CN105791269A - 一种基于数据白名单的信息安全网关 - Google Patents
一种基于数据白名单的信息安全网关 Download PDFInfo
- Publication number
- CN105791269A CN105791269A CN201610091022.2A CN201610091022A CN105791269A CN 105791269 A CN105791269 A CN 105791269A CN 201610091022 A CN201610091022 A CN 201610091022A CN 105791269 A CN105791269 A CN 105791269A
- Authority
- CN
- China
- Prior art keywords
- data
- white list
- module
- information security
- security gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种基于数据白名单的信息安全网关,该装置包括数据采集模块、数据缓存模块、数据提取模块、数据传输模块以及数据发布模块,采用基于“白名单”的数据摆渡方式,实现网络边界防护功能,即只允许指定的标签点数据通过,而阻断任何方式的网络连接,其网络隔离能力显著高于基于协议的过滤方式,大幅降低了使用合法的通讯协议传输非法数据的风险。
Description
技术领域
本发明涉及石油、化工等流程工业领域的数据安全采集,具体涉及一种基于数据白名单的信息安全网关。
背景技术
OPC(OLEforProcessControl)即OLE(ObjectLinkingandEmbedding)用于工业控制领域的一个通讯接口标准,它为过程控制提供了一套标准的接口、属性和方法。
工业化与信息化的发展实现了传统计算机网络与工业控制网络的紧密融合,越来越多的企业管理信息系统,如石油、化工等典型流程工业的生产执行系统(MES),利用多种数据交互设备从集散控制系统(DCS)采集实时数据,进而完成优化控制。特别是物联网、大数据等新技术的逐步深化应用,管理网与工控网的联系日趋紧密,但同时大大增加了安全风险。
为了将DCS的生产数据采集到MES中,现有网关一般采用防火墙技术。虽然增加了防火墙,但由于工业控制中广泛应用OPC通讯协议,而OPC协议无法使用固定的网络端口进行通讯,使得基于网络端口防护的普通IT防火墙束手无策。
目前防火墙技术普遍采用协议白名单机制,尽管可以根据协议白名单设置固定的网络端口号,进而过滤数据包,但仍然无法降低使用合法的通讯协议传输非法数据的风险。
发明内容
为解决现有技术存在的问题,本发明提供了一种基于数据白名单的信息安全网关。采用基于“白名单”的数据摆渡方式,实现网络边界防护功能,即只允许指定的标签点数据通过,而阻断任何方式的网络连接,其网络隔离能力显著高于基于协议的过滤方式,大幅降低了使用合法的通讯协议传输非法数据的风险。
通过以下技术方案实现,一种基于数据白名单的信息安全网关,所述信息安全网关包括顺次连接的数据采集模块、数据缓存模块、数据提取模块、数据传输模块以及数据发布模块;
所述数据提取模块从数据缓存模块中读取数据包,并动态根据传输协议解析数据包,解析出纯数据,再根据数据白名单中的标签点进行匹配,进而提取出合法的实时数据;所述信息安全网关只允许白名单数据交互,阻断任何方式的网络连接。
优选的,所述数据采集模块从工业控制现场采集实时数据,包括不限于温度、液位以及压力的纯数据量;所述数据发布模块在外部请求数据时,将匹配的标签点对外发布。
优选的,所述数据提取模块支持通讯协议的数据检查,包括OPC、TCP/IP以及Modbus。
优选的,所述数据提取模块支持远程配置数据白名单中的标签点。
优选的,所述数据提取模块支持点对点配置标签点。
优选的,所述数据采集模块、数据发布模块均同时支持OPC、TCP/IP以及Modbus通讯协议。
优选的,该装置工作流程如下:
(1)启动数据采集模块;
(2)数据提取模块检测数据包的传输协议;
(3)解析报文;
(4)数据提取模块根据数据白名单中的标签点,提取报文数据段中标签点数据,同时丢弃不在标签点的数据;
(5)判断提取的数据是否合法;
(6)如果合法,则将提取的数据重新打包;如果不合法,则跳转到步骤(9);
(7)数据发布模块更新数据;
(8)数据发布模块对外发布数据;
(9)判断是否继续采集数据,如果是,则跳转到步骤(3);如果否,则结束程序。
优选的,步骤(2)中,数据提取模块检测数据包的传输协议,判断通讯协议属于OPC、TCP/IP以及Modbus中具体哪一种。
优选的,步骤(3)中,数据提取模块根据具体传输协议解析报文,去除报文首部信息、源IP地址以及目的IP地址等信息,得到报文中数据段的内容。
有益效果:
本发明提供了一种基于数据白名单的信息安全网关,具有数据白名单、协议转换、网络隔离等功能,阻断控制网与管理网的网络连接,只允许将指定的控制系统数据“摆渡”到管理系统,杜绝因为控制网与管理网的互联互通从而给控制网带来的网络攻击、入侵以及病毒等信息安全威胁。
附图说明
图1是本发明信息安全网关结构框图;
图2是本发明信息安全网关工作流程图;
图3是本发明数据提取模块工作流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步说明。本实施例以本发明技术方案为前提进行实施,但本发明的保护范围不限于下述的实施例。
如图1所示,信息安全网关包括数据采集模块、数据缓存模块、数据提取模块、数据传输模块以及数据发布模块。其中数据采集模块从工业控制现场采集实时数据,如温度、液位以及压力等等纯数据量。采集到的这些数据量放入数据缓存模块,然后数据提取模块根据数据白名单对数据包进行分析,进而提取出合法的实时数据。数据发布模块把筛选出的数据对外发布,提供给上层的管理网。
本实施例中,如图2所示,信息安全网关工作流程如下:
(1)启动数据采集模块,当数据采集模块启动时:从启动输入参数中,获取指定采集配置文件opccollcfg.ini,预先读取初始化配置文件opcsvrcfg.ini,加载采集配置文件opccollcfg.ini。获取启动输入参数,包含第1个参数:IP地址;第2个参数:端口号;第3个参数:采集配置文件名。若参数读取异常,整个采集程序退出;读取正常,执行下一步操作。
(2)初始化完成后,读取采集配置对象中的OPC连接信息,并连接到DCS中的OPCServer,连接成功后,遍历采集配置文件opccollcfg.ini中的分组信息,向OPCServer对象中添加分组group1、group2、group3,这三个分组分别对应温度、压力、液位,其中这3组采集周期均设为3秒,添加分组成功后并激活分组。每个分组设置的标签点上限值为8000点,考虑到工业控制现场实际情况,本实施例中对温度、压力、液位分别配置了7869个标签点,其中分组group1、group2、group3下标签点依次为:temptag1、temptag2……temptag7869;pretag1、pretag2……pretag7869;liqtag1、liqtag2……liqtag7869。因此,本实施例中数据白名单中的数据设为:group1.temptag1、group1.temptag2……group1.temptag7869;group2.pretag1、group2.pretag2……group2.pretag7869;group3.liqtag1、group3.liqtag2……group3.liqtag7869。
(3)数据提取模块检测数据包的传输协议:数据提取模块从数据缓存模块中读取数据包,进而判断通讯协议属于OPC、TCP/IP以及Modbus中具体哪一种,本实施例中判断出数据包以OPC报文形式传输。
(3)根据具体传输协议解析报文:对OPC报文进行解析,得到报文中的数据段,即存储标签点的位置。
(4)匹配标签点:根据白名单文件中的温度、压力、液位等详细标签点group1.temptag1、group1.temptag2……group1.temptag7869;group2.pretag1、group2.pretag2……group2.pretag7869;group3.liqtag1、group3.liqtag2……group3.liqtag7869,对提取出的数据段进行匹配,如果得到的数据不在白名单中,则丢弃;如果在白名单中,则保留,匹配完成后得到合法标签点。
将筛选出的合法数据重新进行打包处理,进一步传输到数据发布模块。当外部MES层的应用程序请求数据时,数据发布模块将匹配的标签点对外发布。
如图3所示,数据提取模块工作流程如下:
(1)开始;
(2)接收数据包;
(3)检测数据包的传输协议,判断通讯协议属于OPC、TCP/IP以及Modbus中具体哪一种;
(4)根据具体传输协议解析报文,去除报文首部信息、源IP地址以及目的IP地址等信息,得到报文中数据段的内容;
(5)根据数据白名单文件,对解析出的数据段进行检查;
(6)判断解析是否成功:如果否,则退出程序;如果是,则更新标签点。
综上所述,本发明提供了一种基于数据白名单的信息安全网关,数据白名单机制,只允许将指定的控制系统数据“摆渡”到管理系统,杜绝因为控制网与管理网的互联互通从而给控制网带来的网络攻击、入侵以及病毒等信息安全威胁。
本发明已通过上述实施例及其附图说明清楚,以上仅为本发明的一个具体实例,不构成对本发明的任何限制。在不背离本发明精神和实质的情况下,所属领域的技术人员可根据本发明做出相应变化和修正,这些变化和修正都属于本发明权利要求的保护范围。
本发明未涉及方法均与现有技术相同或可采用现有技术加以实现。
Claims (9)
1.一种基于数据白名单的信息安全网关,其特征在于所述信息安全网关包括顺次连接的数据采集模块、数据缓存模块、数据提取模块、数据传输模块以及数据发布模块;
所述数据提取模块从数据缓存模块中读取数据包,并动态根据传输协议解析数据包,解析出纯数据,再根据数据白名单中的标签点进行匹配,进而提取出合法的实时数据;所述信息安全网关只允许白名单数据交互,阻断任何方式的网络连接。
2.根据权利要求1所述的一种基于数据白名单的信息安全网关,其特征在于所述数据采集模块从工业控制现场采集实时数据,包括不限于温度、液位以及压力的纯数据量;所述数据发布模块在外部请求数据时,将匹配的标签点对外发布。
3.根据权利要求1所述的一种基于数据白名单的信息安全网关,其特征在于所述数据提取模块支持通讯协议的数据检查,包括OPC、TCP/IP以及Modbus。
4.根据权利要求1所述的一种基于数据白名单的信息安全网关,其特征在于所述数据提取模块支持远程配置数据白名单中的标签点。
5.根据权利要求1所述的一种基于数据白名单的信息安全网关,其特征在于所述数据提取模块支持点对点配置标签点。
6.根据权利要求1所述的一种基于数据白名单的信息安全网关,其特征在于所述数据采集模块、数据发布模块均同时支持OPC、TCP/IP以及Modbus通讯协议。
