pSafetyLink是款面向工业控制系统边界信息安全防护的隔离产品,产品基于第五代隔离技术开发,全系列产品已通过了CE、FCC、EAL3、部、信息安全产品等认证,并得到国家工控安全产品产业化推广专项资金支持。该产品是一款拥有自主知识产权,以及具备更高安全级别的安全隔离系统,用于解决工业控制系统接入信息网络(外网)时的安全防护问题,为控制网与管理信息网的连接提供安全保障,已在很多大型石油、石化、天然气、冶金、市政企业得到批量应用,如:中石油大庆石化MES系统、中石油大庆炼化MES系统、中石油昆仑燃气生产指挥系统、乌石化MES改造、中石化胜利油田热电联供中心生产调度联网、昆钢能源管理系统等项目。
它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接,只完成特定工业应用数据的交换。由于没有了网络的连接,攻击就没有了载体,如同网络的“物理隔离”。由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为捕获,所以的方式就是物理的分开。
该产品可在化工、钢铁、有色、发电、电网、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、以及其他与国家基础设施和国计民生紧密相关的工业控制系统网络边界广泛应用。
工业网络安全防护网关-pSafetyLink
产品族谱
工业网络安全防护网关——pSafetyLink隶属于力控产品家族中的工业信息安全产品家族,是专门为工业网络应用设计的安全隔离设备,用于解决控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安全防护的问题。
产品简介
产品架构
功能架构
在硬件上,pSafetyLink产品采用了“2+1”的物理结构,内部由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自独立运行由力控自主定制的操作系统。一端的主机系统为控制端,用于连接控制网络;另一端的主机系统为信息端,用于连接信息网络。两端主机均采用高性能嵌入式硬件,主板上各有多个以太网接口用来连接要隔离的两个网络,两端主机通过隔离装置进行连接。
在软件上,pSafetyLink系列工业安全隔离网关的控制端与信息端主机分别运行力控华康自主开发的工业网络隔离系统,主机之间的通讯使用私有协议,协议采用专有加密算法实现数据高速加解密处理,保证数据传输的安全。该系统全面支持各种主流工业网络协议,包括OPC、Modbus、DNP 3、BACNet、IEC 60870-5-104等,而且系统可以深度解析各种工业网络协议,对协议数据进行细粒度的处理。
控制端和信息端系统中的隔离通信组件和中间的隔离单元三者构成了工业网络隔离系统的核心。隔离通信组件负责根据用户配置提取所需要的工业网络数据,屏蔽其它协议数据和用户配置之外的工业网络数据,并对数据进行必要的解析和安全检查;隔离单元负责使用加密的私有协议进行控制端和信息端之间的数据摆渡。
常见应用架构
产品特点
自主开发的PSL工业网络隔离技术
PSL工业网络隔离技术在物理层采用了两个独立高性能嵌入式主机,双主机之间采用基于总线通信的隔离卡实现两个安全区之间的非网络方式的数据交换;数据链路层和应用层采用私有通信协议,数据流全部进行128 位加密处理,在保证安全隔离的前提下,实现数据的高速交换。通过物理硬件和软件逻辑的共同作用,截断了穿透性的 TCP 连接,同时实现对工业协议数据的定向采集和转发,达到数据自我定义、自我解析、自我审查,传输机制具有不可攻击性,从根本上杜绝了非法数据的通过,确保控制网络不受攻击和入侵。
“2+1”隔离技术架构
该技术保证了网络间正常通信,并且阻断来网络间的直接TCP/IP连接,有效切断了攻击的载体。
数据单向传输
该技术用于在生产数据上传到信息网络的同时,阻断各种威胁传播到控制网络,从而杜绝安全风险。
双数据摆渡模式
pSafetyLink系列工业网络安全隔离网关提供测点管控模式和隧道管控模式两种数据摆渡模式。
测点管控模式:针对工业现场数据通信需要,提供测点数据的解析和安全保护。
隧道管控模式:使用自主开发的安全数据传输方式支持通用IT流量、视频流量、关系数据库流量等更为多样的网络环境中的数据摆渡。
支持丰富的工业协议
工业网络中协议标准多,国际标准、国家标准、行业标准、企业标准并存,所以对协议的支持性是衡量一个网络设备能力的重要指标。pSafetyLink系列工业安全隔离网关支持各种主流的工业通信标准和工业控制设备,包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104、西门子S7系列PLC、AB PLC、GE PLC等,同时还可以提供协议的定制开发。
测点级访问控制
pSafetyLink系列工业安全隔离网关可以对工业协议进行解析,提取其中的数据元素,可以作到针对测点一级的访问控制。
分布式部署,集中管理
pSafetyLink系列工业安全隔离网关提供了专用的配置管理工具。该配置管理工具部署在信息端,可以对网络中多台pSafetyLink系列工业安全隔离网关进行远程的管理,方便用户进行集中化管控。
断线缓存及热备机制
该功能可以在网络暂时性中断的情况下,将数据缓存在本地,并不断检测网络的连通性状态,一旦网络连通则会将缓存的数据补报到上位系统中,保证数据的连续性。
另外,pSafetyLink系列工业安全隔离网关还支持双机热备功能,在关键的网络通道上可以使用双机热备功能来保证数据链路的可靠性和持续性。
OPC tunnel
该技术简化了DCOM配置程序,提高了工作效率,大大降低了维护成本。
多重可靠性保障
pSafetyLink系列工业安全隔离网关从硬件和软件设计上进行了多方面的优化。
- 硬件上对PCB、电源、机箱结构、散热进行全面优化,从设计到生产流程都严格遵照工业品标准进行,以满足苛刻工业现场的要求。
- 系统诊断子系统当发现异常时自动产生报警信息,并在符合条件的情况下启动自动恢复逻辑。
- I/O通信子系统具备完善的故障自动恢复功能。
- 双侧主机均有独立的软件看门狗和硬件看门狗,时刻监视系统状态,保证设备的稳定运行。
核心优势
- 该产品是款国家部认证的工业网络安全防护产品。
- 在应用中隔离IT网络中蠕虫、木马等恶意程序传播 → 保护SCADA、DCS、PLC等重要资产的安全。
- 能够过滤掉嵌入在应用层的恶意代码,保护工厂生产装置的安全。
- 能够阻断ARP、flood、碎片、恶意扫描等恶意攻击,保护工厂生产装置免受恶意攻击,从而保障工厂人员生命及财产安全。
- 采用了工业级设计,使设备能够长期稳定运行提高系统稳定性,保证业务的连续性。
性能指标
单机额定容量 | 10,000~40,000点 |
额定数量吞吐量 | 10,000 TPS |
峰值数据吞吐量 | 20,000 TPS |
单机额定连接数 | 控制端512个,信息端512个 |
系统NTBF | >30,000小时 |