您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 工业控制网络安全防护的必要性
工业控制网络安全防护的必要性公司简介产品列表行业背景技术原理及特点解决方案公司简介北京力控华康科技有限公司正式成立于2008年,是专业从事工业网络通讯和网络安全产品与服务,已获得“双软”认证。公司凭借在工业通信以及网络安全领域积累的丰富经验,同时依托于力控系列软件平台,成功研发出真正适用于工业控制系统的工业网络安全防护网关pSafetyLink以及工业通信网关pFieldComm等系列产品。公司立足于自主研发、专注于工业信息安全市场,树立以“坚持以客户为中心,不断为客户创造价值”服务理念,为石油、石化、冶金、电力、市政等多个行业控制系统的信息安全接入和数据实时交换提供解决方案,并力争成为具备领先技术水平的工业信息安全领导者。2005年2008年2010年2011年推出pFieldcomm通信网关pSafetyLink安全防护网关推出力控华康成立发展至今发展史公司简介产品列表行业应用产品特点案例解析安全网关隔离网关通信网关保障工业网络安全互联产品分类通信网关通讯协议转换器现场总线及工业以太网网关通信前置管理机能源数据采集站楼宇控制设备集成网关环保数据传输管理仪产品应用:工业网络安全隔离网关电力系统二次防护冶金行业能源管理数字城市管网煤矿综合自动化石油/石化工业控制网络安全防护公司简介产品列表行业应用产品特点案例解析自动化系统发展趋势大型化/一体化:随着计算机网络技术在PCS系统中的深入应用,以及MAV理念逐步得到认可,自动控制系统仅为“信息孤岛“的时代已经过去。大型化、集成化的PCS系统是历史发展的必然趋势!智能化/信息化:随着数字技术向控制系统和现场仪表的不断延伸,数据总线处理信息的安全传输和合理利用,将是自动控制系统面临的重要考验!成本控制/网络安全:大量商用计算机及网络技术将逐步替代自动控制系统固有的软硬件设备。保证PCS系统的安全可靠将是工程公司及制造商共同面对的重要课题!集成自动化系统网络工厂信息网(ERP)过程控制网络(PCS)生产管理网络(MES)集成自动化系统网络物理层IP以太网、FDDIX.25、其它OSI模型TCP/IP模型链路层网络层传输层会话层表示层应用层TCP、UDPFTP、Telnet、SMTP、其它自动化系统网络主要安全威胁拒绝服务分计算机网络带宽攻击和连通性攻击。带宽攻击以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽。连通性攻击用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽。病毒攻击对计算机信息直接破坏;占用磁盘空间;抢占系统资源;影响系统运行速度;非法入侵网络攻击行为的一种,只是网络非法入侵有非常强的隐蔽性。为此,针对网络非法入侵的安全策略,更多的是侧重于基于网络管理的防范策略,具有一定的被动性。木马攻击有客户端和服务器端执行程序。攻击者通过客户端过程控制植入木马程序的计算机,从面发动攻击。广播风暴过多的广播包消耗了大量的网络带宽,导致正常的数据包无法正常在网络中传送,通常指一个广播包引起了多个的响应,而每个响应又引起了多个得响应,就像滚雪球一样,把网络的所有带宽都消耗殆尽。历史事件回顾:Stuxnet“震网”病毒-StuexNET历史事件回顾:美国停电历史事件回顾:电力二次防护工业控制网络与商用网络对比特点商用网络/办公网络控制网络应用领域极其广泛工业领域,SCADA开放性完全开放,互联网相对封闭设备更新频繁不频繁系统更新频繁不频繁数据机密性要求高一般持续可靠性要求一般非常高对待病毒允许不允许应用数据极其复杂特定应用协议HTTP、SMTP、FTP、SQL……OPC、MODBUS、DNP3……工业控制网络与商用网络对比网闸的出现•GAP技术GAP技术是综合安全技术的高度集成,他涵盖了安全系统内核技术、强协议分析处理技术、身份认证、芯片处理技术、硬件编码技术、物理隔离开关技术和访问控制技术等等。其安全核心是:采用专用的物理隔离部件实现两个网络的断开(协议和链路断开的完整结合),同时在两个网络间可控的安全的传输应用数据。•网闸技术主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享的技术。其基本原理是中断网络的直接连接,将数据还原成最原始的数据(文件),对数据进行安全审查,在异构介质上重构数据,然后进行传递,完成数据的交换。其重点是:安全第一,应用第二,安全与应用的完整结合。与防火墙的区别•网关(Gateway)–在互联网络中起到高层协议转换的作用,工作在OSI模型的应用层;网关在计算机上通过使用软件实现。•防火墙(Firewall)–Internet和Intranet之间的安全之墙,阻止未授权或未验证的访问,高级的防火墙能设置DMZ区域。–保证数据能够正常交换的前提下网络尽量安全。由于网络管理人员更重视网络的通畅,从而降低了对安全策略的部署,让更多潜在的危机存在于网络。•安全隔离网关(pSafetyLink)–真正意义上的物理层的断开,意味着“不能基于一个物理层的连接,来完成一个OSI模型中的数据链路的建立”。网闸的安全区完全不支持TCP/IP协议,在网闸中基于协议的数据包被还原成最原始的数据(文件)。这样,就可以完全阻断基于TCP/IP的攻击。–保证网络绝对安全的前提下,完成对数据的交换。对于网闸,他只处理必要的、需要的数据,强调对安全的重视。绝对安全与相对安全我们如果要着手评估或规划一个工业网络的安全防护系统,首要的工作是定义究竟哪些数据是可以允许通过。如果你要使用普通的防火墙达到目的,那你就须要配置防火墙,来限制所有除“绝对必需”通信业务以外的通信业务,但事实上很难做到。“绝对必需的业务”的意思是,与业务不相关的数据均不允许通过,即使认为是安全的!例如,许多用户认为允许SQL通过防火墙与历史数据服务器交互数据是安全的。