海鸿工控网络信息平安解决方案

 一、计划概述

作为信息安全管理的重要组成局部,制订知足业务场景需求的安全策略和管理流程,是确保ICS 体系稳固运转的根蒂根基。海鸿产业掌握网络信息平安解决方案参照NERC CIP、ANSI/ISA-99、IEC 62443等国际标准对产业控制系统的平安要求,将具有雷同功用和平安要求的掌握装备分别到统一地区,地区之间实行管道通讯,经由过程掌握地区间管道中的通讯内容,实行纵深防备战略,从而保障产业网络的平安。

海鸿HSGuard产业防火墙适用于企业办公网络取消费掌握网络之间的界限防护,珍爱掌握网络的平安,属于新一代产业和谈加强型防火墙。经由过程和谈管控、平安通讯、接入认证、平安审计和非常报警,为产业掌握通信供应了产业级的专业平安防护解决方案。可以或许深层次的保障产业通信平安,有用防备病毒、木马对产业网络的平安要挟。

“海鸿HSHost工控平安主机软件”以可托盘算手艺和静态防保密手艺为根蒂根基,是基于“黑名单”自动防备手艺的主机平安防护软件,能有用处理工控体系主机、服务器病毒感染、歹意剧本实行、操作系统内核破绽隐患、应用程序缓冲区溢出进击等题目,可以或许取海鸿HSGuard产业防火墙配合构建可控、牢靠、可管理的工控网络“黑情况”纵深平安防备系统。

参照ANSI/ISA-99安全标准,联合产业体系的平安需求,能够将图1所示的产业体系网络分别为以下差别的平安地区:办公地区、数采地区、PLC/DCS/现场装备RTU掌握地区,同时考虑到来自工程师站的平安要挟身分和控制器的平安防护品级要求,将工程师站和控制器分别为两个自力的子地区。别的数采网中的APC Server受熏染的几率也较大,需停止断绝,因而也将其分别为一个自力的子地区,如图2所示。

图片1

2  产业体系网络构造的地区分别

金沙9927

2.1、 PLC和数采网之间的平安防护和DCS和数采网之间的平安防护

掌握网中的PLC和DCS等控制系统对数采网供应的接口和谈一样平常有DDE、OPC等。正在数据量大,革新频次快时,DDE便表现出不稳定性,因而现在OPC手艺已成为工业界体系互联的缺省计划。但因为OPC通信接纳不流动的端口号,运用传统的IT防火墙停止防护时,不能不开放大规模范围内的端口号。在这种情况下,防火墙供应的平安保障被降至最低。

海鸿产业防火墙信息平安解决方案经由过程正在OPC Server和数采机Buffer或数采网之间增添产业防火墙去防备种种平安要挟和进击,如图3所示。

图片2

3  PLC和数采网之间和DCS和数采网之间的平安防护

海鸿HSGuard产业防火墙能搜检、跟踪、珍爱由OPC应用程序建立的每一次衔接,仅正在建立OPC衔接的OPC Client和OPC Server间静态天翻开每次衔接所需求的独一的TCP端口,从而处理了OPC通信没法运用通例IT防火墙停止防护带来的平安防护瓶颈题目。同时,海鸿HSGuard产业防火墙能阻挠病毒和别的一些不法接见,如许来自防护区域内的病毒感染便不会散布到其他网络,从本质上包管了网络通讯平安。

2.2、 现场装备RTU和数采网之间的平安防护

现场装备RTU和数采网通过Modbus TCP和谈停止数据传输,因而正在现场装备RTU和数采网之间增添海鸿HSGuard产业防火墙,如图4所示。

js99703金沙娱城

4  现场装备RTU和数采网之间的平安防护

传统的IT防火墙许可接见掌握列表ACL搜检一条信息的三个重要方面,即源IP、目的IP和IP帧中“TCP目标端口号”所界说的上层和谈,然后去决意是不是许可该信息经由过程。然则没有对和谈内容的细粒度掌握,存在一些黑客能够应用的破绽。比方,Stuxnet便大量运用了近程历程挪用和谈RPC)。而西门子PCS 7控制系统也大量运用了基于RPC的专有信息技术。因而运用传统的IT防火墙简朴天阻挠所有的RPC通信其实不是一个可行的计划。

海鸿HSGuard产业防火墙可以或许深切产业和谈内部停止内容检测掌握工程师界说许可的Modbus指令,寄存器和线圈名单列表后,产业防火墙便能主动阻挠并讲演任何不婚配组态划定规矩的通信。同时产业防火墙也能针对不法花样的信息和非常行动(如10,000个应对信息都是相应单个恳求信息)对通信停止完整性搜检,阻挠任何希图损坏体系的进击运动,保障系统安全。

