采集接口网关Gateway

1、数据采集接口网关 GatewayForeverCredit Gateway 数据采集接口网关是北京华恒信远专门为工业标准通讯接口 OPC Server 软件、 数据采集接口软件配套定制开发的一款嵌入式硬件产品，内置两个标准 RS-232 串口（其中一个串口可以通过跳线设置成RS-485 ）和两个 RJ45 以太网口，型号为 Gateway-227B ，如下图所示：此外，还有Gateway-240B 、 Gateway-230B 等嵌入式工控机型号，如下图所示。该设备操作系统有Windows 、 Linux 两种， 其功能与特点如下：1、 OPC 服务器：可连接DCS 、 PLC 等控制系统，读

2、写实时数据，包装成OPC Server 工业标准通讯接口，提供给实时数据库系统、先进控制系统和 MES 系统集成商；2、安全隔离：当数据采集接口网关为实时数据库系统提供实时数据时，它一般位于自动化控制系统和实时数据库服务器之间，因为数据采集接口网关采用了内置单向数据传输技术， 可达到自动化控制系统和实时数据库服务器之间的安全隔离目的。3、该产品操作系统、数据采集程序等均固化，不可修改。一旦被修改，重新启动后， 自动恢复到初始状态，可防止病毒以及黑客软件攻击。4、结构先进、安装方便，该产品高度1U ，可以直接安装在标准机柜中，独特的散热技术， 1U 机箱有多个磁悬浮风扇散热。5、数据采集冗余设计

3、：支持双机双网冗余通讯。6、 可作为 InfoPlus.21 、 PI 、 PHD 等实时数据库系统的数据采集终端，也可写数据至关系数据库，为 MIS 、 ERP 等管理信息系统提供生产实时数据。网闸 FC-SafetyFC-Safety 管控单向物理隔离网闸，又称管控单向物理隔离网关， 是专门为企业过程控制系统和管理信息系统之间进行单向物理隔离而开发的一款网络安全隔离设备。在石油、石化、钢铁、冶金、电力、化工等流程型企业的工业自动化过程中， DCS 、 PLC 、 电力综合自动化等过程控制系统越来越广泛地应用在流程型企业的生产控制过程中。流程型企业信息化建设在国内越来越普及， 因为担心控制网

4、被攻击， 企业往往要求企业信息化系统集成商将控制网和管理网络完全隔离。凭借雄厚的技术实力和丰富的项目经验， 北京华恒信远为解决工业控制网和管理网络连接而带来的网络安全问题， 研制了专门针对控制网络和管理网络连接保护的管控单向物理隔离网闸 Safety ， Safety 只允许 DCS 控制网采集的数据流向管理网， 不容许任何数据返回到控制网络。 Safety 已经成功地应用于电力、 石化等大型国有企业。 采用绝对安全的单向物理隔离技术解决了企业领导对企业信息化系统安全的担忧， 获得极大的好评。企业购买普通网闸应用企业信息化管控之间的进行安全隔离时，主要实现了限定IP 及端口通讯，实质仍然进行双

5、向 TCP/IP 通讯，与防火墙、三层交换机、路由器实现的功能类似；即使设置成单向，也是通过软件设置来实现，没有实现绝对单向物理隔离， 并且如果普通网闸设备配置成单向通讯， 网闸设备提供商一般不提供配套的数据采集及传输软件， 需要系统集成商自己开发数据采集及传输软件，增加了系统集成商系统集成的难度；普通网闸主要功能是用于过滤不良的上网信息， 主要应用于政府机关等各行各业，功能很多，并不是针对管控隔离专用，同事价格也特别昂贵， 目前该类普通网闸产品在企业信息化的管理和控制网络之间的安全隔离应用不是很普及。随着企业信息化在我国大中型企业的普及， 企业信息化的管理和控制网络之间的安全隔离越来越得到了

6、广大企业领导的重视， 为此， 研制了管控单向物理隔离网闸 Safety ， 并且配套提供了实时数据穿透网闸的数据采集及传输相关软件， 该设备安装位置有以下两种情况：(a) DCS、 PLC 等控制系统和数据采集接口机之间；(b)位于工业控制系统网络的实时数据库服务器和位于企业信息管理网络的实时数据库镜像服务器 (或企业信息管理系统的关系数据库服务器)之间。企业管理信息系统（ERP、MIS、OA、MES等）一实时数据库服务器2, IIaB 一a a ，.I GI1"I ' 1 W r naB S - r ! B .b - rIK 1fcl' !1, P F- T EBF

