CN104994100B - 海底观测网数据上岸分发与安全保护方法 - Google Patents
海底观测网数据上岸分发与安全保护方法 Download PDFInfo
- Publication number
- CN104994100B CN104994100B CN201510392200.0A CN201510392200A CN104994100B CN 104994100 B CN104994100 B CN 104994100B CN 201510392200 A CN201510392200 A CN 201510392200A CN 104994100 B CN104994100 B CN 104994100B
- Authority
- CN
- China
- Prior art keywords
- data
- network server
- external network
- server
- external
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种海底观测网数据上岸分发与安全保护方法,通过搭建虚拟局域网将同一数据源的不同类型数据进行分流,可公开发布的数据发送至外网服务器,敏感数据发送至内网服务器。外网服务器与主干互联网间部署外部防火墙,外网服务器加载安全防护系统,外网服务器与内网间部署内部防火墙,完成由外部防火墙、外网服务器安全防护系统和内部防火墙共同组成的数据安全防护方法。外网服务器对外公开的数据参数包括温度、盐度和对应水深等,内网服务器受保护的敏感数据参数为分层海流数据等。本发明所涉及的基于虚拟局域网的海底观测网数据上岸分发与安全保护的方法,既保证了可公开数据实时对外发布,又加强了对内网敏感数据的保护,有效防止网络上恶意程序的攻击。
Description
技术领域
本发明涉及海洋观测数据传输方法,特别涉及基于虚拟局域网的海底观测网数据上岸分发与安全保护的方法。
背景技术
随着通信、计算机和互联网技术的发展,海洋观测数据越来越多地通过网络应用到各个领域,但是由于网络的一些不安全因素,海洋观测数据在公共平台发布存在风险。
海洋观测数据要素多种多样,主要包括风浪流等动力要素、温盐深等物理要素和pH、溶解氧等化学要素。其中风浪等数据的发布对于有效预警自然灾害,指导各类海上作业有极大作用,温度、pH、溶解氧等数据的发布对有效预警赤潮等灾害,减少环境危害与经济损失也有极大价值,而水下地形、剖面海流、温度跃层、盐度跃层等数据却需要进行严格的安全保护。
传统的海洋观测数据的传输与发布方式是直接通过有线或无线网络将观测站位的全部测量数据打包发送到服务器,服务器再通过互联网发布数据。传统的海洋观测数据的传输与发布方式的数据安全防护功能较差,一旦数据源或数据服务器遭受攻击,所有数据打包传输的方式也容易造成全部数据遭受到侵害,尤其是某些敏感数据。
发明内容
针对上述传统的海洋观测数据的传输与发布方式所存在的问题,本发明推出对海洋观测数据进行分流发送、分类保护的方法,其目的在于通过组建由单一数据源、内网服务器、外网服务器等多个数据节点的虚拟局域网,对单一数据源不同类型的数据按不同通信地址分发,并加设外部防火墙、内部防火墙和外网安全防护系统(SSR),以完成数据的分流、存储,同时,还可以检测三层安全防护对网络攻击的拦截。
本发明所涉及的海底观测网数据上岸分发与安全保护的方法,是通过搭建虚拟局域网,对单一数据源采集生产的不同类型数据进行分发,数据源为水下至岸上的信息传输电缆或具有相同功能的模拟数据源,由外网服务器接收可公开数据,内网服务器接收敏感数据,并检测外部防火墙、内部防火墙和外网安全防护系统(SSR)对网络攻击的拦截。所述的基于虚拟局域网的海底观测网数据上岸分发与安全保护的方法,包括以下步骤:
S1、搭建虚拟局域网
搭建虚拟局域网,搭建由单一数据源、内网服务器、外网服务器、外部防火墙、内部防火墙、网络交换机以及多个连接在局域网内的数据查询计算机组成的虚拟局域网。单一数据源为水下至岸上的信息传输电缆或具有相同功能的模拟数据源。
S2、开启网络防护
开启网络防护包括开启外部防火墙拦截保护、开启内部防火墙拦截保护、开启外网服务器安全防护系统拦截保护。
开启外部防火墙拦截保护。外部防火墙采用网桥的方式串联在外网环境中,位置位于外网与外网服务器之间。数据传输过程中,开启外部防火墙基本防护功能及IPS、服务器防护、网站篡改防护、WEB应用防护,为外网服务器提供全面地安全防护,以形成对外网攻击防护的第一道屏障,同时以日志方式记录攻击源头及在库的病毒等。
开启内部防火墙拦截保护。内部防火墙采用旁路模式接入到测试环境中,位置位于外网服务器与内部虚拟局域网之间。数据传输过程中,开启内部防火墙标准防护功能及漏洞扫描和应用控制策略。内部防火墙采用单向的访问控制方式对单一数据源到外网服务器之间的链路进行管理,保证外部病毒攻击等不能形成有效的攻击路径,防止对内网数据进行窃取和复制,同时以日志方式将外部攻击渗透到该位置的攻击威胁进行记录。
开启外网服务器安全防护系统拦截保护。外网服务器安全防护系统部署于外网服务器上。数据传输过程中,开启安装于外网服务器上的浪潮SSR核心防护软件对服务器内所有操作进行安全规范,防止外部攻击利用该服务器窃取或复制内网数据,同时以日志方式记录SSR拦截的渗透到该位置的攻击威胁,并比较SSR日志与内网服务器日志和外网服务器日志,评估本方法对试验数据传输安全性的提升程度。
