引言

       不同于傳統(tǒng)的IT防火墻胳嘲，Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全而設(shè)計(jì)。現(xiàn)場技術(shù)人員只需簡單為Tofino接入電源扣草，并連接兩個網(wǎng)絡(luò)的電纜即可了牛，無需其他任何操作。一旦安裝成功辰妙，技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)鹰祸，以總攬公司大局的方式對網(wǎng)絡(luò)威脅做出及時反應(yīng)。最重要的是密浑，Tofino既可以靈活運(yùn)用在單純由PLC構(gòu)成的小型工廠中蛙婴，又能夠滿足那些擁有成千上萬個設(shè)備并且分布全球各地的大型跨國集團(tuán)的使用要求。

        在現(xiàn)代工業(yè)企業(yè)的信息系統(tǒng)中秤暮，由各種DCS钢谍、PLC、測控設(shè)備度限、SCADA構(gòu)成的過程控制系統(tǒng)位于底層車間孩板，負(fù)責(zé)完成基本的生產(chǎn)控制。隨著企業(yè)信息化建設(shè)的發(fā)展浙梗，迫切要求實(shí)現(xiàn)過程控制系統(tǒng)與上層的管理信息系統(tǒng)之間的互聯(lián)蛆删，完成經(jīng)營管理層與車間執(zhí)行層的雙向信息流交互，使企業(yè)對生產(chǎn)情況保證實(shí)時反應(yīng)务冠，消除信息孤島與斷層現(xiàn)象捅悦。OPC接口技術(shù)作為一種通用的解決方案，已經(jīng)越來越廣泛地被應(yīng)用于工業(yè)丈揖、能源目露、交通、水利以及市政等領(lǐng)域旁咙。
1惯波、概述
        隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展椿疗，高度信息化的同時也減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離漏峰，病毒糠悼、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)信息安全問題日益突出浅乔。2010年發(fā)生的“震網(wǎng)”病毒事件倔喂，充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢。工信部協(xié)[2011]451號通知明確指出靖苇，我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題席噩，主要是對工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全贤壁，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失悼枢，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等脾拆，威脅著工業(yè)生產(chǎn)安全和社會正常運(yùn)轉(zhuǎn)萧芙。對此，各地區(qū)假丧、各部門、各單位務(wù)必高度重視拯羽，增強(qiáng)風(fēng)險(xiǎn)意識幢耍、責(zé)任意識和緊迫感，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理谐创。

2忿和、現(xiàn)狀與分析
        OPC是Object Linking and Embedding（OLE）for Process Control的縮寫，它是微軟公司的對象鏈接和嵌入技術(shù)在過程控制方面的應(yīng)用寸芦。由一些世界上占領(lǐng)先地位的自動化系統(tǒng)和硬件渤惦、軟件公司與微軟（Microsoft）緊密合作而建立的，OPC基金會負(fù)責(zé)OPC規(guī)范的制定和發(fā)布婆仪。OPC提出了一套統(tǒng)一的標(biāo)準(zhǔn)舵邦，采用CLIENT/SERVER模式，針對硬件設(shè)備的驅(qū)動程序由硬件廠商或?qū)ｉT的公司完成筑落，提供具有統(tǒng)一OPC接口的SERVER程序村参，軟件廠商按照OPC標(biāo)準(zhǔn)訪問SERVER程序，即可實(shí)現(xiàn)與硬件設(shè)備的通信摸悲。
        對于客戶應(yīng)用程序而言梳附，底層的現(xiàn)場設(shè)備是透明的，它在調(diào)用現(xiàn)場設(shè)備的數(shù)據(jù)時述雾，無需知道具體的數(shù)據(jù)格式街州。OPC把開發(fā)訪問接口的任務(wù)放在硬件生產(chǎn)廠家或第三方廠家，以服務(wù)器的形式提供給客戶玻孟，并規(guī)定了一系列的接口標(biāo)準(zhǔn)唆缴，而客戶負(fù)責(zé)創(chuàng)建服務(wù)器的對象及訪問服務(wù)器支持的接口鳍征。最終用戶按照OPC標(biāo)準(zhǔn)開發(fā)的在客戶機(jī)上運(yùn)行的應(yīng)用程序，可以通過OPC服務(wù)器與任何數(shù)據(jù)源交換數(shù)據(jù)琐谤，不必知道數(shù)據(jù)源的特性蟆技。硬件和數(shù)據(jù)庫的開發(fā)商根據(jù)自己產(chǎn)品的特性，并遵循OPC標(biāo)準(zhǔn)開發(fā)的OPC服務(wù)器斗忌，則可適用于任何應(yīng)用軟件质礼。通過OPC，不同廠家的系統(tǒng)可以互相通訊织阳，減少了因通訊協(xié)議不同相互通訊需單獨(dú)開發(fā)大量接口的繁瑣工作眶蕉，目前已成為應(yīng)用最廣泛的工業(yè)通訊標(biāo)準(zhǔn)之一。

