发表于:2007-01-19 15:50:00
楼主
行业背景
在化工工业自动化过程中,电控系统、仪控系统、通信系统、SCADA系统以及DCS分散控制系统越来越广泛地应用在冶金行业的生产控制过程中; 以高效、高产、优质为目的局部工艺已经实现无人化;可视化技术和监控系统在企业生产、经营活动中正在发挥作用。同时MIS、CIMS、ERP也被广泛应用于企业管理过程中,使企业的生产管理产生了革命化的转变。但是出于对网络安全的考虑,信息流程却处处被阻断,形成一个又一个的信息孤岛。特别是MIS网和DCS网之间的连接,由于担心控制网被攻击,往往将这两个网完全隔离。然而信息化的优势,正在于生产质量监控与管理控制的实时性。这样无法及时获得实时的生产信息,极大地影响了管理的效率和质量,严重地阻挠了工厂信息化的进一步发展以及企业整体竞争力的提升。
为了获取现场的生产信息,许多企业采用拷盘或人力传递的方式传送信息。宝钢流传着这样一个故事。每天凌晨2点,派专人开着吉普车从高炉采集数据,然后送到MIS网,一直到凌晨4点。人工采集不仅极不方便也无法实时地采集到现场的数据,很难满足当今冶金行业对生产控制和信息管理方面的要求。实时采集准确的生产数据并加以控制是钢铁企业信息化面临的难题。
安全隐患
MIS系统与DCS系统沟通不畅,形成信息孤岛,控制网络的实时数据不能被合理实时利用,企业有限资源得不到充分利用,形成巨大浪费。如果MIS系统与DCS系统相连,这可以大大减轻人力、而且还便于管理,提高工作效率。还可以充分利用实时采集的数据对现场采集的数据进行及时的分析,针对每一个转瞬即逝的问题,作出正确的判断,将每个故障控制在萌芽状态。
但是MIS系统与DCS系统相连。可能从MIS系统会引入DoS攻击,导致控制网络的瘫痪,可能会造成极为严重的后果和重大的经济损失。
技术手段分析
保证安全的方法很多, 防火墙是一种被人们广泛使用的连接互联网的网络安全设备。防火墙的弊病很多,其中最突出的就是它的自身防护能力。它们本身就存在着许多安全漏洞和问题。也就是说自身难保,一个连自身的安全都无法保证的网络安全装置又如何去保护一个网络的安全呢?此外,防火墙的网络防护能力也非常有限。
此外,由于防火墙允许双向数据传输,防火墙也根本无法防止病毒和DOS攻击入侵。
方案介绍
凭借雄厚的技术实力,北京数码星辰为了解决工业控制网和MIS连接的信息孤岛的问题和由此而带来的网络安全问题,专门研制专门针对控制网和MIS连接保护的DShield(宇宙盾)网络安全隔离产品,并以此提出了数码星辰的控制网安全防护解决方案。
这一设计的核心是既让DCS/SCADA控制网到MIS网的数据畅通,又要严格堵住从MIS系统或者企业管理网可能引入的入侵和网络攻击。同时要绝对保证安全设备自身的绝对安全。
DShield/宇宙盾控制网专用安全隔离网闸就是按照这一原则设计的单向隔离设备。他只允许DCS控制网采集的数据流向MIS网,不容许任和其他数据返回到控制网络。对于一些特殊情况下,要求有少量的信息返回时,我们将对方回的内容作严格的过滤,只允许合法的数据返回到控制网络。北京数码星辰的解决方案已经成功地应用于对网络要求最为严格的电厂和电力调度局。采用数据过滤方式的解决方案已在济钢集团使用获得极大的好评。
产品使用低功耗无风扇硬件设计和双电源双主机设计。专用的隔离岛,有效的切断了穿透性的TCP/IP连接,数据在设备内部以非网络方式传输,具有不可编程性。内外网主机工作在内核态,工作效率更高。设备对非法主机不做任何应答,切断了对设备自身攻击的途径。
北京数码星辰科技有限公司的这一方案已成功地应用于包括冶金、电力、水处理和化工等诸多行业极大地方便了企业的现代化管理,受到了一致好评。最近,济南钢铁集团在仔细地分析了多种不同的解决方案,北京数码星辰的解决方案脱颖而出,被济南钢铁集团采用,取得了良好的效果。目前这一方案正在更大范围内被采用。
转自www.chuandong.com