S3、生产并分发可公开数据和敏感数据
单一数据源连续采集生产数据。生产数据的基本分类规则:一类为可公开数据,数据格式为标准海洋监测传感器数据格式;一类为敏感数据,数据格式为标准海洋监测传感器数据格式。
建立数据源与外网服务器之间点对点通信连接,通过定时器定时向外网服务器发送可公开数据。
建立数据源与内网服务器之间点对点通信连接,通过定时器定时向内网服务器发送敏感数据。
S4、外网服务器接收可公开数据
外网服务器通过数据接收线程接收可公开数据,并按照标准数据格式存储数据文件。
S5、内网服务器接收敏感数据
内网服务器通过数据接收线程接收敏感数据,并按照标准数据格式将数据存储至数据库。
本发明所涉及的海底观测网数据上岸分发与安全保护方法可以更便捷地对不同类型的海洋观测数据进行分发处理,以提供给不同需求、不同权限的用户。而且由外部防火墙、内部防火墙和外网服务器安全防护系统组成的数据保护系统对于提升试验数据传输、存储的安全性具有明显效果。
附图说明
图1为本发明涉及的海底观测网数据上岸分发与安全保护方法的实验步骤示意图。
具体实施方式
现结合附图对本发明的技术方案作进一步阐述。
如图1所示,一种海底观测网数据上岸分发与安全保护方法,包括以下步骤:
S1、搭建虚拟局域网
搭建由单一数据源、内网服务器、外网服务器、外部防火墙、内部防火墙、网络交换机以及多个连接在局域网内的数据查询计算机组成的虚拟局域网。虚拟局域网的核心是内网交换机,内网服务器与数据源直接接入内网交换机,外网服务器通过内部防火墙接入内网服务器,具有操作权限的计算机用户也可直接接入内网交换机对内网服务器进行数据访问。为实验方便,实施例中没有采用数据传输电缆作为数据源,而采用计算机模拟单一数据源的方式,通过计算机随机数生成软件模拟数据上岸传输电缆集中传输数据的方式。
S2、开启网络保护
1)外部防火墙启动,启动后,通过防火墙日志记录拦截攻击;
2)内部防火墙启动,启动后,制定内网与外网间的访问规则,并通过防火墙日志记录拦截攻击;
3)安全防护系统启动,在外网服务器上启动SSR核心防护软件。该软件直接作用在系统层,对网络核心的服务器操作系统进行安全加固,保护了系统中重要数据和应用的安全,从根本上免疫了各种针对操作系统的攻击行为,彻底防止了病毒、蠕虫、黑客攻击等对操作系统和数据库的破坏。
S3、生产并分发可公开数据和敏感数据
单一数据源按一定数据格式采集生产可公开数据和敏感数据。技术方案中以温盐深数据为例作为可公开数据,以剖面海流数据为例作为敏感数据。通过一台计算机生产数据的方式作为模拟的单一数据源实现对不同类型数据采集、汇集和传输,具体步骤如下:
1)单一数据源启动,数据源为一台可模拟数据上岸传输电缆的计算机。数据源启动后,定义XML标记语言,并加载IP地址、端口号、可公开数据────温盐深数据发送时间间隔和敏感数据────剖面海流数据发送时间间隔等信息;
2)进行一次网络连接测试,分别发送测试数据至外网服务器和内网服务器,如果传输成功,则加载发送线程,如果传输失败,则挂起当前进程,等待连接成功;
3)可公开数据────温盐深数据发送线程启动,以步骤1)加载的温盐深数据发送时间间隔作为定时器1的定时时间生产温盐深数据,并以步骤1)加载的外网服务器IP地址和端口号发送至外网服务器。温盐深数据字符串格式为9.7309,3.33716,24.165,30.4325,29Apr 201300:00:24,对应的数据分别为:温度(℃)、电导率(厘米/毫西门子)、深度(米)、盐度、时间;
4)敏感数据────剖面海流数据发送线程启动,以步骤1)加载的剖面海流数据发送时间间隔作为定时器2的定时时间生产剖面海流数据,剖面海流层数可变,并以步骤1)加载的内网服务器IP地址和端口号发送至内网服务器。剖面海流数据字符串格式为T:1.2,H:192.9,P:+2.6,R:+0.3,001,-32768,-32768,-32768,-32768,
其中,T表示温度,H表面Heading,P表示Pitch,R表示Roll。001表示第一层的海流数据,每层数据从左到右分别为北向速度、东向速度、竖直向上速度、流速偏差;
5)停止发送数据消息触发,触发后,停止数据发送线程,中止定时器生产数据,复位定时器。
S4、外网服务器接收存储数据
1)外网服务器接收线程启动,启动后,加载FTP和IP设置信息,定义XML标记语言,并侦听TCP网络链接;
2)TCP网络链接建立后,开始接收数据,在每次接收数据的同时判断是否收到退出接收消息;
3)对接收到的温盐深数据实时显示;
4)对接收到的温盐深数据写入文件,检测文件存储路径和文件名是否存在,如果不存在则按指定文件路径和文件名新建文件,然后将接收到的数据逐行写入;
5)停止数据接收消息触发,触发后,向接收线程发送退出接收消息,停止数据侦听线程。
S5、内网服务器接收存储数据
1)内网服务器接收线程启动,启动后,加载FTP和IP设置信息,定义XML标记语言,并侦听TCP网络链接;
2)TCP网络链接建立后,开始接收数据,在每次接收数据的同时判断是否收到退出接收消息;
3)对接收到的剖面海流数据实时显示;
4)对接收到的剖面海流数据写入数据库,设置数据库打开方式,初始化本地数据库并连接,最后将接收到的数据写入内存;
5)停止数据接收消息触发,触发后,向接收线程发送退出接收消息,停止数据侦听线程。
Claims (4)
1.一种海底观测网数据上岸分发与安全保护方法,其特征在于,包括以下步骤:
