【技术实现步骤摘要】
工业网络数据单向隔离方法及装置
本专利技术涉及一种工业网络安全技术,尤其涉及一种工业网络数据单向隔离方法及装置。
技术介绍
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备互联在一起,形成工业生产系统网络,工业生产系统网络的安全等级要求极高。而为了更好地监控和管理工业生产系统网络,需要将系统中生产过程专用设备或工业智能设备的相关数据采集并传递至外部的工业管理网络,工业管理网络一般为外网,其安全等级相对较低。安全等级低的网络到高安全等级的网络之间需要进行通讯隔离,第一代现有技术通过物理隔绝,由人工使用U盘等介质进行数据传递,确保两者无法直接连通,避免黑客对工业生产系统网络进行操纵和控制。但是该方式效率太低。为了解决这个问题,第二代现有技术引入了网闸的概念。网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。尽管作为物理安全设备,安全网闸提供的高安全性是显而易见的,但是由于其工作原理上的特性,不可避免地决定了安全网闸存在一些缺陷:首先,现有的安全网闸只支持静态数据交换,不支持交互式访问。而工业系统中的通讯规 ...
【技术保护点】
1.一种工业网络数据单向隔离装置,其特征在于,包括:/n软硬件各自独立的第一主机系统和第二主机系统,所述第一主机系统与第一网络连通,所述第二主机系统与第二网络连通;/n所述第一主机系统和第二主机系统之间通信连接;所述第一主机系统包括第一点表和第二点表;所述第一点表用于存储第一网络中各待采集的遥测和遥信数据点的配置和/或待接收遥控和遥调命令的数据点的配置,所述配置至少包括各数据点的设备地址和数据类型;所述第二点表用于存储需转发给所述第二主机系统的各遥测和遥信数据点的配置和待从所述第二主机系统接收遥控和遥调命令数据点的配置;所述配置至少包括需转发的各遥测和遥信的数据点数据在所述第一主机系统的第一存储位置和数据类型、待接收的各遥控和遥调命令数据在所述第二主机系统的第二存储位置和数据类型;/n所述第二主机系统包括第三点表和第四点表;所述第三点表用于存储从所述第一主机系统采集的各遥测和遥信数据点的配置和需返回到所述第一主机系统的遥控和遥调命令数据点配置,所述配置至少包括所采集的各遥测和遥信数据在所述第一主机系统的第二存储位置和数据类型、需转发的各遥测和遥信命令数据在所述第二主机系统的第三存储位置 ...
【技术特征摘要】 【专利技术属性】
20191224 CN 20191134931371.一种工业网络数据单向隔离装置,其特征在于,包括:
软硬件各自独立的第一主机系统和第二主机系统,所述第一主机系统与第一网络连通,所述第二主机系统与第二网络连通;
所述第一主机系统和第二主机系统之间通信连接;所述第一主机系统包括第一点表和第二点表;所述第一点表用于存储第一网络中各待采集的遥测和遥信数据点的配置和/或待接收遥控和遥调命令的数据点的配置,所述配置至少包括各数据点的设备地址和数据类型;所述第二点表用于存储需转发给所述第二主机系统的各遥测和遥信数据点的配置和待从所述第二主机系统接收遥控和遥调命令数据点的配置;所述配置至少包括需转发的各遥测和遥信的数据点数据在所述第一主机系统的第一存储位置和数据类型、待接收的各遥控和遥调命令数据在所述第二主机系统的第二存储位置和数据类型;
所述第二主机系统包括第三点表和第四点表;所述第三点表用于存储从所述第一主机系统采集的各遥测和遥信数据点的配置和需返回到所述第一主机系统的遥控和遥调命令数据点配置,所述配置至少包括所采集的各遥测和遥信数据在所述第一主机系统的第二存储位置和数据类型、需转发的各遥测和遥信命令数据在所述第二主机系统的第三存储位置和数据类型;所述第四点表用于存储从所述第二网络接收的数据点的配置和向所述第二网络转发遥测和遥信数据点的配置,所述配置至少包括所接收的数据点数据在所述第二主机系统的第四存储位置和数据类型,向所述第二网络转发的遥测和遥信数据点的数据在所述第二主机系统的第三存储位置和数据类型;
所述第一主机系统用于根据所述第一点表从所述第一网络的设备采集遥测和遥信数据,以及将遥控和遥调命令数据传输给所述第一网络的设备;根据所述第二点表将所采集的遥测和遥信数据转发到所述第二主机系统,以及从所述第二主机系统接收遥控和遥调数据;所述第二主机系统用于根据所述第三点表从所述第一主机系统接收遥测和遥信数据,以及将遥控和遥调命令数据发送到第一主机系统;根据所述第四点表将遥测和遥信数据发送给第二网络的设备,以及从第二网络接收遥控和遥调命令数据;
将所述第二点表和所述第三点表中数据类型为遥控和遥调的数据点的配置进行无效化处理,将其余数据类型的数据点依据所使用的工业通讯规约按正常方式进行预设配置;
在所述第一主机系统和所述第二主机系统本地固化所述第二点表和所述第三点表。
2.根据权利要求1所述的工业网络数据单向隔离装置,其特征在于,所述将第二点表和所述第三点表中数据类型为遥控和遥调的数据点的配置进行无效化处理至少包括:
将所述数据类型为遥控和遥调的各数据点的配置中存储位置予以空置,或者将存储位置设置为不可识别码;或者将存储位置设置为不可识别地址。
3.根据权利要求1所述的工业网络数据单向隔离装置,其特征在于,在所述第一主机系统和所述第二主机系统本地固化所述第二点表和所述第三点表包括:通过本地烧录固化所述第二点表和所述第三点表;或者,通过加密设置固化所述第二点表和所述第三点表。
4.根据权利要求1所述的工业网络数据单向隔离装置,其特征在于,所述第一主机系统与所述第一网络之间、所述第一主机系统与所述第二主机系统之间、所述第二主机系统与所述第二网络之间采用相同或不同的通信协议;所述通信协议至少包括:标准工业通信协议、标准公共TCP/IP网络通信协议、和/或私有工业通信协议。
技术研发人员:林苑,
申请(专利权)人:上海可鲁系统软件有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。