本发明专利技术公开了一种单向工业网络数据传输系统及传输方法,涉及网络数据传输技术领域,包括交换机、第一光电转换器、光纤、光隔离器、第二光电转换器、采集装置和分析平台。本发明专利技术利用光的单向特性以及光隔离器的反向阻断功能,保护了工业控制网络在对外输出网络数据的同时,避免采集装置传回数据报文,或恶意从采集装置侧进行恶意光源注入而导致控制网络交换机发生异常风险。
【技术实现步骤摘要】
一种单向工业网络数据传输系统及传输方法
本专利技术涉及网络数据传输
,尤其涉及一种单向工业网络数据传输系统及传输方法。
技术介绍
2003年1月美国俄亥俄州核电站受到SQLSlammer蠕虫病毒攻击,网络数据传输量剧增,导致系统变慢,控制计算机连续数小时无法工作。2015年12月23日当地时间15时左右,乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然遭遇了一次长达数小时的大规模停电,至少三个电力区域被攻击。电力公司称:公司因遭到入侵,导致7个110KV的变电站和23个35KV的变电站出现故障,导致80000用户断电。2016年12月17日当地时间23点多,时隔一年,乌克兰的国家电力部门又一次遭遇了黑客袭击,这次停电持续了30分钟左右,受影响的区域是乌克兰首都基辅北部及其周边地区。30分钟后,工程师将设备切换为手工模式,并开始恢复供电,75分钟后完全恢复供电。工业控制网络的安全越来越受到关注,目前传统防护方案除了在网络边界部署安全隔离装置外,还会在控制网络内部部署网络审计系统,对该工业控制网络进行流量审计,该系统能对网络中的工控协议进行深度包协议解析,实时检测针对工业协议的网络攻击、违规操作、非法设备接入等内网异常行为,及时发现隐藏在正常流量中的异常数据包。部署时需要对交换机进行软件设置,将所有在用端口数据使用数据镜像功能,在交换机内复制后通过双向通讯的RJ45网线发送至采集装置,再从采集装置通过双向通讯的RJ45网线发送至分析平台。采集装置异常时或配置错误时,会反向回送异常报文至交换机,导致交换机响应降低,影响交换机上其它端口的正常运行,甚至出现报文穿透导致工业控制网络瘫痪。由于工业网络24小时运行的特殊性,这种功能中断的风险在工业控制网络中是不可接受的。现实中曾出现过类似案例导致火电站控制系统停运,触发整座电站停运的严重事故。因此,本领域的技术人员致力于开发一种单向工业网络数据传输系统及传输方法。
技术实现思路
有鉴于现有技术的上述缺陷,本专利技术所要解决的技术问题是如何实现从交换机至采集装置之间的数据单向传输,从而避免采集装置故障或异常对控制网络的影响。为实现上述目的,本专利技术提供了一种单向工业网络数据传输系统及传输方法。其特征在于,包括交换机、第一光电转换器、第一光纤、第二光纤、光隔离器、第二光电转换器、采集装置和分析平台。进一步地,所述交换机负责将工业网络数据进行流量复制,并将其转换为电信号通过RJ45网络端口输出,使用网线连接至所述第一光电转换器。进一步地,所述第一光电转换器负责接收所述交换机输出的RJ45端口上的电信号,并将其转换为光信号,从其光纤TX端口对外输出光信号。进一步地,所述第一光纤负责将所述第一光电转换器输出的光信号传输至所述光隔离器。进一步地,所述光隔离器负责限制光的方向性,只允许光从隔离器的输入侧射向输出侧,是使得光向一个方向通过而阻止向相反方向通过的无源器件。进一步地,所述第二光纤负责将所述光隔离器输出的光信号传输至所述第二光电转换器光纤RX端口。进一步地,所述第二光电转换器,负责将光纤RX端口接收到的光信号转换为电信号,并从其RJ45网络端口输出,通过网线连接至所述采集装置。进一步地,所述采集装置负责将获取的网络流量进行打包汇聚,并将汇总后的数据通过网线传输至所述分析平台。进一步地,所述分析平台负责将获取的多路网络流量数据进行分析,并将分析结果进行展示和再利用。一种单向工业网络数据传输方法,其特征在于,所述方法包括以下步骤:步骤一、工业控制网络侧交换机开启镜像功能,将所有在用端口数据流量发送至某个空余的RJ45网络端口;步骤二、使用网线将所述交换机与所述第一光电转换器RJ45电口连接;步骤三、所述第一光电转换器将RJ45电口上的电信号转换为光信号,从其光纤TX端口对外输出光信号;步骤四、使用所述第一光纤连接所述第一光电转换器的TX端口和所述光隔离器的输入端口;步骤五、使用所述光隔离器,确保所述第一光电转换器输出的光信号单向传输至所述第二光电转换器;步骤六、使用所述第二光纤连接所述光隔离器输出端口和所述第二光电转换器的RX端口;步骤七、所述第二光电转换器将光纤RX端口上接收的光信号转换为电信号,从其RJ45电口对外输出电信号;步骤八、使用网线将所述第二光电转换器与所述采集装置连接;步骤九、使用网线将所述采集装置与所述分析平台连接。