CN103023722A - 跨安全区的正向通信方法、装置及系统 - Google Patents
跨安全区的正向通信方法、装置及系统 Download PDFInfo
- Publication number
- CN103023722A CN103023722A CN2012105338119A CN201210533811A CN103023722A CN 103023722 A CN103023722 A CN 103023722A CN 2012105338119 A CN2012105338119 A CN 2012105338119A CN 201210533811 A CN201210533811 A CN 201210533811A CN 103023722 A CN103023722 A CN 103023722A
- Authority
- CN
- China
- Prior art keywords
- forward communication
- data packet
- communication data
- isolation device
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 184
- 238000004891 communication Methods 0.000 title claims abstract description 177
- 238000000034 method Methods 0.000 title claims abstract description 28
- 230000004044 response Effects 0.000 claims abstract description 12
- 238000002955 isolation Methods 0.000 claims description 143
- 230000005540 biological transmission Effects 0.000 claims description 31
- 238000001514 detection method Methods 0.000 claims description 24
- 238000004458 analytical method Methods 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 238000005206 flow analysis Methods 0.000 claims description 4
- 238000010835 comparative analysis Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 7
- 238000010276 construction Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了跨安全区的正向通信方法、装置及系统。该方法包括:向各个隔离装置发送探测包,通过所述探测包的回应包获取各个隔离装置的工作状态信息;比较各个隔离装置的所述工作状态信息,根据比较的结果选择其中一个隔离装置传输正向通信数据包。采用本发明,可以搭建跨安全区通信的通信总线,从而简化网络结构。根据各个隔离装置的工作状态选择其一,协调传输通信数据包,提高设备资源利用率。便于各个系统的互访,以及提升了系统性能、扩展性和可靠性。
Description
技术领域
本发明涉及电力系统的信息安全技术,特别是涉及跨安全区的正向通信方法、装置及系统。
背景技术
随着电力自动化水平的提高,为保障网络的安全,许多信息安全技术在网络中得到了应用,如在网络中设置防火墙、防病毒系统,对网络进行入侵检测、漏洞扫描等。然而此类保护是一种逻辑机制,必须有一道绝对安全的大门,保证不同安全区之间的安全强度。针对电力信息网络系统安全性的要求,电力专用网络隔离装置已经被广泛应用到电力信息网络建设中。
隔离装置在确实保障电力信息网络安全的同时,也在某种程度上给网络通信带来了不便。在实现高安全级别的网络隔离的同时,隔离装置自身的功能特性也决定了它会给网络通信带来一定的延时和带宽限制。相关测试表明,传统的通信方法存在如下问题:首先,大量的正向隔离装置和网络通道维护困难,使得故障的定位和排除难以及时完成;然后,新建设的系统需要设置相应的正向隔离装置以满足跨安全区网络通信的需求,无法利用已有的设备资源;其次,受限于正向隔离装置的性能,不同系统或新旧系统之间难以实现跨系统的数据通信,限制了数据资源的有效利用;最后,由于正向隔离装置往往会成为网络性能的瓶颈,因此部署了正向隔离装置的系统往往难以满足系统升级、扩容、业务范围扩展的需求,也使得系统的可靠性受到限制。
发明内容