        典型的系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示唧躲，由信息層（Information zone）造挽、操作站層（Station zone）和控制器層（Controller zone）三大部分組成。目前的現(xiàn)狀是大多數(shù)控制網(wǎng)絡(luò)中在運(yùn)行的電腦乱孩，很少或沒有機(jī)會安裝全天候病毒防護(hù)或更新版本憨净。控制器的設(shè)計(jì)都以優(yōu)化實(shí)時的I / O功用為主菲组，而並不提供加強(qiáng)的網(wǎng)絡(luò)連接安全防護(hù)功能啰昧。在整個網(wǎng)絡(luò)中存在多個網(wǎng)絡(luò)端口切入點(diǎn)需要防護(hù)，并且許多控制網(wǎng)絡(luò)都是“敞開的”庭匆，不同的子系統(tǒng)之間都沒有有效的隔離肮顾，尤其是基于OPC、MODBUS等通訊的工業(yè)控制網(wǎng)絡(luò)渗骆，其中某一部分出現(xiàn)問題被攻擊后针蜀，病毒就通過網(wǎng)絡(luò)迅速蔓延。
        目前國內(nèi)針對工業(yè)控制網(wǎng)絡(luò)的防護(hù)標(biāo)準(zhǔn)尚未成型硝逐，公安部會同有關(guān)部門也在制定計(jì)算機(jī)信息系統(tǒng)安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法捷仓。在國際上，美國在2007年頒布的Chemical Facility Anti-Terrorism Standards (CFATS)標(biāo)準(zhǔn)（該標(biāo)準(zhǔn)由美國國土安全部頒布）以及2008年頒布的US Chemical Anti-Terrorism Act（美國化學(xué)反恐怖主義法）針對化工設(shè)備安全做了強(qiáng)制要求足蹋，目前新蟆，石油，水處理以及制造業(yè)都還沒有必須按照以上立法規(guī)定作業(yè)右蕊，但是為了避免重大的風(fēng)險(xiǎn)琼稻，基本都遵守行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99 Standards的要求進(jìn)行規(guī)劃。ANSI/ISA-99 及North American Electric Reliability Council (NERC) CIP-005饶囚，均指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)應(yīng)與其他系統(tǒng)隔離帕翻，包括企業(yè)IT網(wǎng)絡(luò)。ANSI/ISA-99指出過程控制系統(tǒng)或SCADA控制網(wǎng)絡(luò)的控制網(wǎng)絡(luò)安全要點(diǎn)如下：

        需要重點(diǎn)解釋的是萝风，商業(yè)網(wǎng)絡(luò)的安全需求與控制網(wǎng)絡(luò)的安全需求在某些地方完全不同嘀掸。舉個例子紫岩，商業(yè)防火墻通常允許該網(wǎng)絡(luò)內(nèi)的用戶使用HTTP瀏覽因特網(wǎng)，而控制網(wǎng)絡(luò)則恰恰相反睬塌，它的安全性要求明確禁止這一行為泉蝌；尤其OPC作為工業(yè)通訊中最常用的一種標(biāo)準(zhǔn)，是基于微軟的COM/DCOM技術(shù)揩晴，在應(yīng)用過程中端口在1024-65535間不固定使用勋陪，這一特性使得基于端口防護(hù)的普通商用防火墻根本無法進(jìn)行設(shè)置。因此不要試圖將控制系統(tǒng)放入IT解決方案中擂奇，選用專有的控制系統(tǒng)防火墻加上良好的控制系統(tǒng)安全策略才能為工業(yè)控制系統(tǒng)安全提供高效的網(wǎng)絡(luò)攻擊防御能力嘶逝。想要滿足這一安全要求，Tofino是一種經(jīng)濟(jì)高效的方式拱削。

[DividePage:NextPage]