7、 1H9 0 一BMrHMT F BT VT,数据采集接口机（数据采集软件）i;p：一- ._ >_> ,KA i J -!贝一）控制系统；1, DCS-i 2、PLO 3、sum-'| 4、上位机组态软件一ia_变电a目可6、电网监控+ji7、电力综合自动化418、实腌室管理系统LI MS.；9、数据采集模块-16多功能电能表等智能仪袤“'11、其它工业设备.，！!（五）实时数据库服务器 Foreu巳rCredi t El、OS I PI > Aspen I nfoPI us. 21 ：! Honeywel I PHD、 I nstep eDNA onder

8、war H i stor ian> GE Fanuc i Hi stori ark； 研 VWWW* VmVpVWWVWmWW*该设备的控制系统侧可以采集 DCS等控制系统实时数据（通 过OPC等协议），将实时数据通过绝对单向物理隔离传输到管理信 息系统侧，重新包装成OPCServer ,将实时数据提供给实时数据库 系统。该设备为双主机系统，采用专利网络隔离技术，从物理层彻底 隔断外网与DCS网络的连接，保证了 DCS等控制系统的安全，该 设备支持OPC等工业标准通讯传输协议，数据吞吐量达到25000点 /秒。典型应用如下图所示:实时数据库服务器管理系统网络控耦系统网络DCS PLC等控

9、制系统管控单向物理隔离网闸又称数采安全防护网关， 以下简称网 关机，工作原理如下：数采安全防护网关Gateway II内置两台主机，从主机1到主 机2是绝对单向物理隔离电路（网络），从物理层进行了隔离，信息 只能从主机1单向传输到主机2,从根本上杜绝了病毒和恶意攻击。该设备具体工作流程如下：主机1的一个以太网口连接DCS 系统，主机1运行OPC2Safety程序，OPC2Safety通过OPC协议 从DCS系统获取的实时数据发送到绝对单向物理隔离电路上，如果 DCS系统没有OPC Server软件，则可以在主机1上安装一套该DCS系统的OPC Server软件，主机1和DCS系统之间可以通过T

10、CP/IP进行通讯。主机2的一个以太网口连接实时数据库服务器，主机2运行OPC4Safety、CIM-IO For OPC 两个程序，OPC4Safety 从绝对单向 物理隔离电路上接收到从主机1发送过来的DCS系统实时数据，包 装成 OPC Server, CIM-IO For OPC 将 OPC4Safety 中的实时数据 通过网络传输，并且写入实时数据库服务器中。真正适用于工业SCADA的工业网络安全防护装置支持标准SCADA通信协议传输的工业网络通信网关力控工业网络安全防护网关pSafetyLink关键特性：双独立主机系统专利网络隔离技术，彻底隔断外网与SCADA 网络连接支持标准 S

11、CADA 通信传输协议： OPC、 Modbus 、 DNP3 等每端多个 10/100 兆网口高数据吞吐量，可达20,000TPS支持远程配置及监视管理测点级访问权限控制简介：在现代工业企业的信息系统中，由各种 DCS、 PLC、 RTU 、测控设备、 SCADA 构成的过程控制系统负责完成基本的生产控制。随着企业信息化的发展， 迫切要求实现过程控制系统与上层管理信息系统之间互通、互联，消除信息孤岛。但是一旦信息网络与控制网络直接连通， 就相当于将控制网络直接暴露给外网而面临被攻击、 入侵的可能，甚至发生破坏生产的严重后果。现有通用的网络安全产品要么无法实现彻底的网络阻断， 存在着安全隐患；

12、 要么实现了网络阻断同时也阻断了各种标准 SCADA 通信协议的传输。三维力控pSafetyLink系列网络隔离式工业通信网关专用于解决 工业SCADA控制网络如何安全接入信息网络（外网）的问题。pSafetyLink内部为双独立主机架构，双主机之间采用专有网络隔离 技术，彻底阻断任何网络形式的连接，同时 pSafetyLink通过内嵌的 高性能工业通信软件，支持各种主流工业 SCADA通信标准，如： OPC、Modbus、DNP3 等。适用领域：pSafetyLink适用于各种工业SCADA系统的网络安全防护典型应用领域：流程工业DCS控制系统的网络安全防护；。电力系统现场IED设备的网络安

