針對傳統安全隔離設備在工控行業(yè)環(huán)境下應用的不足,作為國內工控行業(yè)的佼佼者,力控華康深知自己的社會(huì )責任所在,依托多年工控行業(yè)的技術(shù)積累,通過(guò)硬件和軟件兩方面的優(yōu)化和創(chuàng )新,開(kāi)發(fā)出了IN-GAPS工業(yè)安全隔離與信息交換系統,不僅實(shí)現了對基于TCP/IP協(xié)議體系攻擊的阻斷,也實(shí)現了對主流工業(yè)網(wǎng)絡(luò )協(xié)議的廣泛、深入支持和保證工業(yè)控制網(wǎng)絡(luò )數據的安全傳輸,并解決了傳統安全隔離設備無(wú)法適用于工業(yè)控制網(wǎng)絡(luò )的難題误阻。
由兩個(gè)獨立主機系統組成拓郑,一端的主機系統為控制端,用于連接控制網(wǎng)絡(luò )。另一端的主機系統為信息端,用于連接信息網(wǎng)絡(luò )貌梦。兩端主機均采用高性能嵌入式硬件,主板上各有多個(gè)以太網(wǎng)接口用來(lái)連接要隔離的兩個(gè)網(wǎng)絡(luò )厅沉,兩端主機通過(guò)隔離裝置進(jìn)行連接读第,保證數據交互的安全性哟蝉。
在對工業(yè)協(xié)議進(jìn)行解析時(shí)谜敷,可以針對測點(diǎn)一級進(jìn)行訪(fǎng)問(wèn)控制渐揩。例如:OPC標準可以控制到Item(項)塌或、Modbus協(xié)議可以控制到寄存器地址,并且可以對測點(diǎn)進(jìn)行可見(jiàn)范圍和讀寫(xiě)權限兩方面的控制舍塑。
可見(jiàn)范圍控制可指定控制端允許或不允許接入哪些測點(diǎn),從而實(shí)對現場(chǎng)設備數據讀取范圍的控制;同時(shí)當信息端有多個(gè) 監控系統時(shí),可指定哪些測點(diǎn)允許暴露給哪個(gè)監控系統,哪些測點(diǎn)要進(jìn)行屏蔽,從而實(shí)現現場(chǎng)設備數據的定向傳輸管理。讀寫(xiě)權限控制是在測點(diǎn)可見(jiàn)時(shí)對每個(gè)測點(diǎn)賦予“只讀”或“讀/寫(xiě)”兩種不同的權限。當設為“只讀”權限時(shí)戒若,所有數據禁止被修改,從而實(shí)現單向數據傳輸,達到保護現場(chǎng)設備安全的目的。
支持OPC、Modbus、IEC60870-5-101/102/103/104及各種PLC以太通訊等常用工業(yè)協(xié)議匯聚采集并轉換成用戶(hù)需要的工業(yè)協(xié)議刘莹,同時(shí)可以多路分發(fā)給不同上位系統。
通過(guò)提前計劃好的協(xié)議規則來(lái)限制網(wǎng)絡(luò )數據的交換盏阶,在控制網(wǎng)到信息網(wǎng)之間進(jìn)行動(dòng)態(tài)行為判斷琳柱。 通過(guò)對約定協(xié)議的特征分析和端口限制的方法,從根源上節制未知惡意軟件的運行和傳播。
搭載了自研的深度數據包解析引擎,可對工控協(xié)議做到實(shí)時(shí)和精準的識別,在遵循工業(yè)控制系統可用性與完整性的基礎 上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,如惡意軟件薄嫡、具體數據和應用程序類(lèi)型。深度數據包解析酒瞒。
引擎支持OPC蒂鹏、Modbus络刊、DNP3、IEC 60870-5-101、IEC 60870-5-104谓晌、西門(mén)子S7系列PLC、AB PLC 陡君、GE PLC等提取其中的關(guān)鍵字段(如:控制指令、寄存器區域、寄存器地址墓猎、數據范圍等)進(jìn)行訪(fǎng)問(wèn)控制。
具備跨系統平臺文件的同步功能;支持單向和雙向同步;支持多種文件格式仅汰,支持Windows平臺和Linux平臺;支持內容過(guò)濾和病毒檢測岸霹;支持強制性的文件類(lèi)型、文件內容(黑暇咆、白名單)等檢查。
支持FTP的安全訪(fǎng)問(wèn),對用戶(hù)淋淀、命令收诈、文件類(lèi)型等進(jìn)行細粒度訪(fǎng)問(wèn)控制;支持主動(dòng)模式和被動(dòng)模式,支持動(dòng)態(tài)建立數據通道秽铛,支持訪(fǎng)問(wèn)端口號自定義;支持中文文件名的過(guò)濾控制等多種功能。
支持基于SMTP協(xié)議的郵件發(fā)送和POP3協(xié)議的郵件接收;支持透明訪(fǎng)問(wèn)模式式和普通訪(fǎng)問(wèn)模式颜息; 普通訪(fǎng)問(wèn)模式下,可對郵件服務(wù)器地址和端口控制等多種訪(fǎng)問(wèn)控制。
支持本地認證魔招、Radius呵曹、LDAP認證书释,支持URL過(guò)濾喊厕、ActiveX、Cookie、JavaApplet等惡意代碼過(guò)濾。實(shí)現控制網(wǎng)用戶(hù)安全瀏覽信息網(wǎng)資源,有效保證控制網(wǎng)數據的安全臭脯。
