產(chǎn)品頻道

產(chǎn)品概述
背景
隨著網(wǎng)絡(luò)信息時代的到來，我國工業(yè)模式發(fā)生了翻天覆地的變化，徹底打破了“信息孤島”模式，企業(yè)全面聯(lián)網(wǎng)，生產(chǎn)數(shù)據(jù)輕松實現(xiàn)匯總分析，不但提高了生產(chǎn)效率，還達到了節(jié)能減排的目的。信息化給工業(yè)帶來的有利變化顯而易見，但隨之而來的網(wǎng)絡(luò)安全問題又使人為之驚慌。在工業(yè)網(wǎng)絡(luò)中，運行著DCS、PLC、SCADA等各種過程控制系統(tǒng)，它們往往是生產(chǎn)系統(tǒng)的核心，負責完成基本的生產(chǎn)控制。但是，如果這些過程控制系統(tǒng)一旦遭受入侵或破壞，就會對工業(yè)生產(chǎn)造成影響，可能使企業(yè)蒙受重大的經(jīng)濟損失，甚至危及生產(chǎn)人員的生命安全。因此，保證過程控制系統(tǒng)的運行安全是非常重要的事情，廣大工業(yè)企業(yè)迫切需要一款針對工業(yè)網(wǎng)絡(luò)通信協(xié)議進行有效檢查和過濾，適用于工業(yè)網(wǎng)絡(luò)環(huán)境的專業(yè)防火墻。
商用防火墻的不足
商用防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種防護設(shè)備。提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應用代理、帶寬和流量控制、事件審核和報警等。商用防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下，雖然經(jīng)過了多年的發(fā)展和完善，但其應用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò)，它對于工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應。
● 防火墻主要是針對通用網(wǎng)絡(luò)協(xié)議進行檢查和過濾，完全沒有覆蓋工業(yè)網(wǎng)絡(luò)協(xié)議和應用，更談不上對于工業(yè)網(wǎng)絡(luò)協(xié)議和應用數(shù)據(jù)的內(nèi)容進行解析和檢查。所以從這個角度來看商用防火墻對于工業(yè)網(wǎng)絡(luò)安全防護沒有絲毫的幫助。
● 為了提高安全防護能力，商用防火墻在發(fā)展過程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。防火墻的安全性要求越高，需要對數(shù)據(jù)包檢查的項目（即防火墻的功能）就越多越細，對CPU和內(nèi)存的消耗也就越大，從而導致防火墻的性能下降。這一點與工業(yè)網(wǎng)絡(luò)對于實時性的要求是相背離的。
國外工業(yè)防火墻的擔憂
西方發(fā)達國家工業(yè)信息化起步比我國早，工業(yè)網(wǎng)絡(luò)的發(fā)展和應用也比我國廣泛，相應的網(wǎng)絡(luò)安全產(chǎn)品也應運而生。目前，國際市場上已經(jīng)出現(xiàn)了一些專門保護工業(yè)網(wǎng)絡(luò)的安全產(chǎn)品，這些國外廠家宣稱他們的產(chǎn)品可以對工業(yè)網(wǎng)絡(luò)中的控制設(shè)備或控制系統(tǒng)起到安全保護的作用。但是，近幾年連續(xù)爆出的伊朗核設(shè)施被攻擊、美國“棱鏡門”計劃等安全事件一次次的給我們敲響警鐘，國外的網(wǎng)絡(luò)安全產(chǎn)品是否真正的可靠呢？我國工業(yè)網(wǎng)絡(luò)正在迅速的普及過程中，工業(yè)網(wǎng)絡(luò)越來越多的接入到互聯(lián)網(wǎng)中，依靠國外技術(shù)和產(chǎn)品保護我們自己的工業(yè)網(wǎng)絡(luò)安全是不夠的，我們必須掌握核心技術(shù)，有自主可控的安全產(chǎn)品才可以真正的作到安全的工業(yè)網(wǎng)絡(luò)，因此，當務(wù)之急是需要開發(fā)具有自主知識產(chǎn)權(quán)的國產(chǎn)工業(yè)防火墻。
