產品概述

背景

在現代工業企業的信息系統中，由各種DCS、PLC、測控設備、SCADA構成的過程控制系統位于底層車間，負責完成基本的生產控制。隨著企業信息化建設的發展，迫切要求實現過程控制系統與上層管理信息系統之間互聯互通，完成經營管理層與車間執行層的雙向信息交互，使企業對生產情況保持實時反應，消除信息孤島與斷層現象。

為了獲取現場的生產信息許多企業采用人工抄表、拷盤等人力傳遞的方式定期上報信息。人工采集不僅極不方便也無法實時的采集到現場數據，很難滿足當今工業控制行業對生產控制和信息管理方面的要求，因此實現信息網絡與控制網絡的互聯互通已經是大勢所趨。

但信息網絡與控制網絡實現互聯時，如何保障過程控制網絡的安全就變成了一個嚴峻的問題。特別是對于石油、石化、電力、鋼鐵、煤礦等生產行業，對連續生產的安全性和可靠性有著極高的要求，一旦實現了信息網絡與控制網絡之間的互聯，就相當于將控制網絡直接暴露給互聯網，而面臨被攻擊的可能?？刂凭W絡一旦受到惡意攻擊或感染病毒，很可能導致網絡中的主機崩潰，整個控制網絡癱瘓，甚至造成重大安全事故。

另外，互聯網攻擊者可能會利用一些大型工業自動化軟件的安全漏洞獲取諸如發電廠、污水處理廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被攻擊者掌握，那后果不堪設想。因為生產控制網絡中的計算機可以控制諸如發電機組、化學反應釜、供水管閥門、烘干設備甚至核電站的安全系統等大型工程化設備，攻擊者一旦控制該系統就意味著可能利用控制中心系統切斷整個城市的供電系統，污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的工程系統內部網絡接入到互聯網當中，這種可能就越來越大。

常規網絡安全產品的不足

目前工業自動化市場上還鮮有專門針對工業網絡安全的防護產品。因此工業網絡用戶要么將控制網絡封閉起來，徹底與其它網絡斷開，同時也斷絕了網絡之間信息共享與交互；要么只能選用常規網安產品，如防火墻、網閘來解決問題。

但常規網安產品或者由于自身存在的缺陷與不足，不能滿足工業網絡較高的防護要求，或者因為不是專門針對工業網絡設計，難以在工業場合應用。

防火墻的不足

防火墻是目前網絡邊界上最常用的一種防護設備。提供的主要功能包括訪問控制、地址轉換、應用代理、帶寬和流量控制、事件審核和報警等。防火墻誕生于傳統信息網絡環境下，雖然經過了多年的發展和完善，但其應用環境還是局限于企業信息網絡，它對于工業網絡環境還有諸多的不適應。

防火墻主要是針對通用網絡協議進行檢查和過濾，完全沒有覆蓋工業網絡協議和應用，更談不上對于工業網絡協議和應用數據的內容進行解析和檢查。所以從這個角度來看防火墻對于工業網絡安全防護沒有絲毫的幫助。

為了提高安全防護能力，防火墻在發展過程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目（即防火墻的功能）就越多越細，對CPU和內存的消耗也就越大，從而導致防火墻的性能下降。這一點與工業網絡對于實時性的要求是相背離的。

另外，防火墻自身也有一些先天性的不足，會導致它防護效果下降，甚至喪失。

防火墻本身是基于TCP/IP協議體系實現的，所以它無法解決TCP/IP協議體系自身存在的漏洞，這會導致攻擊者利用TCP/IP協議自身的漏洞繞過防火墻。

防火墻是一個開關型的策略控制設備，它對于被保護對象只有允許訪問和拒絕訪問兩種處理方式，一旦允許訪問某個被保護對象，也就意味著該對象會直接暴露給攻擊者，其自身的漏洞可以被攻擊者所利用，防火墻將無法對其進行有效的保護。