支持高速代理匕郭、路由和透明三種模式,可以對源地址和端口估褐、目的地址和端口進(jìn)行訪(fǎng)問(wèn)控制芝捶;支持多種應用服務(wù)類(lèi)型, 如H323、H323_GK、SNMP、DNS等協(xié)議。
支持應用協(xié)議有HTTPS窜届、HTTP未揽、FTP戒祠、SMTP灌龄、POP3、TNS、DNS、Telnet、SAMBA、NFS搂都、IMAP谴轮、定制TCP和UDP矩桂、 SNMP迂擅、SSH、RTSP、MMS、H.323哆车、LDAP協(xié)議叁叠、IRC等協(xié)議教寂。
支持MySql闹俘、Oracle呆贿、SQL Server等主流數據庫間單向和雙向同步灵迫;支持同構、異構同步;支持一對多,多對一同步;支持字段級的同步,具有條件同步等多種同步策略。
實(shí)現對多種主流數據庫系統的安全訪(fǎng)問(wèn);支持SQL Server和Oracle數據庫SQL語(yǔ)句過(guò)濾功能翰舌;支持對源地址、目的地址的訪(fǎng)問(wèn)控制。
支持視頻協(xié)議傳輸包括:RTP實(shí)時(shí)傳輸協(xié)議,RTCP實(shí)時(shí)傳輸控制協(xié)議,RTSP實(shí)時(shí)流協(xié)議,SRTP實(shí)時(shí)傳輸協(xié)議RTP的伴生協(xié)議嫩海,SRTCP實(shí)時(shí)傳輸控制協(xié)議伴生協(xié)議吨拗,MMS實(shí)時(shí)流傳輸協(xié)議等欲返。在綁定視頻媒體協(xié)議后,確保通道中傳輸的數據須符合以上的媒體格式,否則丟棄。
DDoS攻擊防護:包括TCP Flood、UDP Flood、SYN Flood杀捻、ICMP Flood、IP Flood舷手。異常數據包攻擊:包括Ping of death、IP碎片攻擊毡冕、TCP碎片攻擊。
病毒檢測:包括HTTP、SMTP筐子、POP3、FTP、IM即時(shí)通訊缀她、S7_300等多種協(xié)議雙向檢測仑最。
保證數據的完整性、連續性同幔、可靠性,當信息測網(wǎng)絡(luò )故障時(shí)數據緩存到本地,等待網(wǎng)絡(luò )恢復后數據補報。
雙機熱備模式下括将,兩臺工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)通過(guò)心跳檢測進(jìn)行互相監控掺照,如果其中的一臺出現故障(宕機、網(wǎng)絡(luò )故障)慎像,那么另一臺就頂替出現故障的網(wǎng)關(guān)提供服務(wù)误阻。保證了網(wǎng)絡(luò )的高可用性和高安全性,提升了系統的可靠性俊啼。
IN-GAPS 2000部署在信息管理層與生產(chǎn)管理層之間,用來(lái)阻止來(lái)自信息網(wǎng)的DOS/DDOS攻擊、惡意掃描倔矾、異常數據包等安全威脅;可對通用網(wǎng)絡(luò )協(xié)議進(jìn)行訪(fǎng)問(wèn)控制和安全過(guò)濾树社,并且支持對工控主流協(xié)議進(jìn)行訪(fǎng)問(wèn)控制及深度解析,可以限制只有可信任的數據能夠在工控網(wǎng)絡(luò )中傳輸,有效保護了工控網(wǎng)絡(luò )的安全。
OPC標準由于其開(kāi)放性和高效性,現在已被廣泛應用于自動(dòng)化控制領(lǐng)域及生產(chǎn)管理中榛青。然而OPC Server與OPC Client之間的通信依賴(lài)控制網(wǎng)絡(luò )與管理網(wǎng)絡(luò )的直接連通,這樣會(huì )給控制網(wǎng)絡(luò )的安全帶來(lái)極大的隱患。
Modbus是基于PLC的一組通信協(xié)議全肮,已經(jīng)成為行業(yè)內設備互相通信的標準協(xié)議。DNP(3 分布式網(wǎng)絡(luò )協(xié)議)是使用在工序自動(dòng)化系統各部件之間的通信協(xié)議,主要用于電力、水力等公共事業(yè)領(lǐng)域。
在工業(yè)網(wǎng)絡(luò )中存在很多關(guān)系數據庫系統、視頻監控系統,是用來(lái)完成特定生產(chǎn)先嬉、監控任務(wù)的應用系統,其自身沒(méi)有任何的安全防護措施,一旦這些重點(diǎn)系統受到惡意攻擊或者有人為誤操作的影響逛犹,將會(huì )直接危及整個(gè)生產(chǎn)過(guò)程,影響生產(chǎn)安全,甚至發(fā)生事故。IN-GAPS 2000的雙獨立主機系統保持OPC Server债沾、Modbus設備、DNP3設備、關(guān)系數據庫、視頻監控等和上層間的通信,同時(shí)兩主機之間采用專(zhuān)用網(wǎng)絡(luò )隔離技術(shù),在保證數據快速交互的同時(shí)阻斷所有網(wǎng)絡(luò )連接,保證了控制設備的安全。