技术文章

当前页面: 首页 >技术文章 >创建本质安全的生产控制网

创建本质安全的生产控制网

供稿:青岛海天炜业过程控制技术股份有限公司 2014/7/2 10:17:42

5 人气:3292

  • 关键词: 生产控制网、工业防火墙、Guard IFW2400
  • 摘要:IFW2400工业防火墙通过内置工业通讯协议和工业模型,在实现全面控制功能的同时,打造制造商专有通讯网络信道,建立通讯管控“白名单”,从而阻挡其他一切非法通讯,包括黑客病毒等恶意程序攻击,以及基于Windows平台的其他非工控需求的通讯。

     工业、能源、交通以及市政工程等领域的DCSPLC等系统越来越多地采用工业以太网,工业控制器在I/O处理方面的健壮性毋庸置疑,但其针对网络攻击的防御和网络安全可靠性方面却相当脆弱,简单的常规攻击,像拒绝服务攻击DoS、端口扫描等就能造成控制系统网络的堵塞,甚至造成控制器死机。另外,Windows平台提供的打印机服务、文件共享、IE、Server服务等也存在一些漏洞,给控制系统的平稳运行带来风险。

     目前对控制系统的防护,通常采用禁用光驱和USB、安装杀毒软件等措施。但这些技术主要面向商用网络应用,缺乏有效的主动防御手段。杀毒软件的病毒库需要不定期的经常更新,这一点尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会大规模地爆发病毒攻击,特别是新病毒。

     IFW2400工业防火墙通过内置工业通讯协议和工业模型,在实现全面控制功能的同时,打造制造商专有通讯网络信道,建立通讯管控“白名单”,从而阻挡其他一切非法通讯,包括黑客病毒等恶意程序攻击,以及基于Windows平台的其他非工控需求的通讯。IFW2400工业防火墙不仅是在端口上的防护,更重要的是其能提供应用层上的数据包深度检查,属于新一代的工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。

 创建本质安全的生产控制网

典型应用

数采网与控制网的隔离:
a)OPC协议深度包检测;
b)只允许授权的OPC通讯;
c)防止数采网与控制网之间的病毒感染。

保护APC先控站:
a)只允许APC先控站与OPC Server之间通信;
b)只允许符合DCE/RPC标准的OPC请求,支持OPC DA、HDA、A&E的通讯;
c)GSA本身不设IP地址;
d)隐藏被保护的OPC Server IP地址。

保护重要的控制器:
a)仅允许DCS控制系统相关通讯协议通过,授权某操作站访问;
b)阻止拒绝服务攻击;
c)已知漏洞保护。

隔离工程师站:
a)仅允许DCS控制系统相关通讯协议通过;
b)防止服务器与其他站之间病毒互相感染;
c)已知漏洞保护。

内置工业模型

�ABB AC800M
�GE Fanuc 90-70
�Honeywell C300
�SIMATIC S7
�Yokogawa Centum
�Wago 750-842 PLC
�Allen-Bradley CompactLogix等

内置工业通讯协议

�Rockwell CSP(TCP and UDP)
�DeltaV
�IEC61870-5-104
�DNP3
�Honeywell FTE
�Modbus/TCP
�Modbus/UDP
�FINS(UDP)
�PROFINet等

更多信息与动态,请关注海天炜业官方网站和新浪微博:海天炜业

更多内容请访问 青岛海天炜业过程控制技术股份有限公司(http://c.gongkong.com/?cid=868)

手机扫描二维码分享本页

工控网APP下载安装

工控速派APP下载安装

 

我来评价

评价:
一般