工业网络的物理隔离与数据采集
一、 物理隔离的消失
在企业网络中,一般会在不同密级网络间部署防火墙、入侵防御、防病毒等安全产品,但由于防火墙只能基于源IP、目的IP、端口、协议等N元组进行安全过滤,且物理层、数据链路层、网络层以及传输层处于联通状态,导致防火墙产品容易被构造精巧的数据包绕过从而建立网络连接,对高密网络构成风险。入侵检测与防病毒产品也不能保证异常数据、异常行为的完全监控与捕获,因此最安全的方式就是将不同密级网络之间进行物理隔离。
随着移动互联网、物联网、工业云等技术的发展,万物互联时代已经到来,数据共享、云计算、大数据分析成为当下发展趋势,信息孤岛以及网络物理隔离状态将逐渐消失,各网络系统互连互通,形成了以云为基础计算平台,以端点设备(终端、传感器)为数据节点的大数据采集与分析网络。
二、 工业网络风险
工业“物理隔离”技术来源于双网或系统数据的互通需求。工业4.0中网络化是其核心内容之一,工业组网技术在近几年取得了飞速发展,工业网络的彼此独立、纯物理隔离状态将被打破,从而形成企业管理信息网、生产监控网、现场控制网级联互通的网络架构,使安全威胁作用面可以逐级向下渗透,最终到达工业网络底层,对安全生产构成威胁。
三、 工业安全隔离与数据交换系统
针对工业网络数据互通与“物理隔离”的双重需求,英赛克推出了专用于工业场景的INS-T9工业安全隔离与数据交换系统。
英赛克T9产品与传统网闸产品实现的文件传输、WEB浏览、邮件发送以及数据库同步等功能不同,英赛克以保障工业网络物理隔离、工业协议安全分析、工业指令实时可靠为出发点,形成了适用于工业场景下的物理隔离功能体系,在保障物理隔离的同时,轻松实现工业生产数据的集中采集、协议转换、攻击防护、安全过滤等功能。
英赛克INS-T9工业安全隔离与数据交换系统具有以下特点:
- 国内独创Linux下实现OPC通讯技术,英赛克INS-T9基于Linux操作系统实现OPC Server/OPC Client功能,在保证系统高效、安全、可靠的同时,满足电力等行业去Windows化需求。
- 具备工控协议指令级“4S”深度防护专利技术,可实现工业协议完整性、功能码、读写地址(读写权限)、工艺参数值的深度解析和过滤,具备工业防火墙安全功能。
- 首创工控业务连续性保障专利技术,在对异常数据、异常指令进行阻断和安全过滤的同时,不对现行业务产生任何影响,保障工控系统业务连续稳定运行。
- 双主机加隔离卡的“2+1”架构设计,系统采用INS OS自主安全操作系统以及INS私有协议摆渡技术,可对通讯信息进行网络信息剥离,实现应用数据的纯净传输。
- 广泛的工业协议支持
- 采集协议:OPC、Modbus TCP/RTU/ASCII、IEC 60870-5-101/103/104、DL451-91(CDT)、DL/T 645 、SNMP v1/v2。
- 转发协议:OPC、Modbus TCP/RTU、IEC 60870-5-104。
可实现协议的自由转换与数据转发,并支持网络协议与串口协议的任意组合。
- 支持双通道传输、双机热备、断线续传、冗余电源等多种软硬件可靠性设计保障,具备攻击防护,实现可信可靠的安全物理隔离。
- 采用自主安全架构,从硬件选型、系统设计、软件应用全部基于英赛克自主技术研发,保证工控网络安全的自主可控。
四、 应用场景
- 不同密级网络的物理隔离、数据采集与协议转换
- 重要系统的物理隔离、数据采集与协议转换
- 第三方监管机构的物理隔离与数据采集