3拄抄、Tofino解決方案
3.1 方案亮點(diǎn)
        OPC Classic的核心技術(shù)（RPC和DCOM）在設(shè)計(jì)之初尚未考慮到安全問題。因此OPC Classic采用了動態(tài)端口分配技術(shù)扎输，使得傳統(tǒng)IT類防火墻在OPC安全防護(hù)上毫無用武之地徽探。Tofino OPC Enforcer LSM使用Deep Packet Inspection（深度包檢測）技術(shù)自動跟蹤和管理OPC Classic 動態(tài)端口的使用情況，從而解決了這個問題准击。使得Tofino能夠被安裝到運(yùn)行有OPC DA杂飘、HAD、A&E通信的網(wǎng)絡(luò)中汹即，并且無需對現(xiàn)有的OPC客戶端和服務(wù)器做任何改變。Tofino能夠用來分離安全系統(tǒng)網(wǎng)絡(luò)與過程系統(tǒng)網(wǎng)絡(luò)衩凤，實(shí)現(xiàn)關(guān)鍵系統(tǒng)與非關(guān)鍵系統(tǒng)的物理隔離唤邻。與普通商用防火墻相比，Tofino更適于工業(yè)控制系統(tǒng)安全防護(hù)掸绞，主要體現(xiàn)在：
（1）工業(yè)型：
        ●參照ANSI/ISA-99 Standards的安全要求為設(shè)計(jì)理念泵三，產(chǎn)品更具針對性和高效性，專門用于工業(yè)控制系統(tǒng)的安全保護(hù)衔掸。
        ●內(nèi)置50多種專有工業(yè)通信協(xié)議烫幕，與常規(guī)防火墻不同的是，Tofino防火墻不僅是在端口上的防護(hù)敞映，更重要的是基于應(yīng)用層上數(shù)據(jù)包深度檢查较曼，屬于新一代工業(yè)通訊協(xié)議防火墻，為工業(yè)通訊提供獨(dú)特的振愿、工業(yè)級的專業(yè)隔離防護(hù)解決方案捷犹。
        ●具備在線修改防火墻組態(tài)功能，可以實(shí)時對組態(tài)的防火墻策略進(jìn)行修改冕末，而且不影響工業(yè)實(shí)時通訊萍歉。其它防火墻需要斷電侣颂、重啟等。
        ● 工業(yè)型設(shè)計(jì)枪孩，導(dǎo)軌式安裝憔晒，低功耗無風(fēng)扇，具備二區(qū)防爆認(rèn)證硝迁。
（2）獨(dú)有專利安全連接技術(shù)：
        ●首先防火墻自身是基于非IP的獨(dú)有專利安全連接技術(shù)進(jìn)行管理高降，能夠阻擋任何欺騙式攻擊。
        ●能夠隱藏防火墻后端所有設(shè)備的IP地址谍售，讓入侵者無法發(fā)現(xiàn)目標(biāo)眨额，更無從談發(fā)動任何攻擊。
        ●集防火墻與虛擬路由于一身学掉，能夠像網(wǎng)絡(luò)交通警察一樣管控通訊網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑笋再、對象以及數(shù)據(jù)流的方向，可以設(shè)定數(shù)據(jù)流入姐阎、流出的單向或雙向缤贯。
（3）實(shí)時網(wǎng)絡(luò)通訊透視鏡：
        能夠?yàn)槟壳翱刂凭W(wǎng)絡(luò)故障分析、監(jiān)控浦匾、記錄提供一個簡單瑰柄、有效的可靠工具，能夠確切的觀察涝填、分析蚣碰、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議、數(shù)據(jù)速度誓沸、訪問對象等梅桩。實(shí)現(xiàn)對非法通信的實(shí)時報(bào)警、來源確認(rèn)拜隧、歷史記錄宿百，保證控制網(wǎng)絡(luò)通訊的實(shí)時診斷。
（4）市面上獨(dú)家滿足ANSI/ISA-99和NERC-CIP標(biāo)準(zhǔn)
        根據(jù)ANSI/ISA-99 和NERC-CIP標(biāo)準(zhǔn)洪添，TSA可以很方便的針對PLC垦页、DCS、RTU干奢、IED和HMI提供一個性價比很高的安全分區(qū)——一個配置得當(dāng)?shù)谋Ｗo(hù)區(qū)域分組痊焊。
（5）特有‘測試’模式
        ‘測試’模式可以在對控制系統(tǒng)無任何風(fēng)險(xiǎn)的情況下進(jìn)行防火墻和VPN測試。TEST模式不同于實(shí)際的操作模式忿峻，在TEST模式中宋光，Tofino允許所有的通訊通過，但是由CMP報(bào)告在操作模式下任何可能被攔截的通訊炭菌。這一點(diǎn)對于工業(yè)或SCADA控制系統(tǒng)的安全操作相當(dāng)關(guān)鍵罪佳，用傳統(tǒng)的IT防火墻是不可能實(shí)現(xiàn)的逛漫。這也是Tofino適合于工業(yè)控制系統(tǒng)的獨(dú)特性的一個方面。
3.2 方案構(gòu)成
        一個完整的Tofino安全解決方案包括以下四部分：
（1）Tofino安全模塊（TSA）
        增強(qiáng)型工業(yè)環(huán)境要求設(shè)計(jì)锉择，即插即用土霞，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下圖為Tofino安全模塊硬件的兩種選型沟脓。硬件設(shè)計(jì)遵循增強(qiáng)型工業(yè)環(huán)境要求每访，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前，設(shè)計(jì)使用壽命27年稠臣，能夠提供安全系統(tǒng)的工業(yè)平臺康蚯。

