CN104135492A - 一种基于信息交换总线内外网信息交换的方法 - Google Patents
一种基于信息交换总线内外网信息交换的方法 Download PDFInfo
- Publication number
- CN104135492A CN104135492A CN201410410209.5A CN201410410209A CN104135492A CN 104135492 A CN104135492 A CN 104135492A CN 201410410209 A CN201410410209 A CN 201410410209A CN 104135492 A CN104135492 A CN 104135492A
- Authority
- CN
- China
- Prior art keywords
- information exchange
- bus
- intranet
- method based
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于信息交换总线内外网信息交换的方法,该基于信息交换总线内外网信息交换的方法包括以下步骤:在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析;根据配置的策略来控制,集成通用防火墙功能;在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置,实现SQL语句的还原,进而实现SQL语句的过滤。本发明采用针对网络通信协议进行分析的安全隔离总线,实现了基于TCP/IP通信流的分层解析;本发明的基于信息交换总线的内外网信息交换技术,实现了电力信息安全内网和Internet网络之间信息安全交互,解决了外网信息无法进入内网的难题。
Description
技术领域
本发明属于电力企业信息系统技术领域,尤其涉及一种基于信息交换总线内外网信息交换的方法。
背景技术
电力信息网承载着电力市场交易、招投标、营销等多个业务系统,对内提供如审计、评标、核算等业务,对外提供发布、投标、缴费等各项服务。若对信息系统分级过多将会导致各个分区间数据交换带来的大量延时。为此,把电力信息网络分为信息内网和信息外网。信息外网和Internet之间采用防火墙相连,属于低安全级别区域;信息内网与信息外网逻辑隔离,与电力内部其他数据网物理隔离,属于高级别安全区域。各个业务系统根据其具体需要把相应的服务器分别放置在信息内外网。
为了最大程度地保证电力信息系统的安全,把尽可能多的业务放到信息内网,把对外提供服务的服务器设在外网,其他对内服务器、个人PC机等所有主机都放置在信息内网。特别需要强调为了保护数据的安全,所有业务系统的数据库放置在信息内网。
由于安全隔离总线放置在信息内外网的边界,所以首先要起到一般防火墙的基本作用来保证对各个访问主机的控制。电力信息网络各个业务系统的主机IP地址、MAC地址、端口等都比较固定,可以根据这几项元素来对访问主机进行控制。据统计,目前信息系统遭受攻击最多的是针对数据库的SQL注入攻击,要实现对这种攻击的阻断,较为可靠的方式就是在应用层对SQL语句来进行还原,然后对SQL语句进行解析并过滤。
通过如上分析可以看出,安全隔离总线需要从网络多个层次上进行立体综合防护,在不同层次上提升应用系统的安全性,系统的总体防护思想和数据处理流程如附图所示。
电力信息系统有较多的业务要经过总线进行内外网通信,若此装置的效率不够高的话将会成为内外网通信的瓶颈,这里考虑在网络中进行协议解析的方式来实现可以较好的满足要求。
电力系统应用范围最广的为Oracle数据库和SQL Server数据库,这两者占据了电力系统数据库的90%以上。Oracle数据库的数据通信采用TNS协议,SQLServer和Sybase数据库采用TDS协议,若能够把这两种协议分析出来,并且对其采用JDBC驱动进行偏移量分析,就能实现SQL语句的还原,进而可以基本满足电力信息系统数据库访问控制的需要。
现有的Internet网络的信息无法进入电力信息安全内网,不能实现电力信息安全内网和Internet网络之间信息安全交互。
发明内容
本发明实施例的目的在于提供一种基于信息交换总线内外网信息交换的方法,旨在解决现有的Internet网络的信息无法进入电力信息安全内网,不能实现电力信息安全内网和Internet网络之间信息安全交互的问题。
本发明实施例是这样实现的,一种基于信息交换总线内外网信息交换的方法,该基于信息交换总线内外网信息交换的方法包括以下步骤:
步骤一,在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析;
步骤二,根据配置的策略来控制,集成通用防火墙功能;
步骤三,在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置,实现SQL语句的还原,进而实现SQL语句的过滤。
进一步,在步骤一中对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口属性进行组合形成不同的数据包过滤规则,控制进出的信息流向和数据包。
进一步,在步骤三中应用层收到报文后需要进行协议化处理,分析和过滤ARP,IP,TCP/UDP/ICMP报文,构造协议分析处理模块。
进一步,在构造协议分析处理模块后设计支持TCP数据流重组的模块,进行可靠的协议解析。
进一步,在协议栈流还原后,提取出Oracle、SQLServer数据库协议报文进行分析,根据协议关键字段识别TNS/TDS的控制,查询报文,从中提取出SQL语句。
进一步,SQL语句再交由SQL过滤模块进行分析,首先将SQL语句格式化,然后调用规则库以及搜索算法对SQL语句进行过滤,根据返回结果判断是否继续传递。