基于此,有必要针对上述问题,提供一种跨安全区的正向通信方法、装置及系统,能够简化网络结构,提高设备资料的利用率,进而提升系统的可靠性和可扩展性。
一种跨安全区的正向通信方法,包括:
向各个隔离装置发送探测包,通过所述探测包的回应包获取各个隔离装置的工作状态信息;
比较各个隔离装置的所述工作状态信息,根据比较的结果选择其中一个隔离装置传输正向通信数据包。
相应地,一种跨安全区的正向通信装置,包括:
链路探测单元,用于向各个隔离装置发送探测包;
与所述链路探测单元相连的状态获取单元,用于通过所述探测包的回应包获取各个隔离装置的工作状态信息;
与所述状态获取单元相连的比较分析单元,用于比较各个隔离装置的所述工作状态信息;
与所述比较分析单元相连的选择发送单元,用于根据比较的结果选择其中一个隔离装置传输正向通信数据包。
相应地,一种跨安全区的正向通信系统,包括:
如前所述的跨安全区的正向通信装置;以及与所述跨安全区的正向通信装置相连的隔离装置阵列;
其中,所述隔离装置阵列包括预设数个在线工作的隔离装置。
实施本发明,具有如下有益效果:
本发明的跨安全区的正向通信方法及装置,通过在统一的隔离网关一端与各个隔离装置建立有效通信连接及信息交换关系,搭建跨安全区通信的通信总线,从而简化网络结构。根据各个隔离装置的工作状态选择其一,协调传输通信数据包,提高设备资源利用率。便于跨安全区系统之间的信息传输,以及提升了系统性能、扩展性和可靠性。
本发明的跨安全区的正向通信系统,采用并联式的系统架构,相比于传统技术仅是对单体隔离设备性能的改进,本发明将隔离装置进行并联,能够使数个隔离装置同时在线工作。这对于业内是一次影响较大的变革。
附图说明
图1为本传统的正向隔离装置的通信示意图;
图2为本发明一种跨安全区的正向通信方法的流程图;
图3为本发明一种跨安全区的正向通信方法的实施例示意图;
图4为本发明一种跨安全区的正向通信方法的实施例流程图;
图5为本发明一种跨安全区的正向通信装置的示意图;
图6为本发明一种跨安全区的正向通信装置的实施例示意图;
图7为本发明一种跨安全区的正向通信系统的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
图1为本传统的正向隔离装置的通信示意图。
随着电力自动化水平的提高,通信技术和网络技术的发展,电力系统越来越依赖电力信息网络来保障其安全、可靠和高效的运行,信息网络的安全直接关系到电力系统的安全,因此对电力系统信息安全关键技术的研究就显得尤为重要。
根据《全国电力二次系统安全防护总体方案》的要求,电力二次系统划分为不同的安全工作区,反映了各区中业务系统重要性的差别。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。系统整体分为三个安全区:安全I区(控制区),安全II区(非控制区)、安全III区(管理信息区)。其中安全I区和安全II区与生产相关,因此二者统称为生产控制区。由于生产控制区和管理信息区的安全强度要求差异较大,信息跨区域的传递有严格的限制,因此区域之间需要采用电力专用网络隔离装置,以达到最高的安全强度。
如图1所示,网络隔离技术是指内部网络不直接或间接地连接外部网络。只有使内部网和公共网隔离装置,保证内部信息网络不受来自互联网的黑客攻击。同时,隔离装置也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。在电力信息网络中,正向隔离装置和反向隔离装置是实现网络隔离技术的典型设备。其中,安全隔离装置(正向)用于安全区I/II到安全区III的单向数据传递,其具体功能如下:
(1)实现不同安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
(2)表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携带应用数据;
(3)透明工作方式:虚拟主机IP地址、隐藏MAC地址;
(4)基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
(5)支持网络地址转换(NAT,Network Address Translation);
(6)防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
(7)具有可定制的应用层解析功能,支持应用层特殊标记识别;
安全、方便的维护管理方式:基于证书的管理人员认证,使用图形化的管理界面。
在实际生产中,往往会遇到新建的系统需要调用已有系统的数据的场景。如图1,一方面需要实现系统内部的跨安全区通信,另一方面还需要与新增系统跨安全区通信。为此需要在系统之间建立网络通道,如图中虚线部分所示。这种方式存在着两点问题:
在不同系统之间建立网络通道会增加网络的复杂度,降低网络的可维护性和安全性。而且随着业务系统的快速发展,原有系统中数据等资源的重用和新系统的大量建设无法避免,这一问题将更加的突出。
原有系统可能受限于正向隔离装置性能,无法为更多的系统提供数据。
此种网络结构与结构二有相似之处,不同之处在于结构二是系统内部的通信,只是共用了正向隔离装置;结构三则是不同系统之间的通信,必须共用正向隔离装置。
图2为本发明一种跨安全区的正向通信方法的流程图,包括:
S101:向各个隔离装置发送探测包,通过所述探测包的回应包获取各个隔离装置的工作状态信息;
S102:比较各个隔离装置的所述工作状态信息,根据比较的结果选择其中一个隔离装置传输正向通信数据包。
图3为本发明一种跨安全区的正向通信方法的实施例示意图,以下结合图2、图3对本发明做进一步的说明。
如图3所示,本发明的系统采用正向隔离装置阵列代替原有独立的正向隔离装置,并在安全I/II区和安全III区内分别设置统一的隔离网关。其中,所述正向隔离装置阵列包括至少一个隔离装置。本发明利用可靠连接将隔离网关与正向隔离装置阵列相连接,形成跨安全区正向通信的总线结构。对于需要跨安全区进行正向通信的系统,则直接连接至本安全区内相应的隔离网关,也即连接至跨安全区正向通信总线。通过该总线完成与其他安全区之间的通信。
正向隔离装置阵列即将若干台正向隔离装置进行相同或类似的配置,组成并行传输的运行模式,构建正向隔离阵列网络,无需区别对待不同厂家生产的隔离装置的配置问题,从而扩大网络数据通信流量,解决网络流量的瓶颈。
具体地,通过统一的隔离网关,向正向隔离装置阵列中的各个隔离装置发送探测包,所述探测包经过各个隔离装置,再通过统一的隔离网关接收,分配至目标系统。通过目标系统对所述探测包返回的回应包,获取各个隔离装置的工作状态信息。其中,所述工作状态信息主要包括当前的流量负担信息。不同的厂家、不同型号的隔离装置,在传输带宽、运算速度方面可能有所不同,但本发明无需考虑其具体的性能参数,根据实际的工作状态信息进行协调。比较各个隔离装置的所述工作状态信息,根据比较的结果选择其中一个隔离装置传输正向通信数据包。只要正向隔离装置阵列中的所有设备不同时发生故障,则系统可以实现正常跨安全区通信并确保隔离装置功能的实现,从而提高了系统的可靠性;对于安全III区内的原有或新增系统,无需感知正向隔离装置阵列内部的结构和具体设备状态,也无需知道具体的数据传输路径,即可需要,从正向隔离装置阵列中选择其中合适的隔离装置网关进行通信,从而增强了系统的扩展性。综上所述,便于跨安全区系统之间的信息传输。
为了提供一种请求失败的处理方案,本实施例还包括,
当选择所述隔离装置传输正向通信数据包的请求失败时,或当传输所述正向通信数据包的通信过程中断时,向所述隔离装置再次发送所述传输正向通信数据包的请求。
图4为本发明一种跨安全区的正向通信方法的实施例流程图。与图2相比,图4为具体实施例的示意图。
S201:向各个隔离装置发送探测包,通过所述探测包的回应包获取各个隔离装置的工作状态信息;
S202:比较各个隔离装置的所述工作状态信息,根据所述设备正常工作信息比较的结果,从在线正常工作的隔离装置中选择其中一个隔离装置传输正向通信数据包;
S203:根据所述设备流量负载信息比较的结果,选择当前通信流量最小的隔离装置传输正向通信数据包;
S204:根据所述工作状态信息设置各个隔离装置的传输优先级别,选择当前所述传输优先级别最高的隔离装置传输所述正向通信数据包;
S205:根据所述工作状态信息判定隔离装置离线或不正常工作时,发出与该隔离装置相对应的通道异常告警。
在其中一个实施例当中,所述工作状态信息主要包括设备正常工作信息和设备流量负载信息。
根据所述设备正常工作信息比较的结果,从在线正常工作的隔离装置中选择其中一个隔离装置传输正向通信数据包;和/或,
根据所述设备流量负载信息比较的结果,选择当前通信流量最小的隔离装置传输正向通信数据包。
本发明实施例将正常工作信息和/或设备流量负载信息作为隔离装置的选取依据,协调正向隔离装置阵列的正常工作。
在其中一个实施例当中,与上一实施例相比,本实施例并非简单地以设备是否运行正常和当前流量负担的大小作为依据。而是,进一步地,对各个选取依据设置优先级别,获取一个具有综合评估作用的优先级数,并以此优先级数作为选取判断的依据。
根据所述工作状态信息设置各个隔离装置的传输优先级别,选择当前所述传输优先级别最高的隔离装置传输所述正向通信数据包;其中,
当隔离装置离线或不正常工作时,设置其优先级别为最低级数;当新增加的隔离装置在线正常工作时,设置其优先级别为最高级数。
需要补充说明的是,这里根据设备正常工作与否设置最高/最低优先级数,还包括,判断安全III区特定系统的专用隔离装置的离线或不正常工作时,设定该专用隔离装置的优先级数为最低。当新增加对于安全III区特定系统的专用隔离装置在线正常工作时,针对传输给该安全III区特定系统的数据包,设置其专用隔离装置的优先级数为最高。
