用户痛点

1、生产网互联互通带来的安全边界明显扩大；

2、生产网基础防护薄弱，难以抵挡外部发起的攻击与入侵；

3、安全失衡，重功能安全，轻信息安全

4、生产网主机难以进行USB接口管控、系统加固、病毒预防等。

5、缺乏信息安全管理体系，运维人员难以进行实时管控与审计。

解决方案

本次方案要实现钢铁工控系统单向数据采集上传到生产管理网络的MES系统，同时又要做到采集链路间的隔离与访问控制，因此项目在边界安全设计采用工业防火墙+工业数采单向光闸方案。

某项目案例：

方案使用工业数采单向光闸实现单向数据采集与上传，根据数采链路数量以及数采单向光闸产品的物理接口数量，兼顾接口冗余备份功能，可配备12台安盟华御工业数采单向光闸（每套数采光闸5个通信接口，启用其中3个通信接口作为采集接口，留一接口备用、一接口管理使用）。

方案采用工业防火墙防护数据采集链路，并做到采集链路间的隔离，每三条数采链路汇聚到一台工业防火墙上，每条链路使用独立网桥，互不干涉。34条数采链路，配备12台工业防火墙（通过接口扩展，每台工业防火墙最大支持10个通信接口，提供6个接口作为通信口，做3进3出的三条链路防护，留2进2出作为备份。每台工业防火墙对应一台数采单向光闸）。

图一：总拓扑示意图

1、工业防火墙：数据采集链路隔离与访问控制

实现方案

每台数采工作站目前需要采集多个PLC或OPC服务器上的数据，这样会造成不同链路间的相互访问，因此通过部署工业防火墙来完成链路隔离与数采访问控制。

部署方式：

图二：安盟华御工业防火墙部署示意

2、工业数采单向光闸：办公网到生产控制系统物理单向数据采集

实现方案

通过在某钢铁数采工作站与工业防火墙之间部署安盟华御工业数采单向光闸，完成数据采集的场景。工业数采单向光闸内端机主动采集生产网的实时数据，并单向推送至数采单向光闸的外端机，由数采工作站采集数采单向光闸外端机上的实时数据。由于实时数据从生产网向办公网完全物理单向上传，从而规避了各种病毒、攻击等威胁信息从办公网引入生产网的安全风险。

部署方式：

图三：安盟华御数采单向光闸部署示意

设备由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。

3、补充安全设计

网络安全审计

建议在数采工作站交换机处部署安盟华御工业安全审计系统，快速识别出数采层中的相关非法操作、异常事件、外部攻击等，并实时报警。实现尽早发现企业中安全风险，做到安全预警。

主机安全防护

建议在数采站部署安盟华御工控主机卫士，防止用户的违规和误操作、阻止不明程序，授权移动存储介质访问权限等，有效提高工控主机的深度“免疫”能力。

安全运维

通过在数采机房部署安盟华御堡垒机，实现运维管理员和第三方服务人员对数采工作站及设备的运维操作管理和审计。对运维人员的系统登录授权、操作指令限制、操作全程录屏审计等功能。

安全管理平台

在办公网部署安盟华御安全管理平台，完成设备实时信息收集，实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析，强大的一体化安全管控功能界面，多视角、多层次的管理，实现安全可视化。

4、方案价值与收益：

与生产采集无缝兼容

所选产品能够满足与钢铁工控系统无缝对接，又能够提升整体计算环境的性能和稳定性，实现数据采集与单向上传，安全量身定做。

工控系统高安全隔离

能够阻止各种已知与未知的安全风险，防止勒索病毒以及相关变种提供数采链路传播到工控生产系统中。

集中管理可视化管控

实现对生产网业务系统操作的管理和审计，对操作人员做到“事前可知、事中可控、事后可查”的运维操作全过程管理。

异常操作审计与攻击预警

快速识别出数采层中的相关非法操作、异常事件、外部攻击等，并实时报警。

生产主机防护

能实时防止用户的违规和误操作、阻止不明程序，授权移动存储介质访问权限等，有效提高工控主机的深度“免疫”能力。

用户反馈

安盟信息在充分了解了我们的需求后，结合公司目前已有体系情况，为我们制定了该方案，通过部署工业防火墙和工业数采单向光闸，使生产系统不再担心来自互联网的勒索病毒、蠕虫、木马等入侵，工业数采单向光闸采用单向物理光信号传输，无任何数据反馈，保障了钢铁生产系统稳定运行，为公司未来业务发展提供了强有力的支撑。