工業(yè)網(wǎng)絡安全隔離網(wǎng)閘LEC-3212是面向工業(yè)控制系統(tǒng)邊界信息安全防護的安全網(wǎng)閘產(chǎn)品�,用于解決工業(yè)控制系統(tǒng)接入信息網(wǎng)絡(外網(wǎng))時的安全防護問題��,為控制網(wǎng)與管理信息網(wǎng)的連接提供安全保障����。?文章概括介紹了MES系統(tǒng),著重介紹華電眾信LEC-3212的產(chǎn)品規(guī)格和特點,以及該設備作為安全隔離網(wǎng)閘在MES系統(tǒng)中的應用��。
1:MES系統(tǒng)架構
圖1:MES系統(tǒng)架構
? MES系統(tǒng)處于管理網(wǎng)�����,在信息網(wǎng)ERP系統(tǒng)和控制網(wǎng)PLC控制器����、控制設備中間位置��。MES系統(tǒng)在整個信息系統(tǒng)中主要擔當了兩個方面的重要作用:一是數(shù)據(jù)雙向通道的作用��。即通過MES系統(tǒng)的實施����,可以有效彌補企業(yè)信息網(wǎng)與控制網(wǎng)之間的數(shù)據(jù)間隙,由下至上���,通過對底層控制設備數(shù)據(jù)的搜集�����、存儲及校正��,建立管理網(wǎng)數(shù)據(jù)層次上的數(shù)字化工廠��,為信息網(wǎng)提供準確統(tǒng)一的生產(chǎn)數(shù)據(jù)����;由上至下,通過對實時生產(chǎn)數(shù)據(jù)的總結��,信息網(wǎng)ERP可以根據(jù)未來訂單及現(xiàn)階段生產(chǎn)狀況調(diào)整生產(chǎn)計劃����,下發(fā)管理網(wǎng)MES系統(tǒng)進行計劃的分解及產(chǎn)生調(diào)度指令,有效指導企業(yè)生產(chǎn)活動�。因此,MES系統(tǒng)在數(shù)據(jù)層面上���,起到了溝通信息網(wǎng)和控制網(wǎng)的橋梁作用�����,并保證了生產(chǎn)數(shù)據(jù)�����、調(diào)度事件等信息的一致性及準確性�����。
LEC-3212網(wǎng)閘實現(xiàn)MES系統(tǒng)與控制網(wǎng)的縱向隔離���,阻斷上層網(wǎng)絡的威脅�;隔離SCADA系統(tǒng)與信息網(wǎng)�����,阻止來自上層信息網(wǎng)的威脅��。
?
2:LEC-3212作為安全隔離網(wǎng)閘在MES系統(tǒng)中的應用
LEC-3212產(chǎn)品優(yōu)點
1)?物理隔離架構
采用“2+2”雙主板+雙獨立隔離卡的物理隔離架構���,內(nèi)部由兩個獨立主機系統(tǒng)組成,每個主機系統(tǒng)分別具有獨立的運算單元和存儲單元��,各自獨立運行自主定制的操作系統(tǒng)����。一端的主機系統(tǒng)為控制端,用于連接控制網(wǎng)絡��;另一端的主機系統(tǒng)為信息端����,用于連接信息網(wǎng)絡�。兩端主機均采用高性能嵌入式硬件����,主板上各有多個以太網(wǎng)接口用來連接要隔離的兩個網(wǎng)絡,兩端主機通過隔離裝置進行連接�����。保證網(wǎng)絡間正常通信�,且徹底阻斷網(wǎng)絡間的直接TCP/IP連接,切斷攻擊的載體�。
2) 數(shù)據(jù)單向傳輸
同一時間數(shù)據(jù)只允許單個方向進行數(shù)據(jù)流動,生產(chǎn)數(shù)據(jù)上傳到信息網(wǎng)絡�,拒絕數(shù)據(jù)從信息網(wǎng)絡到生產(chǎn)網(wǎng)絡方向的數(shù)據(jù)流,從根本上阻斷各種威脅傳播到控制網(wǎng)絡的可能性�。
3) 豐富的工業(yè)協(xié)議接口
設備支持各種主流的工業(yè)網(wǎng)絡協(xié)議接口,物理接口包括RJ45千兆網(wǎng)口�、USB、串口RS232或者RS485��,內(nèi)部預留千兆網(wǎng)口和PCIE高速總線接口��?���;谪S富的物理接口���,支持豐富的工業(yè)現(xiàn)場協(xié)議,包括Modbus���、OPC���、DNP3、DLT 645���、IEC 60870-5-104、西門子S7系列PLC��、AB PLC�、GE PLC等。
?
