產(chǎn)品頻道

產(chǎn)品概述
背景
隨著網(wǎng)絡(luò)信息時(shí)代的到來(lái)，我國(guó)工業(yè)模式發(fā)生了翻天覆地的變化，徹底打破了“信息孤島”模式，企業(yè)全面聯(lián)網(wǎng)，生產(chǎn)數(shù)據(jù)輕松實(shí)現(xiàn)匯總分析，不但提高了生產(chǎn)效率，還達(dá)到了節(jié)能減排的目的。信息化給工業(yè)帶來(lái)的有利變化顯而易見，但隨之而來(lái)的網(wǎng)絡(luò)安全問題又使人為之驚慌。在工業(yè)網(wǎng)絡(luò)中，運(yùn)行著DCS、PLC、SCADA等各種過程控制系統(tǒng)，它們往往是生產(chǎn)系統(tǒng)的核心，負(fù)責(zé)完成基本的生產(chǎn)控制。但是，如果這些過程控制系統(tǒng)一旦遭受入侵或破壞，就會(huì)對(duì)工業(yè)生產(chǎn)造成影響，可能使企業(yè)蒙受重大的經(jīng)濟(jì)損失，甚至危及生產(chǎn)人員的生命安全。因此，保證過程控制系統(tǒng)的運(yùn)行安全是非常重要的事情，廣大工業(yè)企業(yè)迫切需要一款針對(duì)工業(yè)網(wǎng)絡(luò)通信協(xié)議進(jìn)行有效檢查和過濾，適用于工業(yè)網(wǎng)絡(luò)環(huán)境的專業(yè)防火墻。
商用防火墻的不足
商用防火墻是目前網(wǎng)絡(luò)邊界上最常用的一種防護(hù)設(shè)備。提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用代理、帶寬和流量控制、事件審核和報(bào)警等。商用防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下，雖然經(jīng)過了多年的發(fā)展和完善，但其應(yīng)用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò)，它對(duì)于工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應(yīng)。
● 防火墻主要是針對(duì)通用網(wǎng)絡(luò)協(xié)議進(jìn)行檢查和過濾，完全沒有覆蓋工業(yè)網(wǎng)絡(luò)協(xié)議和應(yīng)用，更談不上對(duì)于工業(yè)網(wǎng)絡(luò)協(xié)議和應(yīng)用數(shù)據(jù)的內(nèi)容進(jìn)行解析和檢查。所以從這個(gè)角度來(lái)看商用防火墻對(duì)于工業(yè)網(wǎng)絡(luò)安全防護(hù)沒有絲毫的幫助。
● 為了提高安全防護(hù)能力，商用防火墻在發(fā)展過程中不斷的添加新的功能，但是防火墻的安全性與其速度、功能成反比。防火墻的安全性要求越高，需要對(duì)數(shù)據(jù)包檢查的項(xiàng)目（即防火墻的功能）就越多越細(xì)，對(duì)CPU和內(nèi)存的消耗也就越大，從而導(dǎo)致防火墻的性能下降。這一點(diǎn)與工業(yè)網(wǎng)絡(luò)對(duì)于實(shí)時(shí)性的要求是相背離的。
國(guó)外工業(yè)防火墻的擔(dān)憂