本发明提供的基于信息交换总线内外网信息交换的方法,采用针对网络通信协议进行分析的安全隔离总线,实现了基于TCP/IP通信流的分层解析;本发明的基于信息交换总线的内外网信息交换技术,实现了电力信息安全内网和Internet网络之间信息安全交互,解决了外网信息无法进入内网的难题。
附图说明
图1是本发明实施例提供的基于信息交换总线内外网信息交换的方法流程图;
图2是本发明实施例提供的基于信息交换总线内外网信息交换的方法实施例流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面结合附图及具体实施例对本发明的应用原理作进一步描述。
如图1所示,本发明实施例的基于信息交换总线内外网信息交换的方法包括以下步骤:
S101:在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析;
S102:根据配置的策略来控制,集成通用防火墙功能;
S103:在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置,实现SQL语句的还原,进而实现SQL语句的过滤。
如图2所示,本发明的具体步骤为:
第一步,对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口等属性进行组合形成不同的数据包过滤规则,控制进出的信息流向和数据包,有效防止攻击者对信息内网的攻击、外部网络对内部网络的访问;
第二步,应用层收到报文后需要进行协议化处理,分析和过滤ARP,IP,TCP/UDP/ICMP等报文,构造一个高效的协议分析处理模块;
第三步,设计支持TCP数据流重组的模块,在其之上进行可靠的协议解析;
第四步,在协议栈流还原后,提取出Oracle、SQLServer等数据库协议报文进行分析,根据协议关键字段识别TNS/TDS的控制,查询等报文,从中提取出SQL语句;
第五步,SQL语句再交由SQL过滤模块进行分析。首先将其格式化,然后调用规则库以及搜索算法对SQL语句进行过滤,根据返回结果判断是否继续传递。
本发明实现了电力信息安全内网和Internet网络之间信息安全交互,解决了外网信息无法进入内网的难题。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于信息交换总线内外网信息交换的方法,其特征在于,该基于信息交换总线内外网信息交换的方法包括以下步骤:
步骤一,在安全隔离总线中通过对ARP层、TCP层和IP层的字段分析;
步骤二,根据配置的策略来控制,集成通用防火墙功能;
步骤三,在应用层对TNS和TDS协议分析、对基于JDBC驱动的字段偏移量查找到SQL语句位置,实现SQL语句的还原,进而实现SQL语句的过滤。
2.如权利要求1所述的基于信息交换总线内外网信息交换的方法,其特征在于,在步骤一中对数据报文的源IP地址、目的IP地址、协议域及相应的源、目的端口属性进行组合形成不同的数据包过滤规则,控制进出的信息流向和数据包。
3.如权利要求1所述的基于信息交换总线内外网信息交换的方法,其特征在于,在步骤三中应用层收到报文后需要进行协议化处理,分析和过滤ARP,IP,TCP/UDP/ICMP报文,构造协议分析处理模块。
4.如权利要求3所述的基于信息交换总线内外网信息交换的方法,其特征在于,在构造协议分析处理模块后设计支持TCP数据流重组的模块,进行可靠的协议解析。
5.如权利要求1或4所述的基于信息交换总线内外网信息交换的方法,其特征在于,在协议栈流还原后,提取出Oracle、SQLServer数据库协议报文进行分析,根据协议关键字段识别TNS/TDS的控制,查询报文,从中提取出SQL语句。
6.如权利要求1所述的基于信息交换总线内外网信息交换的方法,其特征在于,SQL语句再交由SQL过滤模块进行分析,首先将SQL语句格式化,然后调用规则库以及搜索算法对SQL语句进行过滤,根据返回结果判断是否继续传递。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410410209.5A CN104135492A (zh) | 2014-08-20 | 2014-08-20 | 一种基于信息交换总线内外网信息交换的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410410209.5A CN104135492A (zh) | 2014-08-20 | 2014-08-20 | 一种基于信息交换总线内外网信息交换的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104135492A true CN104135492A (zh) | 2014-11-05 |
Family
ID=51808014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410410209.5A Pending CN104135492A (zh) | 2014-08-20 | 2014-08-20 | 一种基于信息交换总线内外网信息交换的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104135492A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330973A (zh) * | 2016-10-27 | 2017-01-11 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN107038208A (zh) * | 2017-02-20 | 2017-08-11 | 北京交通大学 | 解析和还原tns协议314版本中sql命令和参数的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610271A (zh) * | 2009-07-21 | 2009-12-23 | 国网电力科学研究院 | 一种基于数据流还原技术的数据库安全防护方法 |
