CN103401756A - 一种用于工业网络的安全防护系统 - Google Patents
一种用于工业网络的安全防护系统 Download PDFInfo
- Publication number
- CN103401756A CN103401756A CN2013103658649A CN201310365864A CN103401756A CN 103401756 A CN103401756 A CN 103401756A CN 2013103658649 A CN2013103658649 A CN 2013103658649A CN 201310365864 A CN201310365864 A CN 201310365864A CN 103401756 A CN103401756 A CN 103401756A
- Authority
- CN
- China
- Prior art keywords
- security protection
- protection system
- industrial network
- opc
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种工业网络完全隔离系统—SO系列OPC网关。该网关采用内置安全数据传输隧道、校验技术,与DCS、PLC、SCADA等系统连接采集实时数据,通过安全隧道、校验后封装成OPCServer工业标准通讯接口,提供给上层应用系统,实验自动化控制系统和上层系统之间的有效安全隔离。与现有技术相比,本发明具有结构先进、物理上不存在连接等优点。
Description
技术领域
本发明涉及一种工业领域的网络隔离产品,具体说是一种用于工业网络的SO系列OPC防护网关。
背景技术
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与MIS网络、因特网等公共网络连接,造成病毒、木马等威胁向工业控制系统扩散,工业控制系统安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临严峻的形势。工业控制系统信息安全防护是一个刻不容缓的课题,我们要从技术层面和管理层面着手,建设工业控制系统网络安全。
目前对控制网络的防护,大部分采用的是防火墙、IDS、VPN等常规网络安全技术,这些常规安全防护方案都有很强的针对性,只能管辖属于自己管辖的事情,出了这个边界就不再能发挥作用。
传统网关产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统,因此它提供的应用也以通用的互联网功能为主。例如,目前大多数网关都支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业领域,网关也开始得到应用和推广。但除了用于办公系统外,当用于隔离控制网络时,由于网关一般都不支持工业通信标准如OPC、Modbus,用户只能使用其TCP/UDP定制功能。这种方式需要在连接网关的上、下游增加接口计算机或代理服务器,并定制通信协议转换接口软件才能实现通信。
发明内容
本发明目的是为了克服上述现有技术所存在的缺陷而提供的一款专门为企业过程控制系统和管理信息系统之间进行单向物理隔离并传输过程数据而开发的一款网络安全隔离网关SO系列OPC网关,其特征在于,该防护网关采用“2+1”的三模块构架,内置双主机系统和一个用于建立安全通道可交换数据的隔离单元,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。该防护网关只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能。该OPC服务器与DCS、PLC、SCADA等系统连接采集实时数据,通过安全隧道、校验后封装成OPC Server工业标准通讯接口,提供给上层应用系统。OPC网关为上层系统提供实时数据时,采用了内置安全数据传输隧道和校验技术,可以实现自动化控制系统和上层系统之间的有效安全隔离。该产品操作系统、数据采集程序等均固化,不可修改,一旦被修改,重新启动后,自动恢复到初始状态,可以防止病毒以及黑客软件攻击。
与现有技术相比,本发明从物理上彻底切断工业控制网络与信息网络的连接通道,切断入侵路径。对于工业网络信息与信息网络之间要交换的信息一般只有过程数据,对不必要的信息不予摆渡,彻底切断病毒、木马等网络传播路径,且只允许授权的OPC客户端连接。
附图说明
图1为本发明的防护技术示意图。
图2为本发明的防护结构原理图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例1
如图1所示,OPC网闸采用“2+1”的三模块构架,内置双主机系统和一个用于建立安全通道可交换数据的隔离单元,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。如图2所示,OPC网闸与DCS、PLC、SCADA等系统连接采集实时数据,通过安全隧道、校验后封装成OPC Server工业标准通讯接口,提供给上层应用系统,如实时数据库系统、MIS、MES系统。当OPC网关为上层系统提供实时数据时,它一般位于自动化控制系统和上层系统之间,由于OPC网关采用了内置安全数据传输隧道、校验技术,可实现自动化控制系统和上层系统之间的有效安全隔离。
Claims (6)
1.一种工业网络安全防护系统,其特征在于,采用“2+1”的三模块构架,所述三模块构架为内置双主机系统和一个用于建立安全通道可交换数据的隔离单元,所述隔离单元通过总线技术建立安全通道以安全地实现快速数据交换;所述安全防护系统只提供控制网络常用通信功能,而不提供通用互联网功能。
2.根据权利1所述的工业网络安全防护系统,其特征在于,所述的安全防护系统采用SO系列的OPC网关。
3.根据权利2所述的工业网络安全防护系统,其特征在于,所述OPC网关与DCS、PLC、SCADA等系统连接采集实时数据,通过安全隧道、校验后封装成OPC Server工业标准通讯接口,提供给上层应用系统。
4.根据权利2所述的工业网络安全防护系统,其特征在于,OPC网关采用了内置安全数据传输隧道和校验技术。
5.根据权利1所述的工业网络安全防护系统,其特征在于,该产品操作系统、数据采集程序等均固化,不可修改;一旦被修改,重新启动后,自动恢复到初始状态。
6.根据权利要求1所述的工业网络安全防护系统,其特征在于:所述常用通信功能为OPC、Modbus等。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103658649A CN103401756A (zh) | 2013-08-21 | 2013-08-21 | 一种用于工业网络的安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103658649A CN103401756A (zh) | 2013-08-21 | 2013-08-21 | 一种用于工业网络的安全防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103401756A true CN103401756A (zh) | 2013-11-20 |
Family
ID=49565285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103658649A Pending CN103401756A (zh) | 2013-08-21 | 2013-08-21 | 一种用于工业网络的安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103401756A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN106603396A (zh) * | 2016-11-12 | 2017-04-26 | 北京瑞祺皓迪技术股份有限公司 | 一种基于总线型数据交换的物联网接入网关 |