3:LEC-3212產(chǎn)品介紹
?
? ? ? LEC-3212是一款工業(yè)級無風扇管理平臺��,CPU等級為Intel Bay Trail J1900低功耗處理器��。整機采用內(nèi)部模塊化設計���,根據(jù)不同需求可以有多種規(guī)格供客戶選擇�。
圖2:LEC-3212產(chǎn)品圖
?
LEC-3212產(chǎn)品特點:
1)適用于工業(yè)控制系統(tǒng)數(shù)據(jù)采集網(wǎng)關和工業(yè)網(wǎng)絡安全隔離網(wǎng)閘的應用
2)高計算性能,板載Intel J1900 4核2.0GHz處理器��,支持網(wǎng)口和通信串口的擴展
3)?無風扇設計
采用內(nèi)部銅管導熱���、側面鰭片散熱技術�����,把CPU散發(fā)的熱量直接導到機箱外部的大面積鋁制鰭片上��,形成高效的散熱方式���。無風扇設計帶來的好處是靜音和防塵,有風扇設備隨著使用時間的增加����,內(nèi)部會累積很多灰塵,同時風扇軸承長時間運作會產(chǎn)生偏移����、損傷等問題,而將內(nèi)部溫度通過整個機箱進行散熱�,這樣做的好處不僅解決了散熱問題,封閉式的機箱也可起到防塵防潮的作用�,同時也良好的保護了內(nèi)部的組成部件�����。
4)?內(nèi)置隔離模塊
通過標準的PCIE接口��,可外接客戶自制的隔離卡��,或者一體化解決方案�����,根據(jù)不同項目需求自由搭配單向?qū)肟ê颓д譌PGA隔離卡���。
單向?qū)肟ǎ褐С?000Mbps的光纖通道;PCI Express 2.0接口標準����;支持802.3x的流量控制���;支持標準Windows和Linux操作系統(tǒng)��。內(nèi)網(wǎng)主板接發(fā)送端板卡���,內(nèi)網(wǎng)數(shù)據(jù)通過單導卡�,把數(shù)據(jù)單向傳輸?shù)浇邮斩税蹇?���,接收端板卡連接外網(wǎng)主板,而外網(wǎng)主板無法給內(nèi)網(wǎng)主板發(fā)送任何數(shù)據(jù)�����,從而從根本上確保內(nèi)網(wǎng)數(shù)據(jù)和內(nèi)網(wǎng)網(wǎng)絡的安全���。?
圖3:單向?qū)肟?/span>
?
千兆FPGA隔離卡:基于ASIC芯片技術設計的專有接口進行數(shù)據(jù)傳輸����,通過FPGA內(nèi)部私有協(xié)議和數(shù)據(jù)擺渡邏輯���,符合國標對隔離卡分時切換能力的要求�����;非傳統(tǒng)X86Intel網(wǎng)卡芯片方案����;隔離口性能高達2Gbps���,輕松應對視頻網(wǎng)閘等大流量的應用環(huán)境����。
圖4:千兆FPGA隔離卡
5) 寬溫工作范圍-40℃~55℃,支持-40℃和55℃邊界溫度下冷啟動和重啟
6) 110/220VACDC自適應電源供電,支持雙電源輸入����,具備電源狀態(tài)監(jiān)測功能
7) 通過EMC電力四級認證,符合IEC-61850-3標準
4:小結
?
????? LEC-3212工業(yè)網(wǎng)絡安全隔離網(wǎng)閘產(chǎn)品適合于工業(yè)現(xiàn)場2U機架式安裝方式����,EMC電力4級標準,符合IEC-61850-3和IEEE-1613的設計標準�,是工業(yè)網(wǎng)絡安全隔離網(wǎng)閘應用的理想解決方案,特別適用于電力����,軌道交通,石油和天然氣等需要多種通信控制的領域��。該產(chǎn)品批量生產(chǎn)���,已廣泛應用于中石油大慶石化MES系統(tǒng)、中石油大慶煉化MES系統(tǒng)�����、中石油昆侖燃氣生產(chǎn)指揮系統(tǒng)、中石化勝利油田熱電聯(lián)供中心生產(chǎn)調(diào)度聯(lián)網(wǎng)系統(tǒng)�����、昆鋼能源管理系統(tǒng)等工業(yè)項目�,受到客戶的一致好評。
?