西方發(fā)達(dá)國(guó)家工業(yè)信息化起步比我國(guó)早，工業(yè)網(wǎng)絡(luò)的發(fā)展和應(yīng)用也比我國(guó)廣泛，相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品也應(yīng)運(yùn)而生。目前，國(guó)際市場(chǎng)上已經(jīng)出現(xiàn)了一些專門保護(hù)工業(yè)網(wǎng)絡(luò)的安全產(chǎn)品，這些國(guó)外廠家宣稱他們的產(chǎn)品可以對(duì)工業(yè)網(wǎng)絡(luò)中的控制設(shè)備或控制系統(tǒng)起到安全保護(hù)的作用。但是，近幾年連續(xù)爆出的伊朗核設(shè)施被攻擊、美國(guó)“棱鏡門”計(jì)劃等安全事件一次次的給我們敲響警鐘，國(guó)外的網(wǎng)絡(luò)安全產(chǎn)品是否真正的可靠呢？我國(guó)工業(yè)網(wǎng)絡(luò)正在迅速的普及過程中，工業(yè)網(wǎng)絡(luò)越來(lái)越多的接入到互聯(lián)網(wǎng)中，依靠國(guó)外技術(shù)和產(chǎn)品保護(hù)我們自己的工業(yè)網(wǎng)絡(luò)安全是不夠的，我們必須掌握核心技術(shù)，有自主可控的安全產(chǎn)品才可以真正的作到安全的工業(yè)網(wǎng)絡(luò)，因此，當(dāng)務(wù)之急是需要開發(fā)具有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)工業(yè)防火墻。
HC-ISG系列工業(yè)防火墻產(chǎn)品簡(jiǎn)介
作為國(guó)內(nèi)工控行業(yè)的佼佼者，力控華康深知自己的社會(huì)責(zé)任所在。力控華康依托多年工控行業(yè)的技術(shù)積累，通過自主創(chuàng)新開發(fā)出HC-ISG系列工業(yè)防火墻，為國(guó)內(nèi)工業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。
HC-ISG系列工業(yè)防火墻不但支持商用防火墻的基礎(chǔ)訪問控制功能，更重要的是它提供針對(duì)工業(yè)協(xié)議的數(shù)據(jù)級(jí)深度過濾，實(shí)現(xiàn)了對(duì)Modbus、OPC等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過濾，幫助用戶阻斷來(lái)自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，避免其對(duì)控制網(wǎng)絡(luò)的影響和對(duì)生產(chǎn)流程的破壞。
產(chǎn)品架構(gòu)
HC-ISG系列工業(yè)防火墻是力控華康將自己多年工控行業(yè)應(yīng)用經(jīng)驗(yàn)與傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)完美融合的產(chǎn)物。產(chǎn)品在架構(gòu)設(shè)計(jì)上充分的考慮了工業(yè)網(wǎng)絡(luò)設(shè)備種類多、協(xié)議復(fù)雜、行業(yè)差別大的特點(diǎn)，將產(chǎn)品進(jìn)行了深度的模塊化封裝，引入了功能插件的概念，使整個(gè)防火墻系統(tǒng)更加部件化。通過這種架構(gòu)的實(shí)現(xiàn)一方面可以更好的適應(yīng)現(xiàn)有工業(yè)網(wǎng)絡(luò)安全防護(hù)的需要，另一方面為未來(lái)產(chǎn)品功能的擴(kuò)展和用戶定制開發(fā)打下良好的基礎(chǔ)。
HC-ISG系列工業(yè)防火墻包括基礎(chǔ)系統(tǒng)、功能插件和配置管理工具三個(gè)部分。
基礎(chǔ)系統(tǒng)是由力控華康根據(jù)工業(yè)網(wǎng)絡(luò)通信特點(diǎn)和安全防護(hù)要求定制開發(fā)的底層運(yùn)行平臺(tái)，為防火墻上層業(yè)務(wù)模塊提供必要的運(yùn)行環(huán)境和安全保障。
功能插件是HC-ISG系列工業(yè)防火墻的核心業(yè)務(wù)處理模塊，它由一系列獨(dú)立的功能模塊組成，主要用于完成對(duì)于工業(yè)網(wǎng)絡(luò)協(xié)議的識(shí)別、解析和深度過濾。
