GE UR-SHA(通常指 Secure Hardware Appliance 的组件)是美国通用电气数字集团旗下,为其 Industrial Control Systems (ICS) 网络安全解决方案设计的一款工业级安全硬件平台。它通常作为 GE Proficy SCADA、iFIX 或 CIMPLICITY 等监控系统,或 GE Mark VIe 等控制系统的安全访问网关或数据二极管的核心硬件载体,旨在为工业控制网络(OT)与企业管理网络(IT)之间建立一道符合 IEC 62443 等标准的、强健的物理与逻辑安全屏障,实现受控、可审计的远程运维与数据交换。
应用场景:
在欧洲某跨国能源集团的分布式风电场网络中,数百台风力发电机组的 GE Mark VIe 控制器通过内部OT网络连接至各场站的本地SCADA系统。集团总部的性能优化中心和第三方运维服务商需要安全地访问这些系统进行数据分析、故障诊断和程序更新。直接在互联网上暴露工控系统是绝对禁止的。此时,部署在每个风电场网络边界的 GE UR-SHA 硬件设备便成为至关重要的“安全哨兵”。它运行着经严格加固的防火墙和虚拟专用网络(VPN)软件,建立与总部数据中心之间的加密隧道。所有远程访问请求都必须通过其强身份认证(如双因子认证),并被限制在最小必要权限范围内,所有操作会话被完整记录和审计。此应用精准地解决了关键基础设施领域 OT/IT网络融合中的安全访问、合规审计与威胁隔离 核心难题。
核心参数速览:
主要参数 | 数值/说明 |
|---|
产品型号/系列 | UR-SHA (作为硬件平台,常与软件捆绑,如 Proficy Remote Access Server 硬件) |
制造商 | GE Digital (通用电气数字集团) |
产品类别 | 工业安全硬件平台 / 安全远程访问网关 |
硬件形态 | 工业级机架式服务器 或 坚固型盒式设备,采用无风扇或低噪音设计。 |
处理器与内存 | 搭载多核 Intel Xeon 或 Atom 工业级处理器,配备 ≥ 8GB ECC RAM,确保稳定处理加密流量。 |
存储 | 配置 ≥ 128GB SSD 用于安装安全操作系统和应用,或更高容量硬盘用于日志存储。 |
网络接口 | 提供 多个千兆以太网端口(通常≥4个),用于分隔 OT区、IT区、DMZ区 及管理端口,支持 VLAN 划分。 |
安全功能(硬件支持) | 集成 TPM 2.0 安全芯片,用于硬件级密钥存储与安全启动;支持 BYPASS 硬件旁路功能(可选),在设备故障时维持网络连通。 |
操作系统 | 运行经过裁剪、加固和认证的 Linux 或 Wind River VxWorks 实时操作系统,减少攻击面。 |
预装/支持安全软件 | 作为平台,可运行:
• VPN 网关软件(支持IPsec, SSL VPN)
• 下一代防火墙
• 工业协议数据过滤与代理(如OPC UA, Modbus TCP)
• 安全审计与日志服务器 |
环境适应性 | 宽温工作范围(0°C 至 +55°C),耐受高湿度和振动,符合 UL/cUL, CE, FCC 等工业与通信认证。 |
电源 | 双冗余 100-240 VAC 或 -48 VDC 热插拔电源,保障7x24小时连续运行。 |
管理方式 | 支持基于 HTTPS 的Web图形化管理界面、SSH 命令行以及集成至 GE Proficy CSense 或第三方 SIEM 系统进行集中监控。 |
技术原理与创新价值:
创新点1:基于“零信任”架构的工业微隔离与深度协议检测。
UR-SHA 不仅仅是传统IT防火墙。它实现了 工业环境下的“零信任”网络访问。所有流量,无论内外,均被视为不可信,必须经过严格认证和授权。其深度数据包检测引擎能够理解 Modbus TCP、DNP3、OPC Classic/UA 等工业协议的具体功能码和寄存器地址,从而执行基于“工控语义”的精细策略控制。例如,可以设置规则“只允许从特定IP来的工程师工作站对PLC的‘读保持寄存器’操作,而禁止任何‘写线圈’命令”,从本质上遏制了非法操控。
创新点2:硬件级信任根与完整的安全启动链。