HC-ISG系列工業(yè)防火墻產(chǎn)品簡介
作為國內(nèi)工控行業(yè)的佼佼者，力控華康深知自己的社會責任所在。力控華康依托多年工控行業(yè)的技術(shù)積累，通過自主創(chuàng)新開發(fā)出HC-ISG系列工業(yè)防火墻，為國內(nèi)工業(yè)網(wǎng)絡(luò)安全保駕護航。
HC-ISG系列工業(yè)防火墻不但支持商用防火墻的基礎(chǔ)訪問控制功能，更重要的是它提供針對工業(yè)協(xié)議的數(shù)據(jù)級深度過濾，實現(xiàn)了對Modbus、OPC等主流工業(yè)協(xié)議和規(guī)約的細粒度檢查和過濾，幫助用戶阻斷來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，避免其對控制網(wǎng)絡(luò)的影響和對生產(chǎn)流程的破壞。
產(chǎn)品架構(gòu)
HC-ISG系列工業(yè)防火墻是力控華康將自己多年工控行業(yè)應用經(jīng)驗與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)完美融合的產(chǎn)物。產(chǎn)品在架構(gòu)設(shè)計上充分的考慮了工業(yè)網(wǎng)絡(luò)設(shè)備種類多、協(xié)議復雜、行業(yè)差別大的特點，將產(chǎn)品進行了深度的模塊化封裝，引入了功能插件的概念，使整個防火墻系統(tǒng)更加部件化。通過這種架構(gòu)的實現(xiàn)一方面可以更好的適應現(xiàn)有工業(yè)網(wǎng)絡(luò)安全防護的需要，另一方面為未來產(chǎn)品功能的擴展和用戶定制開發(fā)打下良好的基礎(chǔ)。
HC-ISG系列工業(yè)防火墻包括基礎(chǔ)系統(tǒng)、功能插件和配置管理工具三個部分。
基礎(chǔ)系統(tǒng)是由力控華康根據(jù)工業(yè)網(wǎng)絡(luò)通信特點和安全防護要求定制開發(fā)的底層運行平臺，為防火墻上層業(yè)務(wù)模塊提供必要的運行環(huán)境和安全保障。
功能插件是HC-ISG系列工業(yè)防火墻的核心業(yè)務(wù)處理模塊，它由一系列獨立的功能模塊組成，主要用于完成對于工業(yè)網(wǎng)絡(luò)協(xié)議的識別、解析和深度過濾。
配置管理工具用于對HC-ISG系列工業(yè)防火墻的進行網(wǎng)絡(luò)組態(tài)、策略配置和運行監(jiān)控，是與防火墻進行人機交互的接口。
產(chǎn)品功能特點
工業(yè)網(wǎng)絡(luò)通信協(xié)議的深度過濾
商用防火墻主要是針對通用網(wǎng)絡(luò)協(xié)議進行訪問控制和安全過濾，完全不支持Modbus、Profinet等工業(yè)網(wǎng)絡(luò)協(xié)議。HC-ISG系列工業(yè)防火墻與商用防火墻最大的區(qū)別，也就是其最重要的特點之一是針對工業(yè)通訊協(xié)議進行深度過濾。之所以稱之為深度過濾，是因為HC-ISG系列工業(yè)防火墻不但可以針對工業(yè)網(wǎng)絡(luò)協(xié)議進行基本的訪問控制，而且可以針對工業(yè)網(wǎng)絡(luò)協(xié)議的內(nèi)容和數(shù)據(jù)進行細致的合規(guī)性檢查。例如：HC-ISG系列工業(yè)防火墻的Modbus協(xié)議管控模塊可以針對Modbus協(xié)議的設(shè)備地址、寄存器類型、寄存器范圍和讀寫屬性等進行檢查。通過類似的管控模塊能有效的防范各種非法的操作和數(shù)據(jù)進入現(xiàn)場控制網(wǎng)絡(luò)，最大限度地保護控制系統(tǒng)的安全。
