Tofino工業(yè)控制系統(tǒng)信息安全解決方案針對(duì)SCADA和過(guò)程控制系統(tǒng)等工業(yè)通訊特別設(shè)計(jì)，旨在為其提供一種分區(qū)的安全解決方案。Tofino擁有極高的性價(jià)比，它能夠在工廠車(chē)間中建立深層防護(hù)架構(gòu)，因此，即使有黑客或病毒通過(guò)主要的企業(yè)防火墻，他們也將面對(duì)基于控制網(wǎng)絡(luò)特點(diǎn)而設(shè)計(jì)的專業(yè)安全設(shè)備，只有穿過(guò)這些設(shè)備才能進(jìn)而造成損害。

        Tofino模塊采用Tofino Central Management Platform (CMP，中央管理平臺(tái))進(jìn)行集中配置、組態(tài)和管理(可遠(yuǎn)程甚至跨國(guó)使用)，控制系統(tǒng)網(wǎng)或企業(yè)網(wǎng)均可以在適當(dāng)位置安裝CMP。使用CMP，并裝載各種必要的Loadable Security Modules (LSMs，可裝載安全軟件插件)，就可以實(shí)時(shí)在線調(diào)整Tofino模塊，使之滿足所保護(hù)區(qū)域及設(shè)備的安全要求。

 

Tofino安全解決方案系統(tǒng)配置示意

        Tofino軟插件LSM能夠?yàn)楣S用戶量身定制加密，入侵檢測(cè)及控制協(xié)議識(shí)別等安全解決方案。例如，可以將其中一個(gè)Tofino硬件作為專有PLC控制系統(tǒng)網(wǎng)絡(luò)的防火墻，將另外一個(gè)Tofino硬件作為網(wǎng)絡(luò)RTU通訊的加密系統(tǒng)。當(dāng)然，單個(gè)Tofino硬件可以同時(shí)裝載多個(gè)軟插件LSM，同時(shí)提供多重安全防護(hù)。

         Tofino Security System一方面是一個(gè)完整的分布式的安全解決方案，另一方面又可以簡(jiǎn)單、安全地進(jìn)行集中管理，這些特性使得它成為一款獨(dú)一無(wú)二的產(chǎn)品。對(duì)大型工業(yè)企業(yè)來(lái)說(shuō)，Tofino Security System更意味著最佳的安全效益和技術(shù)支持，并不只是簡(jiǎn)單滿足了獨(dú)立的關(guān)鍵控制系統(tǒng)設(shè)備的安全需求。

        不同于傳統(tǒng)的IT防火墻，Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全要求而設(shè)計(jì)?，F(xiàn)場(chǎng)技術(shù)人員只需簡(jiǎn)單為T(mén)ofino接入電源，并連接兩個(gè)網(wǎng)絡(luò)的電纜即可，無(wú)需其他任何操作。一旦安裝成功，安全/技術(shù)人員即可毫不費(fèi)力地管理任何系統(tǒng)，以總攬公司大局的方式對(duì)網(wǎng)絡(luò)威脅作出反應(yīng)。最重要的是，Tofino既可以靈活運(yùn)用在單純由PLC構(gòu)成的小型工廠中，又能夠滿足那些擁有成千上萬(wàn)個(gè)設(shè)備并且分布全球各地的大型跨國(guó)公司的使用要求。

         方案構(gòu)成

         一個(gè)完整的Tofino工業(yè)控制系統(tǒng)信息安全解決方案包含以下四部分：

         Tofino安全模塊(TSA)——增強(qiáng)型工業(yè)環(huán)境要求設(shè)計(jì)，即插即用，應(yīng)用于受保護(hù)的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下圖為T(mén)ofino安全模塊硬件(TSA-220)：

         Tofino可裝載安全軟插件(LSM)——專為工業(yè)通訊協(xié)議設(shè)計(jì)的安全軟插件，提供安全服務(wù)，如工業(yè)通信防火墻、事件與報(bào)警管理，OPC/Modbus TCP通信深度檢查、安全設(shè)備資產(chǎn)管理、VPN加密等。LSM可以直接裝載到Tofino安全模塊中，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)。

          Tofino中央管理平臺(tái)(CMP)——窗口化的中央管理平臺(tái)系統(tǒng)及數(shù)據(jù)庫(kù)，用于Tofino安全模塊的配置、組態(tài)和管理。

          Tofino安全管理平臺(tái)(SMP)——窗口化的安全管理平臺(tái)系統(tǒng)及數(shù)據(jù)庫(kù)，統(tǒng)一管理所有與SMP相連的CMP和TSA的實(shí)時(shí)數(shù)據(jù)及報(bào)警信息，可用于辦公網(wǎng)監(jiān)視、查閱和存儲(chǔ)實(shí)時(shí)數(shù)據(jù)及報(bào)警信息。

                               

Tofino中央管理平臺(tái)界面截圖

           方案達(dá)到的目標(biāo)

         區(qū)域隔離：Tofino工業(yè)防火墻插件能夠過(guò)濾兩個(gè)區(qū)域網(wǎng)絡(luò)間的通信，這樣意味著網(wǎng)絡(luò)故障會(huì)被控制在最初發(fā)生的區(qū)域內(nèi)，而不會(huì)影響到其它部分。

         通信管控：通信規(guī)則是可以在線通過(guò)CMP進(jìn)行預(yù)先組態(tài)和測(cè)試的。

          實(shí)時(shí)報(bào)警：任何非法的(沒(méi)有被組態(tài)允許的)訪問(wèn)，都會(huì)在CMP管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息，并可通過(guò)Syslog Server(可選)等軟硬件以郵件或短信的方式通知管理者，從而故障問(wèn)題會(huì)在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決

          一勞永逸：工業(yè)級(jí)硬件設(shè)計(jì)，保證模塊的穩(wěn)定性;特有的專有控制通訊協(xié)議檢查設(shè)計(jì)理念(白名單理念)，告別了傳統(tǒng)防火墻的病毒庫(kù)升級(jí)等繁瑣工作，在防護(hù)的同時(shí)也不改變控制系統(tǒng)網(wǎng)絡(luò)原有應(yīng)用軟件的操作模式，大大降低控制系統(tǒng)網(wǎng)絡(luò)維護(hù)量。(青島多芬諾信息安全技術(shù)有限公司)