当选择隔离装置传输所述正向通信数据包之时,该隔离装置的传输优先级别降低预设级数;当该隔离装置完成所述正向通信数据的传输之后,所述传输优先级别增加所述预设级数。
上述方案提供了根据实时流量负担信息而动态更新的优先级数。
为了提供一种请求失败的处理方案,本实施例还包括,
当选择所述隔离装置传输正向通信数据包的请求失败时,或当传输所述正向通信数据包的通信过程中断时,向较低优先级别的隔离装置发送所述传输正向通信数据包的请求;
当向所述隔离装置发送预设数次所述传输正向通信数据包的请求,仍失败时,向较低优先级别的隔离装置发送所述传输正向通信数据包的请求。
根据所述工作状态信息判定隔离装置离线或不正常工作时,发出与该隔离装置相对应的通道异常告警。
在大多数的通信过程中,往往要求整个过程具有连续性,从而保证通信的准确和及时响应。结合本专利的架构具体来说,就是需要将一次完整的通信过程始终通过同一个正向隔离装置传送。关于如何界定一次完整的通信过程,划分通信间隔,可以但不限于以下方法:
以会话的启动至结束作为通信间隔,在该通信间隔传输所述正向通信数据包;或,
将建立TCP连接至释放该连接作为通信间隔,在该通信间隔传输所述正向通信数据包;或,
以预设空闲时间划分通信间隔,在该通信间隔传输所述正向通信数据包。
以应用层上的会话机制为标准,划分通信间隔,可以保证每次会话通信的信息完整性;以网络层上的TCP连接机制作为标准,划分通信间隔,可以保证按照TCP/IP协议完成每次正向通信数据包的有效传输;以应用层上的空闲时间划分通信间隔,可以提高通信效率,节省传输时间。
图5为本发明一种跨安全区的正向通信装置的示意图,包括:
链路探测单元,用于向各个隔离装置发送探测包;
与所述链路探测单元相连的状态获取单元,用于通过所述探测包的回应包获取各个隔离装置的工作状态信息;
与所述状态获取单元相连的比较分析单元,用于比较各个隔离装置的所述工作状态信息;
与所述比较分析单元相连的选择发送单元,用于根据比较的结果选择其中一个隔离装置传输正向通信数据包。
图5与图2相对应,图中各个单元的运行方式与方法中的相同。
图6为本发明一种跨安全区的正向通信装置的实施例示意图。
如图6所示,所述比较分析单元包括:状态分析单元和/或流量分析单元;
与所述选择发送单元相连的所述状态分析单元,用于根据所述设备正常工作信息比较的结果,获得在线正常工作的隔离装置;所述选择发送单元用于从在线正常工作的隔离装置中选择其中一个隔离装置传输正向通信数据包;
与所述选择发送单元相连的所述流量分析单元用于根据所述设备流量负载信息比较的结果,获得当前通信流量最小的隔离装置;所述选择发送单元用于选择当前通信流量最小的隔离装置传输正向通信数据包。
如图6所示,还包括:
连接在所述比较分析单元与所述选择发送单元的优先级单元,用于根据所述工作状态信息设置各个隔离装置的传输优先级别;所述选择发送单元还用于选择当前所述传输优先级别最高的隔离装置传输所述正向通信数据包。
与所述选择发送单元相连的失败处理单元,用于在传输失败的情况下,触发所述选择发送单元向所述隔离装置再次发送所述传输正向通信数据包的请求,或触发所述选择发送单元向较低优先级别的隔离装置发送所述传输正向通信数据包的请求。
与所述比较分析单元相连的异常告警单元,用于根据所述工作状态信息判定隔离装置离线或不正常工作时,发出与该隔离装置相对应的通道异常告警。
在其中一个实施例当中,所述选择发送单元包括:会话控制单元或网络控制单元或时间控制单元;
所述会话控制单元,用于以会话的启动至结束作为通信间隔,在该通信间隔传输所述正向通信数据包;
所述网络控制单元,用于将建立TCP连接至释放该连接作为通信间隔,在该通信间隔传输所述正向通信数据包;
所述时间控制单元,用于以预设空闲时间划分通信间隔,在该通信间隔传输所述正向通信数据包。
图6与图4相对应,图中各个单元的运行方式与方法中的相同。
需要补充说明的是,本发明在跨安全区之间提供了统一的接收/发送隔离网关。隔离网关是跨安全区正向通信总线在各个安全区的接入点。在发送隔离网关一端实现本发明。
图7为本发明一种跨安全区的正向通信系统的示意图,包括:
如前所述的跨安全区的正向通信装置;以及与所述跨安全区的正向通信装置相连的隔离装置阵列;
其中,所述隔离装置阵列包括预设数个在线工作的隔离装置。
本发明的跨安全区的正向通信系统,采用并联式的系统架构,相比于传统技术仅是对单体隔离设备性能的改进,本发明将隔离装置进行并联,能够使数个隔离装置同时在线工作。这对于业内是一次影响较大的变革。
相比现有技术方案,本发明具有以下优点:
简化了网络结构,降低了网络建设和维护的复杂度。通过设置总线式的跨安全区通信网络架构,各系统统一接入“跨安全区正向通信总线”,即可实现和不同安全区之间设备的通信,通信的可靠性及效率由总线保证。网络结构清晰,系统实现简单。
