HH800GS 工业安全网闸
产品简介
详细信息
1.工控信息安全现状
随着两化融合、工业 4.0、中国制造 2025 概念的落地,传统的流程领域工厂必然走向联网、融合,这个过程就如目前电商对传统零售商的冲击一样,产业升级过程是不可逆转。工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统的安全问题日益突出。“震网”病毒事件充分反映出工业控制系统信息安全面临的严峻形势。
传统的网络安全设备主要是面向 IT 系统的防火墙,其基本原理是基于TCP/IP 协议进行封包、过滤。工控系统与传统 IT 设备的不同,其通讯协议也不是 TCP/IP 协议,所以传统的防火墙技术无法解决工控系统遇到的网络边界安全问题。
针对这种工控信息的安全现状,双和科技公司开发出了基于双 CPU 架构与通讯白名单的 HH800GS 工业安全网闸产品,可以有效解决这些网络安全问题。
2.产品概述
HH800GS 工业安全网闸是专为工控系统量身定做的网闸设备,其基本功能包括:
支持多种主流的工业通讯协议,可以同时连接 OPC 服务器、OPC 客户端、SQL ServerOracle 等关系数据库、Modbus 主站、Modbus 从站、ModbusTCP 主站、ModbusTCP 从站、Profibus-DP 主站、Profibus-DP 从站、和利时公司 FM/SM/K 全系列 IO 硬件、西门子 ET200M、西门子S7300 等 IO 模块、DP 从站设备(变频器、智能采集设备)、PA 仪表。
l 基于双 CPU 架构设计,内部双 CPU 之间使用自定义的私有协议,阻断依赖 TCP/IP 协议的病毒传播,同时阻断基于 IP 网络协议的攻击通道,保护数据通讯。通讯白名单的设计,可以使数据通讯安全等级和控制颗粒度高于目前通用的网闸设备。
l 内置数据库,支持快速运算,支持轻量级的控制运算(用于量程转换、闭环控制、查表等),支持主备双重冗余实现高可靠性,可查询显示历史数据。
3.产品特点
HH800GS 专门针对电力、石化、化工等工业控制系统特点进行设计,其特点如下:
(1) 双 CPU 架构设计。
网络病毒与均依赖 TCP/IP 协议进行远程攻击,HH800GS 通过设计双CPU 架构,且双 CPU 之间数据转发使用私有协议,从原理上切断所有的 TCP/IP 连接,使网络病毒与攻击无法穿透 HH800GS 安全网闸。
(2) 通讯白名单设计。
在数据通讯前,需通过 HH800GS 内置的通讯组态软件 GTPlus 建立通讯白名单,限定通讯内容。只有通讯白名单内的数据点可以通过 HH800GS 转发。同时,还可以针对通讯点进行逻辑保护,例如:通过组态实现“当某个通讯点值超出限值时,不进行转发,保持该点上次值”。数据流方向可以通过组态设置为单向或双向。
4.产品基本配置
硬件采用工业级芯片、IP40 防护、无风扇、铝合金全封闭设计,适合全天候、严苛恶劣环境。
产品型号 | HH800GS |
RJ-45 通信端口 | 4 个 |
RS-232/485/422 通讯端口 | 4 个 |
CPU | INTEL ATOM D2550(1.8GHZ 双核 4 线程) |
内存 | 2G |
Tag 点处理量 | 30000 |
历史数据存储 | 3 年(64G) |
USB 接口 | 4 个 |
VGA 接口 | 2 个 |
5. 产品典型部署方式
HH800GS 产品部署在 OPC 通讯设备之间,工厂信息化系统与生产系统之间,工控子系统之间等场合。
(1) OPC 通讯保护。
HH800GS 产品内置了OPC 客户端和服务器端软件,已经在出厂前配置完毕(包括 DCOM 配置、权限设置等等),现场可以直接使用。同时,还可以保护 OPC 数据通讯的信息安全。
(2) 工厂信息化通讯保护。
工厂信息化改造时,可以通过 HH800GS 将采集信息直接通过 ODBC 协议写入 PI 数据库、SQLServer 等主流关系数据库。同时,提供数据通讯的信息保护,有效防止工厂信息系统影响工厂的生产系统。
(3)工控子系统之间的通讯保护。
以轨道交通综合监控系统(ISCS)为例,进行说明。轨道交通 ISCS 系统包括:中心 PSCADA 监控系统,中心 BAS 监控系统等,在这些子系统之间,可以通过 HH800GS 进行数据通讯保护。
6. 产品资质
HH800GS 工业安全网闸已经成功申请了相应的软件着作权,对其产品进行保护。