在物聯(lián)網逐漸發(fā)展的大環(huán)境下，工業(yè)生產制造業(yè)領域中生產控制系統(tǒng)與上層物聯(lián)信息化平臺間的互聯(lián)互通已成為必然趨勢，控制系統(tǒng)與上層物聯(lián)信息化平臺必須同時具備開放性和安全性。

　　當前網絡隔離技術正向易用性、易集成、易管理、高可靠、負載均衡、應用融合等方向發(fā)展。旋思科技充分考慮當前用戶的實際需求，研發(fā)出SymLink-GAP工業(yè)通信安全網關產品，該產品已通過公安部認證，在兼容現(xiàn)有工業(yè)通信協(xié)議和標準的前提下，使得工業(yè)通訊和網絡安全高度融合。

硬件架構

　　SymLink-GAP內部兩端由兩個獨立主機系統(tǒng)組成，每個主機系統(tǒng)分別具有獨立的運算單元和存儲單元，各自運行獨立的操作系統(tǒng)和核心程序。連接保護網絡的一端為控制端，負責接入控制網絡(內網)；另一端為信息端，負責接入到信息網絡（外網）。兩個獨立主機之間通過一對專用隔離通信卡實現(xiàn)雙機之間的數據傳輸，數據流向為內網數據單向流向外網。同時設計了專門的硬件看門狗時刻監(jiān)視系統(tǒng)狀態(tài)，保證裝置的穩(wěn)定、可靠運行。

軟件架構

　　SymLink-GAP的控制端主機提供多種工業(yè)設備數據通信規(guī)約庫，實現(xiàn)對各種設備數據的接入。SymLink-GAP的信息端主機提供多種數據服務，支持以標準協(xié)議（如Modbus，DNP，IEC-104，BACnet，OPCServer等）將數據轉發(fā)給第三方系統(tǒng)或各種數據庫。同時提供一系列具有高附加值的功能模塊，如存儲系統(tǒng)，斷線緩存，腳本引擎等。

　　SymLink-GAP工業(yè)通信安全網關及搭載其中的嵌入式高性能工業(yè)通信軟件，構成完整的工業(yè)通信安全整體解決方案，高度迎合當前技術發(fā)展趨勢及客戶需求，將控制端與信息端的通信應用與安全穩(wěn)定性高度融合。

產品特性

　　融合傳統(tǒng)工業(yè)通信產品和傳統(tǒng)網閘產品的功能

　　以往的相關產品有兩類：一類是工業(yè)通信產品，可實現(xiàn)工業(yè)通信，但無法保證網絡安全；另一類是專用的工業(yè)網絡安全產品（網閘），僅實現(xiàn)網絡單純隔離，沒有工業(yè)通信功能。SymLink-Gap在兼容現(xiàn)有工業(yè)通信協(xié)議與通信標準的前提下，實現(xiàn)內外網絡隔離，從而保證系統(tǒng)安全。同時可實現(xiàn)各種工業(yè)通信協(xié)議的轉換，消除信息獨島，實現(xiàn)系統(tǒng)互聯(lián)互通。

　　基于RISC架構的工業(yè)級設計助你的系統(tǒng)堅若磐石

　　SymLink-GAP的核心處理器采用的是基于精簡指令集RISC架構的工業(yè)級高性能嵌入式計算機芯片，具有低功耗、低發(fā)熱、可靠性高、設備故障老化率低等特點，非常適用于需要7x24小時不停機的核心關鍵場合。

　　支持多種工業(yè)通信協(xié)議

　　SymLink-GAP搭載工業(yè)現(xiàn)場各類通信協(xié)議規(guī)約庫，可在保證網絡安全的前提下實現(xiàn)各種現(xiàn)場設備的數據采集及標準協(xié)議轉發(fā)。不斷擴充協(xié)議庫使得可支持更多的設備數據接入。

　　高度保證數據完整連續(xù)性

　　斷線緩存機制保證當數據分發(fā)的通信鏈路遇到故障或者與上位軟件系統(tǒng)失去聯(lián)系的時候，SymLinkGAP能將故障時間段內的數據存儲在SD卡中，故障清除后，SymLink-GAP可將故障期間緩存的數據補齊給上層系統(tǒng)，最大限度的保證了數據的完整性和連續(xù)性。