工業(yè)現(xiàn)場設(shè)備繁多、規(guī)格不一、通信協(xié)議和規(guī)約各異，這就要求安全設(shè)備可以支持多種工業(yè)網(wǎng)絡(luò)通信協(xié)議、適用于各種網(wǎng)絡(luò)環(huán)境、可與各種現(xiàn)場設(shè)備進行交互對接。針對這種現(xiàn)狀HC-ISG系列工業(yè)防火墻將每一個工業(yè)協(xié)議作為一個獨立的深度過濾模塊，以插件的方式按需加載到系統(tǒng)中。而且可以根據(jù)用戶現(xiàn)場的需要進行工業(yè)網(wǎng)絡(luò)協(xié)議深度過濾模塊的快速定制開發(fā)和響應，最大限度的滿足工業(yè)現(xiàn)場的各種安全防護要求。
全透明、無間斷部署
考慮到工業(yè)網(wǎng)絡(luò)對于可用性、持續(xù)性和實時性的要求，HC-ISG系列工業(yè)防火墻采用全透明接入的方式，無論是針對存量網(wǎng)絡(luò)，還是新建網(wǎng)絡(luò)都無需改變原有網(wǎng)絡(luò)拓撲結(jié)構(gòu)。同時HC-ISG系列工業(yè)防火提供直通、測試、管控三種工作模式，產(chǎn)品在部署、配置和使用過程中可以根據(jù)需要實時切換到適當?shù)墓ぷ髂Ｊ较拢ＷC在整個過程中都不會阻塞正常的業(yè)務(wù)數(shù)據(jù)傳輸，都無需中斷生產(chǎn)系統(tǒng)的運行。
智能協(xié)議識別和輔助規(guī)則生成
工業(yè)網(wǎng)絡(luò)中設(shè)備眾多、網(wǎng)絡(luò)通信復雜，用戶很難全面的掌握網(wǎng)絡(luò)中所必須的業(yè)務(wù)通信需求，這會給防火墻的規(guī)則配置帶來很大的困難。為了方便用戶進行防火墻規(guī)則的配置，提高規(guī)則配置的準確性，減少規(guī)則配置的工作量，HC-ISG系列工業(yè)防火墻開發(fā)了智能協(xié)議識別和輔助規(guī)則生成功能。智能協(xié)議識別功能采用被動檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包，并進行數(shù)據(jù)包的解析，智能的與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對象等進行匹配，生成可供參考的網(wǎng)絡(luò)交互信息列表，幫助用戶以最快捷的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信。
在智能協(xié)議識別的基礎(chǔ)上用戶可以使用配置工具中所提供的輔助規(guī)則生成功能，將網(wǎng)絡(luò)交互信息與實際業(yè)務(wù)進行比對，給每一個網(wǎng)絡(luò)交互過程配置適當?shù)姆阑饓σ?guī)則，從而準確、快捷的完成防火墻規(guī)則的部署。
規(guī)則正確性測試
工業(yè)網(wǎng)絡(luò)與商用網(wǎng)絡(luò)最大的不同就是可靠性要求極高，不允許出現(xiàn)由于配置不當產(chǎn)生的影響網(wǎng)絡(luò)通信，近而影響生產(chǎn)、造成經(jīng)濟損失的情況，所以工業(yè)防火墻規(guī)則正式上線運行之前需要進行精細化的跟蹤和測試，排除其中可能的不當配置，將防火墻對于生產(chǎn)的影響控制到最小。