搭建虚拟局域网,所述搭建的虚拟局域网包括单一数据源、内网服务器、外网服务器、外部防火墙、内部防火墙、网络交换机和数据查询计算机;
开启网络防护,所述开启网络防护包括外部防火墙保护、内部防火墙保护和外网服务器安全防护系统保护;
开启外部防火墙拦截保护,外部防火墙采用网桥的方式串联在外网环境中,位置位于外网与外网服务器之间;数据传输过程中,开启外部防火墙基本防护功能及IPS、服务器防护、网站篡改防护、WEB应用防护,为外网服务器提供全面地安全防护,以形成对外网攻击防护的第一道屏障,同时以日志方式记录攻击源头及在库的病毒;
开启内部防火墙拦截保护,内部防火墙采用旁路模式接入到测试环境中,位置位于外网服务器与内部虚拟局域网之间,数据传输过程中,开启内部防火墙标准防护功能及漏洞扫描和应用控制策略;内部防火墙采用单向的访问控制方式对单一数据源到外网服务器之间的链路进行管理,保证外部病毒攻击不能形成有效的攻击路径,防止对内网数据进行窃取和复制,同时以日志方式将外部攻击渗透到该位置的攻击威胁进行记录;
开启外网服务器安全防护系统拦截保护,外网服务器安全防护系统部署于外网服务器上;数据传输过程中,开启安装于外网服务器上的浪潮SSR核心防护软件对服务器内所有操作进行安全规范,防止外部攻击利用该服务器窃取或复制内网数据,同时以日志方式记录SSR拦截的渗透到该位置的攻击威胁,并比较SSR日志与内网服务器日志和外网服务器日志,评估本方法对试验数据传输安全性的提升程度;
生产并分发不同类型数据,所述生产并分发不同类型数据由单一数据源完成,分发的不同类型数据一类为可公开数据,一类为敏感数据;
建立数据源与外网服务器之间点对点通信连接,通过定时器定时向外网服务器发送可公开数据;
建立数据源与内网服务器之间点对点通信连接,通过定时器定时向内网服务器发送敏感数据;
外网服务器接收存储数据,接收的数据类型为可公开数据,数据以文件形式直接存储到外网服务器硬盘;
内网服务器接收存储数据,接收的数据类型为敏感数据,数据存储到部署于内网服务器的数据库。
2.根据权利要求1所述的海底观测网数据上岸分发与安全保护方法,其特征在于,所述搭建虚拟局域网中,所述单一数据源为数据上岸传输电缆或具有相同功能的模拟数据源;所述数据查询计算机自由接入局域网,数据查询计算机根据用户权限的不同进行数据访问查询,普通用户拥有访问外网服务器数据的权限,高级用户在具有普通用户权限的同时,还拥有访问内网服务器数据的权限。
3.根据权利要求1所述的海底观测网数据上岸分发与安全保护方法,其特征在于,所述外部防火墙部署在外网服务器之外,是外网服务器之外的第一道防御屏障;内部防火墙部署在外网服务器和内网之间,内部防火墙使用单向的访问控制方式对单一数据源到外网服务器之间的链路进行管理;外网服务器安全防护系统部署于外网服务器上。
4.根据权利要求1所述的海底观测网数据上岸分发与安全保护的方法,其特征在于,所述单一数据源与外网服务器和内网服务器分别建立TCP/IP链接,定时生产可公开数据和敏感数据并分别以FTP方式发送给外网服务器和内网服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510392200.0A CN104994100B (zh) | 2015-07-06 | 2015-07-06 | 海底观测网数据上岸分发与安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510392200.0A CN104994100B (zh) | 2015-07-06 | 2015-07-06 | 海底观测网数据上岸分发与安全保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104994100A CN104994100A (zh) | 2015-10-21 |
| CN104994100B true CN104994100B (zh) | 2019-02-22 |
Family
ID=54305852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510392200.0A Expired - Fee Related CN104994100B (zh) | 2015-07-06 | 2015-07-06 | 海底观测网数据上岸分发与安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104994100B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114499954B (zh) * | 2021-12-21 | 2024-05-10 | 海光信息技术股份有限公司 | 一种用于敏感数据的管理装置和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202178780U (zh) * | 2011-08-31 | 2012-03-28 | 公安部第三研究所 | 一种基于单向传输的内外网安全隔离系统 |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
| CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
-
2015
