Tofino工業(yè)控制系統(tǒng)信息安全解決方案針對SCADA和過程控制系統(tǒng)等工業(yè)通訊特別設(shè)計，旨在為其提供一種分區(qū)的安全解決方案。Tofino擁有極高的性價比，它能夠在工廠車間中建立深層防護架構(gòu)，因此，即使有黑客或病毒通過主要的企業(yè)防火墻，他們也將面對基于控制網(wǎng)絡(luò)特點而設(shè)計的專業(yè)安全設(shè)備，只有穿過這些設(shè)備才能進而造成損害。

        Tofino模塊采用Tofino Central Management Platform (CMP，中央管理平臺)進行集中配置、組態(tài)和管理(可遠(yuǎn)程甚至跨國使用)，控制系統(tǒng)網(wǎng)或企業(yè)網(wǎng)均可以在適當(dāng)位置安裝CMP。使用CMP，并裝載各種必要的Loadable Security Modules (LSMs，可裝載安全軟件插件)，就可以實時在線調(diào)整Tofino模塊，使之滿足所保護區(qū)域及設(shè)備的安全要求。

 

Tofino安全解決方案系統(tǒng)配置示意

        Tofino軟插件LSM能夠為工廠用戶量身定制加密，入侵檢測及控制協(xié)議識別等安全解決方案。例如，可以將其中一個Tofino硬件作為專有PLC控制系統(tǒng)網(wǎng)絡(luò)的防火墻，將另外一個Tofino硬件作為網(wǎng)絡(luò)RTU通訊的加密系統(tǒng)。當(dāng)然，單個Tofino硬件可以同時裝載多個軟插件LSM，同時提供多重安全防護。

         Tofino Security System一方面是一個完整的分布式的安全解決方案，另一方面又可以簡單、安全地進行集中管理，這些特性使得它成為一款獨一無二的產(chǎn)品。對大型工業(yè)企業(yè)來說，Tofino Security System更意味著最佳的安全效益和技術(shù)支持，并不只是簡單滿足了獨立的關(guān)鍵控制系統(tǒng)設(shè)備的安全需求。

        不同于傳統(tǒng)的IT防火墻，Tofino專為工業(yè)環(huán)境控制網(wǎng)絡(luò)通信安全要求而設(shè)計?，F(xiàn)場技術(shù)人員只需簡單為Tofino接入電源，并連接兩個網(wǎng)絡(luò)的電纜即可，無需其他任何操作。一旦安裝成功，安全/技術(shù)人員即可毫不費力地管理任何系統(tǒng)，以總攬公司大局的方式對網(wǎng)絡(luò)威脅作出反應(yīng)。最重要的是，Tofino既可以靈活運用在單純由PLC構(gòu)成的小型工廠中，又能夠滿足那些擁有成千上萬個設(shè)備并且分布全球各地的大型跨國公司的使用要求。

         方案構(gòu)成

         一個完整的Tofino工業(yè)控制系統(tǒng)信息安全解決方案包含以下四部分：

         Tofino安全模塊(TSA)——增強型工業(yè)環(huán)境要求設(shè)計，即插即用，應(yīng)用于受保護的區(qū)域或控制器等關(guān)鍵設(shè)備之前。下圖為Tofino安全模塊硬件(TSA-220)：

         Tofino可裝載安全軟插件(LSM)——專為工業(yè)通訊協(xié)議設(shè)計的安全軟插件，提供安全服務(wù)，如工業(yè)通信防火墻、事件與報警管理，OPC/Modbus TCP通信深度檢查、安全設(shè)備資產(chǎn)管理、VPN加密等。LSM可以直接裝載到Tofino安全模塊中，并根據(jù)系統(tǒng)需求提供各種定制安全服務(wù)。

          Tofino中央管理平臺(CMP)——窗口化的中央管理平臺系統(tǒng)及數(shù)據(jù)庫，用于Tofino安全模塊的配置、組態(tài)和管理。

          Tofino安全管理平臺(SMP)——窗口化的安全管理平臺系統(tǒng)及數(shù)據(jù)庫，統(tǒng)一管理所有與SMP相連的CMP和TSA的實時數(shù)據(jù)及報警信息，可用于辦公網(wǎng)監(jiān)視、查閱和存儲實時數(shù)據(jù)及報警信息。

                               

Tofino中央管理平臺界面截圖

           方案達到的目標(biāo)

         區(qū)域隔離：Tofino工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信，這樣意味著網(wǎng)絡(luò)故障會被控制在最初發(fā)生的區(qū)域內(nèi)，而不會影響到其它部分。

         通信管控：通信規(guī)則是可以在線通過CMP進行預(yù)先組態(tài)和測試的。

          實時報警：任何非法的(沒有被組態(tài)允許的)訪問，都會在CMP管理平臺產(chǎn)生實時報警信息，并可通過Syslog Server(可選)等軟硬件以郵件或短信的方式通知管理者，從而故障問題會在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決

          一勞永逸：工業(yè)級硬件設(shè)計，保證模塊的穩(wěn)定性;特有的專有控制通訊協(xié)議檢查設(shè)計理念(白名單理念)，告別了傳統(tǒng)防火墻的病毒庫升級等繁瑣工作，在防護的同時也不改變控制系統(tǒng)網(wǎng)絡(luò)原有應(yīng)用軟件的操作模式，大大降低控制系統(tǒng)網(wǎng)絡(luò)維護量。(青島多芬諾信息安全技術(shù)有限公司)