13、全防护；。轨道交通ISCS的网络安全防护；。煤矿、冶金行业现场控制系统的网络安全防护；典型应用:典型应用1、基于OPC通信标准的MES应用OPC标准因为其开放性和高效性，现在已被广泛应用于自动化控制领域及生产信息管理中。目前大多数DCS系统、SCADA系统对外都提供了 OPC Server,以便为上层MES、生产调度等管理信息 系统提供实时生产数据。同时几乎所有的 MES系统、生产调度系统 的采集接口也都提供了 OPC Client以便能实现对OPC Server数据 的采集。然而OPC Server与OPC Client的通信依赖过程控制系统 网络与管理信息系统网络的直接连通。管理信息系统的

14、网络出于业务 需要一般要连接到互联网络，这样会对过程控制系统网络的安全带来 极大的隐患。如果在这两种网络之间接入常规的网安产品，如：防火 墙、隔离装置，要么网络没有彻底阻断，始终存在着安全隐患；要么 因为网安产品自身的限制在阻断网络的同时也阻断了OPC通信。pSafetyLink 的双独立主机系统分为控制端和信息端，分别接入过程控制系统网络和管理信息系统网络， 各自完成与OPC Server 和OPC Client 的通信，同时两主机之间采用 PSL 专用网络隔离技术，在保证 OPC 数据快速交互的同时彻底阻断了网络的连接，保证了过程控制系统网络的安全。2、基于Modbus、DNP3等通信规约

15、的调度自动化应用Modbus 是基于 PLC 的一组通信协议。它已经成为行业内互相通信的标准协议， 也是目前最常用的工业系统电子设备之间的连接方式。 DNP3.0（ 分布式网络协议）是使用在工序自动化系统各部件之间的通信协议规约。它主要用于像电力、水力等公用事业单位。此外，它的发展使得不同形式的数据获取与控制设备之间的交流更为便利。调度自动化系统的后台为了实时获取现场设备的数据， 经常需要通过网络使用 Modbus 、 DNP3 等通信规约进行数据传输。然而调度数据网络与现场控制设备的直接连通， 就相当于将控制系统直接暴露给外网而面临被攻击的可能。 互联网攻击者可能会利用一些大型项目自动化软件

16、的安全漏洞获取诸如发电厂、 污水处理厂、 天然气管道以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。 因为生产控制网络中的计算机可以控制诸如发 电机组、化学反应釜、供水管阀门、烘干设备器材甚至核电站的安全 系统等大型项目化设备。 黑客一旦控制该系统， 就意味着可能利用被 感染的控制中心系统切断整个城市的供电系统， 恶意污染饮用水甚至是破坏核电站的正常运行。 随着近些年来越来越多的项目系统内部网络接入到互联网当中，这种可能就越来越大。虽然很多隔离装置（也称网闸）通过强制完全单向通讯方式，控制数据长度等方法阻断网络连接，但同时也限制了 Modbus 、 DNP3 等

17、所有标准通信规约，用户须针对隔离装置重新定制开发特殊通信接口，给信息集成带来了额外成本和困难。pSafetyLink 内嵌高性能工业通信软件，支持Modbus 、 DNP3等标准通信规约， 可以实现调度自动化后台系统与现场设备的实时通信，并根据需要可设置数据方向。当设置为单向方式时，后台系统的所有数据回置操作将被屏蔽，以保证现场控制设备的安全。产品说明：系统架构pSafetyLink 内部两端由两个独立主机系统组成，每个主机系统分别具有独立的运算单元和存储单元， 各自运行独立的操作系统和应用系统。 其中一端的主机系统为控制端， 负责接入到 SCADA 控制网络；另一端为信息端，负责接入到信息网

18、络（外网）。控制端与信息端主机分别运行专用高性能工业通信软件。控制端提供各种标准SCADA通信标准的客户端或主端通信功能，如：OPC Client、Modbus Master,实现对SCADA系统的接入与通信；信息端主机提供服务器 端或从端通信功能，如：OPC Server、Modbus Slave ,实现与各种 远程后台系统、数据中心系统、数据库系统的接入和数据交互。网络隔离技术pSafetyLink的控制端与信息端主机之间采用专有的 PSL网络隔 离传输技术。PSL的物理层采用专用隔离硬件，链路层和应用层采用 私有通信协议，加密传输方式。PSL技术通过物理隔离与专有隔离传输技术，实现了数据完全自 我定义、自我解析、自我审查，传输机制具有彻底不可攻击性，从根 本上杜绝了非法数据的通过，确保控制端不会受到攻击、侵入。SCADA通信标准控制端：OPC 九 Client (支持 OPC DA1.0,DA 2.0,DA3.0,AE1.0 );Modbus Master、I