2.3、 金沙9927

要害控制器正在全部网络中起着无足轻重的感化,然则其正在平安上皆不是很强健,一样平常的控制系统网络故障,如播送和多点发送信息就会使一些装备过载。正在控制器前端安装产业防火墙,能有效地保障要害掌握阔别网络中的病毒进击和要挟。

图片4 

5  要害控制器的平安防护

海鸿HSGuard产业防火墙预置30多种产业通信和谈,支撑大多数基于以太网通信的控制器、网络设备和通信和谈。对产业防火墙停止划定规矩组态时只许可制造商专有和谈经由过程,即“黑名单”战略,阻挠来自操纵站的任何不法接见;另一方面能够对网络通讯流量停止管控,指定只要某个专有操纵站才气接见指定的控制器;另外借能够管控部分网络的通信速度,防备控制器蒙受网络风暴及其它进击的影响,从而制止控制器死机。

2.4、 断绝工程师站和金沙9927

愈来愈多的先辈掌握应用于现场掌握,先辈掌握一样平常由厂家供应现场效劳,常常运用U盘等挪动介质和第三方装备(笔记本电脑等),APC服务器熏染病毒的概率较大,体系中的工程师站也存在一样的安全隐患。因而,正在工程师站和APC Server前端布置产业防火墙,将其零丁断绝,防备病毒散布,包管了网络的通信平安。

图片5

6  断绝工程师站和APC Server


2.5、 珍爱要害主机,停止主机加固

为了防备歹意病毒和木马的入侵,正在工控网络的数采网和掌握网所有主机上布置“海鸿HSHost工控平安主机软件”,如图7所示。并启用黑名单功用,确保只要正在黑名单列表中的顺序或软件才气运转和安装,其他一例排外,到达恶意代码防护的结果。

图片6 

7 数采网及掌握网所有主机、服务端布置平安主机体系停止加固

“海鸿HSHost工控平安主机软件”接纳“黑名单”管理手艺,经由过程对数据采集和剖析,会主动天生产业掌握软件一般行动的黑名单,取现网中的及时传输数据停止对照、婚配、判定。若是发明其用户节点的行动不符合黑名单中的行动特性,其主机平安防护体系将会对此行动停止阻断或告警,以此制止主机网络遭到未知破绽要挟,同时借能够有用的阻挠操纵职员非常操纵带来的风险。

海鸿HSHost工控平安主机软件”借具有壮大的USB挪动装备管控功用,可制止USB存储装备的运用,防备经由过程USB装备导入病毒或木马。


2.6、 分布式管理平台和报警管理平台

正在数采网安装海鸿分布式管理平台HDMP,用于设置、组态并统一管理网络中所有的海鸿产业防火墙、工控平安主机体系,同时能够快速建立全部掌握网络模子、竖立并下发安全策略,看管全部体系的运转状况。

正在信息网安装海鸿报警管理平台HAMP,能够集成所有来自分布式管理平台的所有事宜及报警信息,并可分别品级停止报警,经由过程网络结构图人机界面及时关照相干主管职员。该平台可以或许正确捕捉现场所有安装防火墙的通信信道中的阻拦日记,而且具体显现通信的源、目的及通信和谈,以统辖大局的体式格局为工场网络故障的实时排查取剖析供应牢靠根据。整体的海鸿产业防火墙信息平安解决方案如图8所示。


图片7 

8 海鸿产业防火墙信息平安解决方案示意图

三、 计划总结

接纳以太网和TCP/IP和谈作为最主要的通信和谈和手腕,背网络化、标准化、开放化生长是种种产业通信和自动化控制系统手艺的重要潮水,产业网络信息安全问题已迫不及待。海鸿产业掌握网络信息平安解决方案遵照以地区及管道珍爱网络、加固主机为中心的通信原则,并接纳集中安全管理监控的管理体式格局,对企业内控制系统停止深切剖析,实行周全、有针对性的防护战略,实现产业网络安全防护的三大目的:地区断绝、通讯管控和及时报警,从而全方位天保障产业掌握网络阔别种种内部要挟和内部进击。

金沙9927

电话:400-8282-628
0510-81190766
金沙9927

地点:无锡市滨湖区绣溪路53号旭天科技园18号5-6楼
   友情链接: | | 金沙9927
js99703金沙娱城