網閘的不足

網閘是信息安全領域另外一個熱門的防護產品，它通常使用雙主機或三主機的硬件結構，實現不同網絡安全區域之間的隔離，在隔離的同時還可以實現不同安全區域之間適度的數據擺渡。更先進一些的網閘還可以對擺渡的數據進行病毒查殺、數據內容過濾，還具備一定的訪問控制、安全審計和身份認證功能。

網閘看上去是一個可以阻斷不同網絡安全區域之間攻擊的有效手段，它也可以用于控制網絡與信息網絡之間的隔離和數據擺渡，但是網閘的問題在于其對工業網絡環境的適應性不良。網閘主要是針對通用網絡協議進行處理，不支持工業網絡協議，更不能對工業網絡中大量的測點數據進行細粒度的管理。雖然很多網閘廠商給用戶提供開發接口，去支持用戶專有的協議，但是這對于用戶的技術要求太高，實際當中的可操作性很差。

綜上所述，從防火墻、網閘之類的傳統網絡安全產品很難從根本上保證控制網絡的安全。用戶需要專門針對工業網絡、支持廣泛工業協議的網絡安全設備來實現控制網絡與信息網絡之間的有效隔離和數據安全傳輸。

pSafetyLink系列工業安全隔離網關簡介

pSafetyLink系列工業安全隔離網關是專門為工業網絡應用設計的安全隔離設備，用于解決控制網絡如何安全接入信息網絡的問題以及控制網絡內部不同安全區域之間安全防護的問題。力控華康對于傳統網絡安全設備硬件結構進行了改良性設計，同時自主開發了工業網絡隔離系統軟件。通過硬件和軟件兩方面的優化和創新，pSafetyLink系列工業安全隔離網關不但實現了對基于TCP/IP協議體系攻擊的徹底阻斷，而且也實現了對主流工業網絡協議的廣泛、深入支持和工業網絡數據的安全傳輸。

產品架構

硬件架構

pSafetyLink系列工業安全隔離網關采用“2+1”的物理結構，內部由兩個獨立主機系統組成，每個主機系統分別具有獨立的運算單元和存儲單元，各自獨立運行由力控華康自主開發的工業網絡隔離系統。一端的主機系統為控制端，用于連接控制網絡；另一端的主機系統為信息端，用于連接信息網絡。兩端主機的硬件均采用高性能嵌入式計算機芯片，主板上各有多個以太網接口用來連接要隔離的兩個網絡，兩端主機各安裝一塊專用隔離卡實現雙主機之間的物理連接。

硬件看門狗實時監視系統狀態，保證整套裝置的穩定、持續運行。

軟件架構

pSafetyLink系列工業安全隔離網關的控制端與信息端主機分別運行力控華康自主開發的工業網絡隔離系統，主機之間的通訊使用私有協議，協議采用專有加密算法實現數據高速加解密處理，保證數據傳輸的安全。該系統全面支持各種主流工業網絡協議，包括OPC、Modbus、DNP 3、BACNet、IEC 60870-5-104等，而且系統可以深度解析各種工業網絡協議，對協議數據進行細粒度的處理。控制端和信息端系統中的隔離通信組件和中間的隔離單元三者構成了工業網絡隔離系統的核心。隔離通信組件負責根據用戶配置提取所需要的工業網絡數據，屏蔽其它協議數據和用戶配置之外的工業網絡數據，并對數據進行必要的解析和安全檢查；隔離單元負責使用加密的私有協議進行控制端和信息端之間的數據擺渡。

產品特點  

自主開發的PSL工業網絡隔離技術

pSafetyLink系列工業安全隔離網關作為控制網絡與信息網絡之間的安全隔離設備，其核心是PSL工業網絡隔離技術的應用。PSL工業網絡隔離技術是硬件與軟件相結合來完成的。PSL工業網絡隔離技術在物理層采用了兩個獨立高性能嵌入式主機，雙主機之間采用基于總線通信的隔離卡實現兩個安全區之間的非網絡方式的數據交換；數據鏈路層和應用層采用私有通信協議，數據流全部進行128位加密處理，在保證安全隔離的前提下，實現數據的高速交換。通過物理硬件和軟件邏輯的共同作用，徹底截斷了穿透性的TCP連接，同時實現對工業協議數據的定向采集和轉發，達到數據完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數據的通過，確?？刂凭W絡不受攻擊和入侵。

支持豐富的工業協議

工業網絡中協議標準多，國際標準、國家標準、行業標準、企業標準并存，所以對協議的支持性是衡量一個網絡設備能力的重要指標。pSafetyLink系列工業安全隔離網關支持各種主流的工業通信標準和工業控制設備，包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104、西門子S7系列PLC、AB PLC、GE PLC等，同時還可以提供協議的定制開發。

測點級訪問控制

pSafetyLink系列工業安全隔離網關可以對工業協議進行解析，提取其中的數據元素，可以作到針對測點一級的訪問控制。例如：對于OPC標準可以控制到Item（項）一級，對于Modbus協議可以控制到寄存器。pSafetyLink系列工業安全隔離網關可以對測點進行可見范圍和讀寫權限兩方面的控制。

● 可見范圍控制：pSafetyLink系列工業安全隔離網關可以指定在控制端允許或不允許接入哪些測點，從而實現pSafetyLink系列工業安全隔離網關對于現場設備數據讀取范圍的控制；同時當信息端存在多個上位系統時，pSafetyLink系列工業安全隔離網關又可以指定哪些測點允許暴露給哪個上位系統，哪些測點要進行屏蔽，從而實現了現場設備數據進入信息網絡之后的定向傳輸管理。

● 讀寫權限：當測點可見時，pSafetyLink系列工業安全隔離網關又對每個測點賦予“只讀”或“讀/寫”兩種不同的權限。當設為“只讀”權限時，所有數據回置操作被禁止從而實現單向數據傳輸，達到保護現場設備安全的目的。

分布部署、集中管理

pSafetyLink系列工業安全隔離網關提供了專用的配置管理工具。該配置管理工具部署在信息端，可以對網絡中多臺pSafetyLink系列工業安全隔離網關進行遠程的管理，方便用戶進行集中化管控。配置管理工具具有設備自發現的功能，可以自動查找網絡中的pSafetyLink系列工業安全隔離網關，可以遠程監控設備的網絡狀態、對設備進行工程配置和管理、查看各測點數據狀態、讀取和分析設備日志。

數據斷線緩存

工業網絡對于數據的連續性要求極高，針對工業網絡中這種特有的要求pSafetyLink系列工業安全隔離網關開發了斷線緩存功能。該功能可以在網絡暫時性中斷的情況下，將數據緩存在本地，并不斷檢測網絡的連通性狀態，一旦網絡連通則會將緩存的數據補報到上位系統中，保證數據的連續性。

另外，pSafetyLink系列工業安全隔離網關還支持雙機熱備功能，在關鍵的網絡通道上可以使用雙機熱備功能來保證數據鏈路的可靠性和持續性。

多重可靠性保障

為了保證產品可靠性、穩定性，pSafetyLink系列工業安全隔離網關從硬件和軟件設計上進行了多方面的優化。

● 硬件平臺專門面向工業應用場合設計，對PCB、電源、機箱結構、散熱進行全面優化，從設計到生產流程都嚴格遵照工業品標準進行，以滿足苛刻工業現場的要求。

● 系統診斷子系統實時檢測系統內各進程、線程的運行狀態，當發現異常時自動產生報警信息，并在符合條件的情況下啟動自動恢復邏輯。

● I/O通信子系統具備完善的故障自動恢復功能。當發生網絡通信中斷的情況時，I/O通信子系統會立刻報告通信狀態的變化，同時啟動通信重連機制，當網絡通信恢復后，能迅速重新建立網絡連接，恢復數據通信。

● 雙側主機均有獨立的軟件看門狗和硬件看門狗，時刻監視系統狀態，保證設備的穩定運行。

主要功能

pSafetyLink系列工業安全隔離網關實現了控制網絡與信息網絡之間有效隔離，同時根據用戶配置進行必要的數據擺渡。其主要功能包括：

● 支持各種主流的工業網絡通信標準，包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104等，同時還提供自定義通信協議的擴展；

● 支持配置多個數據接收和轉發通道，每個數據通道下配置多個設備；支持數據源和轉發點之間一對一、一對多、多對一、多對多的轉發。這樣可以方便用戶靈活配置，應對現場不同的應用環境；

● 支持測點的訪問控制，從而提高數據采集和轉發的安全性；

● 支持設備模板和點表導入功能。pSafetyLink系列工業安全隔離網關配置管理工具除了可以對測點進行單點配置功能外，還提供了非常適用的模板功能。模板功能可以大大提高用戶工程組態的效率，減少組態的差錯率。對于OPC服務器，配置管理工具可自動遍歷服務器所有測點并生成模板，用戶也可以手工編輯模板然后導入到工程中；

● 專用的配置管理工具，加上設備自發現功能，可以幫助用戶遠程管理網絡中多臺設備，方便快捷。而且配置以工程化文件的方式存儲，各設備的配置獨立管理，獨立分發應用；

● 提供遠程監控運行狀態、測點數據、通信報文、日志信息等的功能；

● 集成Log Server，可以集中對日志進行存儲、查詢、導入和導出。

典型應用

pSafetyLink系列工業安全隔離網關適用于各種控制網絡的安全防護。典型應用領域包括流程工業DCS控制系統的網絡安全防護、電力系統現場IED設備的網絡安全防護、軌道交通ISCS的網絡安全防護、煤礦、冶金行業現場控制系統的網絡安全防護等。

下面分別介紹兩種常見的典型應用場景。

基于OPC的應用

OPC標準由于其開放性和高效性，現在已被廣泛應用于自動化控制領域及生產信息管理中。目前大多數DCS系統、SCADA系統對外都提供OPC Server，以便為上層MES、生產調度等管理信息系統提供實時生產數據。同時幾乎所有的MES系統、生產調度系統的數據采集接口也都提供了OPC Client以便能實現對OPC Server數據的采集。然而OPC Server與OPC Client之間的通信依賴控制網絡與信息網絡的直接連通。管理信息系統的網絡出于業務需要一般會連接到互聯網，這樣會給控制網絡的安全帶來極大的隱患。

pSafetyLink系列工業安全隔離網關的雙獨立主機系統分為控制端和信息端，分別接入控制網絡和信息網絡，分別完成與OPC  Server和OPC  Client的通信，同時兩主機之間采用PSL專用網絡隔離技術，在保證OPC數據快速交互的同時徹底阻斷其它網絡連接，保證了控制網絡的安全。

基于Modbus、DNP3的應用

Modbus是基于PLC的一組通信協議。它已經成為行業內設備互相通信的標準協議，也是目前最常用的工業系統設備之間的通信協議。

DNP3（分布式網絡協議）是使用在工序自動化系統各部件之間的通信協議，它主要用于電力、水力等公共事業領域。此外，它的發展使得不同形式的數據獲取與控制設備之間的交流更為便利。

調度自動化系統的后臺為了實時獲取現場設備的數據，經常需要通過網絡使用Modbus、DNP3等通信協議進行數據傳輸。然而調度數據網絡與現場控制設備的直接連通就相當于將控制系統直接暴露給外網而面臨被攻擊的可能。

pSafetyLink系列工業安全隔離網關內嵌力控華康自主開發的工業網絡隔離系統，支持Modbus、DNP3等標準通信協議，可以實現調度自動化后臺系統與現場設備的實時通信，并根據需要可設置數據方向、測點訪問權限等。當設置為單向方式或測點只讀時，后臺系統的所有數據回置操作將被屏蔽，以保證現場控制設備的安全。

產品規格

解決方案

過程控制網絡與生產管理網絡之間的隔離

生產信息管理系統的服務器放在工廠的調度中心，完成數據采集、數據處理、數據發布等功能。在工廠管理層與過程控制層之間，通過工業以太網進行通訊，兩個網絡之間交換的數據主要是工業現場的實時生產數據。

由于過程控制網絡與工廠管理網絡之間通過工業以太網直接連通，也就間接的與更上層的企業管理網絡連通，與互聯網連通。這會直接導致攻擊者通過以太網通用的攻擊方式找到安全防護相對通過上面的描述我們可以看到，沒有進行任何防護的工業網絡實際上從上到下都是用以太網進行連通的，只要上層網絡被突破，那下層網絡的安全就沒有了保障。所以我們需要保障正常業務運行的前提下，通過一定的方法和措施切斷這種上下使用同一方式直接連通的網絡。如下圖，我們在過程控制層與工廠管理層之間部署工業網絡隔離網關。

比較薄弱的企業管理網絡中的可利用主機，并通過它作為跳板，逐步滲透進入到工廠管理網絡，再進入到過程控制網絡，進而對過程控制網絡中的DCS、PLC等進行控制，修改其中的控制流程和工程數據，導致生產過程異常，甚至出現嚴重的事故和經濟損失。

通過部署工業網絡隔離網關實現和達到以下幾個目標和效果：

● 通過工業隔離網關“2+1”的物理結構和中間私有協議加密通信機制實現過程控制網絡和上層網絡在物理和邏輯上的雙重隔離，實現網絡的縱向隔離和分區；

● 阻斷所有TCP連接，將來自于上層網絡的通用網絡攻擊、病毒傳播行為阻隔在過程控制網絡以外；

● 通過工業隔離網關上點表的配置，采集和匯聚生產現場的各種實時數據；

● 通過工業隔離網關上數據轉發功能，將采集到的數據分類、定向轉發給工廠管理網絡中不同的應用服務器；

● 通過對測點級的訪問控制功能，保護測點不被隨意修改，防止上位機的誤操作和人為蓄意破壞；

● 通過數據采集和轉發功能最大限度的保證原有實時數據及時的上報到上層網絡中，實現對生產過程“零”影響。

過程控制網絡內部子系統之間的隔離

在實際的生產環境中，由于地理位置不同、廠區不同、工藝流程不同過程控制網絡內部又可能分為多個子系統，各子系統有自己獨立的的控制系統和控制流程，同時也會與平行的其它子系統有一定的數據交換。

由于過程控制網絡內各子系統的網絡基礎設施水平不一，所以經常會出現一些子系統使用無線、GPRS\CDMA、衛星等安全保障機制較差的通用網絡線路與整個網絡系統相連的情況，這類子系統將會是整個網絡中最為薄弱的地方，也會成為攻擊者打開突破口的地方。一旦攻擊者從安全防護薄弱的子系統滲透成功，那就意味著他可以繼續進入過程控制網絡中平行的各子系統以及上層網絡，最終會波及到整個企業的管理、生產、控制網絡，產生不可預計的損失。

基于上面的分析，我們需要在過程控制網絡內部不同子系統之間部署工業隔離網關，如下圖。

通過在過程控制網絡內部部署工業隔離網關，達到以下的防護目的：

● 利用工業隔離網關阻斷各子系統之間TCP連接，實現各子系統之間橫向安全區的劃分；

● 防止過程控制網絡內部各子系統之間的橫向影響和干擾，例如病毒傳播、攻擊滲透等；

● 實現對于重點設備和工藝流程的安全防護；

● 通過橫向分區，有利于強化安全管理，分清管理責任。