2017-06-20 16:15:32

  在很長一段時間內,辦公信息網絡和工業控製網絡通過“空氣間隙”進行隔離。然而隨著信息化程度的提高,情況發生了轉變,工業控製網絡設備與辦公信息網絡設備連接日益緊密各類EPR係統、MES係統層出不窮,這也為惡意代碼向工業控製係統網絡滲透提供了便利。

  在為浙江某化工企業提供安全服務的過程中,安點工程師發現現場多台已進行安全加固的操作員站不斷報出網絡病毒被查殺的畫麵,如下圖:



  通過部署安點網絡威脅感知係統,監控到此威脅來源於公司內部網絡中不同網段的某些PC設備,且類似病毒報告已出現多次告警。

  公司網絡中的安全威脅在不停地攻擊和侵害DCS控製係統中的軟件和硬件!






  經過與用戶工程師的研討,用戶最終希望在保護DCS係統不受病毒等網絡威脅的前提下做到:

1. 能繼續使用OPC和遠程桌麵訪問功能

2. 禁止其他網絡功能和通信行為

安點科技向客戶推薦使用安點工業網閘進行有效的網絡隔離防護,實現“”空氣間隙“”。

安點工業網閘的工作原理是對信任網絡和非信任網絡間實施物理隔離,針對OPC通訊協議的特殊性(動態分配端口通訊),以及行業用戶通信特征,實現在保證正常OPC雙向數據通訊的同時,對非授權的通訊進行完全隔離。

安點工業網閘可實現以下功能:

通信雙方的白名單機製

–基於IP地址,MAC地址的通信過濾

–針對工業協議,如OPCServer的ProgramID級別的通信過濾     

通信內容的深度內容過濾

–基於IP頭的通信協議識別與過濾

–針對工業數據的內容過濾,

–針對工業特性的內容過濾

–配置每一個Item的讀寫權限   

協議隔離

–通信雙方協議不可達,阻止各種病毒及惡意代碼   

無擾動接入

–無IP,無須更改現有網絡結構

–離線組態,支持透明接入

  安點工業網閘擁有 X86和非X86兩種結構,采用2+1的體係結構,即通訊外網和內網分別由一個CPU進行數據剝離和重組(2CPU),內部采用私有協議進行數據擺渡(1私有通訊協議),並包含工業通信協議專用過濾軟件包以及內置防火牆和安全係統專用組態工具,工作原理示意圖如下:



  我們將工業網閘部署在客戶的信任網絡和非信任網絡之間。安裝完成後,辦公網絡與工業控製網絡的實時通信過程中可被過濾掉有害程序和數據,使兩個網絡均受到隔離保護。










第1頁  

http://www.autooo.net/papers/paper/2017-06-20/172313.html