首页
关于力控
新闻中心
产品与服务
业务与行业
联系我们
客户支持
注册 | 登录
搜索
华康工业安全隔离与信息交换系统
产品简介

针对传统安全隔离设备在工控行业环境下应用的不足,作为国内工控行业的佼佼者,力控华康深知自己的社会责任所在,依托多年工控行业的技术积累,通过硬件和软件两方面的优化和创新,开发出了IN-GAPS工业安全隔离与信息交换系统,不仅实现了对基于TCP/IP协议体系攻击的彻底阻断,也实现了对主流工业网络协议的广泛、深入支持和保证工业控制网络数据的安全传输,并解决了传统安全隔离设备无法适用于工业控制网络的难题。

产品架构
硬件架构
采用“2+1”的物理结构,内部由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自独立运行力控华康自主定制的操作系统。一端的主机系统为控制端,用于连接控制网络;另一端的主机系统为信息端,用于连接信息网络。两端主机均采用高性能嵌入式硬件,不同的主板上各有多个以太网接口用来连接要隔离的两个网络,两端主机通过隔离装置进行连接。
硬件看门狗实时监视系统状态,保证整套装置的稳定、持续运行。

软件架构
控制端与信息端主机分别运行力控华康自主定制的操作系统,主机之间的通讯使用私有协议,保证数据传输的安全。该系统支持通用网络协议访问控制及安全过滤,并且全面支持各种主流工业网络协议,包括OPC DA、Modbus、Siemens S7、DNP3、IEC 60870-5-104等,系统可以深度解析各种工业网络协议,对协议数据进行细粒度的处理。
控制端和信息端系统中的隔离通讯组件以及中间的隔离单元三者构成了工业控制网络隔离系统的核心。隔离通讯组件负责根据用户配置取出数据包中关键的应用层信息,并对数据包进行必要的解析和安全检查,隔离单元负责使用私有协议进行控制端和信息端之间的数据加密摆渡。
产品功能
“2+1”隔离技术架构

由两个独立主机系统组成,一端的主机系统为控制端,用于连接控制网络。另一端的主机系统为信息端,用于连接信息网络。两端主机均采用高性能嵌入式硬件,主板上各有多个以太网接口用来连接要隔离的两个网络,两端主机通过隔离装置进行连接,保证数据交互的安全性。

工业协议测点级访问控制

在对工业协议进行解析时,可以针对测点一级进行访问控制。例如:OPC标准可以控制到Item(项)、Modbus协议可以控制到寄存器地址,并且可以对测点进行可见范围和读写权限两方面的控制。

可见范围控制可指定控制端允许或不允许接入哪些测点,从而实对现场设备数据读取范围的控制;同时当信息端有多个 监控系统时,可指定哪些测点允许暴露给哪个监控系统,哪些测点要进行屏蔽,从而实现现场设备数据的定向传输管理。读写权限控制是在测点可见时对每个测点赋予“只读”或“读/写”两种不同的权限。当设为“只读”权限时,所有数据禁止被修改,从而实现单向数据传输,达到保护现场设备安全的目的。

多协议数据汇聚转换及分发

支持OPC、Modbus、IEC60870-5-101/102/103/104及各种PLC以太通讯等常用工业协议汇聚采集并转换成用户需要的工业协议,同时可以多路分发给不同上位系统。

白名单管理

通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。 通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。

工业网络协议的深度解析

搭载了自研的深度数据包解析引擎,可对工控协议做到实时和精准的识别,在遵循工业控制系统可用性与完整性的基础 上,能够检测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。深度数据包解析。

引擎支持OPC、Modbus、DNP3、IEC 60870-5-101、IEC 60870-5-104、西门子S7系列PLC、AB PLC 、GE PLC等提取其中的关键字段(如:控制指令、寄存器区域、寄存器地址、数据范围等)进行访问控制。

文件同步

具备跨系统平台文件的同步功能;支持单向和双向同步;支持多种文件格式,支持Windows平台和Linux平台;支持内容过滤和病毒检测;支持强制性的文件类型、文件内容(黑、白名单)等检查。

FTP访问

支持FTP的安全访问,对用户、命令、文件类型等进行细粒度访问控制;支持主动模式和被动模式,支持动态建立数据通道,支持访问端口号自定义;支持中文文件名的过滤控制等多种功能。

