需求分析

工业互联网作为“新基建”重要支点,随着物联网、人工智能、大数据、5G等在工业领域应用程度的不断深入,使得原本相对封闭的工业网络本就相对脆弱的工业安全防护措施,无法满足新形势下的安全风险,工业互联网安全产业也将从以“应急响应”为代表的单点防御向以“持续响应”为代表的纵深防御转变。无论是从等保要求还是工业内生安全角度来看,工业网闸成为安全防护的重要设备。

工业企业首要是保证生产的安全有序,为了防止生产网受到外部网络的攻击,大多数企业采取把生产网看作为一个完整的独立区域,与其它网络间尽量采用物理隔离进行防护,从而减少物理上的风险暴露面,这在等保2.0工控安全扩展要求中,得到了相应的体现: “工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用相应的技术隔离手段”、“禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务”等内容。可见,工业生产网与信息网之间需要更安全、有效的技术隔离手段。

产品概述

山石网科工业网闸IGAP系列是专门为工业网络安全设计、开发的安全隔离与信息交换系统。采用耐高湿、防尘、抗电磁、抗震、冗余供电设计,保证高可靠性;支持多核并行控制、优化的软硬件架构多种技术,全方位保证设备的高可用性与高可靠性。

针对工业网络环境特点,工业网闸包含了精心设计的隔离部件动作系统,使得连接可信网络端和不可信网络端的两组高速专有的隔离部件配合系统数据流分时地“接通”、“断开”。山石网科工业网闸的内部隔离完全基于硬件体系,目的是将不可信网络端计算机存储系统和可信网络端计算机存储系统中的数据进行快速交换。隔离不依赖于任何通信协议和操作系统服务,它具有独立的硬件逻辑电路,通过独立的总线交换数据,实现了网络间数据的高速交换。

山石网科工业网闸硬件体系架构严格采用国标要求的“2+1”标准架构设计,其中包括内部端处理系统(内端机)、外部端处理系统(外端机)以及双向安全隔离板。其中,隔离芯片基于专有的隔离硬件的电子开关芯片实现,不含任何协议通讯,且该芯片硬件不可编程, 因此,该安全隔离系统达到了强制访问控制级。该系列产品具备安全检查、安全代理、文件同步、数据库同步、工业协议解析等功能。

产品特点

  • 高可用性:支持双机热备、负载均衡、冗余电源、高湿应用设计。

  • 安全可靠:系统采用模块化设计,采用推、拉模式完成外网服务器上指定文件的单向同步,由于内外网间仅传输纯文件级数据,不含任何控制命令,因此,数据传输安全可靠。

  • 工业协议深度解析:对Modbus、OPC、IEC104等协议进行指令级、地址级控制。

  • 工业数据采集:针对固定的采集点,系统提供采集状态实时监控功能,可清晰查看采集点采集状态和采集数据动态。具体支持OPC_UA、OPC_DA、OPC_DA桥接客户端、Modbus_RTU、Modbus_TCP推送等工业协议数据的采集。

  • 工业数据上报:支持OPC_DA、OPC_UA、Socket、MQTT等协议的数据上报。

  • 视频代理:支持视频代理模块,能够支持基于动态端口传输的流媒体视频应用,内置近30种视频厂商协议模板,可简化配置、调试步骤(支持厂家包括海康、海信V4.0、大华、科达等),支持基于GB/T-28181接口的二次开发。

技术优势

  • 采用先进的专有的隔离部件通断技术:安全的“2+1”系统架构,隔离不依赖于任何通信协议和操作系统服务,它具有独立的硬件逻辑电路,通过独立的总线交换数据,实现了网络间数据的高速交换。

  • 采用安全的操作系统:采用安全优化的 Linux 操作系统,该系统经过 Linux 内核裁减,卸载所有对外系统服务并重构了 TCP/IP 协议栈,保证系统安全性。同时,系统内置了防内存溢出系统, 能够有效保护系统进程包括工业网闸系统数据摆渡进程运行安全,进一步强化了系统抗攻击性。

  • 采用先进的协议终止及分析技术:当网络数据流经工业网闸时,数据在工业网闸的设备计算机系统上被处理,经过协议终止、协议检查并剥离数据包装,然后剥离出的裸数据隔离系统传送到另一方,并重新生成协议后送达目的地。彻底杜绝黑客利用协议对可信网络进行攻击。

  • 采用安全可靠的数据传输模式:采用推、拉模式完成外网服务器上指定文件的单向同步,由于内外网间仅传输纯文件级数据,不含任何控制命令,因此,数据传输安全可靠。

应用场景

山石网科工业网闸采用串接部署方式,用于生产侧与信息侧的安全隔离。系统典型部署如下:

用户价值

山石网科工控安全监测审计系统可以为用户提供:

1、安全隔离:生产内网和和外部网络的物理隔离,保证内网的安全;
2、为矿山、应急能源以及危险行业的安全生产相关数据的采集和上报提供监管支持;
3、提供对等保合规建设的支撑。

最终达到增强网络抵御安全风险能力、满足网络政策合规性要求、提升企业安全生产水平。

山石网科工业网闸可广泛应用在电力、能源、石油石化、交通(铁路、城市轨道交通、民航)、天然气、先进制造、水利枢纽、环境保护、市政供水供气供热以及其它与国计民生紧密相关领域的工业网络。