项目背景需求
随着我国经济的发展,对能源的消耗不断增加,导致环境污染问题愈加突出。为配合国家关于节能减排、能源的监控与管理要求,北部某省的一个省会城市开展了节能减排监控管理平台的建设工作,该平台是把所有电力、钢铁、烟草等制造企业端的能源数据通过基于无线传感器物联网的监测数据采集上来,实现制造企业的能耗、减排的指标进行监控和管理。
为了保证企业网与市节能减排监控管理平台网络安全隔离的基础上,上传监控数据。涉及250多家的该市的制造企业端将通过在边界安全区部署工业安全隔离网闸来完成这一目标。
由于本项目接入的制造企业诸多,一方面不要因与各企业连接而传入病毒、恶意代码等,另一方面需要准确的接收来自各企业的工业监测数据。具体需求包括:
(1)支持电力、钢铁、烟草等制造企业端各类工控组件产生的工业监测数据(如Modbus等协议)通过安全隔离网闸上传至市节能减排监控管理平台中;
(2)工业专用的无线传感器设备能够直接通过安全隔离网闸进行单向数据传输;
(3)支持应用层数据单向传输,能够自定义TCP应答报文限制;(粒度1个字节)
(4)需要系统的可靠性机制和保障网闸系统自身的安全性;
(5)该项目中传感器采用了LoRa采集终端和网关,传感器系统通过UART口与终端连接,传感器系统将电机计量数据透明传输给终端,终端将自动上传电机数据到网关,传输数据时采用了MODBUS协议。
防护方案及涉及安全产品
通过大量的测试对比,最终选择了天清安全隔离与信息交换系统,部署在各企业接收器端,详细网络拓扑图如下所示:
最终满足了需求里的全部内容,实现了各制造企业端各类工控组件产生的工业监测数据(如Modbus等协议)通过安全隔离网闸上传至市节能减排监控管理平台中;实现了如下效果:
(1)应用层数据单向传输,能够自定义TCP应答报文限制。(粒度1个字节)。
(2)TCP、UDP访问通道,支持源地址、目的地址、目的端口的访问控制,支持生效时段控制策略、提供访问任务的单独启停控制。
同时为防止系统故障,设置了内、外网主机系统分别采用冗余双系统启动模式:当A系统运行失败后,能从B系统启动,且A、B系统可互为备份。
为保障自身隔离设备的安全,还提供了IPV6、IPV4双栈接入,内外网主机之间采用私有通讯协议。
本项目中防护方案中涉及安全产品如下表:
产品名称 | 数量 |
防火墙 | 3台 |
工作站 | 3台 |
工控异常监测系统 | 1台 |
工控信息安全管理平台 | 1套 |
项目效果
从该项目中看出,环保的实时监测的业务需求仍是环保单位的重中之重,所以在安全建设方面是仍以最小化需求,目前隔离是保障安全的第一步。而隔离时是选择工业防火墙还是工业网闸,是根据企业数据传输的频率、方向及反馈的实时性几个方面要求来决策。该项目也可供诸多其它行业SCADA监测系统的安全防护作为参考。工控安全还处于起步期,需要行业内携手共同努力,一起打造真正满足用户需求的产品,切实解决工业用户面临的实际问题。欢迎业内同仁共同交流探讨。
随着污染的严重,全国主要城市环保局陆续在做类似项目,可重点跟进。因为环保做监测项目需要部署设备到生产企业的控制系统上,所以保证单向性是免责需求。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号