隔离工控设备与外部网络服务器的方法及装置制造方法及图纸

本发明专利技术公开一种隔离工控设备与外部网络服务器的方法及装置，所述方法包括：在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机；利用所述内端机获取并存储所述工控设备的状态信息；利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。本发明专利技术实施例的有益效果在于：避免了外部网络服务器与工控设备之间的直接的通信，从而实现工控设备与网络设备之间真正意义上的隔离，避免了可能来自外部网络的对工控系统的攻击，保证了工控系统的安全性与稳定性。

Methods and devices for isolating industrial control equipment and external network server

The present invention discloses a device and method for isolation of industrial equipment and external network server, the method includes: terminal isolation card, and the outer end set in between the industrial equipment and the external network server; the inner end of the machine to capture and store state information by the industrial design; using the default preset isolation card protocol and encryption algorithm to achieve the inner end machine and the outer end of data transmission between the machine based on the use of the machine; the outer end of receiving and storing the control device of the machine through the inner end of the isolation card upload status information, obtain for the external network server. The beneficial effect is the embodiment of the invention avoids direct communication between the server and the external network of industrial equipment, so as to realize the true meaning of the isolation between industrial equipment and network equipment, to avoid the possibility of industrial system attacks from the external network, to ensure the safety and stability of industrial control system.

【技术实现步骤摘要】
隔离工控设备与外部网络服务器的方法及装置
本专利技术涉及工控安全
，尤其涉及一种隔离工控设备与外部网络服务器的方法及装置。
技术介绍
在工控场景中，工业控制协议作为工控业务的主要传输协议，多数采取明文传输的方式，协议本身缺少有效的安全机制。在此前提下，工控协议容易被监听，篡改，以及伪造。同时，在不同安全级别的网络中，协议的传输过程更容易产生不安全的因素，例如在非可信任网络到可信任网络的数据传输，需要对协议进行安全隔离及交换，保证安全的数据进入可信任网络。在不安全的网络中传输明文的工业协议，协议内容有可能会被篡改，伪造等，不安全的协议(数据)传输到工业控制设备中，会对工业控制设备造成影响，影响正常工业生产的进行。在网络边界处安装防火墙等安全设备，对工控协议进行管控，根据攻击威胁的特征，进行威胁检测，消除威胁。1.目前的防火墙，多数是基于特征防护的，无法对工业协议的业务内容进行分析，无法检测未知威胁。2.工业协议多数是基于TCP的协议传输，TCP是一种公开的协议传输方式，相对于私有协议，容易被伪造和篡改。3.防火墙等装置，自身如果被攻击，通过设备传输数据将都会被攻击者劫持，很容易解析其中的内容。
技术实现思路
本专利技术实施例提供一种隔离工控设备与外部网络服务器的方法及装置，用于至少解决上述技术问题之一。第一方面，本专利技术实施例提供一种隔离工控设备与外部网络服务器的方法，其包括：在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机；利用所述内端机获取并存储所述工控设备的状态信息；利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。第二方面，本专利技术实施例还提供一种隔离工控设备与外部网络服务器的装置，包括：内端机、隔离卡和外端机，其中，所述内端机用于获取并存储所述工控设备的状态信息；所述隔离卡用于采用预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；所述外端机用于接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。第三方面，本专利技术实施例提供一种非易失性计算机可读存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本专利技术上述任一项隔离工控设备与外部网络服务器的方法。第四方面，提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本专利技术上述任一项隔离工控设备与外部网络服务器的方法。第五方面，本专利技术实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项隔离工控设备与外部网络服务器的方法。本专利技术实施例的有益效果在于：在本专利技术的实施例中，由于工控设备的状态信息是通过内端机获取并进一步通过隔离卡上传到外端机，以供外部网络服务器访问的(即，外部网络服务器所直接获取数据的来源是外端机)，所以避免了外部网络服务器与工控设备之间的直接的通信，从而实现工控设备与网络设备之间真正意义上的隔离，避免了可能来自外部网络的对工控系统的攻击，保证了工控系统的安全性与稳定性。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术的隔离工控设备与外部网络服务器的方法一实施例的流程图；图2为图1中步骤S12的一实施方式的流程图；图3为图1中步骤S12的另一实施方式的流程图；图4为图1中步骤S14的一实施方式的流程图；图5为本专利技术的隔离工控设备与外部网络服务器的装置一实施例的原理框图；图6为本专利技术的隔离工控设备与外部网络服务器的装置中的内端机一实施例的原理框图；图7为本专利技术的隔离工控设备与外部网络服务器的装置中的内端机另一实施例的原理框图；图8为本专利技术的隔离工控设备与外部网络服务器的装置中的外端机一实施例的原理框图；图9为本专利技术的电子设备的一实施例的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本专利技术可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、数据结构等等。也可以在分布式计算环境中实践本专利技术，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。在本专利技术中，“模块”、“装置”、“系统”等等指应用于计算机的相关实体，如硬件、硬件和软件的组合、软件或执行中的软件等。详细地说，例如，元件可以、但不限于是运行于处理器的过程、处理器、对象、可执行元件、执行线程、程序和/或计算机。还有，运行于服务器上的应用程序或脚本程序、服务器都可以是元件。一个或多个元件可在执行的过程和/或线程中，并且元件可以在一台计算机上本地化和/或分布在两台或多台计算机之间，并可以由各种计算机可读介质运行。元件还可以根据具有一个或多个数据包的信号，例如，来自一个与本地系统、分布式系统中另一元件交互的，和/或在因特网的网络通过信号与其它系统交互的数据的信号通过本地和/或远程过程来进行通信。最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。如图1所示，本专利技术的一实施例的隔离工控设备与外部网络服务器的方法，包括：S11、在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机。其中，工控设备与内端机通信连接，内端机通过隔离卡与外端机通信连接，外端机与外部网络服务器通信连接，在物理层面上将工控设备与外部网络服务器进行了隔离。S12、利用所述内端机获取并存储所述工控设备的状态信息。其中，工控设备为整个工控系统中所有的工控设备，数量为一个或者多个。内端机按照周期获取所有本文档来自技高网...

