友情链接:www.mosesceo.com English|联系我们
400-556-776

创建“本质安全”的生产控制网

       工业、能源、交通以及市政等领域的DCS、PLC等系统越来越多地采用工业以太网,工业控制器在I/O处理方面的健壮性毋庸置疑,但其针对网络攻击的防御和网络安全可靠性方面却相当脆弱。虽然目前基于控制器内部协议的攻击很少,但是简单的常规攻击,像拒绝服务攻击DoS、端口扫描等以及其他基本的网络蠕虫病毒和垃圾信息就能造成控制系统网络的堵塞,降低其性能,甚至造成控制器死机。另外,Windows平台提供的打印机服务、文件共享、IE、Server服务等也存在一些漏洞,一旦病毒黑客利用这些服务漏洞对控制系统进行攻击,就会给控制系统的平稳运行带来风险。

       目前对控制系统的防护,通常采用禁用光驱和USB、安装杀毒软件等措施。但这些技术主要面向商用网络应用,缺乏有效的主动防御手段。杀毒软件的病毒库需要不定期的经常更新,这一点尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会大规模地爆发病毒攻击,特别是新病毒。

       Tofino防火墙通过内置工业通讯协议和工业模型,在实现全面控制功能的同时,打造制造商专有通讯网络信道,建立通讯管控“白名单”,从而阻挡其他一切非法通讯,包括黑客病毒等恶意程序攻击,以及基于Windows平台的其他非工控需求的通讯。

       Tofino防火墙专业针对控制网络特点而设计,支持在线修改组态,对实时通讯无影响,通过对组态规则完美配置,保证了工控需求的完整性以及独特的实时性和可靠性等特点尤其适合工业控制系统信息安全防护。

       Tofino会定期发布工业控制软硬件的漏洞,内置的工业模型嵌入了已知漏洞保护功能,在已知漏洞的工业控制系统应用中提供全方位的安全保障。Tofino防火墙不仅是在端口上的防护,更重要的是其能提供应用层上的数据包深度检查,属于新一代的工业通讯协议防火墙,为工业通讯提供独特的、工业级的专业隔离防护解决方案。

本质安全的生产控制网.jpg

保护APC先控站:
a)只允许APC先控站与OPC Server之间通信;
b)只允许OPC标准格式的DCE/RPC 访问请求,支持OPC DA、HDA、A&E的通讯;
c)TSA本身不设IP地址;
d)隐藏被保护的OPC Server IP地址。

隔离工程师站:
a)仅允许DCS控制系统相关通讯协议通过;
b)防止服务器与其他站之间病毒互相感染;
c)已知漏洞保护。

保护重要的控制器:
a)仅允许DCS控制系统相关通讯协议通过,授权某OP站访问;
b)阻止拒绝服务攻击;
c)已知漏洞保护。

返回顶部
上一篇:SCADA安全防护解决方案 下一篇:Modbus TCP通讯安全解决方案