详细介绍
产品简述
pSafetyLink是国内首款面向工业控制系统边界信息安全防护的隔离产品,产品基于第五代隔离技术开发,全系列产品已通过了CE、FCC、EAL3、公安部、军用信息安全产品等认证,并得到国家发改委工控安全产品产业化推广专项资金支持。
该产品是一款拥有自主知识产权,以及具备更高安全级别的安全隔离系统,用于解决工业控制系统接入信息网络(外网)时的安全防护问题,为控制网与管理信息网的连接提供安全保障,已在很多大型石油、石化、天然气、冶金、市政企业得到批量应用,如:中石油大庆石化MES系统、中石油大庆炼化MES系统、中石油昆仑燃气生产指挥系统、乌石化MES改造、中石化胜利油田热电联供中心生产调度联网、昆钢能源管理系统等项目。
它与防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接,只完成特定工业应用数据的交换。由于没有了网络的连接,攻击就没有了载体,如同网络的“物理隔离”。由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开。
产品特点
1. 自主开发的PSL工业网络隔离技术
2. “2+1”隔离技术架构
3. 数据单向传输
4. 双数据摆渡模式
5. 支持丰富的工业协议
6. 测点级访问控制
7. 分布式部署,集中管理
8. 断线缓存及热备机制
9. OPC tunnel
10.多重可靠性保障
核心优势
该产品是国内首款国家公安部认证的工业网络安全防护产品。
在应用中彻底隔离IT网络中蠕虫、木马等恶意程序传播 → 保护SCADA、DCS、PLC等重要资产的安全。
能够过滤掉嵌入在应用层的恶意代码,保护工厂生产装置的安全。
能够彻底阻断ARP、flood、碎片、恶意扫描等恶意攻击,保护工厂生产装置免受恶意攻击,从而保障工厂人员生命及财产安全。
采用了工业级设计,使设备能够长期稳定运行提高系统稳定性,保证业务的连续性。
运营案例
案例简述
某大型国有燃气公司在北京设立生产指挥调度中心,同时建设以大型分布式SCADA为核心的指挥调度系统。该公司目前在全国近20个省市拥有上百个站库,并计划在未来5年将站库规模扩大到1600个,按照这样的发展速度,将来中心采集的数据点数将达到30万点。目前,中心调度系统实现的功能包括:各站库所有参数的采集与存储、各站库主要参数与主要工艺画面的监视、各站库主要参数的统计及分析、各站库主要参数的图形展示、各站库主要参数的报表生成等,整个系统支持Web访问方式。
由于各站库地理位置分散,从站库接入到调度中心的网络通信方式多种多样。一部分集团公司直属的站库采用集团专网,集团专网租用电信专线通过VPN实现广域网传输。其它不具备接入集团专网的站库,则采用ADSL、无线等接入方式通过互联网将数据传到中心。最终构成的整个指挥调度系统的网络结构非常复杂。联网后,将导致各站库的站控网络直接暴露给集团专网或互联网。该集团专网是面向集团内各地分公司的办公网络,应用数据多样而复杂;互联网则更是一个开放网络。而由各种DCS、PLC、RTU、仪表等控制系统组成的站控系统负责完成对门站、调压站、管网的基础数据采集、控制、联锁保护等任务,因此,其控制网络的安全性非常重要,一旦直接暴露给外网,就有可能因受到外网的恶性攻击、病毒感染而导致控制网络阻塞、瘫痪,甚至产生破坏和影响生产的严重后果。
设计目标
该燃气公司出于对各站库生产安全的考虑,选用了pSafetyLink作为站控系统的网络安全防护装置。
pSafetyLink通过内部的双独立主机系统,一端接入到站控系统的网络,通过采集接口完成对站控数据的采集;另一端接入到集团专网或通过ADSL、无线等方式接入到公网,完成数据到调度中心的传输。双主机之间通过专有的PSL网络隔离传输技术,截断 TCP 连接,彻底割断穿透性的 TCP 连接。PSL的物理层采用专用隔离硬件,链路层和应用层采用私有通信协议,数据流采用128 位以上加密方式传输,更加充分保障数据安全。PSL技术实现了数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保站控制系统不会受到攻击、侵入及病毒感染。
项目总结
pSafetyLink在燃气生产指挥调度系统中,一方面实现了对各站控系统的分布式数据采集与传输,同时彻底阻断了站控系统的控制网络与互联网络的直接网络连接,从根本上保证了站控系统的网络不会受到来自外网数据的攻击,为各站库的生产安全运行提供了保障。
