安点科技工业网闸应用实例

　　在很长一段时间内，办公信息网络和工业控制网络通过“空气间隙”进行隔离。然而随着信息化程度的提高，情况发生了转变，工业控制网络设备与办公信息网络设备连接日益紧密各类EPR系统、MES系统层出不穷，这也为恶意代码向工业控制系统网络渗透提供了便利。

　　在为浙江某化工企业提供安全服务的过程中，安点工程师发现现场多台已进行安全加固的操作员站不断报出网络病毒被查杀的画面，如下图：

　　通过部署安点网络威胁感知系统，监控到此威胁来源于公司内部网络中不同网段的某些PC设备，且类似病毒报告已出现多次告警。

　　公司网络中的安全威胁在不停地攻击和侵害DCS控制系统中的软件和硬件！

　　经过与用户工程师的研讨，用户最终希望在保护DCS系统不受病毒等网络威胁的前提下做到：

1. 能继续使用OPC和远程桌面访问功能

2. 禁止其他网络功能和通信行为

安点科技向客户推荐使用安点工业网闸进行有效的网络隔离防护，实现“”空气间隙“”。

安点工业网闸的工作原理是对信任网络和非信任网络间实施物理隔离，针对OPC通讯协议的特殊性（动态分配端口通讯），以及行业用户通信特征，实现在保证正常OPC双向数据通讯的同时，对非授权的通讯进行完全隔离。

安点工业网闸可实现以下功能：

通信双方的白名单机制

–基于IP地址，MAC地址的通信过滤

–针对工业协议，如OPCServer的ProgramID级别的通信过滤     

通信内容的深度内容过滤

–基于IP头的通信协议识别与过滤

–针对工业数据的内容过滤，

–针对工业特性的内容过滤

–配置每一个Item的读写权限   

协议隔离

–通信双方协议不可达，阻止各种病毒及恶意代码   

无扰动接入

–无IP，无须更改现有网络结构

–离线组态，支持透明接入

　　安点工业网闸拥有 X86和非X86两种结构，采用2+1的体系结构，即通讯外网和内网分别由一个CPU进行数据剥离和重组（2CPU）,内部采用私有协议进行数据摆渡（1私有通讯协议），并包含工业通信协议专用过滤软件包以及内置防火墙和安全系统专用组态工具，工作原理示意图如下：

　　我们将工业网闸部署在客户的信任网络和非信任网络之间。安装完成后，办公网络与工业控制网络的实时通信过程中可被过滤掉有害程序和数据，使两个网络均受到隔离保护。