登录/注册
400-859-8181

建议反馈

公司名称:
*
姓名:
*
所属商务姓名:
*
通讯地址:
*
是否有销售负责:
*
手机:
*
QQ:
微信号:
内容:

会员登录

忘记密码

会员注册

化工企业信息安全防护解决方案

项目背景

行业背景

以化工行业为代表的流程型行业是国内较早开展两化融合应用、以信息化促进自动化的行业,随着应用的增加,也积累了较为丰富的两化融合建设经验。化工行业具由于DCS普及率高,生产连续性强,各工段之间也多是无缝衔接,所以其装置要保持安、稳、长、满、优运行等特征,这也是化工行业的显著特点之一。

化工企业建设的调度指挥、生产监视、先进控制、装置优化、计量管理、报警管理、应急指挥、能源管理、LIMS等MES功能子系统几乎都离不开与DCS、PLC、实时数据库等控制系统进行数据通信,这种办公网与控制网之间的数据通信从一开始就受到了化工企业的高度重视。而且,工信部在2010年颁布的《关于加强工业控制系统信息安全管理的通知》更加强化了化工企业在这方面的重视程度。为了确保底层生产与上层管理之间的数据安全与生产安全,进行信息安全防护建设,确保生产的稳定高效进行成为了化工企业建设的重中之重。

行业概述

  • DCS系统:一般采用的是霍尼韦尔(Honeywell)、福克斯波罗(Foxboro)、横河(Yokogawa)、浙大中控(Supcon)和和利时(HollySys)等公司的产品,这些厂商的产品与信息层通讯大多采用OPC协议,通讯缺少安全认证,数据易被窃取、篡改或破坏;
  • PLC:一般采用的是西门子(Siemens)、罗克韦尔(AB)、GE、施耐德、和利时(HollySys)的产品,设备现场使用分散、不集中,且使用工业协议通讯,通用IT防火墙无法对其进行防护;
  • 现场仪器、仪表的接口类型及通讯协议复杂多样,数据集中管理、维护存在很大的难度;
  • 控制网络与管理网络互联,控制网络面临来自上层信息网的潜在威胁;
  • 控制系统缺少分级、分区的安全防护,易受到信息网络及相邻系统的潜在威胁。

项目概述

在本解决方案中,主要建设内容是进行工业控制信息安全网络的搭建,确保底层生产的稳定高效进行以及企业基础数据的安全存储。所一般性的功能需求如下:

  • 应用工业网络隔离设备阻止控制设备/系统被非法访问,阻断非法下发控制指令,以防止病毒、恶意代码等肆意传播。
  • 选用安全型通信网关作为数据采集用途,网关配备工业通讯协议的过滤模块,支持各种工业协议识别及过滤, 弥补商业防火墙不支持工业协议过滤的不足。
  • 安全型数据通信网关通过采集多个不同子系统、设备、智能仪表等的数据,进行数据集中汇总、分类和预处理,并向多个不同应用系统进行数据转发。
  • 安全型数据通信网关支持组态软件或实时数据库软件的断线缓存,以解决由网络断开或信息阻塞造成的数据丢失和历史数据不完整问题,保证MES系统数据的完整性。
  • 不同层级间的控制系统采使用纵向防护、横向隔离,阻止来自上层网络的潜在威胁和避免区域间病毒扩散。

价值与亮点

方案亮点

  • 方案中所使用的工业隔离网关pSafetyLink、工业防火墙HC-ISG、工业数据采集网关pFieldComm都是力控自主研发的产品,并延用力控可组态的产品思想设计出来的。产品间可无缝对接,能够保证系统的稳定性、安全性、兼容性。
  • 工业数据采集网关pFieldComm支持1000多种工业协议,覆盖国内、国外众多厂家仪器、仪表、PLC等设备,通过简单配置,即可使用,可以大大缩短项目开发周期。
  • 工业隔离网关pSafetyLink是国内首款国家公安部认证的工业网络安全防护产品。
  • 工业隔离网关pSafetyLink、工业防火墙HC-ISG、工业数据采集网关pFieldComm之间的数据传输采用的是力控私有协议Commserver,可以充分保证数据传输的安全性。
  • 工业防火墙HC-ISG内置工业病毒库,具备病毒过滤功能,当携带病毒的文件通过常用类型协议进行传输时,防火墙能够对文件进行病毒检测并拦截,避免恶意文件进入被保护网络。
  • 工业隔离网关pSafetyLink、工业数据采集网关pFieldComm支持数据断线缓存功能,可以保证系统数据的完整性、连续性。