　　融合多種安全技術

　　◆? 網絡隔離技術

　　SymLink-GAP采用截斷 TCP 連接的方法，徹底割斷穿透性的 TCP 連接?？刂贫伺c信息端主機之間采用專有的網絡隔離傳輸技術。物理層采用專用隔離硬件，鏈路層和應用層采用私有通信協(xié)議，數據流采用128 位以上加密方式傳輸，更加充分保障數據安全。

　　通過物理隔離與專有隔離傳輸技術，實現(xiàn)了數據完全自我定義、自我解析、自我審查，傳輸機制具有徹底不可攻擊性，從根本上杜絕了非法數據的通過，確?？刂贫瞬粫艿焦簟⑶秩?。

　　◆? 數據點訪問控制

　　SymLink-GAP實現(xiàn)了對工業(yè)現(xiàn)場通信協(xié)議的解析可以實現(xiàn)工業(yè)控制系統(tǒng)具體測點的安全控制，更可以實現(xiàn)現(xiàn)場設備具體寄存器地址的安全控制。

　　◆? 單向控制

　　要對SymLink-GAP裝置進行各種操作（如：用戶管理，IP配置，修改工程、升級程序、查詢日志等），只能通過SymLink-GAP裝置的控制端進行，這種設計雖然給遠程維護帶來一些不便，但卻是保障工業(yè)網絡（內網）安全的必須。

　　數據的流向完全是由控制端（內網）單向傳輸到信息端（外網），這種限制保障了控制端（內網）的數據可及時，完整的傳到信息網，又可完全杜絕外網的錯誤數據，惡意數據，病毒等傳向控制端（內網）。

　　◆? 身份認證

　　當要對SymLink-GAP裝置進行各種操作（如：修改工程、升級程序、查詢日志等）時，SymLink-GAP提供了嚴格的身份認證來管理連接權限。SymLink-GAP采用基于數字簽名技術的高安全性認證機制，保證了系統(tǒng)的機密性、完整性。

　　◆? 數據安全技術

　　SymLink-GAP采用多種技術來保證現(xiàn)場設備數據安全，包括限制數據訪問IP地址，設置測點的讀寫權限，入侵防范檢測等。通過這些防范技術，可對現(xiàn)場數據進行全方位的保護。

實際應用—SymLink-GAP電力系統(tǒng)中的應用

　　需求與現(xiàn)狀

　　用戶屬于電力行業(yè)此類行業(yè)對信息網絡安全性要求較高，現(xiàn)需要將電力集團的部分實時數據與市級電力調度中心系統(tǒng)對接。電力集團的實時歷史數據庫平臺采用的是霍尼韋爾的PHD軟件平臺，市級電力調度中心系統(tǒng)平臺所采用的是自有協(xié)議平臺，不能直接與PHD提供的接口對接，同時還需考慮電力系統(tǒng)的數據安全穩(wěn)定性，必須保障安全、穩(wěn)定、優(yōu)質、快速。

　　因此要實現(xiàn)安全并且高效的系統(tǒng)對接，必須采用物理級的安全隔離設備，該設備可以實現(xiàn)與電廠側PHD系統(tǒng)的接口連接，協(xié)議開發(fā)，數據采集；與市級電力調度中心側系統(tǒng)的接口連接，協(xié)議開發(fā)，數據轉發(fā)推送。并可在安全隔離的要求下完成實時數據點配置管理，轉發(fā)數據點的配置管理。

　　解決方案

　　充分考慮用戶當前的需求，按下圖所示系統(tǒng)架構進行設計：

　　在此方案架構中，采用工業(yè)通信安全網關SymLink-GAP作為數據采集轉發(fā)裝置，該裝置配套的高性能通信軟件，可對電廠側PHD數據庫完成協(xié)議解析、數據處理工作；對市級調度系統(tǒng)實現(xiàn)協(xié)議解析及數據轉發(fā)推送，從而實現(xiàn)電力集團與市級調度系統(tǒng)的安全對接通信。

　　總結

　　SymLink-GAP工業(yè)通信安全網關的應用極大地提高了底層生產控制系統(tǒng)的安全級別，杜絕了來自外網的黑客行為、病毒程序、網絡蠕蟲等對工業(yè)網絡的危害，同時具備的數據采集轉發(fā)功能將控制端與信息端的通信應用與安全穩(wěn)定性高度融合。