（2）Tofino可裝載安全軟插件(LSM)
        專為工業(yè)通訊協(xié)議設(shè)計(jì)的安全軟插件，可以直接裝載到Tofino安全模塊中爵倚，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)侦纳。本方案中可選的基本軟插件包括：
        ●Tofino Firewall LSM工業(yè)通信防火墻；
        工業(yè)網(wǎng)絡(luò)交通警察也您，提供防火墻及網(wǎng)絡(luò)交通控制功能的軟插件內(nèi)置50多個工業(yè)專用及商業(yè)IT通信協(xié)議勤焕，預(yù)先定義超過25個控制器類型（例如：西門子S7-300/S7-400，Honeywell PKS C200/C300/）愕炸；LSM在線協(xié)議組態(tài)疮丛，可自己定制通訊協(xié)議或者通過設(shè)備學(xué)習(xí)功能實(shí)現(xiàn)通訊協(xié)議定制；通過通訊協(xié)議指令級別的管控辆它，預(yù)先組態(tài)用于高級過濾和攻擊保護(hù)的“特殊規(guī)則”誊薄。 符合 ANSI/ISA-99.00.02 的網(wǎng)絡(luò)分段要求，達(dá)到區(qū)域隔離目標(biāo)锰茉。
        ●Event Logger LSM事件日志與報(bào)警管理呢蔫；
        Tofino事件記錄可裝載模塊對您的安全事件提供了可靠的監(jiān)控功能和記錄功能，它是一個專為工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的日志記錄系統(tǒng)洞辣。
        ●OPC Enforcer LSM通信深度檢測及防護(hù)；
        專門用于標(biāo)準(zhǔn)OPC協(xié)議通訊的網(wǎng)絡(luò)安全技術(shù)昙衅，它可以檢查扬霜，追蹤并安全保護(hù)每一個OPC應(yīng)用程序創(chuàng)建的連接。它動態(tài)地為指定的OPC客戶端和服務(wù)器打開端口而涉，并且是只打開每個連接所需要的唯一的TCP端口著瓶。可通過自定義數(shù)據(jù)通訊延遲時間達(dá)到關(guān)閉無效通訊的功能啼县。它簡單易用材原，在OPC客戶端和服務(wù)器無需改變?nèi)魏闻渲茫瑹o需改變?nèi)魏卧械木W(wǎng)絡(luò)結(jié)構(gòu)献凫，這種先進(jìn)的解決方案超越了傳統(tǒng)的防火墻猎递。
        優(yōu)勢在于在OPC工業(yè)協(xié)議上最先應(yīng)用“連接跟蹤技術(shù)” 库忽；Tofino的 ‘Sanity Check’ 檢查功能，可攔阻任何不符合OPC標(biāo)準(zhǔn)格式的DCE/RPC 訪問乡试；OPC通訊權(quán)限管理拌九，OPC協(xié)議深度檢查，管控通訊安全吻蟹；只在所跟蹤的TCP端口有需要時恐丧，防火墻才短暫地打開；可支持多個 OPC 客戶端和服務(wù)器同時使用果邢； 簡單易用晚沙，在OPC服務(wù)器或客戶端上并不需要做任何變化和改動只是在通訊網(wǎng)線中間加入即可；可支持OPC DA, HDA 和 A&E 標(biāo)準(zhǔn)辙恨；實(shí)現(xiàn)區(qū)域防護(hù)和病毒隔離喝赎，阻擋惡意攻擊，使用OPC基金會的測試套件OPC協(xié)議完成測試绑莺，得到OPC基金會的大力推薦暖眼。
        ●Secure Asset Management LSM安全設(shè)備資產(chǎn)管理；
        像雷達(dá)一樣纺裁，Tofino的安全設(shè)備資產(chǎn)管理（SAM）可裝載模塊可以追蹤每一個通過Tofino安全設(shè)備進(jìn)行通訊的設(shè)備诫肠。不過，為了避免引起進(jìn)程干擾欺缘，它實(shí)現(xiàn)這一功能使用的并不是傳統(tǒng)的掃描技術(shù)栋豫。
        ● VPN加密；

        使用安全套接字協(xié)議（SSL）技術(shù)創(chuàng)建高度安全的“隧道”來保護(hù)控制系統(tǒng)的完整性谚殊，安全性丧鸯。易于敷設(shè)，測試和管理配置嫩絮，通過可視的拖放操作界面使組態(tài)簡單易行丛肢。在不影響正常控制網(wǎng)絡(luò)通訊的情況下可進(jìn)行VPN通道測試剿干。支持早期的自動化協(xié)議蜂怎。與其他Tofino產(chǎn)品相互協(xié)同操作，提供更加強(qiáng)大細(xì)致的VPN接入和SCADA功能的防火墻保護(hù)置尔。

[DividePage:NextPage]

（3）Tofino中央管理平臺（CMP）
        窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫登彪，用于Tofino安全模塊的配置、組態(tài)和管理城搀，并能實(shí)現(xiàn)系統(tǒng)的報(bào)警和日志的實(shí)時監(jiān)控和歷史查詢标狼。能夠?yàn)槟壳翱刂凭W(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供一個簡單纠徘、有效的可靠工具君博，能夠確切的觀察、分析奏炸、控制網(wǎng)絡(luò)通信電纜中所使用的通訊協(xié)議谒电、數(shù)據(jù)速度、訪問對象等芹菱。實(shí)現(xiàn)對非法通信的實(shí)時報(bào)警冗呀、來源確認(rèn)、歷史記錄桩垫，保證控制網(wǎng)絡(luò)通訊的實(shí)時診斷钠锉。具備在線組態(tài)、在線監(jiān)控西轩、資產(chǎn)管理等多種功能员舵。

（4）Tofino安全管理平臺（SMP）
        SMP Server接收CMP或TSA的日志和報(bào)警記錄，并將日志和報(bào)警存儲在服務(wù)器數(shù)據(jù)庫中藕畔。SMP Client安裝在辦公局域網(wǎng)上的辦公電腦中马僻，支持以圖形的方式實(shí)時顯示CMP或TSA收集的日志和報(bào)警記錄，并且支持日志和報(bào)警的查詢注服。
3.3 方案介紹與實(shí)施
        產(chǎn)品的選型和方案的實(shí)施可以概括為以下三步韭邓，實(shí)際中對于不同的環(huán)境和安全要求，具體的方案和實(shí)施過程略有不同溶弟。
        第一步：創(chuàng)建網(wǎng)絡(luò)安全分區(qū)?女淑，確定在何處放置TOFINO安全設(shè)備TSA。
        第二步：確定需要哪些可裝載安全功能軟插件(LSMs)辜御，以確保每個區(qū)域安全不同的要求鸭你。
        第三步：選擇一個服務(wù)器或工作站安裝TOFINO中央管理平臺CMP和Tofino安全管理平臺SMP，CMP和SMP也可以分別安裝在不同的機(jī)器擒权。
        針對企業(yè)流程工業(yè)的特點(diǎn)袱巨，同時結(jié)合上述控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)中有多處關(guān)鍵點(diǎn)需要保護(hù)逊床，本方案僅針對OPC通信部分需要進(jìn)行的防護(hù)進(jìn)行詳細(xì)介紹遥喘。

       （1） 信息層與操作站層之間是過程控制網(wǎng)絡(luò)與企業(yè)信息網(wǎng)絡(luò)的借口部位，是企業(yè)目前信息部與儀控部的交叉點(diǎn)访跛，由于來自企業(yè)信息層病毒感染與入侵的概率較大捣雪，所以該部位是目前防護(hù)的重點(diǎn)堡扳，可以使用Tofino進(jìn)行保護(hù)秩漾。
考慮到該部位通常采用OPC接口進(jìn)行通信，建議選用以下LSM：

