【技术实现步骤摘要】
一种工业网络数据隔离方法、装置及存储介质
本申请涉及工业网络安全
,尤其涉及一种工业网络数据隔离方法、装置及存储介质。
技术介绍
在工业生产过程中,随着自动化控制和物联网的发展,将生产设备或智能设备互联在一起形成工业系统网络成为工业生产的趋势。由于企业工业系统网络的安全等级要求极高,而外部的管理网络往往需要连接互联网,安全级别很低,时刻遭受来自互联网侧的病毒和恶意攻击性软件的威胁,将工业系统网络与外部管理网络互联并通信,极有可能造成工业系统网络内的重要数据被窃取,对企业造成重大的损失。因此,需要在工业系统网络与外部管理网络之间实行有效的隔离措施。通过物理隔离方法可以有效隔离工业系统网络与外部管理网络的数据交换,但是该方式需要切断两个网络之间的网络连接,以静态的方式进行数据交换,不存在两个网络之间的通信过程,数据传输效率低。现有的支持网络之间通信的数据隔离方法,虽能在实现通信的同时对低安全等级网络发往高安全等级网络的指令进行过滤,但其过滤效率较低,且并不能保证过滤之后的数据是否安全。而由高安全等级发往低安全等级网络的重要数据,也缺乏必要的保护机制,工业数据的安全得不到保证。
技术实现思路
针对上述现有技术中存在的问题,本申请实施例提出一种工业网络数据隔离方法、装置及存储介质,解决了现有的数据隔离方法对指令过滤效率低、不能保证过滤后的报文安全性,以及对工业数据缺乏保护机制的问题。一方面,本申请实施例提供了一种工业网络数据隔离方法,方法包括:接收外部管理网络侧主机发送的报文,并将所 ...
【技术保护点】
1.一种工业网络数据隔离方法,其特征在于,包括:/n接收外部管理网络侧主机发送的报文,并将所述报文的源IP地址与所述可信任源IP地址进行匹配,拦截源IP地址不属于所述可信任源IP地址的报文;在所述报文的源IP地址属于所述可信任源IP地址范围的情况下,确定所述报文的类型;/n在所述报文的类型为数据报文的情况下,拦截所述数据报文;在所述报文的类型为指令报文的情况下,确定所述指令报文的危险等级;/n在所述指令报文的危险等级低于预设危险等级的情况下,将所述指令报文发送到工业系统网络侧主机;/n接收所述工业系统网络侧主机发送的工业数据,对所述工业数据进行数据加密,并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密;其中,所述外部管理网络的安全等级低于所述工业系统网络。/n
【技术特征摘要】
1.一种工业网络数据隔离方法,其特征在于,包括:
接收外部管理网络侧主机发送的报文,并将所述报文的源IP地址与所述可信任源IP地址进行匹配,拦截源IP地址不属于所述可信任源IP地址的报文;在所述报文的源IP地址属于所述可信任源IP地址范围的情况下,确定所述报文的类型;
在所述报文的类型为数据报文的情况下,拦截所述数据报文;在所述报文的类型为指令报文的情况下,确定所述指令报文的危险等级;
在所述指令报文的危险等级低于预设危险等级的情况下,将所述指令报文发送到工业系统网络侧主机;
接收所述工业系统网络侧主机发送的工业数据,对所述工业数据进行数据加密,并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密;其中,所述外部管理网络的安全等级低于所述工业系统网络。
2.根据权利要求1所述的一种工业网络数据隔离方法,其特征在于,所述确定所述指令报文的危险等级,具体包括:
对所述指令报文进行解析,得到以下任意一项或多项影响报文危险等级的报文信息:所述指令报文的报文标识、报文序列号、报文计数帧、报文协议、报文偏移、报文生存时间,并分析所述报文信息的特征,用以确定影响所述指令报文的危险等级的报文特征数据;
将所述指令报文划分为L个危险等级,通过确定所述指令报文属于等级h(h≤L)的概率P(h);其中,h代表任意一个危险等级;Gh为根据所述报文特征数据构建的回归模型;
且Gh=Bh0+Bh1Y1+…+BhkYk;其中,k为影响指令报文危险等级的报文信息的个数,Yj(j=1,2,…,k)为所述报文特征数据中第j个报文特征数据的值;Bh1,…,Bhk为所述回归模型的偏回归系数,用于表示Yj(j=1,2,…,k)对指令报文危险等级的影响大小,Bh0为常数项。
3.根据权利要求2所述的一种工业网络数据隔离方法,其特征在于,在所述确定所述指令报文属于等级h(h≤L)的概率P(h)之后,所述方法还包括:
预设所述指令报文的危险等级包括等级1、等级2、等级3、等级4;所述等级1为无危险性,所述等级2为低危险性,所述等级3为中危险性,所述等级4为高危险性;
根据所述报文特征数据以及所述指令报文属于等级h(h≤L)的概率P(h),计算所述指令报文分别属于等级1、等级2、等级3、等级4的P(1)、P(2)、P(3)以及P(4),将概率最大的等级作为所述指令报文的危险等级。
4.根据权利要求1所述的一种工业网络数据隔离方法,其特征在于,所述接收所述工业系统网络侧主机发送的工业数据,对所述工业数据进行数据加密,并将所述加密后的密文以及密钥发送到所述外部管理网络侧主机以使所述外部管理网络侧主机对所述密文进行解密,具体包括:
将所述工业数据划分为长度为N-1的若干明文块,并在每个明文块上增加一个序号字节,从而得到一个N维明文向量MN;
通过混沌随机函数随机生成一个N*N的矩阵ANN和一个N维矩阵BN,预设密钥K={N,ANN,BN};
根据所述密钥K以及公式CN=ANNMN+ANNBN,对所述明文向量MN进行初始加密,得到N维密文向量CN;
将所述密文向量CN划分为一个p维向量CP和一个q维向量Cq,其中,p+q=N;
根据所述密钥K,分别对所述p维向量CP进行线性加密变换,得到p维密文向量DP;以及对所述q维向量Cq进行非线性加密变换,得到q维密文向量Dq。
5.根据权利要求4所述的一种工业网络数据隔离方法,其特征在于,在所述得到q维密文向量Dq之后,所述方法还包括:
将所述矩阵ANN替换为其转置矩阵A’NN,得到密钥K1={N...
【专利技术属性】
技术研发人员:张俭锋,李峰,赵慧奇,王绍密,和希文,
申请(专利权)人:山东云天安全技术有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。