針對工業(yè)網(wǎng)絡(luò)這種特殊的需要HC-ISG系列工業(yè)防火墻提供了測試模式來進行規(guī)則正確性的驗證。在測試模式下防火墻會對流經(jīng)的數(shù)據(jù)進行模擬的規(guī)則匹配，并生成詳細的日志，但不會真正阻斷任何數(shù)據(jù)通信。通過對日志的分析用戶可以精確的找到配置不當或錯誤的規(guī)則，并進行及時的改進和優(yōu)化。
符合工業(yè)用戶使用習慣的配置方式
工業(yè)中廣泛應用的組態(tài)軟件將專業(yè)的工藝流程、復雜的數(shù)據(jù)反饋封裝成簡單的圖形化界面，直觀的反映工業(yè)現(xiàn)場的生產(chǎn)情況。組態(tài)軟件以其圖形化、直觀性和易用性深受廣大工業(yè)用戶的喜愛，也成為工業(yè)用戶習慣的使用方式。力控華康有著多年的工控行業(yè)軟件開發(fā)經(jīng)驗，對于工業(yè)用戶的使用習慣有著深刻的理解，在進行HC-ISG系列工業(yè)防火墻設(shè)計和開發(fā)時也力求作到簡單、直觀、易用。
● “白名單”配置方式
HC-ISG系列工業(yè)防火墻默認拒絕所有連接，用戶只需要根據(jù)工業(yè)現(xiàn)場實際的業(yè)務(wù)通信需要配置與業(yè)務(wù)相關(guān)的放行規(guī)則即可，無需關(guān)心自己不熟悉的網(wǎng)絡(luò)通信協(xié)議。
● 網(wǎng)絡(luò)地圖
用戶可以使用HC-ISG系列工業(yè)防火墻的配置工具通過簡單的拖放操作就可以快速組織與實際網(wǎng)絡(luò)環(huán)境一致的網(wǎng)絡(luò)拓撲圖。而且可以根據(jù)現(xiàn)場設(shè)備的物理位置、設(shè)備類型、設(shè)備名稱等為拓撲圖中每一個元素定義直觀的名稱，也可以通過直接點擊拓撲圖中的防火墻圖標登錄進行配置。
● 內(nèi)置各種常用設(shè)備和協(xié)議
HC-ISG系列工業(yè)防火墻內(nèi)置了常用的工作站、控制器、網(wǎng)絡(luò)設(shè)備等設(shè)備對象和常用的工業(yè)網(wǎng)絡(luò)協(xié)議、通用網(wǎng)絡(luò)協(xié)議等協(xié)議對象，在進行防火墻配置時可以直接引用即可。
● 設(shè)備自發(fā)現(xiàn)
HC-ISG系列工業(yè)防火墻的配置工具提供了設(shè)備自發(fā)現(xiàn)功能，幫助用戶方便的找到網(wǎng)絡(luò)中已經(jīng)部署的防火墻，進行快捷的配置和管理。
工業(yè)級產(chǎn)品可靠性保障
為了適應工業(yè)網(wǎng)絡(luò)環(huán)境對于產(chǎn)品可靠性的要求，HC-ISG系列工業(yè)防火墻采用工業(yè)級產(chǎn)品設(shè)計，在環(huán)境適應性、散熱、故障處理等方面進行了全面的優(yōu)化。
HC-ISG系列工業(yè)防火墻硬件平臺專門面向工業(yè)應用場合設(shè)計，對PCB、電源、機箱結(jié)構(gòu)、散熱進行全面優(yōu)化，采用低功耗、寬溫、寬壓電子元器件，無風扇傳導散熱，充分的減少產(chǎn)品的發(fā)熱量，提高產(chǎn)品的穩(wěn)定性和環(huán)境適應性，保證設(shè)備在各種惡劣環(huán)境下可以持續(xù)、穩(wěn)定的運行。
HC-ISG系列工業(yè)防火墻的網(wǎng)口支持Bypass功能，可以根據(jù)系統(tǒng)運行狀態(tài)、上下游設(shè)備和網(wǎng)絡(luò)鏈路情況進行自動的切換，保證數(shù)據(jù)通信的持續(xù)暢通。
