天融信TopRules打造安全隔离实时信息交换技术

zly58

安全隔离与信息交换技术出现于2001年，主要功能特点就是在两个隔离网络间进行可控的数据交换，所以又俗称“网闸”。安全隔离与信息交换产品在当时很好的解决了网络隔离与可控信息交换的需求，在政府、公安、工商、税务等领域得到了广泛应用。安全隔离与信息交换产品的隔离功能由产品的硬件系统架构保障，交换功能则由应用识别、代理、控制来完成，其中应用处理模块是其保障信息交换可控性的核心功能。

随着网络带宽的大幅提升，以太网也向自动化领域逐步渗透，从企业决策层、生产管理调度层向现场控制层延伸。以太网由于采取冲突竞争的传输方式，具有传输不确定性的特点。但随着带宽增加、冗余措施的加强和自诊断程序的完善，以太网已经完全可以满足中小型控制系统实时性的要求。同时，以太网具有相关网络产品价格低廉，开放性好、技术成熟等优点。不过，在将现场信息通过工业以太网传至监控计算机后，还存在着信息共享与交互的问题。一方面，监控计算机内部应用程序需要对现场信息进行处理；另一方面，企业生产管理层需要与监控计算机进行信息沟通和传递。而OPC（Object Linking and Embedding for Process Control，用于过程控制的对象连接和嵌入技术）的出现则解决了以太网控制系统突破“信息孤岛”的瓶颈问题。

对于OPC这种动态端口的数据采集应用，普通安全隔离与信息交换系统无法满足其安全性定义。并且，由于生产网对数据的实时性要求非常高，普通安全隔离与信息交换产品的延迟无法满足数据实时交换要求。鉴于工业生产网对于数据实时性、隔离性、安全性的要求，国内一些信息安全厂商纷纷推出了针对工业网络应用特点而研发的安全隔离与信息交换系统，其中天融信的TopRules具有很强的代表性。天融信TopRules采用了光传输/隔离技术来提高传输效率，使整体延迟小于1毫秒，满足了工业网络对数据的实时交换要求。此外，天融信TopRules针对OPC应用的传输及安全特点，还推出了DCS-OPC业务模块。该业务模块可以在动态的满足OPC业务应用代理传输的同时，保障数据的安全性和实时性。TopRules还具有TRPROXY功能，可拦阻任何不符合OPC标准格式的DCE/RPC 访问，只在所跟踪的TCP端口有需要时，通道才短暂地打开。目前天融信TopRules使用OPC基金会的测试套件OPC协议完成了测试，得到OPC基金会的大力推荐。


天融信TopRules部署示意图

方案解析：针对操作站层各个节点之间的相互影响，方案将OPC Server、工程师站以及高级应用先控站三个节点分为一组，通过TopRules进行隔离。一方面是一个完整的分布式安全解决方案；另一方面又可以简单、安全地进行集中管理，这些特性使其成为一款独一无二的产品。对工业企业来说，TopRules意味着最佳的安全效益和技术支持，并不只是简单满足了独立的关键控制设备的安全要求。不同于传统的网络安全产品，TopRules的DCS-OPC模块专为工业环境控制网络通信安全而设计。一旦安装成功，技术人员即可毫不费力地管理任何系统，以总揽公司大局的方式对网络威胁做出及时反应，实时的了解到生产网中的各个监控站点的数据，可以通过趋势等工具直观的监控到生产数据。TopRules既可以灵活运用在单纯由PLC构成的小型工厂中，又能够满足那些拥有成千上万设备并且分布全球各地的大型跨国集团的使用要求。

网路游侠

http://weibo.com/1408734653/z1Vfz7QUU