技术效果:1、利用光的单向特性以及光隔离器的反向阻断功能,双重保护了工业控制网络在对外输出网络数据的同时,避免被采集装置传回数据报文或恶意从采集装置侧进行恶意光源注入,从而导致控制网络交换机发生异常风险。2、解决了从工业网络内部安全可靠的向外界设备提供数据的问题,使得在工业控制网络内部获取数据变得高效、便捷。以下将结合附图对本专利技术的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本专利技术的目的、特征和效果。附图说明图1是本专利技术的一个较佳实施例的单向工业网络数据传输接入方案示意图;图2是本专利技术的第二个较佳实施例的单向工业网络数据传输接入方案示意图;图3是本专利技术的第三个较佳实施例的单向工业网络数据传输接入方案示意图。具体实施方式以下参考说明书附图介绍本专利技术的多个优选实施例,使其
技术实现思路
更加清楚和便于理解。本专利技术可以通过许多不同形式的实施例来得以体现,本专利技术的保护范围并非仅限于文中提到的实施例。在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。一种单向工业网络数据传输系统,包括交换机、第一光电转换器、第一光纤、第二光纤、光隔离器、第二光电转换器、采集装置、分析平台。其中交换机负责将工业网络数据进行流量复制,并将其转换为电信号通过RJ45网络端口输出,使用网线连接至第一光电转换器。第一光电转换器负责接收交换机输出的RJ45端口上的电信号,并将其转换为光信号,从其光纤TX端口对外输出光信号。第一光纤负责将第一光电转换器输出的光信号传输至光隔离器。光隔离器,负责限制光的方向性,只允许光从隔离器的输入侧射向输出侧,是使得光向一个方向通过而阻止向相反方向通过的无源器件,作用是对光的方向进行限制,使光只能单方向传输。第二光纤负责将光隔离器的输出的光信号传输至第二光电转换器光纤RX端口。第二光电转换器负责将光纤RX端口接收到的光信号转换为电信号,并从其RJ45网络端口输出,通过网线连接至采集装置。采集装置负责将获取的网络流量进行打包汇聚,一个采集装置可以接入多路网络的输入数据,并将汇总后的数据通过网线传输至分析平台。分析平台负责将获取的多路网络流量数据(一个分析平台可以接入多路采集装置的数据)进行分析,并将分析结果进行展示或再利用。接入方案单向传输特性的实现机理:由于光纤传输数据需要发送TX端光源、传本文档来自技高网...
【技术保护点】
1.一种单向工业网络数据传输系统,其特征在于,包括交换机、第一光电转换器、第一光纤、第二光纤、光隔离器、第二光电转换器、采集装置和分析平台。/n
【技术特征摘要】
1.一种单向工业网络数据传输系统,其特征在于,包括交换机、第一光电转换器、第一光纤、第二光纤、光隔离器、第二光电转换器、采集装置和分析平台。
2.如权利要求1所述的单向工业网络数据传输系统,其特征在于,所述交换机负责将工业网络数据进行流量复制,并将其转换为电信号通过RJ45网络端口输出,使用网线连接至所述第一光电转换器。
3.如权利要求1所述的单向工业网络数据传输系统,其特征在于,所述第一光电转换器负责接收所述交换机输出的RJ45端口上的电信号,并将其转换为光信号,从其光纤TX端口对外输出光信号。
4.如权利要求1所述的单向工业网络数据传输系统,其特征在于,所述第一光纤负责将所述第一光电转换器输出的光信号传输至所述光隔离器。
5.如权利要求1所述的单向工业网络数据传输系统,其特征在于,所述光隔离器负责限制光的方向性,只允许光从隔离器的输入侧射向输出侧,是使得光向一个方向通过而阻止向相反方向通过的无源器件。
6.如权利要求1所述的单向工业网络数据传输系统,其特征在于,所述第二光纤负责将所述光隔离器输出的光信号传输至所述第二光电转换器光纤RX端口。
7.如权利要求1所述的单向工业网络数据传输系统,其特征在于,所述第二光电转换器,负责将光纤RX端口接收到的光信号转换为电信号,并从其RJ45网络端口输出,通...
【专利技术属性】
技术研发人员:张诚,
申请(专利权)人:上海外高桥第三发电有限责任公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。