工业网络安全隔离网闸LEC-3212是面向工业控制系统边界信息安全防护的安全网闸产品,用于解决工业控制系统接入信息网络(外网)时的安全防护问题,为控制网与管理信息网的连接提供安全保障。 文章概括介绍了MES系统,着重介绍华电众信LEC-3212的产品规格和特点,以及该设备作为安全隔离网闸在MES系统中的应用。
1:MES系统架构
图1:MES系统架构
MES系统处于管理网,在信息网ERP系统和控制网PLC控制器、控制设备中间位置。MES系统在整个信息系统中主要担当了两个方面的重要作用:一是数据双向通道的作用。即通过MES系统的实施,可以有效弥补企业信息网与控制网之间的数据间隙,由下至上,通过对底层控制设备数据的搜集、存储及校正,建立管理网数据层次上的数字化工厂,为信息网提供准确统一的生产数据;由上至下,通过对实时生产数据的总结,信息网ERP可以根据未来订单及现阶段生产状况调整生产计划,下发管理网MES系统进行计划的分解及产生调度指令,有效指导企业生产活动。因此,MES系统在数据层面上,起到了沟通信息网和控制网的桥梁作用,并保证了生产数据、调度事件等信息的一致性及准确性。
LEC-3212网闸实现MES系统与控制网的纵向隔离,阻断上层网络的威胁;隔离SCADA系统与信息网,阻止来自上层信息网的威胁。
2:LEC-3212作为安全隔离网闸在MES系统中的应用
LEC-3212产品优点
1) 物理隔离架构
采用“2+2”双主板+双独立隔离卡的物理隔离架构,内部由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自独立运行自主定制的操作系统。一端的主机系统为控制端,用于连接控制网络;另一端的主机系统为信息端,用于连接信息网络。两端主机均采用高性能嵌入式硬件,主板上各有多个以太网接口用来连接要隔离的两个网络,两端主机通过隔离装置进行连接。保证网络间正常通信,且彻底阻断网络间的直接TCP/IP连接,切断攻击的载体。
2) 数据单向传输
同一时间数据只允许单个方向进行数据流动,生产数据上传到信息网络,拒绝数据从信息网络到生产网络方向的数据流,从根本上阻断各种威胁传播到控制网络的可能性。
3) 丰富的工业协议接口
设备支持各种主流的工业网络协议接口,物理接口包括RJ45千兆网口、USB、串口RS232或者RS485,内部预留千兆网口和PCIE高速总线接口。基于丰富的物理接口,支持丰富的工业现场协议,包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104、西门子S7系列PLC、AB PLC、GE PLC等。
3:LEC-3212产品介绍
LEC-3212是一款工业级无风扇管理平台,CPU等级为Intel Bay Trail J1900低功耗处理器。整机采用内部模块化设计,根据不同需求可以有多种规格供客户选择。
图2:LEC-3212产品图
LEC-3212产品特点:
1)适用于工业控制系统数据采集网关和工业网络安全隔离网闸的应用
2)高计算性能,板载Intel J1900 4核2.0GHz处理器,支持网口和通信串口的扩展
3) 无风扇设计
采用内部铜管导热、侧面鳍片散热技术,把CPU散发的热量直接导到机箱外部的大面积铝制鳍片上,形成高效的散热方式。无风扇设计带来的好处是静音和防尘,有风扇设备随着使用时间的增加,内部会累积很多灰尘,同时风扇轴承长时间运作会产生偏移、损伤等问题,而将内部温度通过整个机箱进行散热,这样做的好处不仅解决了散热问题,封闭式的机箱也可起到防尘防潮的作用,同时也良好的保护了内部的组成部件。
4) 内置隔离模块
通过标准的PCIE接口,可外接客户自制的隔离卡,或者一体化解决方案,根据不同项目需求自由搭配单向导入卡和千兆FPGA隔离卡。
单向导入卡:支持1000Mbps的光纤通道;PCI Express 2.0接口标准;支持802.3x的流量控制;支持标准Windows和Linux操作系统。内网主板接发送端板卡,内网数据通过单导卡,把数据单向传输到接收端板卡,接收端板卡连接外网主板,而外网主板无法给内网主板发送任何数据,从而从根本上确保内网数据和内网网络的安全。
图3:单向导入卡
千兆FPGA隔离卡:基于ASIC芯片技术设计的专有接口进行数据传输,通过FPGA内部私有协议和数据摆渡逻辑,符合国标对隔离卡分时切换能力的要求;非传统X86Intel网卡芯片方案;隔离口性能高达2Gbps,轻松应对视频网闸等大流量的应用环境。
图4:千兆FPGA隔离卡
5) 宽温工作范围-40℃~55℃,支持-40℃和55℃边界温度下冷启动和重启
6) 110/220VACDC自适应电源供电,支持双电源输入,具备电源状态监测功能
7) 通过EMC电力四级认证,符合IEC-61850-3标准
4:小结
LEC-3212工业网络安全隔离网闸产品适合于工业现场2U机架式安装方式,EMC电力4级标准,符合IEC-61850-3和IEEE-1613的设计标准,是工业网络安全隔离网闸应用的理想解决方案,特别适用于电力,轨道交通,石油和天然气等需要多种通信控制的领域。该产品批量生产,已广泛应用于中石油大庆石化MES系统、中石油大庆炼化MES系统、中石油昆仑燃气生产指挥系统、中石化胜利油田热电联供中心生产调度联网系统、昆钢能源管理系统等工业项目,受到客户的一致好评。