不幸的是,SQL也同样受到了蠕虫病毒“Slammerworm”的威胁。许多重要的协议用于工业网络,例如HTTP,FTP,OPC/DCOM,EtherNet/IP,MODBUS/TCP,但这些都有着明显的安全漏洞。比如OPC,因为其基于DCOM技术,在进行数据通讯时,为了响应请求,操作系统就会为开放从1024到5000动态端口使用,所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析,而使OPC客户端可以轻易对OPC服务器数据项进行读写,一旦黑客对客户端电脑取得控制权,控制系统就面临很大风险。黑客可以很轻松的获得系统所开放的端口,获取/伪装管理员身份,对系统进行恶意破坏,影响企业的正常生产运营。水闸原理水闸由闸室、上游连接段和下游连接段组成。闸室是水闸的主体,闸门用来挡水和控制过闸流量。闸室分别与上下游连接段和两岸或其他建筑物连接。上游连接段用以引导水流平顺地进入闸室,下游连接段用以引导出闸水流均匀扩散,稳定性,压缩性大以及水头低而水位变幅大是水闸的主要工作特点。非典原理在研究SARS病原体的过程中,人们动用了一种很高级的实验室,这种实验室既要保证非相关微生物不得入内,又要保证试验用微生物不得从试验室中出来。于是,研究人员进入实验室的时候,首先通过一道门进入消毒间,并关闭此门,此时研究人员被完全封闭在消毒间中;完成消毒后,通往实验室的门方打开;试验完毕,研究人员同样先进入消毒间,并关闭通往实验室的门,完成消毒后,方打开通向外部的门。在这里,可以将研究人员可能携带的微生物看作病毒,实验室和外部可以分别看作两个网:网A和网B,研究人员就是中间传递的数据D,消毒可以看作对原始数据进行安全审查及杀毒等处理。可以发现,任何一个时刻,实验室和外部都是不相通的,消毒室的门不能同时向外部和实验室打开。研究人员每次进出试验室都要在一个封闭空间中进行严格的消毒。公司简介产品列表行业应用产品特点案例解析产品特点高安全性的“2+1”系统架构为了满足“两化融合”的需要,某些工业控制网络原封闭的控制专网急需与其它相关外网或国际互联网实现实时数据交换。但网络外联可能导致工业控制网络发生病毒泛滥、入侵攻击、信息泄露等潜在的安全事故,因此网络管理者面对着推进应用和引入安全威胁的矛盾抉择。基于pSfetetyLink安全隔离网闸的网络外联安全隔离解决方案,可有效解决工业控制网络外联时面临的安全问题。系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元,隔离交换系统基于PSL技术及相应的隔离加密电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于PSL的实时数据交换技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,保证数据交换延迟时间低于1ms,从而满足了用户对高性能安全隔离网闸的需求以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理,为工业控制系统网络间数据交换提供了“绿色通道”。基于高效的IO调度模型,多重冗余方案,支持自身端口冗余、链路聚合、双机热备、多台安全隔离网闸负载均衡,保障了用户网络和应用的高可靠性。技术原理产品特点安全的物理隔离“2+1”系统架构独立的运算单元和存储单元,各自运行独立的操作系统和应用系统安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议私有的定制操作系统,具备完善的身份认证管理与安全审计功能,保证了系统的机密性、完整性和不可否认性强大的数据交换能力和多种工业通信协议支持工业通信协议,OPC/MODBUS/60870-5-104/断线缓存,续传实时数据交换,数据吞吐量10,000点/秒完整的安全策略部署访问控制身份认证安全审计数据完整性可靠的冗余方案和故障自诊断技术多重冗余协议,支持端口冗余、链路聚合、双机热备、负载均衡看门狗技术产品目录产品型号规格网关硬件PSL-FW75501U机架式安装,双独立主板,IntelPineview-D410x2,1GBDDR-IIx2,4LAN(千兆)x2,额定点数10,000PSL-FW75622U机架式安装,双独立主板,IntelPineview-D510x2,2GBDDR-IIx2,4LAN(千兆)x2,冗余电源,额定点数20,000PSL-FW85633U机架式安装,双独立主板,IntelCore2DuoE6400x2,2GBDDR-IIx2,6LAN(千兆)x2,冗余电源,额定点数40,000可选软件PSL-SW-CON远程配置工具PSL-SW-MON远程监视工具PSL-SW-COM-OPC标准OPC通信组件PSL-SW-COM-MODBUS标准ModbusTCP通信组件PSL-SW-COM-DNP3标准DNP3通信组件PSL-SW-COM-104标准IEC-60870-5-104通信组件公司简介产品列表行业应用产品特点案例解析乌石化MES应用炼油厂焦化沥青ABBAC800M800xA办公网pSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferpSafetyLinkPHDBufferUniformance/PHDUniformance/OracleLIMSDatabasePT/PBAppServerPSAppServerOMAppServerLIMSAppServerWPKSServerDomainServer炼油厂芳烃Fisher-RosemountPROVOX横河CS3000炼油厂聚异丁烃和利时HS2000炼油厂新气分浙大中控JX300X炼油厂硫磺回收横河CS3000炼油厂加氢精制、航煤脱臭和利时FOCS炼油厂加氢裂化横河CS3000化肥厂
本文标题:工业控制网络安全防护的必要性
链接地址:https://www.777doc.com/doc-1261751 .html