Tofino(多芬诺)工业网络安全解决方案

全解决方案数据采集与监控()、分布式控制系统()、过程控制系统()、可编程逻辑控制器()等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，高度信息化的同时也减弱了控制系统及系统等与外界的隔离，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全面临着严峻的形势。工信部协号通知明确指出，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全 大多数企业模型化后的系统网络结构如上图所示，由信息层 ()、操作站层()和控制器层 ()三大部分组成。目前的现状是大多数控制网络中在运行的电脑，很少或没有机会安装全天候病毒防护或更新版本。控制器的设计都以优化实时的 功用为主，而並不提供加强的网络连接安全防护功能。在整个网络中存在多个网络端口切入点需要防护，并且许多控制网络都是“敞开的”，不同的子系统之间都没有 标准(该标准由美国国土安全部颁布)以及年颁布的 (美国化学反恐怖主义法)针对化工设备安全做了强制要求，目前，石油，水处理以及制造业都还没有必须按照以上立法规定作业，但是为了避免重大的风险，基本都遵守行业标准 一区域内信管理控制来实现设备保护业内专家建议，控制系统应放置在商业/过程控制网络(PCN)防火墙之后(援引forSCADAandProcessControlNetworks离区(DemilitarizedZone，DMZ)采用共享IT/PCN资产(如历史数据)的部署方式。如下图所示正是这种需要重点解释的是，商业网络的安全需求与控制网络的安全需求在某些地方完全不同。举个例子，商业防火墙通常允许该网络内的用户使用HTTP浏览因特网，而控制网这就使得基于端口防护的普通商用防火墙根本无法进行设置。因此不要试图将控制系统放o(1)工业型：rdsØ具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工风扇，具备二区防爆认证。(2)独有专利安全连接技术：Ø集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路出的单向或双向。(3)实时网络通讯透视镜：Ø能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实录，保证控制网络通讯的实时诊断。(1)Tofino安全模块(TSA)增强型工业环境要求设计，即插即用，应用于受保护的区域或控制器等关键设备Tofino安全模块(TSA-100块(TSA-220)(2)Tofino可装载安全软插件(LSM) 通讯协议设计的安全软插件，可以直接装载到Tofino安全模块中，并通讯协议定制；通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特案超越了传统的防火墙。AAEM协议的产品，控制工程师可定义允许的Modbus指令，寄存器和线圈名单列表。自动阻止并报告任何流量不匹配您的规则。所有协议要被完整全面Tofino设备资产管理(SAM)可装载模块可以追踪每一个通过Tofino安全设备进行通讯的设备。不过，为了避免引起进程干扰，它实现这一功能使用的并不是使用安全套接字协议(SSL)技术创建高度安全的“隧道”来保护控制系统的完整性，安全性。易于敷设，测试和管理配置，通过可视的拖放操作界面使组态简单易行。在不影响(3)Tofino中央管理平台(CMP)和历史查询。能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆历史记录，保证控制网络通讯的实时诊断。具备在线组态、在线监控、资产管理等多种功(4)Tofino安全管理平台(SMP)产品的选型和方案的实施可以概括为以下三步，实际中对于不同的环境和安全要SMs(1)信息层与操作站层之间是过程控制网络与企业信息网络的借口部位，是企业目前信息部与仪控部的交叉点，由于来自企业信息层病毒感染与入侵的概率较大，所以该部位是 ewallLSMforceLSMnoArgonEventrLSM(2)针对操作站层各个节点之间的相互影响，方案将OPCServer、工程师站以及高级应ewallLSMnoArgonEventrLSM(3)对于控制器层，考虑到该层面通讯通常采用制造商专用协议，且是冗余结果，可以将自身保护能力较弱的控制器进行隔离防护，根据具体情况和不同应用，可单个控制器分ewallLSM noArgonEventrLSMØ管控局部网络的通讯速率，防止控制器遭受网络风暴和其他攻击，从而避免控制器死该方案以建立纵深防御策略为主要思想，确保工厂网络中即使某一点发生网络安全事故，工厂也能正常运行，同时，工厂操作人员能够很迅速的找到问题并进行处理，主有被组态允许的)访问，都会在中央管理平台产生实时报警信息，从而故障问题会在原始可以简单、安全地进行集中管理，这些特性使其成为一款独一无二的产品。对工业企业来m一旦安装成功，技术人员即可毫不费力地管理任何系统，以总揽公司大局的方式对网络威 又能够满足那些拥有成千上万个设备并且分布全球各地的大型跨国集团的使用要求。聘用合同法律关系的基础上，根据《民法通则》和其他相关法律、法规，自愿签订本及公司制定