7.根据权利要求1所述的一种基于数据白名单的信息安全网关,其特征在于该装置工作流程如下:
(1)启动数据采集模块;
(2)数据提取模块检测数据包的传输协议;
(3)解析报文;
(4)数据提取模块根据数据白名单中的标签点,提取报文数据段中标签点数据,同时丢弃不在标签点的数据;
(5)判断提取的数据是否合法;
(6)如果合法,则将提取的数据重新打包;如果不合法,则跳转到步骤(9);
(7)数据发布模块更新数据;
(8)数据发布模块对外发布数据;
(9)判断是否继续采集数据,如果是,则跳转到步骤(3);如果否,则结束程序。
8.根据权利要求7所述的一种基于数据白名单的信息安全网关,其特征在于步骤(2)中,数据提取模块检测数据包的传输协议,判断通讯协议属于OPC、TCP/IP以及Modbus中具体哪一种。
9.根据权利要求7所述的一种基于数据白名单的信息安全网关,其特征在于步骤(3)中,数据提取模块根据具体传输协议解析报文,去除报文首部信息、源IP地址以及目的IP地址等信息,得到报文中数据段的内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610091022.2A CN105791269B (zh) | 2016-02-18 | 2016-02-18 | 一种基于数据白名单的信息安全网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610091022.2A CN105791269B (zh) | 2016-02-18 | 2016-02-18 | 一种基于数据白名单的信息安全网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791269A true CN105791269A (zh) | 2016-07-20 |
| CN105791269B CN105791269B (zh) | 2019-05-14 |
Family
ID=56402244
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610091022.2A Active CN105791269B (zh) | 2016-02-18 | 2016-02-18 | 一种基于数据白名单的信息安全网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791269B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534184A (zh) * | 2016-12-12 | 2017-03-22 | 南京富岛信息工程有限公司 | 一种基于深度数据过滤的控制系统信息安全网关 |
| CN106843058A (zh) * | 2017-03-03 | 2017-06-13 | 南京富岛信息工程有限公司 | 一种隐藏控制系统ip地址的安全数据采集装置及采集方法 |
| CN107147668A (zh) * | 2017-06-08 | 2017-09-08 | 上海中兴电力建设发展有限公司 | 基于物联网的高效应用式安全专网传输方法与系统 |
| CN107196948A (zh) * | 2017-06-08 | 2017-09-22 | 上海中兴电力建设发展有限公司 | 基于能源互联网的高效应用式安全专网传输方法与系统 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108877188A (zh) * | 2018-05-17 | 2018-11-23 | 济南诚博信息科技有限公司 | 一种环保数据并发采集及多网络发布方法和装置 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN113176765A (zh) * | 2021-04-22 | 2021-07-27 | 深圳市威斯登信息科技有限公司 | 工业控制装置运行状态的安全监测方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401756A (zh) * | 2013-08-21 | 2013-11-20 | 北京华烽泰特科技有限公司 | 一种用于工业网络的安全防护系统 |
| CN105072025A (zh) * | 2015-08-05 | 2015-11-18 | 北京科技大学 | 针对现代工业控制系统网络通信的安全防护网关及系统 |
-
2016
- 2016-02-18 CN CN201610091022.2A patent/CN105791269B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103401756A (zh) * | 2013-08-21 | 2013-11-20 | 北京华烽泰特科技有限公司 | 一种用于工业网络的安全防护系统 |
| CN105072025A (zh) * | 2015-08-05 | 2015-11-18 | 北京科技大学 | 针对现代工业控制系统网络通信的安全防护网关及系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534184A (zh) * | 2016-12-12 | 2017-03-22 | 南京富岛信息工程有限公司 | 一种基于深度数据过滤的控制系统信息安全网关 |