配置管理工具用于對(duì)HC-ISG系列工業(yè)防火墻的進(jìn)行網(wǎng)絡(luò)組態(tài)、策略配置和運(yùn)行監(jiān)控，是與防火墻進(jìn)行人機(jī)交互的接口。
產(chǎn)品功能特點(diǎn)
工業(yè)網(wǎng)絡(luò)通信協(xié)議的深度過濾
商用防火墻主要是針對(duì)通用網(wǎng)絡(luò)協(xié)議進(jìn)行訪問控制和安全過濾，完全不支持Modbus、Profinet等工業(yè)網(wǎng)絡(luò)協(xié)議。HC-ISG系列工業(yè)防火墻與商用防火墻最大的區(qū)別，也就是其最重要的特點(diǎn)之一是針對(duì)工業(yè)通訊協(xié)議進(jìn)行深度過濾。之所以稱之為深度過濾，是因?yàn)镠C-ISG系列工業(yè)防火墻不但可以針對(duì)工業(yè)網(wǎng)絡(luò)協(xié)議進(jìn)行基本的訪問控制，而且可以針對(duì)工業(yè)網(wǎng)絡(luò)協(xié)議的內(nèi)容和數(shù)據(jù)進(jìn)行細(xì)致的合規(guī)性檢查。例如：HC-ISG系列工業(yè)防火墻的Modbus協(xié)議管控模塊可以針對(duì)Modbus協(xié)議的設(shè)備地址、寄存器類型、寄存器范圍和讀寫屬性等進(jìn)行檢查。通過類似的管控模塊能有效的防范各種非法的操作和數(shù)據(jù)進(jìn)入現(xiàn)場(chǎng)控制網(wǎng)絡(luò)，最大限度地保護(hù)控制系統(tǒng)的安全。
工業(yè)現(xiàn)場(chǎng)設(shè)備繁多、規(guī)格不一、通信協(xié)議和規(guī)約各異，這就要求安全設(shè)備可以支持多種工業(yè)網(wǎng)絡(luò)通信協(xié)議、適用于各種網(wǎng)絡(luò)環(huán)境、可與各種現(xiàn)場(chǎng)設(shè)備進(jìn)行交互對(duì)接。針對(duì)這種現(xiàn)狀HC-ISG系列工業(yè)防火墻將每一個(gè)工業(yè)協(xié)議作為一個(gè)獨(dú)立的深度過濾模塊，以插件的方式按需加載到系統(tǒng)中。而且可以根據(jù)用戶現(xiàn)場(chǎng)的需要進(jìn)行工業(yè)網(wǎng)絡(luò)協(xié)議深度過濾模塊的快速定制開發(fā)和響應(yīng)，最大限度的滿足工業(yè)現(xiàn)場(chǎng)的各種安全防護(hù)要求。
全透明、無(wú)間斷部署
考慮到工業(yè)網(wǎng)絡(luò)對(duì)于可用性、持續(xù)性和實(shí)時(shí)性的要求，HC-ISG系列工業(yè)防火墻采用全透明接入的方式，無(wú)論是針對(duì)存量網(wǎng)絡(luò)，還是新建網(wǎng)絡(luò)都無(wú)需改變?cè)芯W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。同時(shí)HC-ISG系列工業(yè)防火提供直通、測(cè)試、管控三種工作模式，產(chǎn)品在部署、配置和使用過程中可以根據(jù)需要實(shí)時(shí)切換到適當(dāng)?shù)墓ぷ髂Ｊ较?，保證在整個(gè)過程中都不會(huì)阻塞正常的業(yè)務(wù)數(shù)據(jù)傳輸，都無(wú)需中斷生產(chǎn)系統(tǒng)的運(yùn)行。
智能協(xié)議識(shí)別和輔助規(guī)則生成