提高了设备资源利用率,降低了系统建设成本。新系统建设时,无需重复建设正向隔离装置,由跨安全区正向通信总线统一实现隔离装置功能;隔离装置阵列能够充分利用所有隔离装置设备的资源,在必要时灵活扩展,有效的提升了设备资源的利用效率。
实现了不同系统之间的灵活通信,降低了资源重用的难度。I/II区的系统能够根据具体的业务需求,灵活的将数据发送到III区的不同系统中,实现对已有数据等资源的重复利用。
消除了网络性能瓶颈。本发明技术方案实现了高性能、可平滑扩展的隔离功能实现方式,较好的解决了正向隔离装置带来的网络瓶颈问题。
系统可靠性提升。正向隔离装置阵列具有较强的容灾能力,从而提高了系统整体的可靠性。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (14)
1.一种跨安全区的正向通信方法,其特征在于,包括:
向各个隔离装置发送探测包,通过所述探测包的回应包获取各个隔离装置的工作状态信息;
比较各个隔离装置的所述工作状态信息,根据比较的结果选择其中一个隔离装置传输正向通信数据包。
2.根据权利要求1所述的跨安全区的正向通信方法,其特征在于,所述工作状态信息主要包括设备正常工作信息和设备流量负载信息,根据比较的结果选择其中一个隔离装置传输正向通信数据包的步骤,包括:
根据所述设备正常工作信息比较的结果,从在线正常工作的隔离装置中选择其中一个隔离装置传输正向通信数据包;和/或,
根据所述设备流量负载信息比较的结果,选择当前通信流量最小的隔离装置传输正向通信数据包。
3.根据权利要求1所述的跨安全区的正向通信方法,其特征在于:
根据所述工作状态信息设置各个隔离装置的传输优先级别,选择当前所述传输优先级别最高的隔离装置传输所述正向通信数据包;其中,
当隔离装置离线或不正常工作时,设置其优先级别为最低级数;当新增加的隔离装置在线正常工作时,设置其优先级别为最高级数;
当选择隔离装置传输所述正向通信数据包之时,该隔离装置的传输优先级别降低预设级数;当该隔离装置完成所述正向通信数据的传输之后,所述传输优先级别增加所述预设级数。
4.根据权利要求2或3所述的跨安全区的正向通信方法,其特征在于,根据比较的结果选择其中一个隔离装置传输正向通信数据包的步骤,包括:
当选择所述隔离装置传输正向通信数据包的请求失败时,或当传输所述正向通信数据包的通信过程中断时,向所述隔离装置再次发送所述传输正向通信数据包的请求。
5.根据权利要求3所述的跨安全区的正向通信方法,其特征在于,根据比较的结果选择其中一个隔离装置传输正向通信数据包的步骤,包括:
当选择所述隔离装置传输正向通信数据包的请求失败时,或当传输所述正向通信数据包的通信过程中断时,向较低优先级别的隔离装置发送所述传输正向通信数据包的请求;
当向所述隔离装置发送预设数次所述传输正向通信数据包的请求,仍失败时,向较低优先级别的隔离装置发送所述传输正向通信数据包的请求。
6.根据权利要求1至5任一项所述的跨安全区的正向通信方法,其特征在于:
根据所述工作状态信息判定隔离装置离线或不正常工作时,发出与该隔离装置相对应的通道异常告警。
7.根据权利要求1至6任一项所述的跨安全区的正向通信方法,其特征在于,传输正向通信数据包的步骤,包括:
以会话的启动至结束作为通信间隔,在该通信间隔传输所述正向通信数据包;或,
将建立TCP连接至释放该连接作为通信间隔,在该通信间隔传输所述正向通信数据包;或,
以预设空闲时间划分通信间隔,在该通信间隔传输所述正向通信数据包。
8.一种跨安全区的正向通信装置,其特征在于,包括:
链路探测单元,用于向各个隔离装置发送探测包;
与所述链路探测单元相连的状态获取单元,用于通过所述探测包的回应包获取各个隔离装置的工作状态信息;
与所述状态获取单元相连的比较分析单元,用于比较各个隔离装置的所述工作状态信息;
与所述比较分析单元相连的选择发送单元,用于根据比较的结果选择其中一个隔离装置传输正向通信数据包。
9.根据权利要求8所述的跨安全区的正向通信装置,其特征在于,所述比较分析单元包括:状态分析单元和/或流量分析单元;
与所述选择发送单元相连的所述状态分析单元,用于根据所述设备正常工作信息比较的结果,获得在线正常工作的隔离装置;所述选择发送单元用于从在线正常工作的隔离装置中选择其中一个隔离装置传输正向通信数据包;
与所述选择发送单元相连的所述流量分析单元用于根据所述设备流量负载信息比较的结果,获得当前通信流量最小的隔离装置;所述选择发送单元用于选择当前通信流量最小的隔离装置传输正向通信数据包。
10.根据权利要求8所述的跨安全区的正向通信装置,其特征在于,还包括:
连接在所述比较分析单元与所述选择发送单元的优先级单元,用于根据所述工作状态信息设置各个隔离装置的传输优先级别;所述选择发送单元还用于选择当前所述传输优先级别最高的隔离装置传输所述正向通信数据包。
11.根据权利要求9或10所述的跨安全区的正向通信装置,其特征在于,还包括:
