安全隔离网关采用“2+1”的物理结构,内部由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自独立运行网络隔离系统。一端的主机系统为内网处理模块,用于连接生产网络环境;另一端的主机系统为处网处理模块,用于连接办公网络环境。两端主机的硬件均采用高性能嵌入式计算机芯片,主板上各有多个以太网接口用来连接要隔离的两个网络,串口可直接采聚设备信息,两端主机各安装一块专用隔离区实现双主机之间的物理连接。3G/4G保证断网情况下数据传输的可靠性,硬件看门狗实时监视系统状态,保证整套装置的稳定、持续运行,实现加密通讯。
系统包括内网处理模块、外网处理模块、隔离硬件三部分。隔离硬件分别连接内外网处理模块,此设计保证数据通过私有加密连接,从而实现内外网的安全隔离。系统同时集成了安全操作系统、数据采集、访问控制、日志管理,报警通知等。
1. 产品配置:
硬件架构:双主机+物理隔离单元
网络接口:10M/100M以太网络
通讯串口:2个RS485/RS232
看门狗:支持
工作温度:-30℃—70℃
供电电压:DC 220V
额定功率:24W
外形尺寸:332.5*482.6*44.4mm
2. 产品架构
2.1 硬件架构
安全隔离网关采用“2+1”的物理结构,内部由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自独立运行网络隔离系统。一端的主机系统为内网处理模块,用于连接生产网络环境;另一端的主机系统为处网处理模块,用于连接办公网络环境。两端主机的硬件均采用高性能嵌入式计算机芯片,主板上各有多个以太网接口用来连接要隔离的两个网络,串口可直接采聚设备信息,两端主机各安装一块专用隔离区实现双主机之间的物理连接。3G/4G保证断网情况下数据传输的可靠性,硬件看门狗实时监视系统状态,保证整套装置的稳定、持续运行。实现加密通讯。
2.2 软件架构
安全隔离网关的内网处理模块与外网处理模块分别运网络隔离系统,主机之间的内部通讯使用私有协议,协议采用专有加密算法实现数据高速加解密处理,保证数据传输的安全。该系统全面支持文件传输、数据库传输、大部分主流工业网络协议,包括OPC、Modbus等。内网处理模块和外网处理模块系统中的隔离通信组件和中间的隔离单元三者构成了工业网络隔离系统的核心。隔离通信组件负责根据用户配置提取所需要的工业网络数据,屏蔽其它协议数据和用户配置之外的工业网络数据,并对数据进行必要的解析和安全检查;隔离单元负责使用加密的私有协议进行控制端和信息端之间的数据摆渡。
2.3 应用场景如下图所示:
3. 产品特点:
3.1 网络隔离技术
安全隔离网关作为生产网络与办公网络之间的安全隔离设备,其核心为工业网络隔离技术的应用。工业网络隔离技术在物理层采用了两个独立高性能嵌入式主机,双主机之间采用基于总线通信的隔离模块实现两个安全区之间的非网络方式的数据交换;数据链路层和应用层采用私有通信协议,数据流全部进行加密处理,实现数据的安全传输。通过物理硬件和软件逻辑的共同作用,彻底截断了穿透性的TCP连接,同时实现对工业协议数据的定向采集和转发,达到数据协议私有化、内容安全过滤,传输过程具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保控制网络不受攻击和入侵。
3.2 支持丰富数采集
安全隔离网关提供了多种数据采集方式,包括文件、数据库采集,支持各种主流的工业通信标准协议如Modbus、opc等,同时还可以提供协议的定制增加。
3.3 支持可视化管理
安全隔离网关提供了webs配置管理界面,可以远程监控设备的网络状态、对设备进行工程配置和管理、查看各采集数据状态、读取和分析设备日志等。
3.4 数据断线缓存
针对网络数据的连续性高要求,安全隔离网关增加了断线缓存功能。该功能可以在网络暂时性中断的情况下,将数据缓存在本地,并不断检测网络的连通性状态,一旦网络连通则会将缓存的数据补报到上位系统中,保证数据的连续性。
3.5 数据双路切换
针对网络数据的实时性要求,安全隔离网关增加了双路切换功能。该功能可以在有线网络暂时性中断的情况下,将启用备用4G网络通讯,并不断检测有线网络的连通性状态,一旦有线网络连通则会将续继切换回有线网络,切数据4G网络,保证数据的实时性。同时也支持两路网络同时发送。
3.6 高可靠性
安全隔离网关从硬件与软件设计上进行了多方面优化,硬件双主机均有独立硬件看门狗,保证设备的稳定运行。软件系统检测各个服务、进程的运行状态,当发现异常时自动产生报警信息,并在符合条件的情况下启动自动恢复逻辑。
4. 产品功能:
4.1 安全隔离
协议隔离:内、外网模块之间只能通过采用非网式专有安全通道 进行间歇性数据传递,内外网无法直接建立任何的协议会话,从而阻断 以共同协议为载体的风险传递。
内容隔离:内、外网模块分别将待交换传输的数据进行内容检查,不符合安全规定的数据内容将被直接删除,合法的数据才允许被安全数据隔离模块交换至另一端,从而保证了数据内容的安全性。
4.2 信息采集
文件传输:系统内置的FTP应用协议处理模块,能够实现内外网间的安全 FTP数据交互,可以设定允许的用户名、密码等策略,也可以对其传输的文件类型进行过滤,过滤不安全及泄密的因素。
数据库传输:通过内置的数据库处理模块,系统内能够处理的各种数据库操作如: SQLSERVER 、MYSQL 、ORACLE 。
工控信息传输:支持工控领域常见的OPC/MODBUS等多种主流协议,并可配置相应的功能代码。 比如只允许通过 MODBUS 协议读取状态信息等。
4.3 网络访问控制
网络访问控制:内、外网模块完整实现链路层、网络层、 传输层访问控制,通过灵活组合网络对象,制定与实际需求完全吻合的访问策略。
访问用户控制:内、外网模块可实现定制、允许哪些用户可以访问,以何种策略访问。
4.4 数据内容审查
关键字检查:内、外网模块可依据管理员设定的涉密或不健康的信息进行过滤,将过滤到关键字的信息丢掉并记录日志告警。
4.5 安全管理
安全管理通信:只允许从设备的管理控制端口进行管理。在通信端口不接受任何管理请求。避免了管理信息的旁入可能。采用加密的 HTTPS 协议进行交互。现有各种监听工具无法获取其通信内容,保障了管理信息的安全性。
权限分配:采取系统策略配置管理员、安全管理员与日志管理员三种 角色分立的权限分配模式。用户只能维护操作本类基础管理角色的功能与操 作,权限各不交叉。
策略规则:采用面向用户的策略定制方式,依次制定适应实际网络应用环境的交换策略。
4.6 日志审计
提供强大的日志和审计功能,日志默认存储在设备中。为日志审计提 供了很好的数据支撑和方便性。日志内容完整记录并保存系统设定、通信控制、内容检查、连接限制、系统告警等各类日志告警信息。
我方提供24小时服务热线、1小时快速响应、8小时内现场服务。
我方在质保期内免费提供技术服务和技术支持,服务内容应包括整个系统的日常运行维护及对各功能模块的持续改善。