工控安全

工业网闸

工业网闸产品采用北京南北恒达科技有限公司科技最新的隔离技术，能够有效实现内外网络的安全隔离，数据只能以专有数据块方式静态地在内外网络间进行“摆渡”，从而切断了内外网络之间的所有直接连接，保证内、外网数据能够安全、可靠地交换。

工业网闸产品硬件特点是采用工控产品架构来设计，可适应各种恶劣的工业环境。

工业网闸由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身工控网络特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户工业网络及系统安全性的同时，最大限度保证客户应用的方便性。

产品可广泛应用于电力、石油、石化、烟草、水利、轨道交通、智能制造等领域，为SCADA、DCS、PLC等工控系统与生产管理网等业务系统提供高效可靠的安全隔离，满足行业政策法规及安全技术要求。

网络的外部主机系统通过网闸与网络的内部主机系统“连接”起来，网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。

当内网与外网之间无信息交换时，数据交换单元与内网交换单元，数据交换单元与外网处理单元，内网处理单元与外网处理单元之间是完全断开的，即三者之间不存在任何连接，如下图所示。 

系统框架图：

当内网数据需要传输到外网时，内网处理单元会主动向数据交换单元发起非TCP/IP协议的数据连接请求，并发出“写”命令，将“读”开关合上，并把所有的协议剥离，将原始数据写入高速缓存。在写入之前，根据不同的应用，还要对数据进行必要的完整性、安全性检查，如病毒和恶意代码检查等。 

主要功能

安全隔离

物理隔离：系统由内网单元、外网单元及安全数据交换单元三个物理部分组成。安全数据交换单元不同时与内外网处理单元连接。其数据流转过程类似U盘在内外网处理单元之间拷贝数据。

协议隔离：内、外网单元主机均采用相同的安全操作系统，分别独立完成网络协议的终止。内、外网单元之间只能通过采用非网式专有安全通道进行间歇性数据传递，内外网无法直接建立任何的协议会话，从而阻断以共同协议为载体的风险传递。

应用隔离：系统采用模块化的应用解码，内外网单元分别独立完成与客户会话交互、提取安全数据等待数据交换，所以内外网之间不能建立直接的应用会话。

内容隔离：内、外网单元分别将待交换传输的数据进行内容检查与病毒查杀，不符合安全规定的数据内容将被直接删除，合法的数据才允许被安全数据交换单元交换至另一端，从而保证了数据内容的安全性。

风险隔离：系统以白名单机制运行，仅许可正常的、用户许可的网络应用，防范未知的安全风险。并且系统集成防病毒并可扩展多种常规安全防护引擎，如入侵检测等，可检测60000多种病毒和4000多种网络入侵。双重安全机制最大程度上实现了风险隔离。

工控协议应用数据传输

支持OPC、MODbus等工控协议的深度检测，如：报文格式检查、功能码控制、寄存器控制、连接状态控制等的检测和过滤。

数据库信息交换

数据库信息交换包括两部分，一为数据库信息访问交换，一为数据库信息同步。北京南北恒达科技有限公司工业网闸产品同时支持这两种应用，可控制到表、字段、SQL动作等最详细信息。目前支持的数据库种类包括ORACLE、SQLSERVER、DB2、MYSQL、SYBASE等几款主流数据库通信。

文件信息交换

通过系统内置的FTP应用协议处理模块，北京南北恒达科技有限公司工业网闸能够实现内外网间的安全FTP数据交互，可以设定允许的用户名、密码、动作等策略，也可以对其传输的文件类型进行过滤，摒弃不安全及泄密的因素。

内容过滤功能

对于用户自行研发的标准TCP/IP通信协议，可借助我公司提供的协议分析产品和自定义协议界面，完成用户协议的安全定制，北京南北恒达科技有限公司工业网闸会以用户定制的命令、参数等协议解析方式来解析用户的通信内容，从而实现在通信端口内只允许用户特定的协议通过，远比其它产品只进行端口过滤和内容过滤安全的多。针对关键字（词）进行检索，按照匹配的原理，对通过网闸传输的数据进行过滤和检查，可以保护网络的各种敏感资源和数据，也保护了可信网络资源。

网络访问控制

工业网闸具有强大的访问控制力，管理员可通过订制访问策略，精细地控制 谁（网络对象）能够（允许或禁止）访问自己。管理控制台以人性化的人机接口协助管理员轻松实现管理目标。

网络访问控制：隔离系统的内、外网单元完整实现链路层、网络层、传输层访问控制，通过灵活组合网络对象，制定与实际需求完全吻合的访问策略。

访问用户控制：隔离系统的内、外网单元可实现定制、绑定哪些用户可以访问，以何种策略访问。

安全的管理通信

工业网闸只允许从网闸设备的管理控制端口进行管理。在通信端口不接受任何管理请求。避免了管理信息的旁入可能。管理者与隔离网闸设备采用加密的HTTPS协议进行交互。现有各种监听工具无法获取其通信内容，保障了管理信息的安全性。

策略定制功能

工业网闸采用面向用户的策略定制方式，即便是初次使用的用户也可依据界面向导，依次制定适应实际网络应用环境的交换策略。此外，系统内置的初始策略更是方便了新用户的使用。

日志和警报功能

工业网闸提供的日志和警报功能，可以监视和解决对可信网络以及设备本身的连接和破坏安全的问题，也可以通过管理控制台状态选项卡对整个工业网闸进行常规的状态监视。支持第三方日志输出与集中管理，实现企业级网管中心的集成。日志默认存储在设备中。并且支持通过标准SYSLOG的日志格式发送到远端日志服务器，为日志审计提供了很好的数据支撑和方便性。日志内容完整记录并保存系统设定、通信控制、内容检查、连接限制、系统告警等各类日志告警信息。审计模块可使管理员以多种方式进行查询、审计，并生成报表。系统具有日志告警信息的导入、导出、备份等功能，保证了日志告警信息的安全性与易用性。

应用部署

工厂网络可以分为三层：管理协同层、生产管理层、生产制造层。管理协同层MES服务器通过通用网闸与MES客户端同步数据，使用数据库同步模块或文件交换模块。生产管理层的MES客户端通过工业安全隔离网闸访问OPC服务器，进行采集数据，使用OPC应用数据传输功能。