安全資料隔離系統時間同步(GPS北斗授時)方案
安全資料隔離系統時間同步(GPS北斗授時)方案
京準電子科技官微——ahjzsz
背景
隨著IT技術的發展,工業上通過現場總線、串行通行、網路等方式的自動化系統越來越普遍,資訊化水平越來越高,伴隨而來的,面臨的安全威脅也越來越嚴重,在沒有安全防護的系統上,黑客或別有用心的人,能夠輕易的進入自動化系統,對整個生產系統進行破壞,作為基于IP的以太網,隨著幾十年通信網路的發展,已經發展了豐富的軟硬體防火墻系統,基本能夠保證網路的安全,所以自動化系統的IP通信網路系統,能夠在這樣的基礎上,通過傳統或改良的防火墻系統,對自動化系統起到一定的防護作用,但要達到安全的防護效果,還需要進行應用層的安全資料隔離,
但對于串行通信、現場總線,目前國際上都還沒有對應的安全防護措施,當自動化系統的IP網路一旦被黑客進入,與之相連的串行通信系統、總線系統均暴露在黑客面前,任由黑客攻擊,特別在下述的情況下,這種安全問題優為嚴重:當兩個大型區域自動化系統通過串行介面進行通信時,如果其中一個自動化系統由于安全防護弱的原因,被黑客或其內部人員無授權的進入,另外相連的自動化系統可能就面臨非常大的安全問題,
基于這種考慮,我們設計了一種安全資料隔離網關,對兩邊的串口、網路口進行資料安全過濾隔離,只允許通過事先定義好的資料和協議指令,實作對兩邊自動化系統的安全隔離,
安全資料隔離網關
該網關由兩個帶冗余硬體的模塊成對構成,每個模塊均有兩個CPU構成冗余模式,保證模塊的高可用性,見下圖,
智能網關
模塊對串口/網口過來的資料,根據其通信協議,對資料進行過濾,對符合通信協議和設定地址的資料放入內部實時資料庫中,并影射到資料同步區中,同步到另外一個模塊的同步區中,該同步區資料將自動影射到模塊的資料發送區,通過選定的通信協議,把資料發送出去,對于不符合通信協議,或者是非設定地址的資料,模塊在接收端即直接丟棄,這樣就保證了通信的絕對安全,見下圖示意:
資料安全通訊
從上圖可以看到,安全網關通過協議過濾、資料過濾、資料同步這三個安全隔離防護措施,完全阻隔了非法資料的通過和非法的入侵,無論從安全網關的哪一側開始入侵,入侵均被阻隔在第一個模塊處,而無法進入第二個模塊,這就保證了第二個模塊后面的自動化系統安全,
典型應用方案
通過串口安全網關,對互相通信的兩個PLC/RTU/DCS系統進行隔離,每個PLC/RTU/DCS只能看到安全網關的其中一個模塊,另外一個模塊是安全隔離的,由此實作對安全網關后面系統的隱藏,該網關通過對通信的安全過濾,實作兩個PLC/RTU/DCS系統的安全可靠通信,有效防止非法入侵與訪問,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/251545.html
標籤:其他