隨著網(wǎng)絡(luò)信息時代的到來，我國工業(yè)模式發(fā)生了翻天覆地的變化，打破了“信息孤島”模式，企業(yè)全面聯(lián)網(wǎng)，生產(chǎn)數(shù)據(jù)輕松實現(xiàn)匯總分析，不但提高了生產(chǎn)效率，還達(dá)到了節(jié)能減排的目的。信息化給工業(yè)帶來的有利變化顯而易見，但隨之而來的網(wǎng)絡(luò)安全問題又使人為之驚慌。

傳統(tǒng)的商用防火墻是目前網(wǎng)絡(luò)邊界上的一種防護(hù)設(shè)備，它所提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用代理、帶寬和流量控制、事件審核和報警等。商用防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下，雖然經(jīng)過了多年的發(fā)展和完善，但其應(yīng)用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò)，它對于工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應(yīng)。也正是基于這一現(xiàn)實，工業(yè)防火墻被開發(fā)應(yīng)用。

力控工業(yè)防火墻HC-ISG是款專用于工業(yè)控制安全領(lǐng)域的防火墻產(chǎn)品，能夠有效對SCADA、DCS、PCS、PLC、RTU等工業(yè)控制系統(tǒng)進(jìn)行信息安全防護(hù)。該產(chǎn)品主要用于解決工業(yè)基礎(chǔ)設(shè)施在網(wǎng)絡(luò)環(huán)境可能存在病毒、、敵對勢力的惡意攻擊以及工作人員誤操作時的安全防護(hù)問題。

HC-ISG產(chǎn)品通過了部檢測、國家信息安全測評中心檢測，取得了CE、FCC等認(rèn)證和銷售許可證，廣泛應(yīng)用于各工業(yè)現(xiàn)場，包括核設(shè)施、鋼鐵、有色、石油天然氣、化工、發(fā)電、電網(wǎng)、城市燃?xì)狻C械、環(huán)保監(jiān)測、城市供水、供熱、水利樞紐、隧道、港口、鐵路、城市軌道交通、以及其他與國家基礎(chǔ)設(shè)施和國計民生緊密相關(guān)的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)。

功能架構(gòu)

力控工業(yè)防火墻HC-ISG產(chǎn)品在架構(gòu)設(shè)計上充分的考慮了工業(yè)網(wǎng)絡(luò)中設(shè)備種類多、協(xié)議復(fù)雜、行業(yè)差別大的特點，將產(chǎn)品進(jìn)行了深度的模塊化封裝，引入了功能插件的概念，使整個防火墻系統(tǒng)更加部件化。通過這種架構(gòu)，一方面可以更好的適應(yīng)現(xiàn)有工業(yè)網(wǎng)絡(luò)安全防護(hù)的需要，另一方面為未來產(chǎn)品功能的擴展和用戶定制開發(fā)打下良好的基礎(chǔ)。

HC-ISG系列工業(yè)防火墻包括基礎(chǔ)系統(tǒng)、功能插件和配置工具三個部分。

• 基礎(chǔ)系統(tǒng)：根據(jù)工業(yè)網(wǎng)絡(luò)通信特點和安全防護(hù)要求定制開發(fā)的底層運行平臺，為防火墻上層業(yè)務(wù)模塊提供必要的運行環(huán)境和安全保障；
• 功能插件：HC-ISG系列工業(yè)防火墻的核心業(yè)務(wù)處理模塊，它由一系列獨立的功能模塊組成，主要用于完成對于工業(yè)網(wǎng)絡(luò)協(xié)議的識別、解析和深度過濾；
• 配置工具：對HC-ISG系列工業(yè)防火墻的進(jìn)行網(wǎng)絡(luò)組態(tài)、策略配置和運行監(jiān)控，是與防火墻進(jìn)行人機交互的接口。

