• 站内搜索 Serarch

Cybercon Tofino 工业防火墙

    发布时间:2013-05-16 来源方式:原创

    Cybercon Tofino工业控制系统信息安全解决方案针对SCADA和过程控制系统等工业通讯特别设计,旨在为其提供一种分区的安全解决方案。Tofino拥有极高的性价比,它能够在工厂车间中建立深层防护架构,因此,即使有黑客或病毒通过主要的企业防火墙,他们也将面对基于控制网络特点而设计的专业安全设备,只有穿过这些设备才能进而造成损害。

    Cybercon Tofino模块采用Tofino Central Management Platform (CMP,中央管理平台)进行集中配置、组态和管理(可远程甚至跨国使用),控制系统网或企业网均可以在适当位置安装CMP。使用CMP,并装载各种必要的Loadable Security Modules (LSMs,可装载安全软件插件),就可以实时在线调整Tofino模块,使之满足所保护区域及设备的安全要求。


    Cybercon Tofino安全解决方案系统配置示意图

    Tofino软插件LSM能够为工厂用户量身定制加密,入侵检测及控制协议识别等安全解决方案。例如,可以将其中一个Tofino硬件作为专有PLC控制系统网络的防火墙,将另外一个Tofino硬件作为网络RTU通讯的加密系统。当然,单个Tofino硬件可以同时装载多个软插件LSM,同时提供多重安全防护。

    Tofino Security System一方面是一个完整的分布式的安全解决方案,另一方面又可以简单、安全地进行集中管理,这些特性使得它成为一款独一无二的产品。对大型工业企业来说,Tofino Security System更意味着最佳的安全效益和技术支持,并不只是简单满足了独立的关键控制系统设备的安全需求。

    不同于传统的IT防火墙,Tofino专为工业环境控制网络通信安全要求而设计。现场技术人员只需简单为Tofino接入电源,并连接两个网络的电缆即可,无需其他任何操作。一旦安装成功,安全/技术人员即可毫不费力地管理任何系统,以总揽公司大局的方式对网络威胁作出反应。最重要的是,Tofino既可以灵活运用在单纯由PLC构成的小型工厂中,又能够满足那些拥有成千上万个设备并且分布全球各地的大型跨国公司的使用要求。

    一个完整的Tofino工业控制系统信息安全解决方案包含以下四部分:

    ●Tofino安全模块(TSA)——增强型工业环境要求设计,即插即用,应用于受保护的区域或控制器等关键设备之前。下图为Tofino安全模块硬件(TSA-220);

    ●Tofino可装载安全软插件(LSM)——专为工业通讯协议设计的安全软插件,提供安全服务,如工业通信防火墙、事件与报警管理,OPC/Modbus TCP通信深度检查、安全设备资产管理、VPN加密等。LSM可以直接装载到Tofino安全模块中,并根据系统需求提供各种定制安全服务;

    ●Tofino中央管理平台(CMP)——窗口化的中央管理平台系统及数据库,用于Tofino安全模块的配置、组态和管理;

    ●Tofino安全管理平台(SMP)——窗口化的安全管理平台系统及数据库,统一管理所有与SMP相连的CMP和TSA的实时数据及报警信息,可用于办公网监视、查阅和存储实时数据及报警信息。

    方案达到的目标

    ●区域隔离:Tofino工业防火墙插件能够过滤两个区域网络间的通信,这样意味着网络故障会被控制在最初发生的区域内,而不会影响到其它部分。

    ●通信管控:通信规则是可以在线通过CMP进行预先组态和测试的。

    ●实时报警:任何非法的(没有被组态允许的)访问,都会在CMP管理平台产生实时报警信息,并可通过Syslog Server(可选)等软硬件以邮件或短信的方式通知管理者,从而故障问题会在原始发生区域被迅速的发现和解决

    ●一劳永逸:工业级硬件设计,保证模块的稳定性;特有的专有控制通讯协议检查设计理念(白名单理念),告别了传统防火墙的病毒库升级等繁琐工作,在防护的同时也不改变控制系统网络原有应用软件的操作模式,大大降低控制系统网络维护量。