钢铁行业工业控制网安全隔离解决方案Word格式文档下载.docx
《钢铁行业工业控制网安全隔离解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《钢铁行业工业控制网安全隔离解决方案Word格式文档下载.docx(11页珍藏版)》请在冰点文库上搜索。
2010年发生的“震网”病毒事
件,充分反映出工业控制系统信息安全面临着严峻的形势。
2011年工信部发布了《关于加强工业控制系统信息安全管理的通知》,通知要求,各地区、各部门、各单位务必高度重视工业控制系统信息安全管理,增强风险意识、责任意识和紧迫感,切实加强。
加强数据采集与监控安全(SCADA安全)、分布式控制系统安全(DCS安全)、过程控制系统安全(PCS安全)、可编程逻辑控制器安全(PLC安全)等管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
通知特别要求:
1.断开工业控制系统同公共网络之间的所有不必要连接。
2.对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
安全风险与技术手段分析:
MIS系统与DCSS统沟通不畅,形成信息孤岛,控制网络的实时数据不能被
合理利用,企业有限资源得不到充分利用,形成巨大浪费。
如果MIS系统与DCS
系统相连,这可以大大减轻人力、还便于管理而且还可以充分利用实时采集的数据对现场采集的数据进行及时的分析和作出正确的决策。
但是MIS系统与DCS系统相连。
可能从MIS系统会引入DoS攻击,导致控制网络的瘫痪,可能会造成极为严重的后果和重大的经济损失。
如今的互联网,病毒、入侵、系统漏洞、软件后门等网络安全隐患都严重阻碍了行业信息化的发展。
一些非法组织更是利用互联网进行犯罪活动,黑客入侵事件变得越来越猖獗,给企业和国家带来的损失和威胁也日益加大。
同时,网络也成为国际恐怖分子和网络商业犯罪的温床。
如果网络安全得不到保证,必将给行业生产带来严重的威胁,并可能造成政治、经济等各方面的巨大损失。
钢铁企业网络信息系统的安全和正常运营,包括其中的生产设备运行安全和信息数据安全,日益成为不可忽视和需重点解决的问题。
为了防止这些不安全因素利用管理系统MIS网作为跳板危害控制系统DCS/SCADA,我们必须引入一个万全的安全方案。
保证安全的方法很多,例如:
工业防火墙多层过滤、通道控制、侵袭报警等等,但是由于这些技术都是基于软件的控制方法,存在被操纵控制的可能,不能保证绝对的安全。
工业防火墙的弊病很多,其中最突出的就是它的自身防护能力。
它们本身就存在着许多安全漏洞和问题。
也就是说自身难保,一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的安全呢?
此外,工业防火墙的网络防护能力也非常有限,工业防火墙的系统结构都是采用单一的处理器结构。
也就是说,只有一道防线和一层“安全检测”机制。
工业防火墙自身安全性的弱点,再加上它的单一处理器的系统机构,使得传统工业防火墙成为一个极易被攻破的虚设的防线。
传统的工业防火墙是一种被人们广泛使用的连接互联网的网络安全设备。
然而,人们常常发现被工业防火墙防护的网络依然常常被黑客和病毒攻击。
现在有很多网络攻击都是发生在有工业防火墙的情况下,根据美国财经杂志统计资料表明,30%的入侵发生在有工业防火墙的情况下,所以“工业防火墙之父”马尔科斯都宣称,他再也不相信工业防火墙。
工业防火墙的弊病很多,其中最突出的就是它的自身防护能力。
它们本身就存在着许多安全漏洞和问题。
也就是说自身难保,一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的安全呢?
此外,工业防火墙的网络防护能力也非常有限。
为什么工业防火墙会有这样的弊病呢?
这要从工业防火墙的设计理念和系统机构谈起。
大部分的工业防火墙是基于“在保证使用的前提下,尽可能的做到安全”的设计理念设计的。
也就是说,保证可用性高于安全性。
此外,工业防火墙的系统结构都是采用单一的处理器结构。
也就是说,只有一道防线和一层“安全检测”机制。
工业防火墙自身安全性的弱点,再加上它的单一处理器的系统机构,使得传统工业防火墙成为一个极易被攻破的虚设的防线。
因此,国家保密局提出通过"
物理隔离"
来保证军队、政府、金融、媒体等机要部门的真正安全。
此外,绝大大部分工业防火墙和网络安全物理隔离产品继承了PC平台的所有弊病,他们表现在:
a)安全性极差:
PC软硬件平台是目前使用最广泛的计算机系统也是最易受攻击的系统;
b)可靠性极差:
这也是是众所周知的;
c)启动时间很长:
和所有的PC—样,启动将需要1-2分多钟的时间;
d)功耗大:
PC的功耗在130-150瓦;
e)噪音很大:
用工控机实现的工业防火墙有两个风扇,pc散发大量的热量,
全部通过两个风扇散发热量。
方案介绍:
北京数码星辰科技有限公司依靠强大的技术实力,提出了一种安全传输DCS系统数据到MIC系统的方案。
这一方案保证了DCS上的数据实时传送到MIS系统中,而且保证MIS系统的绝对安全。
单向物理隔离网闸是设置在实时控制区(和非控制生产区)与生产管理区之间的网络隔离设备。
隔离装置分为正向型隔离装置(如下图所示)和反向型隔离装置。
正向型隔离装置用于将实时控制区的相关信息传给生产管理区,同时阻止任何数据信息进入实时控制区,从而有效地防止了任何网络供给的可能性。
不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。
根据系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:
实时控制区、非控制生产区、生产管理区、管理信息区。
安全区I是实时控制区,安全保护的重点与核心。
安全区U是非控制生产区。
安全区川是生产管理区。
安全区IV是管理信息区。
由于实时控制区(安全区I)直接控制和管理网络的运营设备,因此也是网络保护的重中之重。
北京数码星辰科技有限公司自主研发的宇宙盾单向安全隔离网闸,就是根据这一要求而设计的正向型安全隔离网闸,在整个设计过程中,我们的技术方案和技术细节均经过国家网络安全专家的严格审核和认可,并经过严格的测试分别获得了公安部、总参和国家电力网的安全合格认证。
国家钢铁计算机控制网络的安全是关系到国家经济利益与国家安全的重大问题。
因此钢铁计算机网络的安全防护是一项非常严肃、认真和重要的工作。
北京数码星辰科技有限公司充分地认识到这一问题的重要性。
我们不仅仅提供网络物理隔离设备,更重要的是我们可以为用户提供一个完整的,可靠的和全面的安全解决方案。
数码星辰提出的钢铁生产安全解决方案把保证被保护网络的绝对安全和可靠运行作为我们设计的最高准则。
对于安全性、可靠性、使用方便性的考虑不仅仅局限在设备的设计上,而也建立在整个解决方案的规划上。
这一解决方案具有以下特点:
1.严格的单向传输控制
2.无懈可击的“整体防护”功能
3.高可靠的设计
4.完整的网络故障定位和检查机制
5.方便的用户界面
北京数码星辰科技有限公司提出的物理隔离方案适用于省、地和县调度中心(包括农调中心)、钢厂的生产控制网与管理网之间的通讯的隔离和防护。
该解决方案将实时控制区、非控制生产区与生产管理区完全的物理隔离,并保证控制区、非控制生产区可向生产管理区有效地传输数据,但反过来,任何网络入侵、病毒的攻击均被有效地阻隔,这样就可在最大限度上防止黑客、病毒的侵害。
钢铁DCS网和MIS网络隔离的解决方案
钢铁生产高炉的控制网(DCS网)是属于控制区的需要重点保护的生产控制网。
然而为了让管理部门及时地了解生产的状况,有必要将DCS网上的机组的运行参数及时地送到管理区的MIS网,这将极大地改善管理部门对钢厂的生产管理和控制。
为了防止来自MIS网可能的网络攻击和入侵,必须在DCS网和MIS网之间建立物理隔离。
下图所示就是北京数码星辰设计的DCS网和MIS网隔离的解决方案。
每个接口机通过相应的隔离装置进入一个交换机,该交换机与生产楼的数据库接口机相连(如上图所示)。
控制室发出的控制数据定时地存在与之连接的接口机上,然后依次通过我们的隔离装置后,发送到生产楼的数据库接口机,接口机在收到控制数据后写入数据库中。
方案优点和优势:
北京数码星辰凭借着丰富的设计经验和强大的技术优势根据网络安全设备
高性能、高安全性、高可靠性和使用方便性的特殊要求出发,采用自主设计的堡
垒式网络安全设备专用平台。