工業(yè)網(wǎng)絡(luò)中設(shè)備眾多、網(wǎng)絡(luò)通信復(fù)雜，用戶很難全面的掌握網(wǎng)絡(luò)中所必須的業(yè)務(wù)通信需求，這會(huì)給防火墻的規(guī)則配置帶來(lái)很大的困難。為了方便用戶進(jìn)行防火墻規(guī)則的配置，提高規(guī)則配置的準(zhǔn)確性，減少規(guī)則配置的工作量，HC-ISG系列工業(yè)防火墻開發(fā)了智能協(xié)議識(shí)別和輔助規(guī)則生成功能。智能協(xié)議識(shí)別功能采用被動(dòng)檢測(cè)的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包，并進(jìn)行數(shù)據(jù)包的解析，智能的與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對(duì)象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò)交互信息列表，幫助用戶以最快捷的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信。
在智能協(xié)議識(shí)別的基礎(chǔ)上用戶可以使用配置工具中所提供的輔助規(guī)則生成功能，將網(wǎng)絡(luò)交互信息與實(shí)際業(yè)務(wù)進(jìn)行比對(duì)，給每一個(gè)網(wǎng)絡(luò)交互過程配置適當(dāng)?shù)姆阑饓σ?guī)則，從而準(zhǔn)確、快捷的完成防火墻規(guī)則的部署。
規(guī)則正確性測(cè)試
工業(yè)網(wǎng)絡(luò)與商用網(wǎng)絡(luò)最大的不同就是可靠性要求極高，不允許出現(xiàn)由于配置不當(dāng)產(chǎn)生的影響網(wǎng)絡(luò)通信，近而影響生產(chǎn)、造成經(jīng)濟(jì)損失的情況，所以工業(yè)防火墻規(guī)則正式上線運(yùn)行之前需要進(jìn)行精細(xì)化的跟蹤和測(cè)試，排除其中可能的不當(dāng)配置，將防火墻對(duì)于生產(chǎn)的影響控制到最小。
針對(duì)工業(yè)網(wǎng)絡(luò)這種特殊的需要HC-ISG系列工業(yè)防火墻提供了測(cè)試模式來(lái)進(jìn)行規(guī)則正確性的驗(yàn)證。在測(cè)試模式下防火墻會(huì)對(duì)流經(jīng)的數(shù)據(jù)進(jìn)行模擬的規(guī)則匹配，并生成詳細(xì)的日志，但不會(huì)真正阻斷任何數(shù)據(jù)通信。通過對(duì)日志的分析用戶可以精確的找到配置不當(dāng)或錯(cuò)誤的規(guī)則，并進(jìn)行及時(shí)的改進(jìn)和優(yōu)化。
符合工業(yè)用戶使用習(xí)慣的配置方式
工業(yè)中廣泛應(yīng)用的組態(tài)軟件將專業(yè)的工藝流程、復(fù)雜的數(shù)據(jù)反饋封裝成簡(jiǎn)單的圖形化界面，直觀的反映工業(yè)現(xiàn)場(chǎng)的生產(chǎn)情況。組態(tài)軟件以其圖形化、直觀性和易用性深受廣大工業(yè)用戶的喜愛，也成為工業(yè)用戶習(xí)慣的使用方式。力控華康有著多年的工控行業(yè)軟件開發(fā)經(jīng)驗(yàn)，對(duì)于工業(yè)用戶的使用習(xí)慣有著深刻的理解，在進(jìn)行HC-ISG系列工業(yè)防火墻設(shè)計(jì)和開發(fā)時(shí)也力求作到簡(jiǎn)單、直觀、易用。
● “白名單”配置方式
HC-ISG系列工業(yè)防火墻默認(rèn)拒絕所有連接，用戶只需要根據(jù)工業(yè)現(xiàn)場(chǎng)實(shí)際的業(yè)務(wù)通信需要配置與業(yè)務(wù)相關(guān)的放行規(guī)則即可，無(wú)需關(guān)心自己不熟悉的網(wǎng)絡(luò)通信協(xié)議。
