青岛多芬诺(TOFINO)是针对工业控制系统安全设计的防火墙,它是为了建立纵深防御的目标应运而生动安全产品。他解释纵深防御策略时说,发现病毒,为时已晚即系统已遭受破坏了,只有防止病毒,蠕虫等非法入侵,才是解决方法,也就是:即使在某一点发生网络安全事故,也能保证工厂正常运行;让工厂操作人员能够很迅速的找到问题,并进行处理。TOFINO基于ANSI/ISA-99区域与管道防护,模型基础上,做到每一个服务管道,防火墙只允许正确设备操作所必需的通信,即只允许特定的通信协议流通过,其它数据全部被过滤掉。
它采用区域隔离、通信管控、实时报警三个措施,TOF/NO解决方案包含的组件为多芬诺安全设备模块TSA、组态软件一中央管理平台CMP、可装载安全软播件LSM。TSA为硬件模块、设计使用寿命27年,外形类似I/0模块和隔离器,环境温度可0~60℃(TSA-220)或-40~70℃(TSA-100),双电源供电可为2-48V或9-32VDC。继电器开关输出,有铜和/或光纤网络接口,有MUSIC2008-1或2009-1安全认证。
CMP功能如下:组态TSA硬件,管理网络配置,实时监控报警,网络通讯分析,LSM提供如下安全服务:防火墙,OPC通讯安全插件,Modbus通证安全播件,安全资产管理,事件报警记录,VPN(虚拟个人网络)。LSM团体操播件是下载到TSA里,它提供可定制的安全功能,满足控制系统的要求,可满足多种系统和现场总线通讯协议与模型(50多种)和安全防护要求,还可完成ESD/SIS安全系统的防护。
TOF/NO工业网络安全解决方案实施步骤为:第一步,确定在何处放置TOF1NO安全设备来制造区级安全,相关模块是“即播一即保护”,无需停机安全;第二步;确定需要那些可加载安全功能软播件(LSMS),以确定每个区域安全不同的要求;第三步,选择一个服务器或工作站安全TOF/NO中央管理平台。
具体应用事例很多,如中石化齐鲁石化公司,事先分析出原系统存在5个漏洞和物质缺陷,如网络连接采用控制系统经过接口机直接连至办公网的方式,中间无任何有效的隔离措施;又如控制系统现大部分都采用Windows平台,不能安装杀素养软件及进行系统补与更新;又如网络中一旦出现问题,无法进行原因事故和分析;越来越多的先进控制应用于现场控制,由于发进控制一般由厂家提供现场服务,并且往常使用U盘等移动介质,APC服务器感染言不由衷素养的概率较大,APC服务器和控制系统之间无有效的隔离措施;也控制系统与办公网络间接口机采用双网卡,此结构无法保证控制系统的真正安全。
经过改选后,网络结构的优点如下:(1)将传统网络安全技术(VLAN划分)与TOFINO工业网络防火墙相结合,达到横向(不同装置系统之间和纵向信息网与控制网之间)全方位网络安全隔离的效果。(2)利用TOFINO的实时报警和历史记录功能对网络进行实时监控和历史查询。(3)OPC服务器或工程师站直接通过防火墙后连至数采网与接口机划为同一个VLAN,提高网络安全防护等级。(4)将APC先控站进行隔离。(5)CMP能用简单操作完成防火墙的配置,减少了网管人员的学习时间及配置时间和后期,网络维护的工作量。其它还有国内20多个工程实例,国外20多个工程实例。