项目背景

　　近年来工业控制领域安全事件大爆发(如震网、蠕虫等)，所造成的影响也极其恶劣，随着工业控制系统信息安全问题日益突出，政府和各工控领域也日趋重视工业信息安全，我国先后推出发改委14号令、工信部451文件等多项重要政策文件，为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》，保障工业企业工业控制系统信息安全，制定了《工业控制系统信息安全防护指南》。

　　在“两化”深度融合和物联网快速发展的背景下，随着企业信息化的发展，迫切要求实现过程控制系统与管理信息系统之间互通、互联，消除“信息孤岛”。同时，控制网络与信息网络直接互联互通，就相当于将控制网络直接暴露给外网，从而面临被攻击、入侵的可能，甚至发生破坏生产、造成事故的严重后果。

　　项目概述

　　工业安全是网络与数据在工业中应用的保障，包括设备安全、网络安全、控制安全、数据安全和应用安全，总体表现为通过涵盖整个工业系统的安全管理，避免网络设施和系统软件收到内部和外部攻击，降低企业数据被未经授权的访问风险，确保数据传输和存储的安全性，实现对工业生产系统和商业系统的全方位保护。

　　在工业信息安全的建设过程中，需在监控层与控制层之间部署工业采集网关，用以采集多个不同子系统、设备、智能仪表等，获取数据后进行数据的集中汇总;实现数据采集之后，将数据以某一种通用协议转发到控制层与管理层的工业安全隔离网关，这种数据单向传输的特性保证生产数据上传到管理信息层网络的同时，阻断各种威胁的渗入;最后，通过在管理层与信息层部署工业防火墙，利用工业协议深度包过滤功能保护重要控制系统及服务器，防止恶意代码渗透及病毒在工业现场网络中不受限制肆意传播的危害发生。

　　价值与亮点

　　方案亮点

　　力控工业采集网关采用高性能嵌入式计算平台，内嵌通信采集规约库和转发规约库。可实现对多个不同子系统进行数据采集，数据集中汇总、分类和预处理，并支持对多个上级调度等平台系统进行数据转发。

　　力控工业安全隔离网关内部为双独立主机“2+1”架构，双主机之间采用专有网络隔离技术PSL，彻底阻断任何网络形式的连接，同时通过内嵌的高性能工业通信软件，支持各种主流工业SCADA通信标准，如：OPC 、Modbus、DNP3等，为工业控制系统网络间的实时数据交换提供了“绿色通道”。

　　力控工业防火墙是国内首款既具备传统商用防火墙的各项标准功能，同时又能满足工业控制系统对可靠性、稳定性和工业协议分析过滤的特殊安全需求的工业网络安全防护产品。

　　工业信息安全解决方案从下到上贯穿整个工业网络通讯，实现了横向纵向防护，为工业网络通讯提供信息系统安全级别的整体解决方案。

　　方案价值

　　该解决方案在数据采集层面为客户解决了数据集中管理的难题;同时，在安全隔离防御层面帮助用户对来自网络的病毒传播、黑客攻击等行为进行过滤和防护，避免其对控制网络的影响和生产流程的破坏，保护了工厂的生产装置免受恶意攻击，从而确保了企业资产安全，并提高了生产效率。

　　通过采用该完整的工业安全解决方案，保护控制系统的硬件、软件以及相关数据，网络中的软硬件系统不再因为偶然或恶意侵犯而遭到破坏、篡改及泄露，进而保障了控制网络系统能够连续、稳定、可靠的运行。

　　解决方案

　　设计概述

　　本解决方案完全采用力控自主研发产品“工业采集网关pFieldComm+工业安全隔离网关pSafetyLink+工业防火墙ISG”与现场工业网络基础建设结合的部署方案，主要由三大部分构成，即：数据采集层、安全隔离层、深度防御层。

　　数据采集层：在监控层与控制网络层之间部署工业采集网关pFieldComm，将企业大量分散的设备、不同工业控制系统数据连接起来，实现通信协议向标准通信协议的转换和数据集中管理，并通过标准modbus、OPC，或者commserver等协议向工业安全隔离网关进行数据转发。

　　安全隔离层：在控制网络和管理网络之间部署工业安全隔离网关pSafetyLink，实现控制网与管理网之间有效的边界隔离，在确保控制网与管理网之间数据有效通信的前提下，有效地保护控制网免受病毒及黑客的攻击和威胁。

　　深度防御层：在管理网络和信息网络之间部署工业防火墙ISG，通过采用白名单机制，实现工业协议的有效过滤和控制网的深度防御，提高控制网抵御网络风暴、DDOS攻击及其他恶意攻击的能力，并对多个上级调度等平台系统进行数据转发。

　　系统框架

　　本解决方案系统框架包括数据采集层、安全隔离、深度防御等三级物理结构，如下图示：

　　系统功能

　　本解决方案遵循完整的工业安全体系设计思想，采用工业采集网关pFieldComm作为对监控层的采集设备，有效解决了现场设备、不同子系统等控制系统网络安全接入信息网络的问题，同时应用工业安全隔离网关pSafetyLink作为对控制系统的防护设备，在进行安全防护的同时实现了数据的实时采集，又隔离阻断控制网络与信息网络之间的网络物联连接，对生产实时数据传输起到了有效的安全保护措施，在系统中起到上传下达的重要作用。最后在与管理信息层应用工业防火墙ISG建立起加密的虚拟私有信息通道，阻断了来自外网对工业网络的安全威胁，实现整个工业网络的安全互联，保证调度指令和现场数据的安全传输，为企业的安全生产、管理保驾护航。

　　技术提取

　　技术特性

　　工业安全隔离在数据交互、数据链路层和应用层采用了私有通信协议，数据流全部进行128加密处理，在保证安全隔离的前提下，实现数据的高速交换。物理层采用了两个独立的高性能嵌入式主机，两侧主机使用独立的运算单元和存储单元，各自运行独立的操作系统和应用系统，双主机之间采用基于总线通信的隔离卡实现两个安全区之间的非网络方式通信。

　　采用双数据摆渡模式，测点管控模式和隧道管控模式确保信息安全。

　　工业采集网关具有双机冗余设计的架构，安全可靠，可以实现双机热备，通过实时数据库实现各种信道及管理机的热备，大大提高了其可靠性。

　　工业防火墙产品设计上充分考虑了工业网络设备种类多、协议复杂、行业差别大的特点，将产品进行了深度的模块化封装，引入了功能插件的概念，使整个防火墙系统更加部件化。

　　相关产品

　　本解决方案采用力控自主研发产品包括工业采集网关pFieldComm、工业安全隔离网关pSafetyLink、工业防火墙ISG，产品具体详情请查阅对应详情页如下：

　　工业采集网关pFieldComm

　　工业安全隔离网关pSsfetyLink

　　工业防火墙HC-ISG