本申请提供了工业安全隔离交换系统。所述系统包括:内外网处理单元,用于通过内网接口与内网连接,并通过外网接口与外网连接;隔离交换单元,用于通过通信协议与所述内外网处理单元连接。本申请提高了工业网络的安全。本申请提高了工业网络的安全。本申请提高了工业网络的安全。
【技术实现步骤摘要】
一种工业安全隔离交换系统
[0001]本申请涉及工业安全
,尤其涉及一种工业安全隔离交换系统。
技术介绍
[0002]随着自动化程度的不断提高,生产系统信息化不断普及,企业需要从生产控制层获取生产数据来指导制定战略决策,打破了工业控制系统长久以来的封闭状态,与企业办公网络实现了互通,在满足生产的同时也引入了风险,工业控制系统的边界完整性面临着威胁,传统防火墙的架构决定了只能够做到逻辑隔离,无法实现物理隔离,黑客有一定几率通过办公网络突破防护渗透进入工控网络,传统防火墙无法保证工业网络的安全。
技术实现思路
[0003]本申请实施例的目的在于提供一种工业安全隔离交换系统,以解决传统防火墙无法保证工业网络的安全的问题。具体技术方案如下:
[0004]第一方面,提供了一种工业安全隔离交换系统,所述系统包括:
[0005]内外网处理单元,用于通过内网接口与内网连接,并通过外网接口与外网连接;
[0006]隔离交换单元,用于通过通信协议与所述内外网处理单元连接。
[0007]可选地,内外网处理单元包括内网处理单元和外网处理单元,
[0008]所述内网处理单元,用于通过内网接口与办公网络连接,并通过内部通信协议与所述隔离交换单元连接;
[0009]所述外网处理单元,用于通过外网接口与工控网络连接,并通过外部通信协议与所述隔离交换单元连接。
[0010]可选地,所述内网处理单元,还用于通过TCP端口与内网连接,以通过所述TCP端口提取所述内网的报文内容,并通过所述内部通信协议发送至外网处理单元。
[0011]可选地,
[0012]所述内网处理单元,还用于通过UDP端口与所述内网连接,用于根据所述UDP端口模拟连接行为对所述内网的报文进行审计和控制。
[0013]可选地,所述内网处理单元,设置有白名单策略,其中,所述白名单策略用于允许指定的内网IP连接所述内网处理单元。
[0014]可选地,所述隔离交换单元,还用于采用预设加密连接方式,将内网非加密网络映射为外网加密连接网络。
[0015]可选地,所述隔离交换单元,还用于采用双向证书连接认证,在检测到内网处理单元或外网处理单元的证书认证成功的情况下,再进行数据传输。
[0016]可选地,所述隔离交换单元,还用于根据预设工控协议对所述内网处理单元发送的报文进行分析,阻断非法报文发送至所述外网处理单元。
[0017]可选地,所述内网处理单元,还用于记录TCP端口和UDP端口的开启关闭数据,并记录和内网产生连接行为的数据。
[0018]可选地,所述隔离交换单元,还用于记录数据传输的日志,并采用日志专用通信协议输出日志到日志审计平台。
[0019]本申请实施例有益效果:
[0020]在本申请中,该系统部署于内部网络和外部网络之间,系统采用非网络模式的通信协议交互机制,与内、外网络不产生网络链接,通过通信协议成安全隧道,保障了数据传输的安全性。既保证了多个网络区域之间的数据传输,又确保了访问形式是隔离的,安全可靠的,彻底杜绝了因内部网络的接入使外部网络感染恶意代码的可能,消除了安全隐患,并且杜绝了因移动存储介质的混用带来的病毒入侵、交叉感染等问题,提高了工业网络的安全。
[0021]当然,实施本申请的任一产品或方法并不一定需要同时达到以上的所有优点。
附图说明
[0022]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0023]图1为本申请实施例提供的系统结构示意图。
具体实施方式
[0024]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0025]在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本申请的说明,其本身并没有特定的意义。因此,“模块”与“部件”可以混合地使用。
