力控科技为智能制造

提供最佳实践案例及解决方法

工业防火墙HC-ISG

一、产品概述

 工业防火墙HC-ISG是国内首款专用于工业控制安全领域的防火墙产品,能够有效对SCADADCSPCSPLCRTU等工业控制系统进行信息安全防护。

HC-ISG主要解决工业基础设施在网络环境中受到病毒、黑客、敌对势力的恶意攻击以及工作人员误操作时的安全防护问题。

HC-ISG通过了公安部检测、国家信息安全测评中心检测,取得了CEFCC等认证和销售许可证,广泛应用于各工业现场,包括核设施、钢铁、有色、石油天然气、化工、发电、电网、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、民航以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络。


二、 功能特点

HC-ISG产品由通用防火墙模块、工业协议过滤模块、深度防御模块、攻击防护模块、VPN模块、安全审计模块等组成。

● 通用防火墙模块阻止控制设备/系统被非法访问,阻断非法下发控制指令;防止病毒、恶意代码等肆意传播。

● 工业协议过滤模块

   内置工业通讯协议的过滤模块,支持各种工业协议识别及过滤,弥补商业防火墙不支持工业协议过滤的不足。

● 配置管理模块

   可以离线配置,远程配置,配置过程不影响业务。

● 规则自学习模块

   过滤规则可通过自学习模块自动学习,方便SCADA/DCS/PLC维护人员使用。

● 深度防御模块(可选)

   从应用层对多种工业协议进行深层检测,可以对工业协议内部的指令、内部寄存器等信息进行深度检查,防止应用层协议被纂改或破坏,保证工业协议通讯的可控性和准确性,为工业网络通讯提供最安全的解决方案。

● 攻击防护模块(可选)

   阻断恶意脚本远程执行,系统防扫描,防应用程序缓冲区溢出攻击、防止Flood、碎片、DDoS攻击等各种网络攻击的防护。

● VPN模块(可选)

   为设备间数据通信提供安全保障;提高工作效率,方便用户管理。

● 安全审计模块

  提供完整的日志管理平台,审计访问操作记录,为界定不同区域间的交叉访问和问题追踪提供可靠的依据;为用户提供防火墙状态监控、日志存储、检索、查询及智能报警等功能。

三、用户价值

      ● 保证现场设备正常、稳定运行,免遭网络信息安全威胁访问控制:阻止控制设备/系统被非法访问,阻断非法下发控制指令,保护DCSSCADAPLC及重要服务器等重要资产。

   攻击防护:清除因流量攻击、恶意代码、内部人员的误操作而带来的威胁,保护工厂生产装置稳定运行。

   安全审计:提供完整的日志管理平台,审计访问操作记录,为界定不同区域间的交叉访问和问题追 踪提供可靠的依据;实时监控网络信息安全风险,并及时通知用户。

● 保证用户业务连续性,消除单点故障影响

   硬件可靠性:工业级设计,宽溫宽压、低功耗无风扇,适用各种工业环境。

   软件自恢复:软件故障自诊断、自恢复。

   设备快速接入:无需停机,不改变原有网络结构。

● 现场部署快捷、维护方便

   防护规则自动学习、用户可勾选进行配置,统一拓扑集中管理。

四、解决方案


典型应用

● 位置1 2:生产管理层和信息管理层的纵向防护,阻断上层信息网的威胁。

● 位置45678:控制层与生产管理层间的纵向防护,不同区域间的横向隔离。

● 位置4510:保护重要控制系统或设备,只允许必要的数据包通过,阻断对重要控制系统或设备的任何非法访问及控制。

● 位置3911:隔离工程师站,降低因工程师站作为常用对外接口因感染病毒而带来的风险。

● 位置1213:对重要系统及实时数据库的服务器进行专门防护,切断恶意访问、恶意代码渗透及病毒感染。

● 位置245可可以考虑安全级别更高的工业安全防护网关pSafetyLink