我们的专用硬件平台综合考虑了网络安全设备的高安全性、高可靠性和高性能的要求,采用数码星辰在加拿大研发的
ISSA(IntegratedSystemSecurityArchitecture整体安全结构)”“DSR(DynamicSelf-Recovery动态自恢复技术)”和“HSF(HighSpeedForwarding高速转接技术)”技术,时网络安全装置的安全性、可靠性和传输性能等各项指标均产生了革命化的变化。
全面超过了所有基于工控机体系结构的工业防火墙和物理隔离设备。
公司所有产品的设计遵循高安全性、高可靠性和方便用户的原则。
同时把
保护网络和设备的绝对安全作为最高的设计准则。
“千里之堤溃于蚁穴”,一个防护再严密的网络安全装置,如果有一个漏洞被忽略就会使整个安全防护系统崩溃。
数码星辰清楚地认识到这一问题的重要性和严重性,率先提出了“整体安全防护技术”新理念。
在系统硬件、操作系统、网络协议、访问控制以及用户界面等所有的层次均进行了安全设计,形成了一个完整的、无懈可击的网络安全设备。
这一理念不仅仅考虑了来自网络的攻击和破坏,而且也考虑了来自非网络的破坏。
其中对于防止国外芯片“后门”、操作系统防加载技术、防止用户界面的攻击等等均是基于这一理念的独特的设计思路。
这一独创的设计理念,使得网络安全防护的安全度提升到了一个无可比拟的新高度。
本系统具有一般工业防火墙和物理隔离器无法实现的整体防护功能。
宇宙盾/宇宙盾物理隔离装置是一种用于要求保证网络“绝对安全”环境中使用的网络安全产品。
产品的设计遵循高安全性、高可靠性和方便用户的设计原则,把保护网络和设备的绝对安全作为最高的设计准则。
系统设计总共采用了十条安全措施,在系统硬件、嵌入式软件、操作系统、网络协议、访问控制、应用层以及用户界面等所有层次均进行了安全防护设计,形成了一个至底向上的完整安全屏障。
本系统具有一般工业防火墙和物理隔离器无法比拟的整体防护功能。
本产品也是目前唯一支持加密的VPN连接的网络隔离装置。
北京数码星辰科技有限公司研制的宇宙盾/宇宙盾物理隔离装置分为单向和双向两种产品类型。
该产品为两个互为物理隔离的网络间既提供一条进行高效的数据传输的通道又提供了一个阻止任何网络攻击的安全屏障。
使用产品介绍:
a)产品特点和优势
宇宙盾通用单向网络信息安全隔离系统ND101-U宇宙盾通用单向网络信息安全隔离器就是专门为了适应网络安全性要求极高的单向传输而设计的高安全性单向网络信息安全产品,是一种用于安全度要求极高的内部网和外部网、内部不同密级网络之间的隔离和安全防护而设计的单向物理隔离产品;
既可以用预防泄密,又可以用于彻底消除针对高安全性关键网络的拒绝服务的攻击,以确保关键网络的正常运作。
宇宙盾通用单向网络信息安全隔离器功能强大,它可以是对每一台连网主机的传输方向的进行控制和管理。
为用户网络连接和隔离提供了极大的人方便。
用户可以根据不同的安全要求灵活的管理每台计算机和服务器的传输连接。
在一些网络安全性要求极高的场合,在这些场合网络本身的瘫痪将中断关键业务、关键服务的正常工作,甚至会造成非常严重的后果(例如:
生产网络瘫痪,实时控制系统失灵,关键服务中断等等);
网络的机密数据需要严格地保密控制,以防泄密;
网络的关键数据和业务不允许任何外部的篡改和破坏。
?
在这些场合,往往要求数据的流向是单向的,以保证数据或网络的安全性。
北京数码星辰研制的宇宙盾通用单向网络信息安全隔离产品就是专门为了适应这种需求而设计的高安全性单向网络安全隔离设备。
宇宙盾通用单向网络信息安全隔离设备具有极高的自身防护特性,可以阻止器来自从任何协议层发起的攻击、入侵和非法访问。
独特的“整体网络安全防护的设计理念”和“操作系统壁垒技术”,建立了一个任何病毒和入侵攻击都无法逾越的防线,使得宇宙盾网络安全隔离产品具有一般工业防火墙和安全隔离网闸无法比拟的自身防护能力。
宇宙盾通用单向网络安全隔离器提供了丰富的网络连接功能和传输安全控制功能,可以适用于许多不同的应用领域。
宇宙盾通用单向网络信息安全隔离器本身体不对外提供任何服务。
杜绝了任何基于网络服务的攻击和入侵。
北京数码星辰科技有限公司还提供基于宇宙盾通用单向网络信息安全隔离设备的防泄密解决方案和防拒绝服务攻击的解决方案,可以有效地保护企业和政府的信息安全和关键网络的运行安全。
宇宙盾物理隔离系列产品从设计、零器件的选择到产品的测试和检测均采用严格的质量管理规程。
宇宙盾物理安全物理隔离系统的独有的动态自恢复技术DSR(DynamicSelf-Recovery),将设备的可靠性带到了一个新的高度。
北京数码星辰科技有限公司的所有隔离产品所有现场运行的设备从未有一台发生过任何故障,无一台返修,更没有一次故障报告,实现了惊人的零故障率!