        通過以上配置侄脂，解決下列問題：
        ●阻止來自企業(yè)信息層的病毒傳播冯峭；
        ●阻擋來自企業(yè)信息層的非法入侵昵壁；
        ●管控OPC客戶端與服務(wù)器的通訊；
        （2） 針對操作站層各個節(jié)點(diǎn)之間的相互影響谁汤，方案將OPC Server坠地、工程師站以及高級應(yīng)用先控站三個節(jié)點(diǎn)分為一組，通過Tofino模塊進(jìn)行隔離殉俗，建議可選的LSM如下：

[DividePage:NextPage]

        通過以上配置圾纤，解決下列問題：
        ●通過CMP對Firewall LSM進(jìn)行組態(tài)，將OPC Server倦逐、工程師站和高級應(yīng)用先控站獨(dú)立分為一個區(qū)域譬正，該區(qū)域的所有通訊都由Tofino防火墻進(jìn)行過濾，只有指定的通訊和相關(guān)的數(shù)據(jù)才被允許通過檬姥，從而防止病毒擴(kuò)散到整個操作站層面曾我；
        ●管控局部網(wǎng)絡(luò)通訊速率，防止網(wǎng)絡(luò)風(fēng)暴的發(fā)生健民；
        最后選擇網(wǎng)絡(luò)中合適的機(jī)器安裝CMP和SMP創(chuàng)建整個網(wǎng)絡(luò)模型抒巢，并設(shè)置合適的通信規(guī)則，確保網(wǎng)絡(luò)中只有合法的通信通過秉犹，這樣可以將全廠所有設(shè)備硬件都集中管理蛉谜，對全廠控制網(wǎng)絡(luò)狀態(tài)一目了然。
3.4 方案目標(biāo)
        該方案以建立縱深防御策略為主要思想凤优，確保工廠網(wǎng)絡(luò)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故悦陋，工廠也能正常運(yùn)行，同時筑辨，工廠操作人員能夠很迅速的找到問題并進(jìn)行處理俺驶，主要達(dá)到以下目標(biāo)：
        ●區(qū)域隔離：Tofino工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信。這樣意味著網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi)殊精，而不會影響到其它部分协黑；
        ●深度檢查：面向應(yīng)用層對特有的工業(yè)通訊協(xié)議進(jìn)行內(nèi)容深度檢查，告別病毒庫升級缺陷诽檬；
        ●通信管控：通信規(guī)則是可以通過中央管理平臺進(jìn)行在線組態(tài)和測試的脏拦；
        ●實(shí)時報(bào)警：所有部署的防火墻都能由中央管理平臺統(tǒng)一進(jìn)行實(shí)時監(jiān)控，任何非法的（沒有被組態(tài)允許的）訪問殿扮，都會在中央管理平臺產(chǎn)生實(shí)時報(bào)警信息摇昌，從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。
4篓围、結(jié)束語
        Tofino Security System一方面是一個完整的分布式安全解決方案净耍，另一方面又可以簡單、安全地進(jìn)行集中管理，這些特性使其成為一款獨(dú)一無二的產(chǎn)品嘉警。對工業(yè)企業(yè)來說Tofino Security System更意味著最佳的安全效益和技術(shù)支持蕴来，并不只是簡單滿足了獨(dú)立的關(guān)鍵控制設(shè)備的安全要求。
        不同于傳統(tǒng)的IT防火墻拼缝，Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全而設(shè)計(jì)∮榫郑現(xiàn)場技術(shù)人員只需簡單為Tofino接入電源，并連接兩個網(wǎng)絡(luò)的電纜即可咧七，無需其他任何操作衰齐。一旦安裝成功，技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)继阻，以總攬公司大局的方式對網(wǎng)絡(luò)威脅做出及時反應(yīng)娇斩。最重要的是，Tofino既可以靈活運(yùn)用在單純由PLC構(gòu)成的小型工廠中穴翩，又能夠滿足那些擁有成千上萬個設(shè)備并且分布全球各地的大型跨國集團(tuán)的使用要求犬第。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享芒帕，并不代表本站贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)歉嗓，也不構(gòu)成任何其他建議。本站部分作品是由網(wǎng)友自主投稿和發(fā)布背蟆、編輯整理上傳鉴分，對此類作品本站僅提供交流平臺，不為其版權(quán)負(fù)責(zé)带膀。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻欣慰、圖片、文字如涉及作品版權(quán)問題诅订，請第一時間告知氮栏，我們將根據(jù)您提供的證明材料確認(rèn)版權(quán)并按國家標(biāo)準(zhǔn)支付稿酬或立即刪除內(nèi)容，以保證您的權(quán)益乡羹！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn左蛙。