• 位置①、③、⑩：隔離工程師站，降低因工程師站作為常用對外接口因感染病毒而帶來的風(fēng)險。

• 位置②：保護(hù)重要控制系統(tǒng)或設(shè)備，只允許必要的數(shù)據(jù)包通過，阻斷對重要控制系統(tǒng)或設(shè)備的任何非法訪問及控制。

• 位置④、⑤、⑥、⑦：控制層與生產(chǎn)管理層間的縱向防護(hù)，不同區(qū)域間的橫向隔離。

• 位置⑧、⑨：對重要系統(tǒng)如關(guān)系數(shù)據(jù)庫、實時數(shù)據(jù)庫的服務(wù)器進(jìn)行專門防護(hù)，切斷惡意訪問、惡意代碼滲透及病毒感染。

通用防火墻模塊

HC-ISG系列工業(yè)防火墻能夠有效阻止控制設(shè)備/系統(tǒng)被非法訪問，阻斷非法下發(fā)控制指令，從而防止病毒、惡意代碼等肆意傳播。

工業(yè)通訊協(xié)議過濾模塊

HC-ISG系列工業(yè)防火墻內(nèi)置工業(yè)通訊協(xié)議的過濾模塊，支持各種工業(yè)協(xié)議識別及過濾，彌補商業(yè)防火墻不支持工業(yè)協(xié)議過濾的不足。

配置管理模塊

HC-ISG系列工業(yè)防火墻支持離線配置，遠(yuǎn)程配置，且其配置過程不影響業(yè)務(wù)功能。

規(guī)則自學(xué)習(xí)模塊

HC-ISG系列工業(yè)防火墻的過濾規(guī)則可通過自學(xué)習(xí)模塊自動學(xué)習(xí)，方便SCADA/DCS/PLC維護(hù)人員的使用。

深度防御模塊

HC-ISG系列工業(yè)防火墻在應(yīng)用層通過對多種工業(yè)協(xié)議進(jìn)行深層檢測，實現(xiàn)對工業(yè)協(xié)議內(nèi)部的指令、內(nèi)部寄存器等信息進(jìn)行深度檢查，以防止應(yīng)用層協(xié)議被纂改或破壞，保證工業(yè)協(xié)議通訊的可控性和準(zhǔn)確性，為工業(yè)網(wǎng)絡(luò)通訊提供的解決方案。

攻擊防護(hù)模塊（可選）

HC-ISG系列工業(yè)防火墻能夠阻斷惡意腳本遠(yuǎn)程執(zhí)行，系統(tǒng)防掃描，防應(yīng)用程序緩沖區(qū)溢出攻擊、防止Flood、碎片、DDoS攻擊等各種網(wǎng)絡(luò)攻擊的防護(hù)。

VPN模塊（可選）

HC-ISG系列工業(yè)防火墻為設(shè)備間數(shù)據(jù)通信提供安全保障，提高工作效率，方便用戶管理。

安全審計模塊（可選）

HC-ISG系列工業(yè)防火墻提供完整的日志管理平臺，審計訪問操作記錄，為界定不同區(qū)域間的交叉訪問和問題追蹤提供可靠的依據(jù)；同時還為用戶提供防火墻狀態(tài)監(jiān)控、日志存儲、檢索、查詢及智能報警等功能。

• 充分保證現(xiàn)場設(shè)備正常、穩(wěn)定的運行，免遭網(wǎng)絡(luò)信息安全威脅訪問控制，防止控制設(shè)備/系統(tǒng)被非法訪問，阻斷非法下發(fā)控制指令，保護(hù)DCS、SCADA、PLC及重要服務(wù)器等重要資產(chǎn)被破壞。包括攻擊防護(hù)以及安全審計功能。
• 通過硬件可靠性的保障，以及支持設(shè)備的快速接入，確保用戶業(yè)務(wù)的連續(xù)性,消除單點故障的影響。
• 防護(hù)規(guī)則自動學(xué)習(xí)、用戶可勾選進(jìn)行配置，實現(xiàn)統(tǒng)一拓?fù)浼泄芾恚宫F(xiàn)場部署快捷、維護(hù)方便。