该设备集成的 TPM 2.0 安全芯片 为其提供了硬件级别的信任根。从开机伊始,BIOS、引导加载程序、操作系统内核直至安全应用,每一个环节都经过加密签名验证,确保系统未被篡改。这种 “安全启动” 机制有效防御了固件级、引导级的恶意软件攻击,为整个安全网关的可靠性奠定了坚实的硬件基础,符合 IEC 62443-4-2 对组件安全性的高级别要求。
创新点3:高可用性设计与无缝故障切换。
针对工业环境对连续性的极致要求,UR-SHA 平台支持 主动-主动 或 主动-被动 集群部署。两台设备可以同步状态,当主设备发生硬件或软件故障时,备用设备能在秒级甚至毫秒级内接管所有网络会话和安全策略,实现业务 零中断切换。其可选的硬件BYPASS功能,在设备完全断电时能物理直连关键网络,保证生产不中断(尽管安全策略暂时旁路),提供了最后一道可靠性保障。
应用案例与行业价值:
案例:北美某大型石油管道公司的SCADA系统安全加固与远程运维项目。
该公司数千公里管道的泵站、阀室由位于各州的 GE Proficy iFIX SCADA 站控制。为实现集中监控并允许第三方维护,需安全地开放远程访问。项目在每个场站部署 UR-SHA 作为安全网关。应用流程为:场站OT网络数据通过 UR-SHA 的工业协议代理功能进行 “只读” 过滤和转发 -> 远程工程师通过 SSL VPN 拨入公司总部的 UR-SHA 集群,进行强身份认证 -> 认证通过后,其访问流量被严格限定到授权场站的特定iFIX节点,且所有操作(鼠标点击、键盘输入)被录屏审计。
带来的改进:1) 安全合规性达标:部署后成功通过了针对 NERC CIP 和 CFATS 的严苛审计,满足了关键基础设施的强制安全法规。2) 运维效率与成本优化:专家无需亲赴偏远场站,远程诊断和修复问题的响应时间从平均 48小时 缩短至 4小时 内,差旅成本下降 65%。3) 威胁可见性与响应:集中的日志审计功能,帮助安全团队发现了数次异常访问尝试并成功阻断,将潜在的网络入侵风险扼杀在萌芽状态。公司CISO(首席信息安全官)评价:“GE UR-SHA 为我们OT网络的远程访问提供了一个 ‘金丝雀通道’ —— 既满足了业务必须的连通性,又将风险控制在可管理、可审计的透明管道内,是我们工控安全防御体系中不可或缺的硬件基石。”
相关产品组合方案:
构建以 UR-SHA 为核心的工控安全纵深防御体系,通常涉及以下协同产品:
GE Proficy Remote Access & Management Suite:与 UR-SHA 硬件配套的软件套件,提供完整的远程会话管理、权限控制、审计录播功能。
GE Proficy CSense / Historian:用于集中采集、存储和分析来自各 UR-SHA 设备的安全事件日志和操作审计数据。
下一代防火墙(NGFW)软件许可证:在 UR-SHA 平台上运行的增强型防火墙,具备应用识别、入侵防御(IPS)和防病毒(AV)能力。
工业协议白名单软件模块:专门用于Modbus、DNP3、OPC等协议的深度解析和策略控制。
中央安全管理平台(如SIEM):如 Splunk, IBM QRadar 或 GE Predix,用于对全网安全事件进行关联分析和可视化展示。
双因子认证(2FA)服务器:如 RSA SecurID 或 微软ADFS,与 UR-SHA 集成,提供强身份验证。
网络交换机:如 Cisco IE 或 Moxa 工业交换机,用于在OT侧构建安全的网络分段,再接入 UR-SHA。
同系列不同性能型号:可能包括处理能力更强或接口更丰富的型号,以适应从中小型RTU站点到大型控制中心的各级别需求。
安装维护与全周期支持:
GE UR-SHA 的安装部署需由具备网络和安全知识的工程师执行。首先需进行详细的网络规划,明确OT区、DMZ区、IT区的接口划分和IP地址分配。设备上架后,通过管理端口进行初始配置,导入由安全策略团队制定的精细访问控制列表(ACL)、VPN参数和用户权限。与现有AD域或双因子认证系统的集成需要进行联合调试。日常维护主要包括定期查看设备健康状态(CPU、内存、存储)、检查安全日志告警、更新特征库(如IPS规则)和定期进行操作系统安全补丁升级(需在计划的维护窗口进行)。其硬件设计支持关键部件(如电源、硬盘)的热插拔更换。
扫一扫咨询微信客服
