工业以太网协议在设计之初时,并未将安全问题列为主要考虑因素,以致安全防护机制缺失,应用层数据易被利用受到攻击。基于多年对信息安全领域的深度了解,网御星云认为:若要保证工控系统的安全,首先要确保在工厂网络局部存在病毒感染时不会向其它设备或网络扩散,从而保证装置安全稳定运行。网闸通过截断TCP连接,对工业协议(modbus、DNP3)数据进行数据交换,能够实现对应用层数据的深度解析控制,确保无风险,是最适合应用在工控系统的设备之一。
网御星云采用军用装备的硬件平台,研发出一款针对工业控制系统安全防护的产品——网御工控安全隔离网闸,该产品可应用于生产网和管理网的安全隔离,使两个网络之间不存在逻辑连接,即两网之间不存在通信,只进行数据摆渡,从而真正实现“无协议隔离、内容检测、数据交换”。最终从物理上阻断具有潜在攻击可能的一切连接,实行强制内容检测,保证两网之间的高级别安全。
网御工控安全隔离网闸根据工业网络的特点,采用适合工控网络的可靠技术,从硬件平台、系统平台、协议分析三个层面精心设计:
首先,在硬件平台方面,根据工业生产环境往往高温、高湿、多尘的特点,网御工控安全隔离网闸采用军用级加固硬件平台,可适应从-40至60摄氏度的宽温环境,同时拥有抗盐雾、抗电磁干拢、全封闭式机箱结构、防尘接口等高级别的防尘设计,能够应用在高温炙人的沙漠油田、火星迸射的炼钢厂、海风盐雾交加的风力发电厂等严酷的生产环境中。
其次,采用轻量化加固操作系统平台,可避免传统系统平台重启、死机等在工控环境中零容忍故障的发生。
最后,针对工控系统scada /DCS采用的工控协议进行分析,以OPC协议解析为例:网御工控安全隔离网闸以白名单的方式只允许OPC协议通过,非OPC协议一律阻断,同时对OPC客户端指令进行识别控制。
网御工控安全隔离网闸既可以采集管理网与工控网之间的生产数据,也能够过滤工控OPC服务器与OPC客户端(监控计算机或操作员站等)之间的OPC指令,如图所示:
在过去很长一段时间里,工控安全都没有得到应有的重视,各大安全厂商纷纷把重点放在传统安全产品的更新换代上,忽略了在工控安全产品上的投入与研发,到目前为止,真正布控工控安全市场的唯有网御星云一家。网御工控安全隔离网闸的成功上市不仅满足了工业行业对于信息安全的要求,提升了工业自动化系统信息安全行业的整体水平,对于促进我国在工业自动化信息安全领域技术水平的提高与工业产业健康稳步的良性发展有着非常重要的意义。