HC-ISG系列工業(yè)防火墻系統(tǒng)內(nèi)嵌自診斷程序，實時監(jiān)測整個系統(tǒng)的運行情況，支持系統(tǒng)故障自恢復功能。
VPN幫助用戶實現(xiàn)安全的網(wǎng)絡(luò)互聯(lián)
HC-ISG系列工業(yè)防火墻集成了VPN功能，該功能一方面可以對數(shù)據(jù)接收和發(fā)送方的身份進行鑒別，保證數(shù)據(jù)發(fā)送和接收方的合法性，另一方面可以對經(jīng)公用網(wǎng)絡(luò)進行傳遞的數(shù)據(jù)進行加密處理，保證數(shù)據(jù)運輸過程的安全性。通過使用VPN可以幫助用戶利用公用網(wǎng)絡(luò)、以低廉的成本在分散的作業(yè)區(qū)與調(diào)度中心之間建立起加密的虛擬私有信息通道，實現(xiàn)整個工業(yè)網(wǎng)絡(luò)的安全互聯(lián)，保證調(diào)度指令和現(xiàn)場數(shù)據(jù)的安全傳輸。
典型應用
安全區(qū)域之間的訪問控制和安全防護
隨著“兩化融合”的不斷推進，廣大工業(yè)用戶的網(wǎng)絡(luò)結(jié)構(gòu)正在一步步發(fā)生著變化，現(xiàn)場過程控制網(wǎng)絡(luò)、生產(chǎn)管理網(wǎng)絡(luò)、企業(yè)信息網(wǎng)絡(luò)正在一點點的被打通，網(wǎng)絡(luò)縱向分層、橫向分區(qū)的模式正在形成。由于各個層次、各個區(qū)域網(wǎng)絡(luò)的業(yè)務(wù)不同、作用不同，對于安全防護的要求也就不同，所以需要在不同安全區(qū)域之間進行必要的防護和控制。HC-ISG系列工業(yè)防火墻可以幫助用戶很好的實現(xiàn)這一目標。
首先通過在縱向不同層次網(wǎng)絡(luò)之間部署HC-ISG系列工業(yè)防火墻，并配置合理的訪問規(guī)則，可以控制不必要的跨層訪問，防止攻擊者通過上層網(wǎng)絡(luò)向下層網(wǎng)絡(luò)的滲透和攻擊，減少由于網(wǎng)絡(luò)互聯(lián)互通所帶來的安全風險。同時可以對不同層次之間的工業(yè)協(xié)議數(shù)據(jù)交換進行深度過濾，屏蔽非法操作，保障生產(chǎn)安全。
其次還可以在同一網(wǎng)絡(luò)層次中平行的廠區(qū)、工藝流程和業(yè)務(wù)子系統(tǒng)之間部署HC-ISG系列工業(yè)防火墻，將它們分割成不同的安全區(qū)域，配置不同的訪問規(guī)則，屏蔽不同安全區(qū)域之間不必要的訪問，對不同安全區(qū)域之間的工業(yè)協(xié)議數(shù)據(jù)交換進行深度過濾，減少安全區(qū)域之間安全問題的擴散和影響。

重點設(shè)備的安全防護
在工業(yè)網(wǎng)絡(luò)中存在很多核心的控制器、重要的數(shù)據(jù)存儲和交換服務(wù)器，它們是整個工藝流程和生產(chǎn)過程的中樞，關(guān)系到生產(chǎn)能否正常、安全的進行，直接或間接影響到產(chǎn)品的質(zhì)量。這些重點設(shè)備本身是用來完成特定生產(chǎn)任務(wù)的應用系統(tǒng)，其自身沒有任何的安全防護措施，可以通過網(wǎng)絡(luò)對其進行任意的訪問。一旦這些重點設(shè)備受到惡意攻擊或者有人為誤操作的影響，將會直接危及整個生產(chǎn)過程，影響生產(chǎn)安全，甚至發(fā)生事故。
針對這些重點設(shè)備的特點可以在其前端部署HC-ISG系列工業(yè)防火墻，限制可以訪問它的IP地址、屏蔽非業(yè)務(wù)端口訪問、過濾非法的操作指令、記錄所有的訪問和操作，對其進行全面的訪問控制和安全防護。通過部署防火墻可以很好的實現(xiàn)對重點設(shè)備的事前安全防護、事中過濾檢查和事后安全審計。

