工业控制系统安全解决方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

工业控制系统安全解决方案篇一:Tofino(多芬诺)工业网络安全解决方案

工业网络安全解决方案

一、概述

数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,高度信息化的同时也减弱了控制系统及SCADA系统等与外界的隔离,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。XX年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。工信部协[XX]451号通知明确指出,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常

运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。

二、行业现状与分析

需要重点解释的是,商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子,商业防火墙通常允许该网络内的用户使用HTTP浏览因特网,而控制网络则恰恰相反,它的安全性要求明确禁止这一行为;再比如,OPC是工业通讯中最常用的一种标准,但由于OPC基于DCOM 技术,在应用过程中端口在1024-65535间不固定使用,这就使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放入IT解决方案中,选用专有的控制系统防火墙加上良好的控制系统安全策略才能为工业控制系统安全提供高效的网络攻击防御能力。想要满足这一安全要求,Tofino™是一种经济高效的方式。

三、Tofino解决方案

方案亮点

Tofino能够用来分离安全系统网络与过程系统网络,实现关键系统与非关键系统的物理隔离。与普通商用防火墙相比,Tofino更适于工业控制系统安全防护,主要体现在:(1)工业型:

? 参照ANSI/ISA-99 Standards的安全要求为设计理念,产品更具针对性和高效性,专门用于工业控制系统的安全保护。

? 内置50多种专有工业通信协议,与常规防火墙不同的是,Tofino防火墙不仅是在端口上的防护,更重要的是基于应用层上数据包深度检查,属于新一代工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。

? 具备在线修改防火墙组态功能,可以实时对组态的防火墙策略进行修改,而且不影响工业实时通讯。其它防火墙需要断电、重启等。

? 工业型设计,导轨式安装,低功耗无风扇,具备二区防爆认证。

(2)独有专利安全连接技术:

?

首先防火墙自身是基于非IP的独有专利安全连接技术进行管理,能够阻挡任何欺骗式攻击。

? 能够隐藏防火墙后端所有设备的IP地址,让入侵者无法发现目标,更无从谈发动任何攻击。

?集防火墙与虚拟路由于一身,能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向,

可以设定数据流入、流出的单向或双向。

(3)实时网络通讯透视镜:

? 能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具,能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录,保证控制网络通讯的实时诊断。

方案构成

一个完整的Tofino安全解决方案包括以下四部分:

(1)Tofino安全模块(TSA)

增强型工业环境要求设计,即插即用,应用于受保护的区域或控制器等关键设备之前。下图为Tofino安全模块硬件的两种选型。硬件设计遵循增强型工业环境要求,应用于受保护的区域或控制器等关键设备之前,设计使用寿命27年,能够提供安全系统的工业平台。

Tofino安全模块(TSA-100 ) Tofino安全模块(TSA-220)

(2)Tofino可装载安全软插件(LSM)

专为工业通讯协议设计的安全软插件,可以直接装载到Tofino安全模块中,并根据系统需求提供各种定制安全服务。基本软插件可分为:

? Tofino Firewall LSM工业通信防火墙;

工业网络交通警察,提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议,预先定义超过25个控制器类型(例如:西门子S7-300/S7-400,Honeywell PKS C200/C300/);LSM在线协议组态,可自己定制通讯协议或者通过设备学习功能实现通讯协议定制;通过通讯协议指令级别的管控,预先组态用于高级过滤和攻击保护的“特殊规则”。符合 ANSI/ 的网络分段要求,达到区域隔离目标。 ? Event Logger LSM事件日志与报警管理;

Tofino事件记录可装载模块对您的安全事件提供了可靠的监控功能和记录功能,它是一个专为工业控制网络设计的日志记录系统。

? OPC Enforcer LSM通信深度检测及防护;

专门用于标准OPC协议通讯的网络安全技术,它可以检查,追踪并安全保护每一个OPC应用程序创建的连接。它动态地为指定的OPC客户端和服务器打开端口,并且是只打开每个连接所需要的唯一的TCP端口。它简单易用,在OPC 客户端和服务器无需改变任何配置,无需改变任何原有的网络结构,这种先进的解决方案超越了传统的防火墙。

优势在于在OPC工业协议上最先应用“连接跟踪技术”;Tofino的‘Sanity Check’检查功能,可拦阻任何不符合

相关文档
最新文档