与所述选择发送单元相连的失败处理单元,用于在传输失败的情况下,触发所述选择发送单元向所述隔离装置再次发送所述传输正向通信数据包的请求,或触发所述选择发送单元向较低优先级别的隔离装置发送所述传输正向通信数据包的请求。
12.根据权利要求8至11任一项所述的跨安全区的正向通信装置,其特征在于,还包括:
与所述比较分析单元相连的异常告警单元,用于根据所述工作状态信息判定隔离装置离线或不正常工作时,发出与该隔离装置相对应的通道异常告警。
13.根据权利要求8至12任一项所述的跨安全区的正向通信装置,其特征在于,所述选择发送单元包括:会话控制单元或网络控制单元或时间控制单元;
所述会话控制单元,用于以会话的启动至结束作为通信间隔,在该通信间隔传输所述正向通信数据包;
所述网络控制单元,用于将建立TCP连接至释放该连接作为通信间隔,在该通信间隔传输所述正向通信数据包;
所述时间控制单元,用于以预设空闲时间划分通信间隔,在该通信间隔传输所述正向通信数据包。
14.一种跨安全区的正向通信系统,其特征在于,包括:
如权利要求8至13任一项所述的跨安全区的正向通信装置;以及与所述跨安全区的正向通信装置相连的隔离装置阵列;
其中,所述隔离装置阵列包括预设数个在线工作的隔离装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012105338119A CN103023722A (zh) | 2012-12-11 | 2012-12-11 | 跨安全区的正向通信方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012105338119A CN103023722A (zh) | 2012-12-11 | 2012-12-11 | 跨安全区的正向通信方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103023722A true CN103023722A (zh) | 2013-04-03 |
Family
ID=47971874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012105338119A Pending CN103023722A (zh) | 2012-12-11 | 2012-12-11 | 跨安全区的正向通信方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103023722A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103595511A (zh) * | 2013-10-17 | 2014-02-19 | 广东电网公司茂名供电局 | 一种电力系统内部网络i区至iii区数据传输的方法 |
CN109561091A (zh) * | 2018-11-30 | 2019-04-02 | 冶金自动化研究设计院 | 一种用于人防工程的网络安全防护系统 |
CN109639591A (zh) * | 2018-12-07 | 2019-04-16 | 国网浙江省电力有限公司 | 配电数据反向传输方法及系统和计算机可读存储介质 |
CN110519303A (zh) * | 2019-09-30 | 2019-11-29 | 北京市天元网络技术股份有限公司 | 跨隔离设备的通信方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902479A (zh) * | 2010-08-05 | 2010-12-01 | 华东电网有限公司 | 网络隔离系统及其数据传输方法 |
CN102088393A (zh) * | 2009-12-02 | 2011-06-08 | 南京南瑞继保电气有限公司 | 一种跨安全区正反向数据传输方法 |
CN102209361A (zh) * | 2011-05-18 | 2011-10-05 | 天津大学 | 基于链路成本的无线Mesh网络中端设备选择MAP的方法 |
-
2012
- 2012-12-11 CN CN2012105338119A patent/CN103023722A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102088393A (zh) * | 2009-12-02 | 2011-06-08 | 南京南瑞继保电气有限公司 | 一种跨安全区正反向数据传输方法 |
CN101902479A (zh) * | 2010-08-05 | 2010-12-01 | 华东电网有限公司 | 网络隔离系统及其数据传输方法 |
