01工控信息安全新品——增強型防火墻

力控華康工業(yè)防火墻HC-ISG（2.0）是專(zhuān)用于工業(yè)控制安全領(lǐng)域的增強級邊界安全防護產(chǎn)品，能夠有效對 SCADA、DCS、PCS、PLC、RTU等工業(yè)控制系統進(jìn)行網(wǎng)絡(luò )安全防護。HC-ISG（2.0）主要用于實(shí)現工業(yè)基礎設施在網(wǎng)絡(luò )環(huán)境中的邊界防護，從而阻斷非法訪(fǎng)問(wèn)、病毒傳播和惡意攻擊等，同時(shí)也能有效避免工作人員誤操作等安全問(wèn)題。HC-ISG（2.0）廣泛應用于各工業(yè)現場(chǎng)，包括核設施、鋼鐵、有色、石油天然氣、化工、電力、城市燃氣、機械、環(huán)保監測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、民航以及其他與國家基礎設施和國計民生緊密相關(guān)的工業(yè)控制系統和網(wǎng)絡(luò )。

全新一代增強級工業(yè)防火墻HC-ISG（V2.0），全面提升和擴展了入侵防御、URL過(guò)濾、病毒過(guò)濾、網(wǎng)絡(luò )掃描防護、IP/MAC綁定等功能，可識別和預防網(wǎng)絡(luò )中病毒傳播、惡意攻擊等行為，避免其影響控制網(wǎng)絡(luò )和破壞生產(chǎn)流程；新增加并提供流量帶寬管理、NAT及IPv6隧道等功能，可滿(mǎn)足更多維度的網(wǎng)絡(luò )環(huán)境需求，更加適應當前工業(yè)網(wǎng)絡(luò )環(huán)境與信息化網(wǎng)絡(luò )環(huán)境相融合的發(fā)展趨勢；工業(yè)協(xié)議方面，提供針對工業(yè)協(xié)議的指令級深度檢測，實(shí)現對Modbus、OPC主流工業(yè)協(xié)議和規約的細粒度檢查和過(guò)濾，并支持智能協(xié)議識別和輔助規則生成；同時(shí)HC-ISG（2.0）具備高可用性及全透明無(wú)間斷部署功能，有效保證業(yè)務(wù)連續性。

典型部署： 

• 位置1：生產(chǎn)管理層和信息管理層的縱向防護，阻斷來(lái)自上層信息網(wǎng)的威脅。

• 位置2、3、5：對重要系統及實(shí)時(shí)數據庫的服務(wù)器進(jìn)行專(zhuān)門(mén)防護，切斷惡意訪(fǎng)問(wèn)、惡意代碼滲透及病毒感染。

• 位置4、10、11：隔離工程師站等主機設備，確保上位機系統主機對控制器的合法訪(fǎng)問(wèn)及控制，阻斷非法指令下置及非法訪(fǎng)問(wèn)，從而保證生產(chǎn)現場(chǎng)的安全有序生產(chǎn)。同時(shí)降低工程師站等主機設備存在的安全風(fēng)險。

• 位置6、7、8、9、13：過(guò)程控制層不同區域間的橫向防護，防止不同區域間的交叉感染。

• 位置7、12、14：保護重要控制系統或設備，只允許必要的數據包通過(guò)，阻斷對重要控制系統或設備的所有非法訪(fǎng)問(wèn)及控制。

02工控信息安全新品——單項導入網(wǎng)閘

隨著(zhù)信息化的不斷發(fā)展，計算機網(wǎng)絡(luò )的建設和應用的普及，形成了內網(wǎng)、專(zhuān)網(wǎng)和外網(wǎng)共存的復雜網(wǎng)絡(luò )結構。工業(yè)4.0時(shí)代的到來(lái)，兩化的不斷融合，工控系統管控一體化趨勢逐漸加強，使得工控系統、信息管理系統與互聯(lián)網(wǎng)相連通，同時(shí)工控系統日益復雜化，各種SCADA、DCS、PLC、測控設備組成的過(guò)程控制系統越來(lái)越多地涉及到通用網(wǎng)絡(luò )協(xié)議（HTTPS、HTTP等）、通用軟件以及大流量的數據（數據庫、視頻等），以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，使得處于物理隔離的不同網(wǎng)絡(luò )間的數據交換越來(lái)越頻繁，交換的數據量也呈指數上升。特別是石油、石化、電力、鋼鐵、煤礦等生產(chǎn)行業(yè)，對生產(chǎn)的連續性、安全性和可靠性有著(zhù)極高的要求，一旦實(shí)現了信息網(wǎng)絡(luò )與控制系統網(wǎng)絡(luò )之間的高度互聯(lián)，就相當于將控制系統網(wǎng)絡(luò )直接暴露給互聯(lián)網(wǎng)，從而面臨被攻擊的風(fēng)險，如果受到惡意攻擊或感染病毒，很可能導致系統中的主機崩潰、整個(gè)控制網(wǎng)絡(luò )癱瘓，造成重大安全事故、危及人員的生命財產(chǎn)安全乃至造成重大社會(huì )危害。

為保障工業(yè)網(wǎng)絡(luò )系統安全穩定運行，力控華康通過(guò)不斷研發(fā)，推出了uSafetyGap工業(yè)安全隔離單向導入系統，利用光單向傳輸的特性構建了一條安全、單向的傳輸通道，實(shí)現了工控網(wǎng)絡(luò )到信息網(wǎng)絡(luò )間的單向數據傳輸，既做到了工業(yè)控制系統與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )間的有效隔離，又解決了兩者之間高度信息化互聯(lián)問(wèn)題，并且在此之上增加多種應用功能，滿(mǎn)足各式各樣的工業(yè)現場(chǎng)安全防護需求。

采用“2+1”的物理結構，內部由兩個(gè)獨立主機系統組成，采用基于SFP的單向光纖通道，將電信號轉換成光信號傳輸，從物理上保證單向傳輸，不存在任何反饋信號。支持主動(dòng)文件傳輸、被動(dòng)文件傳輸、郵件中繼轉發(fā)、數據庫同步等豐富的數據類(lèi)型傳輸。支持對OPC、Modbus TCP等常用工控協(xié)議的深度解析。支持病毒檢測、關(guān)鍵字過(guò)濾模塊對于設備接收到的數據進(jìn)行進(jìn)行病毒檢測以及關(guān)鍵字過(guò)濾。

典型部署：

• uSafetyGap部署在信息管理層與生產(chǎn)管理層之間，隔斷來(lái)自信息網(wǎng)的DOS/DDOS攻擊、惡意掃描、異常數據包等安全威脅，保證數據的單向傳輸，確保了工控網(wǎng)絡(luò )的安全；

• uSafetyGap部署在過(guò)程控制層與生產(chǎn)管理層之間，隔斷生產(chǎn)管理層的一些異常行為，提供了OPC Server、Modbus、DNP3等工業(yè)協(xié)議以及關(guān)系數據庫與上層間的數據交互，有效保護了工控網(wǎng)絡(luò )的安全；

• uSafetyGap部署在過(guò)程控制層中不同的控制系統網(wǎng)絡(luò )，實(shí)現了不同網(wǎng)絡(luò )間的相互隔離，同時(shí)也防止了不同網(wǎng)絡(luò )間交叉感染，確保了過(guò)程控制層不同網(wǎng)絡(luò )間的設備安全。