多芬諾工業(yè)控制系統(tǒng)信息安全解決方案
Tofino模塊采用Tofino Central Management Platform (CMP,中央管理平臺)進行集中配置、組態(tài)和管理(可遠程甚至跨國使用),控制系統(tǒng)網或企業(yè)網均可以在適當位置安裝CMP。使用CMP,并裝載各種必要的Loadable Security Modules (LSMs,可裝載安全軟件插件),就可以實時在線調整Tofino模塊,使之滿足所保護區(qū)域及設備的安全要求。
Tofino安全解決方案系統(tǒng)配置示意
Tofino軟插件LSM能夠為工廠用戶量身定制加密,入侵檢測及控制協(xié)議識別等安全解決方案。例如,可以將其中一個Tofino硬件作為專有PLC控制系統(tǒng)網絡的防火墻,將另外一個Tofino硬件作為網絡RTU通訊的加密系統(tǒng)。當然,單個Tofino硬件可以同時裝載多個軟插件LSM,同時提供多重安全防護。
Tofino Security System一方面是一個完整的分布式的安全解決方案,另一方面又可以簡單、安全地進行集中管理,這些特性使得它成為一款獨一無二的產品。對大型工業(yè)企業(yè)來說,Tofino Security System更意味著最佳的安全效益和技術支持,并不只是簡單滿足了獨立的關鍵控制系統(tǒng)設備的安全需求。
不同于傳統(tǒng)的IT防火墻,Tofino專為工業(yè)環(huán)境控制網絡通信安全要求而設計。現(xiàn)場技術人員只需簡單為Tofino接入電源,并連接兩個網絡的電纜即可,無需其他任何操作。一旦安裝成功,安全/技術人員即可毫不費力地管理任何系統(tǒng),以總攬公司大局的方式對網絡威脅作出反應。最重要的是,Tofino既可以靈活運用在單純由PLC構成的小型工廠中,又能夠滿足那些擁有成千上萬個設備并且分布全球各地的大型跨國公司的使用要求。
方案構成
一個完整的Tofino工業(yè)控制系統(tǒng)信息安全解決方案包含以下四部分:
Tofino安全模塊(TSA)——增強型工業(yè)環(huán)境要求設計,即插即用,應用于受保護的區(qū)域或控制器等關鍵設備之前。下圖為Tofino安全模塊硬件(TSA-220):
Tofino可裝載安全軟插件(LSM)——專為工業(yè)通訊協(xié)議設計的安全軟插件,提供安全服務,如工業(yè)通信防火墻、事件與報警管理,OPC/Modbus TCP通信深度檢查、安全設備資產管理、VPN加密等。LSM可以直接裝載到Tofino安全模塊中,并根據系統(tǒng)需求提供各種定制安全服務。
Tofino中央管理平臺(CMP)——窗口化的中央管理平臺系統(tǒng)及數(shù)據庫,用于Tofino安全模塊的配置、組態(tài)和管理。
Tofino安全管理平臺(SMP)——窗口化的安全管理平臺系統(tǒng)及數(shù)據庫,統(tǒng)一管理所有與SMP相連的CMP和TSA的實時數(shù)據及報警信息,可用于辦公網監(jiān)視、查閱和存儲實時數(shù)據及報警信息。
Tofino中央管理平臺界面截圖
方案達到的目標
區(qū)域隔離:Tofino工業(yè)防火墻插件能夠過濾兩個區(qū)域網絡間的通信,這樣意味著網絡故障會被控制在最初發(fā)生的區(qū)域內,而不會影響到其它部分。
通信管控:通信規(guī)則是可以在線通過CMP進行預先組態(tài)和測試的。
實時報警:任何非法的(沒有被組態(tài)允許的)訪問,都會在CMP管理平臺產生實時報警信息,并可通過Syslog Server(可選)等軟硬件以郵件或短信的方式通知管理者,從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決
一勞永逸:工業(yè)級硬件設計,保證模塊的穩(wěn)定性;特有的專有控制通訊協(xié)議檢查設計理念(白名單理念),告別了傳統(tǒng)防火墻的病毒庫升級等繁瑣工作,在防護的同時也不改變控制系統(tǒng)網絡原有應用軟件的操作模式,大大降低控制系統(tǒng)網絡維護量。(青島多芬諾信息安全技術有限公司)
責任編輯:黎陽錦
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