● 網(wǎng)絡(luò)地圖
用戶可以使用HC-ISG系列工業(yè)防火墻的配置工具通過簡(jiǎn)單的拖放操作就可以快速組織與實(shí)際網(wǎng)絡(luò)環(huán)境一致的網(wǎng)絡(luò)拓?fù)鋱D。而且可以根據(jù)現(xiàn)場(chǎng)設(shè)備的物理位置、設(shè)備類型、設(shè)備名稱等為拓?fù)鋱D中每一個(gè)元素定義直觀的名稱，也可以通過直接點(diǎn)擊拓?fù)鋱D中的防火墻圖標(biāo)登錄進(jìn)行配置。
● 內(nèi)置各種常用設(shè)備和協(xié)議
HC-ISG系列工業(yè)防火墻內(nèi)置了常用的工作站、控制器、網(wǎng)絡(luò)設(shè)備等設(shè)備對(duì)象和常用的工業(yè)網(wǎng)絡(luò)協(xié)議、通用網(wǎng)絡(luò)協(xié)議等協(xié)議對(duì)象，在進(jìn)行防火墻配置時(shí)可以直接引用即可。
● 設(shè)備自發(fā)現(xiàn)
HC-ISG系列工業(yè)防火墻的配置工具提供了設(shè)備自發(fā)現(xiàn)功能，幫助用戶方便的找到網(wǎng)絡(luò)中已經(jīng)部署的防火墻，進(jìn)行快捷的配置和管理。
工業(yè)級(jí)產(chǎn)品可靠性保障
為了適應(yīng)工業(yè)網(wǎng)絡(luò)環(huán)境對(duì)于產(chǎn)品可靠性的要求，HC-ISG系列工業(yè)防火墻采用工業(yè)級(jí)產(chǎn)品設(shè)計(jì)，在環(huán)境適應(yīng)性、散熱、故障處理等方面進(jìn)行了全面的優(yōu)化。
HC-ISG系列工業(yè)防火墻硬件平臺(tái)專門面向工業(yè)應(yīng)用場(chǎng)合設(shè)計(jì)，對(duì)PCB、電源、機(jī)箱結(jié)構(gòu)、散熱進(jìn)行全面優(yōu)化，采用低功耗、寬溫、寬壓電子元器件，無(wú)風(fēng)扇傳導(dǎo)散熱，充分的減少產(chǎn)品的發(fā)熱量，提高產(chǎn)品的穩(wěn)定性和環(huán)境適應(yīng)性，保證設(shè)備在各種惡劣環(huán)境下可以持續(xù)、穩(wěn)定的運(yùn)行。
HC-ISG系列工業(yè)防火墻的網(wǎng)口支持Bypass功能，可以根據(jù)系統(tǒng)運(yùn)行狀態(tài)、上下游設(shè)備和網(wǎng)絡(luò)鏈路情況進(jìn)行自動(dòng)的切換，保證數(shù)據(jù)通信的持續(xù)暢通。
HC-ISG系列工業(yè)防火墻系統(tǒng)內(nèi)嵌自診斷程序，實(shí)時(shí)監(jiān)測(cè)整個(gè)系統(tǒng)的運(yùn)行情況，支持系統(tǒng)故障自恢復(fù)功能。
VPN幫助用戶實(shí)現(xiàn)安全的網(wǎng)絡(luò)互聯(lián)
HC-ISG系列工業(yè)防火墻集成了VPN功能，該功能一方面可以對(duì)數(shù)據(jù)接收和發(fā)送方的身份進(jìn)行鑒別，保證數(shù)據(jù)發(fā)送和接收方的合法性，另一方面可以對(duì)經(jīng)公用網(wǎng)絡(luò)進(jìn)行傳遞的數(shù)據(jù)進(jìn)行加密處理，保證數(shù)據(jù)運(yùn)輸過程的安全性。通過使用VPN可以幫助用戶利用公用網(wǎng)絡(luò)、以低廉的成本在分散的作業(yè)區(qū)與調(diào)度中心之間建立起加密的虛擬私有信息通道，實(shí)現(xiàn)整個(gè)工業(yè)網(wǎng)絡(luò)的安全互聯(lián)，保證調(diào)度指令和現(xiàn)場(chǎng)數(shù)據(jù)的安全傳輸。
典型應(yīng)用