分散工業(yè)網(wǎng)絡(luò)的安全互聯(lián)
分散性是工業(yè)網(wǎng)絡(luò)的重要特點之一。工業(yè)網(wǎng)絡(luò)的設(shè)備可能分布于廠區(qū)各處，甚至野外、山區(qū)，由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的限制，經(jīng)常需要通過租用公共的無線網(wǎng)絡(luò)、衛(wèi)星、GPRS/CDMA等公用網(wǎng)絡(luò)傳輸線路實現(xiàn)與調(diào)度中心的連接和數(shù)據(jù)交換。公用網(wǎng)絡(luò)沒有足夠的安全保護和加密措施，很容易出現(xiàn)網(wǎng)絡(luò)竊聽、數(shù)據(jù)劫持、第三人攻擊等安全問題，而且攻擊者還可以利用公用網(wǎng)絡(luò)作為攻擊工業(yè)控制網(wǎng)絡(luò)的入口，實現(xiàn)對于整個工業(yè)控制網(wǎng)絡(luò)的滲透和控制。為了解決公用網(wǎng)絡(luò)帶來的安全隱患，用戶通常都會租用或架設(shè)專用的通信線路，這樣不但建設(shè)和運營成本高、而且需要專業(yè)的技術(shù)人員進行線路的保障和維護。
在這種應用環(huán)境下，可以在分散的作業(yè)區(qū)與公用網(wǎng)絡(luò)接口的位置部署HC-ISG系列工業(yè)防火墻。通過防火墻的部署不僅可以對作業(yè)區(qū)內(nèi)部的工業(yè)網(wǎng)絡(luò)進行安全方面的保護，阻斷來自公用網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊，實現(xiàn)作業(yè)區(qū)網(wǎng)絡(luò)的邊界安全防護。更重要的是可以使用HC-ISG系列工業(yè)防火墻的VPN功能，對作業(yè)區(qū)與調(diào)度中心之間的數(shù)據(jù)傳輸進行加密和保護，搭建安全的數(shù)據(jù)交換通道，解決兩者之間的數(shù)據(jù)傳輸安全問題。

安全遠程維護
隨著工業(yè)信息化的發(fā)展，大量的智能儀表、控制器、工業(yè)控制軟件等產(chǎn)品被應用到工業(yè)控制領(lǐng)域，對提高生產(chǎn)效率起到了很大的推動作用。但是這些產(chǎn)品來自于不同的供應商，使用多種不同的應用技術(shù)，所以其運營和維護相對也會比較復雜，經(jīng)常需要相應的廠商技術(shù)人員進行技術(shù)援助和支持，在這一過程中廠商技術(shù)人員可能需要通過公用網(wǎng)絡(luò)遠程訪問設(shè)備或系統(tǒng)。另外，工業(yè)網(wǎng)絡(luò)的設(shè)備分散，有的甚至可能部署在野外，由于通信基礎(chǔ)設(shè)施所限，可能也需要通過公用網(wǎng)絡(luò)對其進行必要的維護。
無論是廠商技術(shù)人員的遠程協(xié)助，還是工業(yè)用戶自身的遠程維護都可能需要通過公用網(wǎng)絡(luò)，這樣攻擊者就有可能借機進入工業(yè)網(wǎng)絡(luò)，獲取工業(yè)網(wǎng)絡(luò)的控制權(quán)，直接影響整個工業(yè)網(wǎng)絡(luò)的安全。在這種環(huán)境下，我們可以將HC-ISG系列防火墻部署在工業(yè)網(wǎng)絡(luò)與公用網(wǎng)絡(luò)接口的位置，啟用防火墻的VPN功能，將其作為遠程維護的堡壘設(shè)備。遠程維護人員使用VPN連接到防火墻上，一方面進行身份的認證，另一方面對通過公用網(wǎng)絡(luò)完成的遠程維護操作進行加密保護，從而實現(xiàn)安全的遠程維護。

技術(shù)規(guī)格