| CN107743117A (zh) * | 2017-08-22 | 2018-02-27 | 北京华电众信技术股份有限公司 | 网闸及控制数据传输的方法和装置 |
| CN107942972A (zh) * | 2017-11-15 | 2018-04-20 | 云南昆钢电子信息科技有限公司 | 一种工厂智能集成系统及方法 |
| CN110875894A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 通讯安全防护系统、方法及消息缓存节点 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030093486A1 (en) * | 2001-10-31 | 2003-05-15 | Alcatel | CIM gateway for supervising and controlling telecommunications transport networks |
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制系统主站安全防护装置 |
-
2013
- 2013-08-21 CN CN2013103658649A patent/CN103401756A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030093486A1 (en) * | 2001-10-31 | 2003-05-15 | Alcatel | CIM gateway for supervising and controlling telecommunications transport networks |
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制系统主站安全防护装置 |
Non-Patent Citations (1)
| Title |
|---|
| 魏钦志: "工业网络控制系统的安全与管理", 《测控技术》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104660593B (zh) * | 2015-02-09 | 2017-10-10 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936B (zh) * | 2015-03-24 | 2017-10-10 | 西北工业大学 | Opc安全网关系统 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关系统 |
| CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105573291B (zh) * | 2015-12-24 | 2018-05-18 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN105791269B (zh) * | 2016-02-18 | 2019-05-14 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN106603396A (zh) * | 2016-11-12 | 2017-04-26 | 北京瑞祺皓迪技术股份有限公司 | 一种基于总线型数据交换的物联网接入网关 |
| CN106603396B (zh) * | 2016-11-12 | 2018-03-13 | 北京瑞祺皓迪技术股份有限公司 | 一种基于总线型数据交换的物联网接入网关 |
| CN107743117A (zh) * | 2017-08-22 | 2018-02-27 | 北京华电众信技术股份有限公司 | 网闸及控制数据传输的方法和装置 |
| CN107942972A (zh) * | 2017-11-15 | 2018-04-20 | 云南昆钢电子信息科技有限公司 | 一种工厂智能集成系统及方法 |
| CN110875894A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 通讯安全防护系统、方法及消息缓存节点 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103401756A (zh) | 一种用于工业网络的安全防护系统 | |
| JP2016220213A (ja) | プラントセキュリティシステムにおける構成可能なロバスト性エージェント | |
| EP2382512B1 (en) | Communication module with network isolation and communication filter | |
| US20170093917A1 (en) | Centralized management and enforcement of online behavioral tracking policies | |
| CN104753936A (zh) | Opc安全网关系统 | |
| CN105656883A (zh) | 一种适用于工控网络的单向传输内外网安全隔离网闸 | |
| Flaus | Cybersecurity of industrial systems | |
| CN104320332A (zh) | 多协议工业通信安全网关及应用该网关的通信方法 | |
| US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
| CN104113522A (zh) | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 | |
| CN104767748A (zh) | Opc服务器安全防护系统 | |
| CN101296182A (zh) | 一种数据传输控制方法以及数据传输控制装置 | |
| CN104660593A (zh) | Opc安全网关数据包过滤方法 | |
| CN103973476A (zh) | 网关、网关热备份系统及方法 | |
| CN104539600A (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN106326736A (zh) | 数据处理方法及系统 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| Bajramovic et al. | Security challenges and best practices for IIoT | |
| CN113067843A (zh) | 一种配电物联网网络的安全监测与联动防御系统及方法 | |
| CN105488396A (zh) | 一种基于数据流关联分析技术的智能电网业务安全网关系统 | |
| WO2012044821A2 (en) | System and method for controlling access to a plant network | |
| CN103530538A (zh) | 一种基于Schema的XML安全视图查询方法 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| CN106254312A (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| CN105245336B (zh) | 一种文档加密管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131120 |