MENU
首页 > 关于安盟 > 新闻资讯 > 正文
2020-10-13
工业数采单向光闸与传统工控边界防护产品区别

一、前言

工业信息安全产业发展联盟在大会上发布的《中国工业信息安全产业发展白皮书(2018-2019)》显示,我国工业信息安全产业规模正加速扩容,预计2019年,市场增长率将达19.23%,市场整体规模将增长至93.91亿元。

国家工信安全中心报告显示,2018年全球安全漏洞数量高达432个,同比增长14%,中高危漏洞占比高达99%。就我国而言,从防护水平看,网上可辨识的工业自动化控制系统及设备数量超过1.5万个,遍布31个省(区市)。其中,多数缺乏安全防护甚至处于"裸奔"状态。

2019年12月1日《信息安全技术网络安全等级保护基本要求》2.0版本(简称等保2.0)正式实施。等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。伴随着5G、IPV6等新技术在工业领域的大规模应用,工业生产安全问题也日益突出受到国家层面高度重视。

等保2.0中8.5.2.1条增强级要求"工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用符合国家或行业规定的专用产品实现单向安全隔离"。但目前市场上存在的大多数安全产品却无法同时满足工业数据采集和单向安全隔离的需求,在接下来的文章中,安小盟将与大家共同探讨目前工业生产安全现状、传统工控安全防御解决方案及安小盟如何"对症下药"。


二、工业生产安全的现状诊断

工业生产安全的挑战

  • 工业环境常用移动介质,移动介质极易携带病毒,需要特制的终端防护(后续介绍)。
  • 一些工控环境,如军工的某些场景需要绝对单向数据传输,传统双向传输难以满足需求。
  • 勒索病毒以及黑客入侵到终端PC后,需要从终端PC返回用户信息,需安全单向防护,防止从用户终端PC返回给黑客有关用户信息。
  • 工业生产协议多元化,需要支撑多元化工业协议的软件工具,满足多场景下多种工业协议的应用。
  • 管理网以及其它环境对生产网的生产数据进行有效管理,需要生产网的数据安全稳定的传输到管理区。

三、传统工控安全防御的解决方案

安盟技术人员对工业数据处理的设备进行分析研究,发现其各自特征如下所示:

1.防火墙

图1 防火墙解决方案

方案优势:

1.生产网与办公网普通报文过滤

2.安全防护

方案缺点:

1.无数采功能

2.无法动态识别OPC


2.工业防火墙

图2 工业防火墙解决方案

方案优势:

1.具备工业数据报文过滤功能

2.安全防护

方案缺点:

1.不满足单向传输国标

2.无数采功能


3.工业网闸


图3 工业网闸解决方案

方案优势:

1.具备工业数采与转发功能

2.生产网络相对安全

方案缺点:

1.双向传输,不满足国标单向传输要求

2.安全性低于单向传输


4.正向隔离装置


图4 正向隔离装置解决方案

方案优势:

1.单向数据传输

2.生产网络相对安全

方案缺点:

1、无数采与转发功能

2、传输数据单一,常用于电力领域


5.单向光闸


图5 单向光闸解决方案

方案优势:

1.解决了传统方式数据交换的缺陷

2.隔离网络的同时进行数据交换

3.通过光模块单向传输效率更高

方案缺点:

1.不支持工业协议深度过滤及控制

2.不支持工控数据采集

3.不支持工控数据转发

通过以上对目前行业内5种常见的相关设备及解决方案诊断分析,可以清楚地了解到基本上难以用一个设备既满足等保2.0的单向传输要求,又同时满足工业数据采集与转发的综合需求,工业生产安全环境仍然面临着重大的潜在安全威胁。


四、"对症下药"---工业数采单向光闸(主动采集 单向上传)

凭借多年对单向光闸技术的钻研,安盟信息于2019年初推出工业数采单向光闸产品及解决方案,满足并填补了《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》中对工控网三级防护的单向隔离要求的产品空白。解决了工业数据单向传输,有力保障工业生产网络的安全等问题。


图6 数采光闸工业数据传输解决方案

解决生产中遇到的问题,如下:

工业协议

  • 实现对多种工业协议深度解析与控制
  • 实现对多种工业协议数据采集
  • 实现对多种工业协议转换
  • 实现Linux下对OPC DA数据采集

安全防护

  • 支持隔离网络同时单向传输工控数据
  • 支持屏蔽网络攻击
  • 支持断点续传功能
  • 支持黑白名单控制

数采单向光闸具备丰富的工业数据采集能力,根据工业协议将工控区的生产数据实时进行采集,并且将采集的数据按照不同的协议需求进行转发。部分主要的工业协议数据采集与转发的协议标准如下表所示。

采集服务端(部分)

  • 支持MODBUS系列、OPC系列、串口转TCP SERVER等通用工业数据采集协议。
  • 支持DNP3.0、376.1主站、CDT91、IEC-60870系列等电力行业标准工业数据采集协议。
  • 支持S7系列、MITSUBISHI多系列、AB DF1串口协议,AB ETHERNET/IP CIP协议(SLC500系列)、AB LOGIX 5000 TCP等PLC工业数据采集协议。

数据转发服务(部分)

  • 支持MODBUS系列、OPC系列、串口转TCP SERVER等通用工业数据服务。
  • 支持能耗系列、环保212系列、紫光云、mqtt客户端、微软、华为、腾讯等云平台工业数据服务。
  • S7_1500_TCP、西门子系列PLC工业数据服务。

典型用户(部分)

中阳钢铁、神华宁煤集团、华润水泥、新疆乐云宝信、中海油天津、海南昌江核电厂、中核武汉核电运行技术股份有限公司等企业。

本文相关数据及内容来源于:《中国工业信息安全产业白皮书(2018-2019)》、信息安全技术网络安全等级保护基本要求》2.0版本。


关闭
上一篇: 无

相关新闻