1、數據采集接口網關 GatewayForeverCredit Gateway 數據采集接口網關是北京華恒信遠專門為工業標準通訊接口 OPC Server 軟件、 數據采集接口軟件配套定制開發的一款嵌入式硬件產品，內置兩個標準 RS-232 串口（其中一個串口可以通過跳線設置成RS-485 ）和兩個 RJ45 以太網口，型號為 Gateway-227B ，如下圖所示：此外，還有Gateway-240B 、 Gateway-230B 等嵌入式工控機型號，如下圖所示。該設備操作系統有Windows 、 Linux 兩種， 其功能與特點如下：1、 OPC 服務器：可連接DCS 、 PLC 等控制系統，讀

2、寫實時數據，包裝成OPC Server 工業標準通訊接口，提供給實時數據庫系統、先進控制系統和 MES 系統集成商；2、安全隔離：當數據采集接口網關為實時數據庫系統提供實時數據時，它一般位于自動化控制系統和實時數據庫服務器之間，因為數據采集接口網關采用了內置單向數據傳輸技術， 可達到自動化控制系統和實時數據庫服務器之間的安全隔離目的。3、該產品操作系統、數據采集程序等均固化，不可修改。一旦被修改，重新啟動后， 自動恢復到初始狀態，可防止病毒以及黑客軟件攻擊。4、結構先進、安裝方便，該產品高度1U ，可以直接安裝在標準機柜中，獨特的散熱技術， 1U 機箱有多個磁懸浮風扇散熱。5、數據采集冗余設計

3、：支持雙機雙網冗余通訊。6、 可作為 InfoPlus.21 、 PI 、 PHD 等實時數據庫系統的數據采集終端，也可寫數據至關系數據庫，為 MIS 、 ERP 等管理信息系統提供生產實時數據。網閘 FC-SafetyFC-Safety 管控單向物理隔離網閘，又稱管控單向物理隔離網關， 是專門為企業過程控制系統和管理信息系統之間進行單向物理隔離而開發的一款網絡安全隔離設備。在石油、石化、鋼鐵、冶金、電力、化工等流程型企業的工業自動化過程中， DCS 、 PLC 、 電力綜合自動化等過程控制系統越來越廣泛地應用在流程型企業的生產控制過程中。流程型企業信息化建設在國內越來越普及， 因為擔心控制網

4、被攻擊， 企業往往要求企業信息化系統集成商將控制網和管理網絡完全隔離。憑借雄厚的技術實力和豐富的項目經驗， 北京華恒信遠為解決工業控制網和管理網絡連接而帶來的網絡安全問題， 研制了專門針對控制網絡和管理網絡連接保護的管控單向物理隔離網閘 Safety ， Safety 只允許 DCS 控制網采集的數據流向管理網， 不容許任何數據返回到控制網絡。 Safety 已經成功地應用于電力、 石化等大型國有企業。 采用絕對安全的單向物理隔離技術解決了企業領導對企業信息化系統安全的擔憂， 獲得極大的好評。企業購買普通網閘應用企業信息化管控之間的進行安全隔離時，主要實現了限定IP 及端口通訊，實質仍然進行雙

5、向 TCP/IP 通訊，與防火墻、三層交換機、路由器實現的功能類似；即使設置成單向，也是通過軟件設置來實現，沒有實現絕對單向物理隔離， 并且如果普通網閘設備配置成單向通訊， 網閘設備提供商一般不提供配套的數據采集及傳輸軟件， 需要系統集成商自己開發數據采集及傳輸軟件，增加了系統集成商系統集成的難度；普通網閘主要功能是用于過濾不良的上網信息， 主要應用于政府機關等各行各業，功能很多，并不是針對管控隔離專用，同事價格也特別昂貴， 目前該類普通網閘產品在企業信息化的管理和控制網絡之間的安全隔離應用不是很普及。隨著企業信息化在我國大中型企業的普及， 企業信息化的管理和控制網絡之間的安全隔離越來越得到了

6、廣大企業領導的重視， 為此， 研制了管控單向物理隔離網閘 Safety ， 并且配套提供了實時數據穿透網閘的數據采集及傳輸相關軟件， 該設備安裝位置有以下兩種情況：(a) DCS、 PLC 等控制系統和數據采集接口機之間；(b)位于工業控制系統網絡的實時數據庫服務器和位于企業信息管理網絡的實時數據庫鏡像服務器 (或企業信息管理系統的關系數據庫服務器)之間。企業管理信息系統（ERP、MIS、OA、MES等）一實時數據庫服務器2, IIaB 一a a ，.I GI1"I ' 1 W r naB S - r ! B .b - rIK 1fcl' !1, P F- T EBF