- 2015-07-06 CN CN201510392200.0A patent/CN104994100B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202178780U (zh) * | 2011-08-31 | 2012-03-28 | 公安部第三研究所 | 一种基于单向传输的内外网安全隔离系统 |
| CN102843352A (zh) * | 2012-05-15 | 2012-12-26 | 广东电网公司茂名供电局 | 在内网和外网之间跨物理隔离透明传输数据的系统和方法 |
| CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104994100A (zh) | 2015-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tuptuk et al. | Security of smart manufacturing systems | |
| Fovino et al. | An experimental platform for assessing SCADA vulnerabilities and countermeasures in power plants | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN105610874B (zh) | 一种局域网安全管理系统 | |
| Dahbul et al. | Enhancing honeypot deception capability through network service fingerprinting | |
| Xie et al. | Security analysis on cyber-physical system using attack tree | |
| Ajmal et al. | Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks | |
| Masood | Assessment of cyber security challenges in nuclear power plants security incidents, threats, and initiatives | |
| Suma | Automatic spotting of sceptical activity with visualization using elastic cluster for network traffic in educational campus | |
| CN105871775B (zh) | 一种安全防护方法及dpma防护模型 | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| Kovanen et al. | Cyber threat landscape in energy sector | |
| CN104994100B (zh) | 海底观测网数据上岸分发与安全保护方法 | |
| CN103634293A (zh) | 一种基于双硬件的数据安全传输方法及系统 | |
| CN102111308A (zh) | 一种多态蠕虫自动检测方法 | |
| Li et al. | A model of APT attack defense based on cyber threat detection | |
| Le et al. | Lasarus: Lightweight attack surface reduction for legacy industrial control systems | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| CN114978595A (zh) | 威胁模型的构建方法、装置及计算机设备 | |
| Liu | Discussion and Practice of Computer Network Information and Network Security Protection Strategy | |
| CN207612279U (zh) | 一种食品加工厂网络安全管理系统 | |
| Lau et al. | Securing supervisory control and data acquisition control systems | |
| Lakshmi | Security enabled UAVs for Tech-Agriculture monitoring rice crops using FIBOR architecture | |
| CN107222556A (zh) | 一种深海观测安全可信组网系统 | |
| Chelvachandran et al. | Cyberwarfare–Associated technologies and countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190222 Termination date: 20210706 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |