水利泵站安全隔离防护解决方案

水利泵站计算机监控系统（简称“监控系统”）是水利综合信息系统的核心。通过监控系统建设，可实现对水泵机组、供配电系统、进出水池、仪表系统、及其泵站运行重要部位与关键对象、参数进行实时有效的监测、监视与控制。

要实现水利综合信息系统的“业务桌面级办公、信息一站式管理”管理目标，监控系统就要避免形成“信息孤岛”，与办公自动化系统（简称“办公系统”）必须实现实时数据交换。要实现实时数据交换，两个系统就必须互联！

鉴于监控系统的操作系统易感染病毒，同时办公系统与互联网相连，从办公系统会引入各种病毒和黑客攻击，两系统互联后极可能导致监控系统的瘫痪，从而会造成极严重的生产事故和巨额的财产损失。

安全隔离防护解决方案

安盟信息作为安全隔离防护方案领航者，基于物理隔离技术，总结了一套在水利监测自动化网与信息办公网之间的安全隔离防护解决方案。

推荐安盟华御安全隔离网闸，部署于泵站监控系统与办公系统之间“摆渡”完成两系统之间的数据交换，同时基于“DCS/SCADA-OPC应用处理功能”（专为工业生产系统定制的网闸功能模块）实现对泵站监控系统细粒度的全隔离保护。

泵站监控系统的安全需求安盟华御安全隔离网闸的应对策略

抗物理层窃听、攻击、干扰。网闸采用“双主机+隔离硬件”的硬件架构，在物理通路上实现切断，使之无法实施。

抗链路、网络及回话层威胁。网闸在物理通路切断使之协议终止，相应的攻击行为无法奏效。

抗应用层攻击，如CC、溢出、越权访问等。由于网闸对应用协议深度解析、单向控制及其之上的协议终止，使此类攻击行为无法进入DCS监控系统。

检查敏感关键字，隔离病毒、木马等。专业定制的DCS/SCADA-OPC应用处理功能模块要求应用协议传输的数据必须符合DCS领域数据规范。木马病毒等文件信息会被网闸一律丢弃，无法被网闸摆渡，更不可能反向穿透网闸进入监控系统。

只允许监控数据单向传给办公系统。网闸划出单向传输数据的安全通道。

只允许OPC应用类数据被交换。配置网闸的DCS/SCADA-OPC应用处理功能模块，启动基于OPC协议的DCS类应用处理引擎，只允许OPC应用类数据被交换，其他试图通过的端口交换一律禁止。

只允许点对点的数据传输。网闸定制交换对象，只允许点对点的数据传输，监控系统其他试图的连接一律禁止。

方案优势

（1）高安全系统架构

采用“双主机+隔离硬件”的硬件架构，结合专业定制的网络安全操作系统和高强度的协议分析控制功能，安盟华御安全隔离网闸构建了一个在监控系统边界处隔离已知和未知攻击行为的高安全屏障。

（2）绝对规避黑客攻击

配置“DCS/SCADA-OPC应用处理功能”模块，将会启动DCS安全监测引擎，保证只交换基于DCOM机制的OPC协议的DCS监控系统数据。保证了数据的安全性和通道的专用性，同时避免了黑客攻陷办公系统后利用端口反向渗透攻击监控系统。

（3）极强的网络适应

安盟华御安全隔离网闸支持透明代理、代理及路由三种模式，可以适应用户各种网络环境。

典型用户

湖北武汉东西湖、上海青草沙水库、无锡鼋头渚、扬州南水北调工程