点击图片查看原图
AO810_eA
AO810_eA
AO810_eA
网闸类产品诞生较早。产品**初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来,网闸由于其高安全性,开始被广泛应用于政府、**、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门。
由于网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统,因此它提供的应用也以通用的互联网功能为主。例如,目前大多数网闸都支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业领域,网闸也开始得到应用和推广。但除了用于办公系统外,当用于隔离控制网络时,由于网闸一般都不支持工业通信标准如OPC、Modbus,用户只能使用其TCP/UDP定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器,并定制通信协议转换接口软件才能实现通信。
(2)、工业网络安全防护网关
工业网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产品,它同样采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是,工业网络安全防护网关提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离,但不适合办公系统。
工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。
5. 实践
5.1. 乌石化MES简况
乌石化 MES 项目从 2006 年启动,至 2008 年实施完成并成功上线投运以来,系统运行平稳,用户可熟练使用系统进行生产运行操作管理。该系统的建成,进一步提高了信息技术对下游业务的支持能力和水平,同时达到了为企业优化资源配置、提高整体效益和综合实力发挥积极作用的目的。
5.2. 控制网络安全性改造
采用分布式网络,通过核心交换机,连接二级单位局域网,千兆网络连接到各厂,百兆网络连接到汇聚层。网络基础状况良好,现有的信息网络已经涵盖企业办公楼区域和各个厂区及生产车间。全厂 DCS 系统主要装置都已具备数据采集接口,采用 OPC 标准。每个车间有交换机,网络布置到了各个办公室,和 DCS 数据连通。
MES 系统的实施,使得 DCS/PLC 控制网络和厂内的办公网络直接相连,这给网络安全带来了新的要求,即如何保证两者之间稳定而可靠的数据传输的同时,又能**程度的限制办公系统网络对DCS/PLC 控制网络造成的不良影响。 原 MES 系统在实施时,也考虑了对控制网络的防护。对每一套 DCS/PLC 系统采集时,都部署了缓冲工作站;所有的工作站,都限定在一个单独的 VLAN 中,指向一台特定的防火墙设备;在防火墙上,制定相应的访问策略,实现网络访问的安全性。
在原有系统中,对控制网络的安全防护主要采用了以防火墙为核心的方案。考虑到防火墙技术的局限性,乌石化 MES 在 2009 年实施了对控制网络安全性的改造,并在改造项目中首次引入了网络隔离技术。
由于该项目为改造性项目,考虑到对原有系统的兼容性,并以不影响现有生产为原则,在产品选型及方案设计时特别提出几点要求:
(1)、所选产品须基于第五代**网络隔离技术开发,并经国家指定部门检测认定、认证,符合国家标准(GB/T 20279-2006、GB/T 20277-2006)。
(2)、所选产品须支持现有 OPC 采集接口标准。
(3)、所选产品及方案须支持“无扰接入”方式。即在现有网络中加入网络隔离装置时,对现有已接入 MES 的 DCS/PLC 操作站的软、硬件无需做任何升级或改动,对操作站的参数配置无需做任何改动,包括:IP 地址、登录用户名/口令、DCOM 配置等;对 MES 系统现有 PHD 软件及 PHD 缓冲工作站的软、硬件无需做任何升级或改动,对参数配置无需做任何改动,包括:IP 地址、TAG 标签名、OPC 配置等。
(4)、所选产品须能提供数据的“细粒度”访问控制功能。例如对于 OPC 方式,网络隔离装置须能够控制 OPC 服务器中具体哪些 Item 项允许或禁止暴露给MES,同时对每个 Item项须支持只读式的单向访问功能以保证数据安全。
(5)、所选产品及方案须保证在加入网络隔离装置后数据交换实时性与原系统相当,不产生延时。
(6)、所选产品须保证自身安全与高可靠性。
根据以上设计要求,该项目**终选用了标准的工业网络安全防护网关型产品pSafetylink。该产品在满足上述要求的同时,又提供了符合自控工程师使用习惯的操作方式,不需要实施人员了解太多网络技术的相关内容,就很容易完成对产品的调试和部署,提高了项目实施效率。