其可靠性远远地超越所有国内国外的竞争对手,充分地展示了北京数码星辰强大的技术实力!
宇宙盾通用单向网络信息安全器隔离器采用先进的线速处理技术,整个系统具有
卓越的数据传输能力和极高的数据吞吐能力
宇宙盾通用单向网络信息安全隔离器的配置极其简便。
用户只需在极短的时间做一些极简单的配置就可以完成,极大地减轻了维护的负担和出错的机会和由于误配或漏配而造成的安全隐患。
北京数码星辰将不仅为用户提供一流的网络安全设备,同时也为用户提供完善的解决方案,以满足用户网络安全性、可靠性、高性能和使用方便性的综合要求。
我们坚信质量和诚信是取得用户信任的基础,把为用户提供第一流的技术、第一流的产品和第一流的售后服务作为我们企业发展的信条。
b)性能参数
以下是单向物理隔离网闸的一些主要的安全防护功能(黑体字表示数码星辰独有的技术):
1、无“后门”的CPU芯片系统设计。
2、采用最先进的操作系统防病毒加载技术,彻底消除了病毒生存的基础。
3、单向物理隔离网闸本身体不对外提供任何服务。
4、北京数码星辰的单向物理隔离网闸采用硬件和软件双保险的方式严格的控制应用层数据的单向传输。
5、隔离岛采用双重硬件隔离控制。
6、支持应用曾不返回字节或返回1个、2或4个字节的四种返回传输模式。
7、支持TCP传输协议和纯单向的UDP传输协议。
8、单向物理隔离网支持基于连接的认证。
9、北京数码星辰的单向物理隔离网闸支持IP和MAC绑定。
10、支持基于状态的包过滤技术,可以对每一个TCP会话进行动态跟踪,确保每一个连接的绝对安全。
11、单向物理隔离网闸利用独特的“内容相关检测技术”提供严格地内容的过滤。
12、支持地址翻译(NAT)。
13、北京数码星辰还为单向物理隔离网闸提供为用户定制的功能。
14、单向物理隔离网闸具有极强的防止PINGFLOOD、SYNFLOOD、Dos和DDos
等洪水攻击的能力
15、单向物理隔离网闸可以有效地防止缓冲区溢出攻击。
16、在单向物理隔离网闸中不使用任何通用的TCP/IP网络协议栈。
17、透明传输方式,极大地简化了网络的接入过程。
单向物理隔离网闸软件硬件的设计中采用一系列的可靠性设计,其中包括采用数
码星辰独有的DSR(DynamicSelf-Recovery)技术,使得系统具有的可靠性有了极大的
系统包括:
系统硬件嵌入式管理软件嵌入式安全控制软件系统配置软件可选的各种传输软件
具体参数:
1.机箱尺寸:
标准1U机箱:
450(长)X300(宽)>44(高)(mm)
2.硬件配置:
两个100M以太网端口(用于内外网联接)一个管理串口
3.背板转换速率:
8G
4.传输速率:
80M
5.并发连接数:
16384
6.无故障工作时间:
100000小时
7.电器性能:
电源类型:
AC100-240V/50-60Hz
8.?
?
电源功率:
30W(采用1+1热备份电源)
整机功耗:
20W
9.工作环境操作环境:
温度5C~55C,湿度0%~80%
存储环境:
温度-40C~80C,湿度0%~95%
联系方式:
北京数码星辰科技有限公司
电话:
主页:
地址:
北京市海淀区信息路软件国际创业园2号院2号楼22B
关键词:
()、、、核设施、钢铁、有色、化工、石油
石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热
升级会员 