[0026]为了解决
技术介绍
中提及的问题,根据本申请实施例的一方面,提供了一种工业安全隔离交换系统。
[0027]系统包括:内外网处理单元和隔离交换单元,内外网处理单元通过内网接口与内网连接,并通过外网接口与外网连接;隔离交换单元通过通信协议与内外网处理单元连接。
[0028]隔离交换单元支持几十种通信协议,例如Modbus、Profinet,Ormon FIN、IEC104等(上百种协议属性过滤)。高自由度逻辑条件组合,可满足任何情况的判断需要。同时支持自定义协议条件,确保深度分析万无一失。
[0029]在本申请中,该系统部署于内部网络和外部网络之间,系统采用非网络模式的通信协议交互机制,与内、外网络不产生网络链接,通过通信协议成安全隧道,保障了数据传输的安全性。既保证了多个网络区域之间的数据传输,又确保了访问形式是隔离的,安全可靠的,彻底杜绝了因内部网络的接入使外部网络感染恶意代码的可能,消除了安全隐患,并且杜绝了因移动存储介质的混用带来的病毒入侵、交叉感染等问题,提高了工业网络的安全。
[0030]该系统适用于工业控制系统的各个行业,在电力、轨道交通、石油化工、港口、冶
金、智能制造等都有广泛的应用。系统可根据需求不同可分别部署在工控网络的终端、区域、边界等位置,对网络进行物理隔离,实现对关键位置的防护。
[0031]可选地,内外网处理单元包括内网处理单元和外网处理单元,内网处理单元通过内网接口与办公网络连接,并通过内部通信协议与隔离交换单元连接;外网处理单元通过外网接口与工控网络连接,并通过外部通信协议与隔离交换单元连接。图1为本申请的系统结构示意图。
[0032]可以看出,该系统采用2+1结构,由内外网处理单元、外网处理单元两套独立的高性能处理系统和高速隔离交换模块构成。内外网处理单元与需要保护的内部网络相连,外网处理单元与外部网络相连,两套系统通过物理隔离通道相连接,借助严格的安全策略对数据流进行细粒度控制,防范恶意攻击和敏感信息的泄漏,有效的保障了网络间的安全可靠隔离和信息的受控交换。这种双系统模式彻底将内网保护起来,即使外网被攻击甚至造成瘫痪,也无法对内网造成危害。
[0033]当内网与外网之间无信息交换时,隔离交换单元与内网交换单元,隔离交换单元与外网处理单元,内网处理单元与外网处理单元之间是完全断开的,即三者之间不存在任何连接。
[0034]作为一种可选的实施方式,内网处理单元通过TCP(Transmission Control Protocol传输控制协议)端口与内网连接,以通本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工业安全隔离交换系统,其特征在于,所述系统包括:内外网处理单元,用于通过内网接口与内网连接,并通过外网接口与外网连接;隔离交换单元,用于通过通信协议与所述内外网处理单元连接。2.根据权利要求1所述的系统,其特征在于,内外网处理单元包括内网处理单元和外网处理单元,所述内网处理单元,用于通过内网接口与办公网络连接,并通过内部通信协议与所述隔离交换单元连接;所述外网处理单元,用于通过外网接口与工控网络连接,并通过外部通信协议与所述隔离交换单元连接。3.根据权利要求2所述的系统,其特征在于,所述内网处理单元,还用于通过TCP端口与内网连接,以通过所述TCP端口提取所述内网的报文内容,并通过所述内部通信协议发送至外网处理单元。4.根据权利要求2所述的系统,其特征在于,所述内网处理单元,还用于通过UDP端口与所述内网连接,用于根据所述UDP端口模拟连接行为对所述内网的报文进行审计和控制。5.根据权利要求2所述的系统,其特征在于...
【专利技术属性】
技术研发人员:王绍杰,王颐硕,周帅,霍朝宾,柯皓仁,
申请(专利权)人:中国电子信息产业集团有限公司第六研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。