工業安全防護網關 pSafetyLink

產品特點

“2+1”隔離技術架構

即內控制端主機系統、信息端主機系統加上隔離交換系統。由兩個獨立主機系統組成，每個主機系統分別具有獨立的運算單元和存儲單元，各自獨立運行力控華康自主定制的操作系統。一端的主機系統為控制端，用于連接控制網絡；另一端的主機系統為信息端，用于連接信息網絡。兩端主機均采用高性能嵌入式硬件，主板上各有多個以太網接口用來連接要隔離的兩個網絡，兩端主機通過隔離裝置進行連接，保證數據交互的安全性。

工業協議測點級訪問控制

在對工業協議進行解析時，可以針對測點一級進行訪問控制。例如：OPC標準可以控制到Item（項）、Modbus協議可以控制到寄存器地址,并且可以對測點進行可見范圍和讀寫權限兩方面的控制。
讀寫權限控制是在測點可見時對每個測點賦予“只讀”或“讀/寫”兩種不同的權限。當設為“只讀”權限時，所有數據禁止被修改，從而實現單向數據傳輸，達到保護現場設備安全的目的。

可見范圍控制可指定控制端允許或不允許接入哪些測點，從而實對現場設備數據讀取范圍的控制；同時當信息端有多個監控系統時，可指定哪些測點允許暴露給哪個監控系統，哪些測點要進行屏蔽，從而實現現場設備數據的定向傳輸管理。

多協議數據匯聚轉換及分發

支持OPC、Modbus、IEC60870-5-101/102/103/104及各種PLC以太通訊等常用工業協議匯聚采集并轉換成用戶需要的工業協議，同時可以多路分發給不同上位系統。

白名單管理

通過提前計劃好的協議規則來限制網絡數據的交換，在控制網到信息網之間進行動態行為判斷。
通過對約定協議的特征分析和端口限制的方法，從根源上節制未知惡意軟件的運行和傳播。

工業網絡協議的深度解析

搭載了自研的深度數據包解析引擎，可對工控協議做到實時和精準的識別，在遵循工業控制系統可用性與完整性的基礎上，能夠檢測出數據包的有效內容特征、負載和可用匹配信息，如惡意軟件、具體數據和應用程序類型。
深度數據包解析引擎支持OPC、Modbus、DNP3、IEC 60870-5-101、IEC 60870-5-104、西門子S7系列PLC、AB PLC、GE PLC等提取其中的關鍵字段（如：控制指令、寄存器區域、寄存器地址、數據范圍等）進行訪問控制。

文件同步

具備跨系統平臺文件的同步功能；支持單向和雙向同步；支持多種文件格式，支持Windows平臺和Linux平臺；支持內容過濾和病毒檢測；支持強制性的文件類型、文件內容（黑、白名單）等檢查。

FTP訪問

支持FTP的安全訪問，對用戶、命令、文件類型等進行細粒度訪問控制；支持主動模式和被動模式，支持動態建立數據通道，支持訪問端口號自定義；支持中文文件名的過濾控制等多種功能。

郵件傳輸

支持基于SMTP協議的郵件發送和POP3協議的郵件接收；支持透明訪問模式式和普通訪問模式；普通訪問模式下，可對郵件服務器地址和端口控制等多種訪問控制。

安全瀏覽

支持本地認證、Radius、LDAP認證，支持URL過濾、ActiveX、Cookie、JavaApplet等惡意代碼過濾。實現控制網用戶安全瀏覽信息網資源，有效保證控制網數據的安全。

安全通道

支持高速代理、路由和透明三種模式，可以對源地址和端口、目的地址和端口進行訪問控制；支持多種應用服務類型，如H323、H323_GK、SNMP、DNS等協議。

應用協議

支持應用協議有HTTPS、HTTP、FTP、SMTP、POP3、TNS、DNS、Telnet、SAMBA、NFS、IMAP、定制TCP和UDP、SNMP、SSH、RTSP、MMS、H.323、LDAP協議、IRC等協議。

數據庫訪問/同步

支持MySql、Oracle、SQL Server等主流數據庫間單向和雙向同步；支持同構、異構同步；支持一對多，多對一同步；支持字段級的同步，具有條件同步等多種同步策略。
實現對多種主流數據庫系統的安全訪問；支持SQL Server和Oracle數據庫SQL語句過濾功能；支持對源地址、目
的地址的訪問限制。

視頻協議

支持視頻協議傳輸包括：RTP實時傳輸協議，RTCP實時傳輸控制協議，RTSP實時流協議，SRTP實時傳輸協議RTP的伴生協議，SRTCP實時傳輸控制協議伴生協議，MMS實時流傳輸協議等。在綁定視頻媒體協議后，確保通道中傳輸的數據必須符合以上的媒體格式，否則丟棄。

安全攻擊防護

DDoS攻擊防護：包括TCP Flood、UDP Flood、SYN Flood、ICMP Flood、IP Flood。
異常數據包攻擊：包括Ping of death、IP碎片攻擊、TCP碎片攻擊。
病毒檢測：包括HTTP、SMTP、POP3、FTP、IM即時通訊、S7_300等多種協議雙向檢測。

IP/MAC綁定

通過對指定接口所連接的網絡中主機的IP和MAC地址進行綁定，防止IP地址被非法盜用同時校驗主機的合法性，并對非法IP地址的訪問進行詳細記錄，以便管理員查看。

時間段模式

支持提供時間段模式設置，允許用戶在設置的特定時間內通過工業網絡安全防護網關訪問應用系統。

VLan功能

支持多VLan，并且對VLan數據進行安全檢查。

斷線緩存

保證數據的完整性、連續性、可靠性，當信息測網絡故障時數據緩存到本地，等待網絡恢復后數據補報。

雙機熱備

雙機熱備模式下，兩臺工業網絡安全防護網關通過心跳檢測進行互相監控，如果其中的一臺出現故障（宕機、網絡故障），那么另一臺就頂替出現故障的網關提供服務。保證了網絡的高可用性和高安全性，提升了系統的可靠性。

典型部署

pSafetyLink部署在信息管理層與生產管理層之間，用來阻止來自信息網的DOS/DDOS攻擊、惡意掃描、異常數據包等安全威脅；可對通用網絡協議進行訪問控制和安全過濾，并且支持對工控主流協議進行訪問控制及深度解析，可以限制只有可信任的數據能夠在工控網絡中傳輸，有效保護了工控網絡的安全。

OPC標準由于其開放性和高效性，現在已被廣泛應用于自動化控制領域及生產管理中。然而OPCServer與OPC Client之間的通信依賴控制網絡與管理網絡的直接連通，這樣會給控制網絡的安全帶來極大的隱患。

Modbus是基于PLC的一組通信協議，已經成為行業內設備互相通信的標準協議。DNP3（分布式網絡協議）是使用在工序自動化系統各部件之間的通信協議，主要用于電力、水力等公共事業領域。

在工業網絡中存在很多關系數據庫系統、視頻監控系統，是用來完成特定生產、監控任務的應用系統，其自身沒有任何的安全防護措施，一旦這些重點系統受到惡意攻擊或者有人為誤操作的影響，將會直接危及整個生產過程，影響生產安全，甚至發生事故。

pSafetyLink的雙獨立主機系統保持OPC Server、Modbus設備、DNP3設備、關系數據庫、視頻監控等和上層間的通信，同時兩主機之間采用專用網絡隔離技術，在保證數據快速交互的同時徹底阻斷所有網絡連接，保證了控制設備的安全。