安全區(qū)域之間的訪問控制和安全防護(hù)
隨著“兩化融合”的不斷推進(jìn)，廣大工業(yè)用戶的網(wǎng)絡(luò)結(jié)構(gòu)正在一步步發(fā)生著變化，現(xiàn)場(chǎng)過程控制網(wǎng)絡(luò)、生產(chǎn)管理網(wǎng)絡(luò)、企業(yè)信息網(wǎng)絡(luò)正在一點(diǎn)點(diǎn)的被打通，網(wǎng)絡(luò)縱向分層、橫向分區(qū)的模式正在形成。由于各個(gè)層次、各個(gè)區(qū)域網(wǎng)絡(luò)的業(yè)務(wù)不同、作用不同，對(duì)于安全防護(hù)的要求也就不同，所以需要在不同安全區(qū)域之間進(jìn)行必要的防護(hù)和控制。HC-ISG系列工業(yè)防火墻可以幫助用戶很好的實(shí)現(xiàn)這一目標(biāo)。
首先通過在縱向不同層次網(wǎng)絡(luò)之間部署HC-ISG系列工業(yè)防火墻，并配置合理的訪問規(guī)則，可以控制不必要的跨層訪問，防止攻擊者通過上層網(wǎng)絡(luò)向下層網(wǎng)絡(luò)的滲透和攻擊，減少由于網(wǎng)絡(luò)互聯(lián)互通所帶來(lái)的安全風(fēng)險(xiǎn)。同時(shí)可以對(duì)不同層次之間的工業(yè)協(xié)議數(shù)據(jù)交換進(jìn)行深度過濾，屏蔽非法操作，保障生產(chǎn)安全。
其次還可以在同一網(wǎng)絡(luò)層次中平行的廠區(qū)、工藝流程和業(yè)務(wù)子系統(tǒng)之間部署HC-ISG系列工業(yè)防火墻，將它們分割成不同的安全區(qū)域，配置不同的訪問規(guī)則，屏蔽不同安全區(qū)域之間不必要的訪問，對(duì)不同安全區(qū)域之間的工業(yè)協(xié)議數(shù)據(jù)交換進(jìn)行深度過濾，減少安全區(qū)域之間安全問題的擴(kuò)散和影響。

重點(diǎn)設(shè)備的安全防護(hù)
在工業(yè)網(wǎng)絡(luò)中存在很多核心的控制器、重要的數(shù)據(jù)存儲(chǔ)和交換服務(wù)器，它們是整個(gè)工藝流程和生產(chǎn)過程的中樞，關(guān)系到生產(chǎn)能否正常、安全的進(jìn)行，直接或間接影響到產(chǎn)品的質(zhì)量。這些重點(diǎn)設(shè)備本身是用來(lái)完成特定生產(chǎn)任務(wù)的應(yīng)用系統(tǒng)，其自身沒有任何的安全防護(hù)措施，可以通過網(wǎng)絡(luò)對(duì)其進(jìn)行任意的訪問。一旦這些重點(diǎn)設(shè)備受到惡意攻擊或者有人為誤操作的影響，將會(huì)直接危及整個(gè)生產(chǎn)過程，影響生產(chǎn)安全，甚至發(fā)生事故。
針對(duì)這些重點(diǎn)設(shè)備的特點(diǎn)可以在其前端部署HC-ISG系列工業(yè)防火墻，限制可以訪問它的IP地址、屏蔽非業(yè)務(wù)端口訪問、過濾非法的操作指令、記錄所有的訪問和操作，對(duì)其進(jìn)行全面的訪問控制和安全防護(hù)。通過部署防火墻可以很好的實(shí)現(xiàn)對(duì)重點(diǎn)設(shè)備的事前安全防護(hù)、事中過濾檢查和事后安全審計(jì)。

分散工業(yè)網(wǎng)絡(luò)的安全互聯(lián)