CN102209361A (zh) * | 2011-05-18 | 2011-10-05 | 天津大学 | 基于链路成本的无线Mesh网络中端设备选择MAP的方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103595511A (zh) * | 2013-10-17 | 2014-02-19 | 广东电网公司茂名供电局 | 一种电力系统内部网络i区至iii区数据传输的方法 |
CN109561091A (zh) * | 2018-11-30 | 2019-04-02 | 冶金自动化研究设计院 | 一种用于人防工程的网络安全防护系统 |
CN109639591A (zh) * | 2018-12-07 | 2019-04-16 | 国网浙江省电力有限公司 | 配电数据反向传输方法及系统和计算机可读存储介质 |
CN109639591B (zh) * | 2018-12-07 | 2022-07-26 | 国网浙江省电力有限公司 | 配电数据反向传输方法及系统和计算机可读存储介质 |
CN110519303A (zh) * | 2019-09-30 | 2019-11-29 | 北京市天元网络技术股份有限公司 | 跨隔离设备的通信方法和系统 |
CN110519303B (zh) * | 2019-09-30 | 2022-02-18 | 北京市天元网络技术股份有限公司 | 跨隔离设备的通信方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103067216B (zh) | 跨安全区的反向通信方法、装置及系统 | |
CN104301321B (zh) | 一种实现分布式网络安全防护的方法及系统 | |
CN105634998B (zh) | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 | |
CN101729543B (zh) | 利用异地Socks5技术改善移动SSL VPN性能的方法 | |
CN102916857B (zh) | 一种堆叠分裂的快速检测方法和装置 | |
CN101741670B (zh) | 一种多环以太网的保护方法 | |
CN109510841B (zh) | 一种控制装置及系统的安全隔离网关 | |
CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
CN109862045B (zh) | 一种基于sdn的工业控制系统动态防御方法及装置 | |
CN105245593A (zh) | 一种软件定义网络sdn的控制系统、方法及装置 | |
CN105743843A (zh) | 一种防止报文攻击的处理方法及装置 | |
US8955049B2 (en) | Method and a program for controlling communication of target apparatus | |
CN113473465B (zh) | 基于无线融合网络分流的专网细粒度访问控制方法及系统 | |
CN112929200B (zh) | 一种面向sdn多控制器的异常检测方法 | |
CN103023722A (zh) | 跨安全区的正向通信方法、装置及系统 | |
CN102404158A (zh) | 网络故障处理的方法、装置与系统 | |
KR101710385B1 (ko) | Arp 패킷을 관리하는 방법, 장치 및 컴퓨터 프로그램 | |
CN115885502A (zh) | 对中间网络节点进行诊断 | |
CN103685007B (zh) | 一种边缘设备报文转发时的mac学习方法及边缘设备 | |
Franco et al. | A review on current and old SCADA networks applied to water distribution systems | |
CN108306755B (zh) | 一种建立管理通道的方法及系统 | |
Flathagen et al. | Proxy-based optimization of topology discovery in software defined networks | |
CN109818973B (zh) | 一种基于串接方式的协议模糊测试方法 | |
US10873478B2 (en) | Method, device, and system for determining generic routing encapsulation GRE tunnel identifier | |
KR20180028742A (ko) | 모드 변경이 가능한 양방향 통신 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130403 |