方案价值

采用本方案相关设计所进行的信息安全防护体系的建设,能够彻底的隔离IT网络中蠕虫、木马等恶意程序传播,保护SCADA、DCS、PLC等重要资产的安全;能够有效的过滤掉嵌入在应用层的恶意代码,保护工厂生产设备的安全;彻能够底的阻断ARP、flood、碎片、恶意扫描等恶意攻击,护工厂生产设备免受恶意攻击,从而保护工厂人员生命及财产安全;所有数据实现一次采集多次复用,帮助用户降低信息集成过程的复杂度和成本。

此外,软硬件一体机的产品特点,能够替代工控机,满足企业所需要的长时间运行要求,可以大大降低维护成本及开发成本。

解决方案

设计概述

本解决方案采用的是力控自主研发的产品“工业隔离网关pSafetyLink+工业防火墙HC-ISG+工业数据采集网关pFieldComm”进行的联合部署,整个防护体系也划分为纵向层级隔离和横向区域边界隔离。

纵向层级隔离:在设备控制层与MES系统信息化层之间部署一台工业隔离网关pSafetyLink,以阻断上层信息网病毒对控制层的直接攻击。

横向区域边界隔离:在合成装置、尿素装置和磷酸装置所在区域各部署一台工业隔离网关pSafetyLink,防止区域间病毒的交叉感染;在煤代油装置区域部署一台HC-ISG工业防火墙,用来切断网络中的非法访问和恶意代码攻击,同时防止装置被其它区域的病毒感染;在其它控制装置区域部署一台工业数据采集网关pFieldComm,用来采集分散的设备,并通过力控的私有协议Commserver,将数据转发给工业隔离网关pSafetyLink或SCADA,以保证数据传输的安全性。

系统功能

  • 位置1:MES系统与控制网纵向隔离,阻断上层网络的威胁;隔离SCADA系统与信息网,阻止来自上层信息网的威胁;
  • 位置2、3、4、5:区域间边界隔离,避免病毒扩散。隔离工程师站、操作站等主机设备,如若工程师站等主机设备感染病毒,可避免其病毒扩散至其它设备乃至整个工业网络,降低工程师站等主机设备存在的安全风险。降低工程师站作为常用对外接口,因感染病毒而带来的风险;
  • 位置2、3、4:先对原先缺少安全认证的OPC协议转发出来的数据进行汇总,然后再将数据转发给MES系统;
  • 位置5:对重要设备进行专门防护,切断恶意访问、恶意代码渗透及病毒感染。只允许必要的数据包通过,阻断对重要设备的所有非法访问及控制;
  • 位置6:采集多个不同分散的子系统、设备、智能仪表等数据并进行数据集中汇总、分类和预处理,之后将解析和交换后的数据通过力控私有协议Commserver转发,为系统提供统一的数据接口,从而彻底解决现场设备协议不一致所带来的数据无法接入和协议管理混乱的问题。

技术提取

技术特性

  • 本解决方案中所用到的产品支持多种硬件通信接口以及提供了多种主流的工业网络协议接口。并且对对通用网络协议进行访问控制和安全过滤,具有4-7层包过滤,支持以五元组形式对通用协议数据包进行访问控制和安全过滤。
  • 隔离网关采用“2+1”隔离技术架构,并且采用了数据单项传输技术,保证网络间正常通信,且彻底阻断网络间的直接TCP/IP连接,切断攻击的载体。
  • 隔离网关提供测点管控模式和隧道管控模式两种数据摆渡模式。
  • 数据传输拥有断线缓存功能,保证数据的完整性、连续性、可靠性,在通信链路断开时自动记录数据。
  • 产品可进行分布部署和集中管理,提供了专用的配置管理工具,可以对网络中多台网关设备进行远程管理,方便用户进行集中化管控。
  • 工业防火墙对工业网络通信协议的深度包进行监测,同时支持Dos/DDos攻击防护与异常数据包攻击防护,保证工业协议通讯的可控性和准确性,为工业网络通讯提供最安全的解决方案。
  • 产品支持智能协议识别和辅助规则生成,帮助用户以最快捷的方式了解和掌握网络中的业务通信。

相关产品

本系统采用力控自主研发产品包括:工业隔离网关pSafetyLink、工业防火墙HC-ISG、工业数据采集网关pFieldComm,产品具体详情请查阅对应详情页如下:

电话咨询
400-859-8181
售前咨询
建议反馈
扫码关注 官方公众号