| US20130318341A1 (en) * | 2007-08-28 | 2013-11-28 | Cisco Technology, Inc. | Highly Scalable Architecture for Application Network Appliances |
| CN103731417A (zh) * | 2013-11-26 | 2014-04-16 | 国家电网公司 | 基于信息交换总线的内外网数据库访问方法 |
-
2014
- 2014-08-20 CN CN201410410209.5A patent/CN104135492A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130318341A1 (en) * | 2007-08-28 | 2013-11-28 | Cisco Technology, Inc. | Highly Scalable Architecture for Application Network Appliances |
| CN101610271A (zh) * | 2009-07-21 | 2009-12-23 | 国网电力科学研究院 | 一种基于数据流还原技术的数据库安全防护方法 |
| CN103731417A (zh) * | 2013-11-26 | 2014-04-16 | 国家电网公司 | 基于信息交换总线的内外网数据库访问方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330973A (zh) * | 2016-10-27 | 2017-01-11 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN106330973B (zh) * | 2016-10-27 | 2021-09-24 | 国网江苏省电力公司南京供电公司 | 一种基于黑白名单的数据安全交换方法 |
| CN107038208A (zh) * | 2017-02-20 | 2017-08-11 | 北京交通大学 | 解析和还原tns协议314版本中sql命令和参数的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN104767748B (zh) | Opc服务器安全防护系统 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| US11252196B2 (en) | Method for managing data traffic within a network | |
| WO2021253366A1 (zh) | 一种交换机加密系统 | |
| CN105187435A (zh) | 一种防火墙规则过滤优化方法 | |
| CN105245555B (zh) | 一种用于电力串口服务器通信协议安全防护系统 | |
| CN104660593A (zh) | Opc安全网关数据包过滤方法 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN102904730A (zh) | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 | |
| CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
| CN104539600A (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN106888191A (zh) | 等级保护多级安全互联系统及其互联方法 | |
| CN104135492A (zh) | 一种基于信息交换总线内外网信息交换的方法 | |
| CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
| CN107451469A (zh) | 一种进程管理系统及方法 | |
| US20150046507A1 (en) | Secure Network Data | |
| CN103731417A (zh) | 基于信息交换总线的内外网数据库访问方法 | |
| CN112202756A (zh) | 一种基于sdn技术实现网络边界访问控制的方法及系统 | |
| CN104717188A (zh) | 一种工业控制防火墙中资产对象安全防护系统和方法 | |
| CN216819851U (zh) | 一种变电站内安全接入装置 | |
| CN102904770A (zh) | 一种高带宽VoIP检测系统 | |
| Hooper | Strategic and intelligent smart grid systems engineering | |
| CN103685320A (zh) | 网络数据包的特征匹配方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141105 |
|
| RJ01 | Rejection of invention patent application after publication |