CN107749863B - 一种信息系统网络安全隔离的方法 - Google Patents

一种信息系统网络安全隔离的方法 Download PDF

Info

Publication number
CN107749863B
CN107749863B CN201711250476.0A CN201711250476A CN107749863B CN 107749863 B CN107749863 B CN 107749863B CN 201711250476 A CN201711250476 A CN 201711250476A CN 107749863 B CN107749863 B CN 107749863B
Authority
CN
China
Prior art keywords
server
data
network
external network
internal network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201711250476.0A
Other languages
English (en)
Other versions
CN107749863A (zh
Inventor
姜友辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Lai Mi Technology Co ltd
Original Assignee
Guangzhou Lai Mi Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Lai Mi Technology Co ltd filed Critical Guangzhou Lai Mi Technology Co ltd
Priority to CN201711250476.0A priority Critical patent/CN107749863B/zh
Publication of CN107749863A publication Critical patent/CN107749863A/zh
Application granted granted Critical
Publication of CN107749863B publication Critical patent/CN107749863B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

本发明公开了一种信息系统网络安全隔离的方法,先把内网服务器安装在中心机房或者分前端机房中,然后由各相关厂家硬件决定其通信方式,将中心监控服务器采集的TCP/IP数据,转换为RS‑232串口数据,然后把通信系统中RS‑232 DB9互联网端3脚发送端与内部网端2脚接收端这条物理路由切断,只保留内部网RS‑232 DB9互联网2脚接收端与内部网3脚发送端,最后在外网服务器接入外网前,安装有防火墙,同时外网服务器所采用AES高级加密标准。该发明基于物理电路的单向隔离技术,有效满足了相关单位网络管理制度的要求,内部网络与外部网络采用的是硬件线路单向通信方式有效保护了内网的安全。

Description

一种信息系统网络安全隔离的方法
技术领域
本发明属于网络安全技术领域,更具体地说,尤其涉及一种信息系统网络安全隔离的方法。
背景技术
目前的数据中心在运维工作中一般都标配有机房动力环境监控系统,通过装设各类传感器对机房运行状态进行实时监控,传感器产生的数据与设定的阀值进行对比判断输出,监看值班人员通过系统提示再通知相关专业人员,完成运维工作。为提高工作效率,对于设备设施的运维管理,我们如能实现随时随地的掌握设备的各种工作参数,对设备的实际运行状态做出专业的判断,这将对设备运维工作效率带来质的飞跃。为实现这样的要求,我们可将设备的参数实时传送到相关专业管理人员的移动终端上来解决。数据中心的动环监控系统因其信息安全问题一般运行于企业内部网络,运行于企业内部网络的动环数据和运行于公网的移动终端进行数据互通的安全问题就摆在我们面前,要求我们必须解决设备的联网安全问题
现有网络安全技术中,不同的网络(内网与外网)之间连接通信,基本上使用网络防火墙技术。防火墙是在两个网络通讯时执行的一种访问控制规则,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。目前防火墙技术应用广发,但主要存在两个缺点:
1、没有防火墙能绝对保证内网安全。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,也可以防备新的威胁,但没有一扇防火墙能自动防御所有新的威胁,黑客与防火墙之间存在“道高一尺魔高一丈”的问题。
2、如果入侵者已经在防火墙内部,防火墙的作用非常弱,外网黑客很容易实现对内网资源的访问和控制。
正因为存在以上风险,目前大多政府公安及企业单位,命令禁止:内网必须与外网物理隔离。该规定虽然能保证内网信息的安全,但是对于需要从外网获取内网信息的用户(如通过手机APP/微信查看内网工作相关信息),无法开展及时、高效的管理,对工作造成了诸多不便。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种信息系统网络安全隔离的方法。
为实现上述目的,本发明提供如下技术方案:一种信息系统网络安全隔离的方法,包括如下步骤:
S1、先把内网服务器安装在中心机房或者分前端机房中,然后由各相关厂家硬件决定其通信方式,将中心监控服务器采集的TCP/IP数据,转换为RS-232串口数据;
S2、把通信系统中RS-232DB9互联网端3脚发送端与内部网端2脚接收端这条物理路由切断,只保留内部网RS-232DB9互联网2脚接收端与内部网3脚发送端;
S3、把内网服务器数据打包通过串口,主动、单向的向Web服务器发送数据,外网服务器软件按私有协议,完成接收数据的解析;
S4、在外网服务器接入外网前,安装有防火墙,同时外网服务器所采用AES高级加密标准;
S5、最后再利用移动设备等互联网客户端对外网服务器进行访问,而外网服务器不能对内网服务器发送数据;
S6、手机终端在收到外网服务器的数据后,按秘匙进行解密和数据的还原,并最终现实被监控设备的数据,监控数据通过对称加密算法,保证相关设备的数据不被其他黑客或非法用户获取。
优选的,所述步骤S1中通信规约可遵寻Modbus协议,也可由各设备厂家自定义提供,同时监控服务器向Web服务器发送的串口数据包格式,由监控厂家自定义。
优选的,所述步骤S3中外网服务器将解析后的数据,通过Web、SNMP、数据库等方式,对互联网客户端提供访问服务。
优选的,所述步骤S2中传输的数据可以采用RS-232、RS-422及SPI三种接口中的任意一种接口,同时将其全双工通信中的内网端接收信号线剪短。
本发明提供的一种信息系统网络安全隔离的方法,与传统的产品相比,本发明有如下优点:
1、外部网络中无论多高技术水平的黑客,也无法访问内部网络。本发明中内部网络与外部网络采用的是硬件线路单向通信方式,该特点决定了外部网络发出的访问信号,无法传送至内部网络,有效保护了内网的安全;
2、内部网络与外部网络实现了单向通信,内部网络中的重要信息能传递至外网,并同时发送到外网的相关服务器或信息管理终端;
3、满足很多单位网络管理制度的规定:内部网络与外部网络物理隔离,本发明中,内部网络与外部网络之间的连接,并非基于TCP/IP协议,而是基于物理电路的单向隔离技术,有效满足了相关单位网络管理制度的要求。
附图说明
图1为本发明RS-232标准DB9接口管脚分配图;
图2为本发明RS-232数据通信信号流程图;
图3为本发明物理隔离后的监控系统联网技术系统结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合具体实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种信息系统网络安全隔离的方法,包括如下步骤:
S1、先把内网服务器安装在中心机房或者分前端机房中,然后由各相关厂家硬件决定其通信方式,将中心监控服务器采集的TCP/IP数据,转换为RS-232串口数据;
S2、把通信系统中RS-232DB9互联网端3脚发送端与内部网端2脚接收端这条物理路由切断,只保留内部网RS-232DB9互联网2脚接收端与内部网3脚发送端;
S3、然后在外网服务器接入外网前,安装有防火墙,同时外网服务器所采用AES高级加密标准;
具体的,所述步骤S1中通信规约可遵寻Modbus协议,也可由各设备厂家自定义提供,同时监控服务器向Web服务器发送的串口数据包格式,由监控厂家自定义。
具体的,所述步骤S3中外网服务器将解析后的数据,通过Web、SNMP、数据库等方式,对互联网客户端提供访问服务。
具体的,所述步骤S2中传输的数据可以采用RS-232、RS-422及SPI三种接口中的任意一种接口,同时将其全双工通信中的内网端接收信号线剪短。
本发明主要将内网侧串行通信和并行通信中的接收端信号,通过物理的方式去除;或者将外网侧串行通信和并行通信中的发送端信号,通过物理的方式去除,以达到单向通信的目的。
RS-232标准DB9接口管脚分配图中管脚功能是:1、DCD载波检测;2、RXD接收数据;3、TXD发送数据;4、DTR数据终端准备好;5、SGND信号地线;6、DSR数据准备好;7、RTS请求发送;8、CTS清除发送;9、RI振铃提示。
综上所述:本发明提供的一种信息系统网络安全隔离的方法,与传统的产品相比,本发明通过把通信系统中RS-232DB9互联网端3脚发送端与内部网端2脚接收端这条物理路由切断,只保留内部网RS-232DB9互联网2脚接收端与内部网3脚发送端,实现了内部网络数据向互联网方向的传递,而外部互联网数据由于物理链路的隔断,互联网端服务器RS-232串口的3管脚相对信号SGND没有电压(小于DC5V),也即其只能被动的跟随内部网服务器发送端的电压跳动,“读取”发送端的二进制码,无法主动拉动接收线与GND的电压跳动,向发送端发出二进制码,也就是Web服务器的硬件结构上,决定了其无法向中心服务器传递控制信号,数据流是单向的,互联网数据无法进入内部网络,就算外部网络攻击数据突破防护层,也在这个点的物理位置形成了攻击数据的截止点,这样就实现了从物理和逻辑上阻断了外部攻击数据。经RS-232节点上传信道物理隔离后的单向外发式的数据通信,能把内部网络监控对像的状态发送给互联网上的终端,并且由于物理和逻辑上的上传信道隔离可“百分百”保证内网监控对象免受来自互联网的攻击数据,实现“只监不控”的效果;被监控设备数据通过私有协议和RS-232串口,单向流入外网服务器。外网服务器软件按私有协议,完成接收数据的解析。同时外网服务器将解析后的数据,通过Web、SNMP、数据库等方式,对互联网客户端提供访问服务。为了保证数据从外网服务器传送到手机APP等终端的数据安全,一般对数据进行加密。在实时数据监测中,一般采用AES高级加密标准,对数据进行加密传输和解密。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种信息系统网络安全隔离的方法,其特征在于:包括如下步骤:
S1、先把内网服务器安装在中心机房或者分前端机房中,然后由各相关厂家硬件决定其通信方式,将中心监控服务器采集的TCP/IP数据,转换为RS-232串口数据;
S2、把通信系统中RS-232DB9互联网端3脚发送端与内部网端2脚接收端这条物理路由切断,只保留RS-232DB9互联网2脚接收端与内部网3脚发送端;
S3、把内网服务器数据打包通过串口,主动、单向的向Web服务器发送数据,外网服务器软件按私有协议,完成接收数据的解析;
S4、在外网服务器接入外网前,安装有防火墙,同时外网服务器所采用AES高级加密标准;
S5、最后再利用移动设备互联网客户端对外网服务器进行访问,而外网服务器不能对内网服务器发送数据;
S6、手机终端在收到外网服务器的数据后,按秘匙进行解密和数据的还原,并最终现实被监控设备的数据,监控数据通过对称加密算法,保证相关设备的数据不被其他黑客或非法用户获取。
2.根据权利要求1所述的一种信息系统网络安全隔离的方法,其特征在于:所述步骤S1中通信规约可遵寻Modbus协议,或由各设备厂家自定义提供,同时监控服务器向Web服务器发送的串口数据包格式,由监控厂家自定义。
3.根据权利要求1所述的一种信息系统网络安全隔离的方法,其特征在于:所述步骤S3中外网服务器将解析后的数据,通过Web、SNMP、数据库方式,对互联网客户端提供访问服务。
4.根据权利要求1所述的一种信息系统网络安全隔离的方法,其特征在于:所述步骤S2中传输的数据可以采用RS-232、RS-422及SPI三种接口中的任意一种接口,同时将其全双工通信中的内网端接收信号线剪短。
CN201711250476.0A 2017-12-01 2017-12-01 一种信息系统网络安全隔离的方法 Expired - Fee Related CN107749863B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711250476.0A CN107749863B (zh) 2017-12-01 2017-12-01 一种信息系统网络安全隔离的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711250476.0A CN107749863B (zh) 2017-12-01 2017-12-01 一种信息系统网络安全隔离的方法

Publications (2)

Publication Number Publication Date
CN107749863A CN107749863A (zh) 2018-03-02
CN107749863B true CN107749863B (zh) 2021-04-30

Family

ID=61249987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711250476.0A Expired - Fee Related CN107749863B (zh) 2017-12-01 2017-12-01 一种信息系统网络安全隔离的方法

Country Status (1)

Country Link
CN (1) CN107749863B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108769076B (zh) * 2018-07-06 2023-12-05 北京绪水互联科技有限公司 具有网络隔离功能的数据采集系统、方法及装置
CN111431905B (zh) * 2020-03-26 2022-07-22 重庆新致金服信息技术有限公司 一种适用于信贷行业的智能网关系统
CN111526137B (zh) * 2020-04-15 2020-12-25 中科驭数(北京)科技有限公司 兼容服务器和客户端模式的网络加速器及数据处理方法
CN113542243A (zh) * 2021-07-02 2021-10-22 上海企翔智能科技有限公司 一种单向安全隔离网关装置及其数据传输方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004228616A (ja) * 2003-01-17 2004-08-12 Fujitsu Ltd Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
CN101459608A (zh) * 2008-12-08 2009-06-17 上海华平信息技术股份有限公司 内外网络的资源共享方法
CN101986638A (zh) * 2010-09-16 2011-03-16 珠海市鸿瑞软件技术有限公司 千兆单向型网络隔离装置
CN103491072A (zh) * 2013-09-06 2014-01-01 北京信息控制研究所 一种基于双单向隔离网闸的边界访问控制方法
KR20140027756A (ko) * 2012-08-27 2014-03-07 주식회사 신한은행 망분리 시스템, 망분리를 위한 더미 웹서버 및 망분리 방법
CN105391613A (zh) * 2015-11-19 2016-03-09 四川中鼎自动控制有限公司 水电站以太网型安全隔离装置内外通用数据桥

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004228616A (ja) * 2003-01-17 2004-08-12 Fujitsu Ltd Dmzを介したイントラネットおよび外部ネットワーク上の呼の確立
CN101459608A (zh) * 2008-12-08 2009-06-17 上海华平信息技术股份有限公司 内外网络的资源共享方法
CN101986638A (zh) * 2010-09-16 2011-03-16 珠海市鸿瑞软件技术有限公司 千兆单向型网络隔离装置
KR20140027756A (ko) * 2012-08-27 2014-03-07 주식회사 신한은행 망분리 시스템, 망분리를 위한 더미 웹서버 및 망분리 방법
CN103491072A (zh) * 2013-09-06 2014-01-01 北京信息控制研究所 一种基于双单向隔离网闸的边界访问控制方法
CN105391613A (zh) * 2015-11-19 2016-03-09 四川中鼎自动控制有限公司 水电站以太网型安全隔离装置内外通用数据桥

Also Published As

Publication number Publication date
CN107749863A (zh) 2018-03-02

Similar Documents

Publication Publication Date Title
US10735511B2 (en) Device and related method for dynamic traffic mirroring
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
CN107749863B (zh) 一种信息系统网络安全隔离的方法
US9813447B2 (en) Device and related method for establishing network policy based on applications
US9584393B2 (en) Device and related method for dynamic traffic mirroring policy
US9256636B2 (en) Device and related method for application identification
US9230213B2 (en) Device and related method for scoring applications running on a network
US20160191568A1 (en) System and related method for network monitoring and control based on applications
CN102014122B (zh) 基于双向安全认证的点对点协议的IP Camera服务系统
KR20160002058A (ko) 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
CN101938485B (zh) 基于双向安全认证的点对点协议的IP Camera服务实现方法
EP2974355B1 (en) A device and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network
CN109617867B (zh) 一种用于家居设备控制的智能网关系统
CN101984693A (zh) 终端接入局域网的监控方法和监控装置
CN104660554A (zh) 一种虚拟机通信数据安全的实现方法
CN108449758A (zh) 一种智能硬件的绑定方法及系统
KR20180028742A (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
CN100428748C (zh) 一种基于双重身份的多方通信方法
CN1996960B (zh) 一种即时通信消息的过滤方法及即时通信系统
CN106571937A (zh) 路由器、移动终端及告警信息发送和接收的方法
KR100777537B1 (ko) 분산 네트워크 시스템의 통합관리를 위한 플랫폼 시스템및 통합관리 방법
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备
CN103532987A (zh) 一种防止非认证计算机设备接入企业内网的保护方法及系统
CN113965462A (zh) 业务传输方法、装置、网络设备和存储介质
CN108234461A (zh) 一种基于usb配对的加密隐蔽通信系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Room 603, 10 Guanhong Road, Huangpu District, Guangzhou City, Guangdong 510000

Applicant after: GUANGZHOU LAI MI TECHNOLOGY Co.,Ltd.

Address before: 510000 Guangzhou Tianhe District, Guangzhou City, Guangdong Province, 23 Sicheng Road, Hongtai Wisdom Valley, Building 2, self-compiled 208 rooms (office only)

Applicant before: GUANGZHOU LINEME INFORMATION TECHNOLOGY CO.,LTD.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210430

Termination date: 20211201

CF01 Termination of patent right due to non-payment of annual fee