邮件传输

支持基于SMTP协议的邮件发送和POP3协议的邮件接收;支持透明访问模式式和普通访问模式; 普通访问模式下,可对邮件服务器地址和端口控制等多种访问控制。

安全浏览

支持本地认证、Radius、LDAP认证,支持URL过滤、ActiveX、Cookie、JavaApplet等恶意代码过滤。实现控制网用户安全浏览信息网资源,有效保证控制网数据的安全。

安全通道

支持高速代理、路由和透明三种模式,可以对源地址和端口、目的地址和端口进行访问控制;支持多种应用服务类型, 如H323、H323_GK、SNMP、DNS等协议。

应用协议

支持应用协议有HTTPS、HTTP、FTP、SMTP、POP3、TNS、DNS、Telnet、SAMBA、NFS、IMAP、定制TCP和UDP、 SNMP、SSH、RTSP、MMS、H.323、LDAP协议、IRC等协议。

数据库访问/同步

支持MySql、Oracle、SQL Server等主流数据库间单向和双向同步;支持同构、异构同步;支持一对多,多对一同步;支持字段级的同步,具有条件同步等多种同步策略。

实现对多种主流数据库系统的安全访问;支持SQL Server和Oracle数据库SQL语句过滤功能;支持对源地址、目的地址的访问控制。

视频协议

支持视频协议传输包括:RTP实时传输协议,RTCP实时传输控制协议,RTSP实时流协议,SRTP实时传输协议RTP的伴生协议,SRTCP实时传输控制协议伴生协议,MMS实时流传输协议等。在绑定视频媒体协议后,确保通道中传输的数据必须符合以上的媒体格式,否则丢弃。

安全攻击防护

DDoS攻击防护:包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood。异常数据包攻击:包括Ping of death、IP碎片攻击、TCP碎片攻击。

病毒检测:包括HTTP、SMTP、POP3、FTP、IM即时通讯、S7_300等多种协议双向检测。

断线缓存

保证数据的完整性、连续性、可靠性,当信息测网络故障时数据缓存到本地,等待网络恢复后数据补报。

双机热备

双机热备模式下,两台工业网络安全防护网关通过心跳检测进行互相监控,如果其中的一台出现故障(宕机、网络故障),那么另一台就顶替出现故障的网关提供服务。保证了网络的高可用性和高安全性,提升了系统的可靠性。

典型部署

IN-GAPS 2000部署在信息管理层与生产管理层之间,用来阻止来自信息网的DOS/DDOS攻击、恶意扫描、异常数据包等安全威胁;可对通用网络协议进行访问控制和安全过滤,并且支持对工控主流协议进行访问控制及深度解析,可以限制只有可信任的数据能够在工控网络中传输,有效保护了工控网络的安全。

OPC标准由于其开放性和高效性,现在已被广泛应用于自动化控制领域及生产管理中。然而OPC Server与OPC Client之间的通信依赖控制网络与管理网络的直接连通,这样会给控制网络的安全带来极大的隐患。

Modbus是基于PLC的一组通信协议,已经成为行业内设备互相通信的标准协议。DNP(3 分布式网络协议)是使用在工序自动化系统各部件之间的通信协议,主要用于电力、水力等公共事业领域。

在工业网络中存在很多关系数据库系统、视频监控系统,是用来完成特定生产、监控任务的应用系统,其自身没有任何的安全防护措施,一旦这些重点系统受到恶意攻击或者有人为误操作的影响,将会直接危及整个生产过程,影响生产安全,甚至发生事故。IN-GAPS 2000的双独立主机系统保持OPC Server、Modbus设备、DNP3设备、关系数据库、视频监控等和上层间的通信,同时两主机之间采用专用网络隔离技术,在保证数据快速交互的同时彻底阻断所有网络连接,保证了控制设备的安全。

立即联系力控科技专家团队,为您提供服务!

ForceCon+工业软件赋能数字工业

请提供以下详细信息,以帮助力控专业人员更好地了解您的需求,为您提供服务!
  • *想要了解的内容或需要获取的支持
  • 产品详细资料 行业解决方案 预约DEMO演示 咨询报价
  • 看不清,换一张
  • 我同意接收来自力控科技的产品新闻和营销信息

    我已认真阅读并同意 隐私政策