7、 1H9 0 一BMrHMT F BT VT,數據采集接口機（數據采集軟件）i;p：一- ._ >_> ,KA i J -!貝一）控制系統；1, DCS-i 2、PLO 3、sum-'| 4、上位機組態軟件一ia_變電a目可6、電網監控+ji7、電力綜合自動化418、實腌室管理系統LI MS.；9、數據采集模塊-16多功能電能表等智能儀袤“'11、其它工業設備.，！!（五）實時數據庫服務器 Foreu巳rCredi t El、OS I PI > Aspen I nfoPI us. 21 ：! Honeywel I PHD、 I nstep eDNA onder

8、war H i stor ian> GE Fanuc i Hi stori ark； 研 VWWW* VmVpVWWVWmWW*該設備的控制系統側可以采集 DCS等控制系統實時數據（通 過OPC等協議），將實時數據通過絕對單向物理隔離傳輸到管理信 息系統側，重新包裝成OPCServer ,將實時數據提供給實時數據庫 系統。該設備為雙主機系統，采用專利網絡隔離技術，從物理層徹底 隔斷外網與DCS網絡的連接，保證了 DCS等控制系統的安全，該 設備支持OPC等工業標準通訊傳輸協議，數據吞吐量達到25000點 /秒。典型應用如下圖所示:實時數據庫服務器管理系統網絡控耦系統網絡DCS PLC等控

9、制系統管控單向物理隔離網閘又稱數采安全防護網關， 以下簡稱網 關機，工作原理如下：數采安全防護網關Gateway II內置兩臺主機，從主機1到主 機2是絕對單向物理隔離電路（網絡），從物理層進行了隔離，信息 只能從主機1單向傳輸到主機2,從根本上杜絕了病毒和惡意攻擊。該設備具體工作流程如下：主機1的一個以太網口連接DCS 系統，主機1運行OPC2Safety程序，OPC2Safety通過OPC協議 從DCS系統獲取的實時數據發送到絕對單向物理隔離電路上，如果 DCS系統沒有OPC Server軟件，則可以在主機1上安裝一套該DCS系統的OPC Server軟件，主機1和DCS系統之間可以通過T

10、CP/IP進行通訊。主機2的一個以太網口連接實時數據庫服務器，主機2運行OPC4Safety、CIM-IO For OPC 兩個程序，OPC4Safety 從絕對單向 物理隔離電路上接收到從主機1發送過來的DCS系統實時數據，包 裝成 OPC Server, CIM-IO For OPC 將 OPC4Safety 中的實時數據 通過網絡傳輸，并且寫入實時數據庫服務器中。真正適用于工業SCADA的工業網絡安全防護裝置支持標準SCADA通信協議傳輸的工業網絡通信網關力控工業網絡安全防護網關pSafetyLink關鍵特性：雙獨立主機系統專利網絡隔離技術，徹底隔斷外網與SCADA 網絡連接支持標準 S

11、CADA 通信傳輸協議： OPC、 Modbus 、 DNP3 等每端多個 10/100 兆網口高數據吞吐量，可達20,000TPS支持遠程配置及監視管理測點級訪問權限控制簡介：在現代工業企業的信息系統中，由各種 DCS、 PLC、 RTU 、測控設備、 SCADA 構成的過程控制系統負責完成基本的生產控制。隨著企業信息化的發展， 迫切要求實現過程控制系統與上層管理信息系統之間互通、互聯，消除信息孤島。但是一旦信息網絡與控制網絡直接連通， 就相當于將控制網絡直接暴露給外網而面臨被攻擊、 入侵的可能，甚至發生破壞生產的嚴重后果?，F有通用的網絡安全產品要么無法實現徹底的網絡阻斷， 存在著安全隱患；

12、 要么實現了網絡阻斷同時也阻斷了各種標準 SCADA 通信協議的傳輸。三維力控pSafetyLink系列網絡隔離式工業通信網關專用于解決 工業SCADA控制網絡如何安全接入信息網絡（外網）的問題。pSafetyLink內部為雙獨立主機架構，雙主機之間采用專有網絡隔離 技術，徹底阻斷任何網絡形式的連接，同時 pSafetyLink通過內嵌的 高性能工業通信軟件，支持各種主流工業 SCADA通信標準，如： OPC、Modbus、DNP3 等。適用領域：pSafetyLink適用于各種工業SCADA系統的網絡安全防護典型應用領域：流程工業DCS控制系統的網絡安全防護；。電力系統現場IED設備的網絡安

