辦公網與工控網之間安全防護
辦公網與工控網之間增加工業網閘,僅允許辦公網的報表服務器和遠程服務器以OPC協議以只讀的方式訪問工控網內的SCADA數據服務器,除OPC協議外所有網絡報文都不允許通過,其余的任何計算機都不允許互相訪問。
公網與工控網之間安全防護
公網與工控網之間增加工業網閘,僅允許規定的計算機和端口互相訪問,通過工業網閘的白名單策略,可以設置僅允許規定的計算機互相訪問,并且僅開放有限的端口,除此之外的主機和端口,均不允許訪問,從而保護工控網的安全。
安全區內部綜合防護
1.在工控網內部署入侵檢測系統,對關鍵業務系統和網絡邊界的關鍵路徑信息進行實時檢測,實現安全事件的可發現、可追蹤、可審計。
2.在工控網內部署運維安全審計系統(堡壘主機)全面禁止廠家通過互聯網遠程運維,通過運維管控平臺集中運維數據網設備和服務器設備,并對運維人實名認證,對運維過程能實時監控、實時阻斷、全面審計,實現控制大區IT資源(EMS服務器、網絡設備、安全設備)運維過程符合等保、二次安防的要求。
3.在工控網內建立安全審計,全面收集、集中存儲生產控制大區各種業務系統、網絡設備、安全產品、機房設施等的運行日志、操作系統日志、數據庫訪問日志,并具備動態監視、故障分析、安全審計、事件預警及告警功能。
方案優勢
隔離工控網與辦公網,解決安全問題
在工控網與辦公網之間增加工業網閘,僅允許特定的辦公網主機(報表服務器和遠程服務器)訪問特定的工控網主機(SCADA數據服務器),且僅允許OPC協議通過,除此之外的任何主機、任何通信協議,均不允許通過。
辦公網內主機僅能讀取OPC數據,不能修改
辦公網內的報表服務器和西安遠程服務器,對工控網內的SCADA數據服務器,僅能進行OPC數據的只讀訪問,不能進行任何寫操作,有效的防止了誤操作或者網絡攻擊導致對工控網的訪問,防止對實際生產造成巨大的經濟損失。
隔離工控網與公網,解決安全安全問題
在工控網與公網之間增加工業網閘,僅允許特定的公網主機(遠程數據采集服務器)與工控網主機之間的互相訪問,且僅允許特定的端口通過,除此之外的任何主機、任何端口的報文,均不允許通過,防止對公網上網絡攻擊者對工控網進行非法攻擊。
基于網絡數據包級別的控制原理,對OPC進行七級深度控制
我公司的工業網閘是基于網絡數據包級別的控制原理,非市面上的數據采集原理型產品,能夠達到七級深度OPC控制,包括MAC與IP綁定、TCP動態連接判斷、OPC服務器訪問控制、是否全部測點只讀、單測點是否可見、單測點是否只讀/讀寫、測點值寫范圍判斷。
隔離設備的安全性
OPC協議的處理屬于自主開發,沒有基于商業庫開發所存在的漏洞問題,安全性更高,硬件采用非x86的體系,產品自身安全性更高。
相關產品: