油天然氣、化工、電力、城市燃氣、機械、環保監測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關的工業控制系統和網絡。
全新一代增強級工業防火墻HC-ISG(V2.0),全面提升和擴展了入侵防御、URL過濾、病毒過濾、網絡掃描防護、IP/MAC綁定等功能,可識別和預防網絡中病毒傳播、惡意攻擊等行為,避免其影響控制網絡和破壞生產流程;新增加并提供流量帶寬管理、NAT及IPv6隧道等功能,可滿足更多維度的網絡環境需求,更加適應當前工業網絡環境與信息化網絡環境相融合的發展趨勢;工業協議方面,提供針對工業協議的指令級深度檢測,實現對Modbus、OPC主流工業協議和規約的細粒度檢查和過濾,并支持智能協議識別和輔助規則生成;同時HC-ISG(2.0)具備高可用性及全透明無間斷部署功能,有效保證業務連續性。典型部署:
●位置1:生產管理層和信息管理層的縱向防護,阻斷來自上層信息網的威脅。
●位置2、3、5:對重要系統及實時數據庫的服務器進行專門防護,切斷惡意訪問、惡意代碼滲透及病毒感染。
●位置4、10、11:隔離工程師站等主機設備,確保上位機系統主機對控制器的合法訪問及控制,阻斷非法指令下置及非法訪問,從而保證生產現場的安全有序生產。同時降低工程師站等主機設備存在的安全風險。
●位置6、7、8、9、13:過程控制層不同區域間的橫向防護,防止不同區域間的交叉感染。
●位置7、12、14:保護重要控制系統或設備,只允許必要的數據包通過,阻斷對重要控制系統或設備的所有非法訪問及控制。
02工控信息安全新品——單項導入網閘
隨著信息化的不斷發展,計算機網絡的建設和應用的普及,形成了內網、專網和外網共存的復雜網絡結構。工業4.0時代的到來,兩化的不斷融合,工控系統管控一體化趨勢逐漸加強,使得工控系統、信息管理系統與互聯網相連通,同時工控系統日益復雜化,各種SCADA、DCS、PLC、測控設備組成的過程控制系統越來越多地涉及到通用網絡協議(HTTPS、HTTP等)、通用軟件以及大流量的數據(數據庫、視頻等),以各種方式與互聯網等公共網絡連接,使得處于物理隔離的不同網絡間的數據交換越來越頻繁,交換的數據量也呈指數上升。特別是石油、石化、電力、鋼鐵、煤礦等生產行業,對生產的連續性、安全性和可靠性有著極高的要求,一旦實現了信息網絡與控制系統網絡之間的高度互聯,就相當于將控制系統網絡直接暴露給互聯網,從而面臨被攻擊的風險,如果受到惡意攻擊或感染病毒,很可能導致系統中的主機崩潰、整個控制網絡癱瘓,造成重大安全事故、危及人員的生命財產安全乃至造成重大社會危害。
為保障工業網絡系統安全穩定運行,力控華康通過不斷研發,推出了uSafetyGap工業安全隔離單向導入系統,利用光單向傳輸的特性構建了一條安全、單向的傳輸通道,實現了工控網絡到信息網絡間的單向數據傳輸,既做到了工業控制系統與互聯網等公共網絡間的有效隔離,又解決了兩者之間高度信息化互聯問題,并且在此之上增加多種應用功能,滿足各式各樣的工業現場安全防護需求。
采用“2+1”的物理結構,內部由兩個獨立主機系統組成,采用基于SFP的單向光纖通道,將電信號轉換成光信號傳輸,從物理上保證單向傳輸,不存在任何反饋信號。支持主動文件傳輸、被動文件傳輸、郵件中繼轉發、數據庫同步等豐富的數據類型傳輸。支持對OPC、Modbus TCP等常用工控協議的深度解析。支持病毒檢測、關鍵字過濾模塊對于設備接收到的數據進行進行病毒檢測以及關鍵字過濾。
典型部署:
●uSafetyGap部署在信息管理層與生產管理層之間,隔斷來自信息網的DOS/DDOS攻擊、惡意掃描、異常數據包等安全威脅,保證數據的單向傳輸,確保了工控網絡的安全;
●uSafetyGap部署在過程控制層與生產管理層之間,隔斷生產管理層的一些異常行為,提供了OPC Server、Modbus、DNP3等工業協議以及關系數據庫與上層間的數據交互,有效保護了工控網絡的安全;
●uSafetyGap部署在過程控制層中不同的控制系統網絡,實現了不同網絡間的相互隔離,同時也防止了不同網絡間交叉感染,確保了過程控制層不同網絡間的設備安全。