13、全防護；。軌道交通ISCS的網絡安全防護；。煤礦、冶金行業現場控制系統的網絡安全防護；典型應用:典型應用1、基于OPC通信標準的MES應用OPC標準因為其開放性和高效性，現在已被廣泛應用于自動化控制領域及生產信息管理中。目前大多數DCS系統、SCADA系統對外都提供了 OPC Server,以便為上層MES、生產調度等管理信息 系統提供實時生產數據。同時幾乎所有的 MES系統、生產調度系統 的采集接口也都提供了 OPC Client以便能實現對OPC Server數據 的采集。然而OPC Server與OPC Client的通信依賴過程控制系統 網絡與管理信息系統網絡的直接連通。管理信息系統的

14、網絡出于業務 需要一般要連接到互聯網絡，這樣會對過程控制系統網絡的安全帶來 極大的隱患。如果在這兩種網絡之間接入常規的網安產品，如：防火 墻、隔離裝置，要么網絡沒有徹底阻斷，始終存在著安全隱患；要么 因為網安產品自身的限制在阻斷網絡的同時也阻斷了OPC通信。pSafetyLink 的雙獨立主機系統分為控制端和信息端，分別接入過程控制系統網絡和管理信息系統網絡， 各自完成與OPC Server 和OPC Client 的通信，同時兩主機之間采用 PSL 專用網絡隔離技術，在保證 OPC 數據快速交互的同時徹底阻斷了網絡的連接，保證了過程控制系統網絡的安全。2、基于Modbus、DNP3等通信規約

15、的調度自動化應用Modbus 是基于 PLC 的一組通信協議。它已經成為行業內互相通信的標準協議， 也是目前最常用的工業系統電子設備之間的連接方式。 DNP3.0（ 分布式網絡協議）是使用在工序自動化系統各部件之間的通信協議規約。它主要用于像電力、水力等公用事業單位。此外，它的發展使得不同形式的數據獲取與控制設備之間的交流更為便利。調度自動化系統的后臺為了實時獲取現場設備的數據， 經常需要通過網絡使用 Modbus 、 DNP3 等通信規約進行數據傳輸。然而調度數據網絡與現場控制設備的直接連通， 就相當于將控制系統直接暴露給外網而面臨被攻擊的可能。 互聯網攻擊者可能會利用一些大型項目自動化軟件

16、的安全漏洞獲取諸如發電廠、 污水處理廠、 天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，那么后果不堪設想。 因為生產控制網絡中的計算機可以控制諸如發 電機組、化學反應釜、供水管閥門、烘干設備器材甚至核電站的安全 系統等大型項目化設備。 黑客一旦控制該系統， 就意味著可能利用被 感染的控制中心系統切斷整個城市的供電系統， 惡意污染飲用水甚至是破壞核電站的正常運行。 隨著近些年來越來越多的項目系統內部網絡接入到互聯網當中，這種可能就越來越大。雖然很多隔離裝置（也稱網閘）通過強制完全單向通訊方式，控制數據長度等方法阻斷網絡連接，但同時也限制了 Modbus 、 DNP3 等

17、所有標準通信規約，用戶須針對隔離裝置重新定制開發特殊通信接口，給信息集成帶來了額外成本和困難。pSafetyLink 內嵌高性能工業通信軟件，支持Modbus 、 DNP3等標準通信規約， 可以實現調度自動化后臺系統與現場設備的實時通信，并根據需要可設置數據方向。當設置為單向方式時，后臺系統的所有數據回置操作將被屏蔽，以保證現場控制設備的安全。產品說明：系統架構pSafetyLink 內部兩端由兩個獨立主機系統組成，每個主機系統分別具有獨立的運算單元和存儲單元， 各自運行獨立的操作系統和應用系統。 其中一端的主機系統為控制端， 負責接入到 SCADA 控制網絡；另一端為信息端，負責接入到信息網

18、絡（外網）?？刂贫伺c信息端主機分別運行專用高性能工業通信軟件?？刂贫颂峁└鞣N標準SCADA通信標準的客戶端或主端通信功能，如：OPC Client、Modbus Master,實現對SCADA系統的接入與通信；信息端主機提供服務器 端或從端通信功能，如：OPC Server、Modbus Slave ,實現與各種 遠程后臺系統、數據中心系統、數據庫系統的接入和數據交互。網絡隔離技術pSafetyLink的控制端與信息端主機之間采用專有的 PSL網絡隔 離傳輸技術。PSL的物理層采用專用隔離硬件，鏈路層和應用層采用 私有通信協議，加密傳輸方式。PSL技術通過物理隔離與專有隔離傳輸技術，實現了數據完全自 我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根 本上杜絕了非法數據的通過，確?？刂贫瞬粫艿焦?、侵入。SCADA通信標準控制端：OPC 九 Client (支持 OPC DA1.0,DA 2.0,DA3.0,AE1.0 );Modbus Master、I