系统拓扑图2
系统分析:
在本次设计中井场在上传数据到调度监控中心时都要通过工业防火墙HC-ISG的深度过滤,以保证每个井场的设备的安全,每个增压泵站也分别通过工业防火墙HC-ISG把数据上传到调度监控中心。在站外系统中每个系统中的PLC和RTU等设备在把数据传至站控DCS系统时都要经过工业防火墙HC-ISG,然后站控DCS系统再通过工业防火墙HC-ISG把数据安全的上传到调度监控中心,这样不仅能对传输的工业协议进行深度过滤,也能有效阻断木马等病毒的攻击和黑客入侵等行为,保证了整个系统的安全运行。
3.2 专业工控安全防护设备
工业防火墙HC-ISG是一款面向工业控制领域的安全网关产品,主要解决工业基础设施在网络环境中,受到病毒、黑害、敌对势力的恶意攻击问题。由于传统防火墙不能充分解决工业控制系统的网络安全防护问题,因此工业防火墙HC-ISG不但是国内首款既具备传统防火墙的各项标准功能,同时又能满足工业控制系统对可靠性、稳定性和工业协议分析过滤的特殊安全需求的工业网络安全防护产品,可过滤几乎所有的工业通信协议,依靠其深度防御功能,对Modbus TCP、OPC通信协议、Siemens S7协议和Siemens OP/PG协议进行深度过滤,还可以有效防御“震网”等病毒攻击,从而保护工业以太网的信息安全。
4、效果分析
4.1 数据可靠性
工业防火墙HC-ISG的深度防御功能可以有效的对工业通信协议深度过滤,防止黑客和病毒对油田上传数据和生产设备的破坏和攻击,工业防火墙HC-ISG的深度防御功能能够针对某个RTU设备的具体参数是否允许通过惊醒防护,此种防护的功能可以彻底的阻止一些保密数据的外漏。
4.2 运行稳定性
工业防火墙HC-ISG系列网关产品按照高性能工业通信网关标准设计,硬件平台采用高性能嵌入式计算平台,系统选用linux内核系统,内嵌高速实时数据平台组件,使整个系统达到较高的性能,可以满足各种工业应用场合。
工业防火墙HC-ISG具有以下稳定运行指标:
最大并发连接数:>1000;
最大数据吞吐量:700Mbps;
最小延迟时间:<100us;
日志存储条数:大于20000条。
4.3 系统免维护性
工业防火墙HC-ISG内嵌的高性能工业通信软件提供完善的系统在线自诊断、故障自动恢复、看门狗管理等系统功能。
系统诊断子系统实时检测系统内各进程、线程的运行状态,同时对关键的硬件模块进行诊断,当发现异常时自动产生报警信息,并在符合条件的情况下启动自动恢复逻辑。
工业防火墙HC-ISG内置软件看门狗和硬件看门狗,时刻监视系统状态,保证装置的稳定、可靠运行,确保万无一失并且反应迅速,避免了用户对HC-ISG的实时和定期维护。
5、总结
本次方案的设计解决了油田网络安全如下问题:
1、 有效地防止了网络中的不法分子和病毒等不安全的因素可能对整个油田的生产数据及设备造成的破坏;
2、 实现了各个RTU设备之间的横向隔离,有效地防止了各个设备中的非安全网络威胁的蔓延,使整个系统的网络安全级别更高。
3、 实现了油田的现场数据安全的接入到调度监控中心中,对整个工厂的信息化管理起到了很好的保障,有利于决策层及时的发现生产过程中的问题并及时改进。
4、 用户可以远程维护和管理工业防火墙HC-ISG,方便用户对工业防火墙HC-ISG的远程维护。
5、 工业防火墙HC-ISG产品具有集中管理功能,方便了用户使用一台电脑同时管理多台工业防火墙HC-ISG产品。