【技术保护点】
一种隔离工控设备与外部网络服务器的方法，包括：在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机；利用所述内端机获取并存储所述工控设备的状态信息；利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。

【技术特征摘要】
1.一种隔离工控设备与外部网络服务器的方法，包括：在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机；利用所述内端机获取并存储所述工控设备的状态信息；利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。2.根据权利要求1所述的方法，其中，所述利用所述内端机获取并存储所述工控设备的状态信息包括：接收所述工控设备主动上传的状态信息；过滤接收自所述工控设备上传的状态信息；解析并存储过滤之后的状态信息；上传所述过滤之后的状态信息至所述隔离卡。3.根据权利要求1所述的方法，其中，所述利用所述内端机获取并存储所述工控设备的状态信息包括：向所述工控设备发起状态信息采集请求；接收所述工控设备响应于所述状态信息采集请求所上传的状态信息；过滤接收自所述工控设备上传的状态信息；解析并存储经过滤之后的状态信息；上传所述过滤之后的状态信息至所述隔离卡。4.根据权利要求1中任一项所述的方法，其中，所述利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取包括：接收所述内端机通过所述隔离卡上传的所述工控设备的状态信息；存储所接收的所述工控设备的状态信息；过滤所接收到的访问所述工控设备状态信息的访问请求；从所存储的所述工控设备的状态信息中获取并发送对应于过滤之后的访问请求的状态信息至所述外部网络服务器。5.一种隔离工控设备与外部网络服务器的装置，包括：内端机、隔离卡和外端机，其中，所述内端机用于获取并存储所述工控设备的状态信息；所述隔离卡用于采用预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；所述外端机用于接收并存储所述内端机通过所述隔离卡上传...

【专利技术属性】
技术研发人员：张超，焦颖，
申请(专利权)人：英赛克科技北京有限公司，
类型：发明
国别省市：北京,11