| CN106534184B (zh) * | 2016-12-12 | 2019-08-06 | 南京富岛信息工程有限公司 | 一种基于深度数据过滤的控制系统信息安全网关 |
| CN106843058A (zh) * | 2017-03-03 | 2017-06-13 | 南京富岛信息工程有限公司 | 一种隐藏控制系统ip地址的安全数据采集装置及采集方法 |
| CN107147668A (zh) * | 2017-06-08 | 2017-09-08 | 上海中兴电力建设发展有限公司 | 基于物联网的高效应用式安全专网传输方法与系统 |
| CN107196948A (zh) * | 2017-06-08 | 2017-09-22 | 上海中兴电力建设发展有限公司 | 基于能源互联网的高效应用式安全专网传输方法与系统 |
| CN107612733A (zh) * | 2017-09-19 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于工控系统的网络审计和监测方法及其系统 |
| CN108877188A (zh) * | 2018-05-17 | 2018-11-23 | 济南诚博信息科技有限公司 | 一种环保数据并发采集及多网络发布方法和装置 |
| CN108877188B (zh) * | 2018-05-17 | 2020-10-16 | 济南诚博信息科技有限公司 | 一种环保数据并发采集及多网络发布方法和装置 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN110662218B (zh) * | 2019-09-25 | 2021-06-08 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN113176765A (zh) * | 2021-04-22 | 2021-07-27 | 深圳市威斯登信息科技有限公司 | 工业控制装置运行状态的安全监测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791269B (zh) | 2019-05-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105791269A (zh) | 一种基于数据白名单的信息安全网关 | |
| US12081567B2 (en) | Analysis device, method and system for operational technology system and storage medium | |
| CN104702584B (zh) | 一种基于自学习规则的Modbus通信访问控制方法 | |
| CN101388768B (zh) | 检测恶意http请求的方法及装置 | |
| CN104660593B (zh) | Opc安全网关数据包过滤方法 | |
| CN105204487A (zh) | 基于通信模型的工业控制系统的入侵检测方法及系统 | |
| CN104243021B (zh) | 一种电力通信光缆巡检管理系统 | |
| US10972496B2 (en) | Upload interface identification method, identification server and system, and storage medium | |
| CN104767748A (zh) | Opc服务器安全防护系统 | |
| CN101834866A (zh) | 一种cc攻击防护方法及其系统 | |
| CN104394122A (zh) | 一种基于自适应代理机制的http业务防火墙 | |
| CN102316087A (zh) | 网络应用攻击的检测方法 | |
| CN109525572A (zh) | 一种互联网网站安全监测防护系统及方法 | |
| CN110326268A (zh) | 用于保护现场设备的透明防火墙 | |
| CN105897475A (zh) | 一种路由器的远程配置方法及路由器 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| CN107800722A (zh) | 隔离工控设备与外部网络服务器的方法及装置 | |
| CN103312692A (zh) | 链接地址安全性检测方法及装置 | |
| CN103096038B (zh) | 多协议视频监控设备接入的融合视频监控系统的监控方法 | |
| CN109587230A (zh) | 一种物联网远程控制终端及控制方法 | |
| CN102104609B (zh) | 一种网络协议安全缺陷分析方法 | |
| CN106534184B (zh) | 一种基于深度数据过滤的控制系统信息安全网关 | |
| CN106302520A (zh) | 一种远控类木马清除方法及装置 | |
| CN110457897A (zh) | 一种基于通信协议与sql语法的数据库安全检测方法 | |
| CN102123102B (zh) | 节点保护方法、包过滤装置及虚拟网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |