真正适用于工业SCADA的工业网络安全防护装置
支持标准SCADA通信协议传输的工业网络通信网关
关键特性:
双独立主机系统
专利网络隔离技术,彻底隔断外网与SCADA网络连接
支持标准SCADA通信传输协议:OPC、Modbus、DNP3等
每端多个10/100兆网口
高数据吞吐量,可达20,000TPS
支持远程配置及监视管理
测点级访问权限控制
简介:
在现代工业企业的信息系统中,由各种DCS、PLC、RTU、测控设备、SCADA构成的过程控制系统负责完成基本的生产控制。随着企业信息化的发展,迫切要求实现过程控制系统与上层管理信息系统之间互通、互联,消除信息孤岛。但是一旦信息网络与控制网络直接连通,就相当于将控制网络直接暴露给外网而面临被攻击、入侵的可能,甚至发生破坏生产的严重后果。
现有通用的网络安全产品要么无法实现彻底的网络阻断,存在着安全隐患;要么实现了网络阻断同时也阻断了各种标准SCADA通信协议的传输。
三维力控pSafetyLink系列网络隔离式工业通信网关专用于解决工业SCADA控制网络如何安全接入信息网络(外网)的问题。pSafetyLink内部为双独立主机架构,双主机之间采用专有网络隔离技术,彻底阻断任何网络形式的连接,同时pSafetyLink通过内嵌的高性能工业通信软件,支持各种主流工业SCADA通信标准,如:OPC、Modbus、DNP3等。
适用领域:
pSafetyLink适用于各种工业SCADA系统的网络安全防护
典型应用领域:
流程工业DCS控制系统的网络安全防护;
电力系统现场IED设备的网络安全防护;
轨道交通ISCS的网络安全防护;
煤矿、冶金行业现场控制系统的网络安全防护;
典型应用:
典型应用
1、基于OPC通信标准的MES应用
OPC标准由于其开放性和高效性,现在已被广泛应用于自动化控制领域及生产信息管理中。目前大多数DCS系统、SCADA系统对外都提供了OPC Server,以便为上层MES、生产调度等管理信息系统提供实时生产数据。同时几乎所有的MES系统、生产调度系统的采集接口也都提供了OPC Client以便能实现对OPC Server数据的采集。然而OPC Server与OPC Client的通信依赖过程控制系统网络与管理信息系统网络的直接连通。管理信息系统的网络出于业务需要一般要连接到互联网络,这样会对过程控制系统网络的安全带来极大的隐患。如果在这两种网络之间接入常规的网安产品,如:防火墙、隔离装置,要么网络没有彻底阻断,始终存在着安全隐患;要么由于网安产品自身的限制在阻断网络的同时也阻断了OPC通信。
pSafetyLink的双独立主机系统分为控制端和信息端,分别接入过程控制系统网络和管理信息系统网络,各自完成与OPC Server和OPC Client的通信,同时两主机之间采用PSL专用网络隔离技术,在保证OPC数据快速交互的同时彻底阻断了网络的连接,保证了过程控制系统网络的安全。
2、基于Modbus、DNP3等通信规约的调度自动化应用
Modbus是基于PLC的一组通信协议。它已经成为行业内互相通信的标准协议,也是目前最常用的工业系统电子设备之间的连接方式。DNP3.0(分布式网络协议)是使用在工序自动化系统各部件之间的通信协议规约。它主要用于像电力、水力等公用事业单位。此外,它的发展使得不同形式的数据获取与控制设备之间的交流更为便利。
调度自动化系统的后台为了实时获取现场设备的数据,经常需要通过网络使用Modbus、DNP3等通信规约进行数据传输。然而调度数据网络与现场控制设备的直接连通,就相当于将控制系统直接暴露给外网而面临被攻击的可能。互联网攻击者可能会利用一些大型工程自动化软件的安全漏洞获取诸如发电厂、污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。 因为生产控制网络中的计算机可以控制诸如发电机组、化学反应釜、供水管阀门、烘干设备器材甚至核电站的安全系统等大型工程化设备。黑客一旦控制该系统,就意味着可能利用被感染的控制中心系统切断整个城市的供电系统,恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的工程系统内部网络接入到互联网当中,这种可能就越来越大。
虽然很多隔离装置(也称网闸)通过强制完全单向通讯方式,控制数据长度等方法阻断网络连接,但同时也限制了Modbus、DNP3等所有标准通信规约,用户须针对隔离装置重新定制开发特殊通信接口,给信息集成带来了额外成本和困难。
pSafetyLink内嵌高性能工业通信软件,支持Modbus、DNP3等标准通信规约,可以实现调度自动化后台系统与现场设备的实时通信,并根据需要可设置数据方向。当设置为单向方式时,后台系统的所有数据回置操作将被屏蔽,以保证现场控制设备的安全。
产品说明:
系统架构
pSafetyLink内部两端由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自运行独立的操作系统和应用系统。其中一端的主机系统为控制端,负责接入到SCADA控制网络;另一端为信息端,负责接入到信息网络(外网)。控制端与信息端主机分别运行专用高性能工业通信软件。控制端提供各种标准SCADA通信标准的客户端或主端通信功能,如:OPC Client、Modbus Master,实现对SCADA系统的接入与通信;信息端主机提供服务器端或从端通信功能,如:OPC Server、Modbus Slave,实现与各种远程后台系统、数据中心系统、数据库系统的接入和数据交互。
网络隔离技术
pSafetyLink的控制端与信息端主机之间采用专有的PSL网络隔离传输技术。PSL的物理层采用专用隔离硬件,链路层和应用层采用私有通信协议,加密传输方式。
PSL技术通过物理隔离与专有隔离传输技术,实现了数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保控制端不会受到攻击、侵入。
SCADA通信标准
控制端:
OPC Client(支持OPC DA1.0,DA 2.0,DA3.0,AE1.0);
Modbus Master、IEC60870-5-104 Master、DNP3.0 Master等;
支持自定义通信协议扩展;
信息端:
OPC Server;
Modbus Slave、IEC60870-5-104 Slave、DNP3.0 Slave等;
支持自定义通信协议扩展;
系统特点
提供远程配置及监视工具,可在线监测通信报文;
支持从通道到设备到测点的三级测点树管理;
具备看门狗管理、系统在线自诊断/复位功能;
具有对通信链路状态的监视和报警功能;
具有完备的诊断调试、故障监视、日志输出等功能;
具备二次计算功能;
性能指标
数据吞吐量:20,000点/秒;
单机额定连接数:控制端512个,信息端512个;