分散性是工業(yè)網(wǎng)絡(luò)的重要特點(diǎn)之一。工業(yè)網(wǎng)絡(luò)的設(shè)備可能分布于廠區(qū)各處，甚至野外、山區(qū)，由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的限制，經(jīng)常需要通過租用公共的無(wú)線網(wǎng)絡(luò)、衛(wèi)星、GPRS/CDMA等公用網(wǎng)絡(luò)傳輸線路實(shí)現(xiàn)與調(diào)度中心的連接和數(shù)據(jù)交換。公用網(wǎng)絡(luò)沒有足夠的安全保護(hù)和加密措施，很容易出現(xiàn)網(wǎng)絡(luò)竊聽、數(shù)據(jù)劫持、第三人攻擊等安全問題，而且攻擊者還可以利用公用網(wǎng)絡(luò)作為攻擊工業(yè)控制網(wǎng)絡(luò)的入口，實(shí)現(xiàn)對(duì)于整個(gè)工業(yè)控制網(wǎng)絡(luò)的滲透和控制。為了解決公用網(wǎng)絡(luò)帶來(lái)的安全隱患，用戶通常都會(huì)租用或架設(shè)專用的通信線路，這樣不但建設(shè)和運(yùn)營(yíng)成本高、而且需要專業(yè)的技術(shù)人員進(jìn)行線路的保障和維護(hù)。
在這種應(yīng)用環(huán)境下，可以在分散的作業(yè)區(qū)與公用網(wǎng)絡(luò)接口的位置部署HC-ISG系列工業(yè)防火墻。通過防火墻的部署不僅可以對(duì)作業(yè)區(qū)內(nèi)部的工業(yè)網(wǎng)絡(luò)進(jìn)行安全方面的保護(hù)，阻斷來(lái)自公用網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)作業(yè)區(qū)網(wǎng)絡(luò)的邊界安全防護(hù)。更重要的是可以使用HC-ISG系列工業(yè)防火墻的VPN功能，對(duì)作業(yè)區(qū)與調(diào)度中心之間的數(shù)據(jù)傳輸進(jìn)行加密和保護(hù)，搭建安全的數(shù)據(jù)交換通道，解決兩者之間的數(shù)據(jù)傳輸安全問題。

安全遠(yuǎn)程維護(hù)
隨著工業(yè)信息化的發(fā)展，大量的智能儀表、控制器、工業(yè)控制軟件等產(chǎn)品被應(yīng)用到工業(yè)控制領(lǐng)域，對(duì)提高生產(chǎn)效率起到了很大的推動(dòng)作用。但是這些產(chǎn)品來(lái)自于不同的供應(yīng)商，使用多種不同的應(yīng)用技術(shù)，所以其運(yùn)營(yíng)和維護(hù)相對(duì)也會(huì)比較復(fù)雜，經(jīng)常需要相應(yīng)的廠商技術(shù)人員進(jìn)行技術(shù)援助和支持，在這一過程中廠商技術(shù)人員可能需要通過公用網(wǎng)絡(luò)遠(yuǎn)程訪問設(shè)備或系統(tǒng)。另外，工業(yè)網(wǎng)絡(luò)的設(shè)備分散，有的甚至可能部署在野外，由于通信基礎(chǔ)設(shè)施所限，可能也需要通過公用網(wǎng)絡(luò)對(duì)其進(jìn)行必要的維護(hù)。
無(wú)論是廠商技術(shù)人員的遠(yuǎn)程協(xié)助，還是工業(yè)用戶自身的遠(yuǎn)程維護(hù)都可能需要通過公用網(wǎng)絡(luò)，這樣攻擊者就有可能借機(jī)進(jìn)入工業(yè)網(wǎng)絡(luò)，獲取工業(yè)網(wǎng)絡(luò)的控制權(quán)，直接影響整個(gè)工業(yè)網(wǎng)絡(luò)的安全。在這種環(huán)境下，我們可以將HC-ISG系列防火墻部署在工業(yè)網(wǎng)絡(luò)與公用網(wǎng)絡(luò)接口的位置，啟用防火墻的VPN功能，將其作為遠(yuǎn)程維護(hù)的堡壘設(shè)備。遠(yuǎn)程維護(hù)人員使用VPN連接到防火墻上，一方面進(jìn)行身份的認(rèn)證，另一方面對(duì)通過公用網(wǎng)絡(luò)完成的遠(yuǎn)程維護(hù)操作進(jìn)行加密保護(hù)，從而實(shí)現(xiàn)安全的遠(yuǎn)程維護(hù)。

技術(shù)規(guī)格