CN110417794A - 一种基于安全隔离网闸的多信息源通讯管理装置 - Google Patents
一种基于安全隔离网闸的多信息源通讯管理装置 Download PDFInfo
- Publication number
- CN110417794A CN110417794A CN201910715944.XA CN201910715944A CN110417794A CN 110417794 A CN110417794 A CN 110417794A CN 201910715944 A CN201910715944 A CN 201910715944A CN 110417794 A CN110417794 A CN 110417794A
- Authority
- CN
- China
- Prior art keywords
- data processor
- network
- management apparatus
- communication management
- information sources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于安全隔离网闸的多信息源通讯管理装置,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。本发明实现了内、外网之间的安全网闸,确保外部数据在网络隔离的安全环境下进行数据传输,提高了综合监控系统的安全性。
Description
技术领域
本发明属于轨道交通综合自动化系统技术领域,具体指代一种基于安全隔离网闸的多信息源综合监控系统通讯管理装置。
背景技术
城市轨道交通是一个涉及到公共安全的重要交通手段,其安全性非常重要,必须提供城市轨道交通安全的各种标准,其中技术安全是非常重要的一环。如果从技术上无法保证轨道交通的安全性,则会对社会造成极大的危害性。现在轨道交通的管理,都是通过网络进行的,如果有不法分子借助网络,企图对轨道交通的安全造成危害,则会造成很严重的社会不安和动荡。
目前,城市轨道交通综合监控系统面临着一个复杂的环境,所谓复杂环境,是相对于其所处的内网来说的,因为综合监控系统处于内网的环境,所以其自身的安全性很高,而同时综合监控系统又需要连接外部的各专业的很多子系统,包括BAS、PSCADA、FAS、AFC等等,连接这些子系统的网络却无法保证综合监控系统不受外部网络攻击。
从信息安全角度看,仅仅依靠相关政策、法规和保密技术是不够的,还必须大力开发自己实用且操作性能强的安全部件或相关机制,这才是全面提高轨道交通综合监控系统信息安全、保密能力的有效途径。但是,不同系统之间网络互联互通,如何有效确保综合监控系统的网络安全就至关重要。
目前,基于传统防火墙功能的网络安全检测并不能防范很多未知攻击,因为这些安全检测本身都是基于TCP/IP协议的,而该协议本身就存在漏洞;另外防火墙都是基于黑名单的被动式防御,这就给了黑客攻击以可乘之机。
在如今网络安全形势日益严重的今天,为了杜绝一切可能的网络攻击,为了确保绝对的网络安全与公共安全,我们就需要对综合监控系统的内外部网络进行有效的安全隔离措施。
多信息源通讯管理装置作为综合监控系统与各专业子系统之间的网络连接设备,在轨道交通领域有着广泛的应用。通常情况下,一个车站两台通讯管理机互为冗余,主要负责应用层协议与数据的转换,其在整个综合监控系统中起到承上启下的作用,即综合监控系统通过通讯管理机获取被集成和互联系统的数据,同时,综合监控系统也是通过通讯管理装置完成发往被集成和互联系统的数据和命令。从网络拓扑的视角来看,通讯管理装置充当了网关的角色,网络上的信息在此得到了安全隔离与安全检测,提高了整个系统的安全性。
所谓安全隔离措施是针对内外部网络的物理隔离,即阻断了两者的网络连接,同时将外部数据进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据,然后通过内外部与数据交换单元的非TCP/IP连接(内外部不同时连接数据交换单元),进行网闸形式的数据摆渡。如果外部数据处理器是接收到内部的原始数据,则在接收后进行模型协议的封装。最终能使内外部网络之间实现信息的交互。
发明内容
针对于上述现有技术的不足,本发明的目的在于提供一种基于安全隔离网闸的多信息源通讯管理装置,以实现能够将所有外部信息(包括外部恶意攻击)进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据;将有价值的原始数据提供给内部处理器使用;从而完全屏蔽了网络攻击的可能。
为达到上述目的,本发明采用的技术方案如下:
本发明的一种基于安全隔离网闸的多信息源通讯管理装置,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列(FPGA)扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。
优选地,所述安全数据交换单元在同一时刻不同时与外部数据处理器、内部数据处理器进行连接。
优选地,所述的USB接口为三个。
优选地,所述的内部数据处理器通过PCI-E高速总线连接以太网控制板。
优选地,所述的内部数据处理器通过动态方式连接安全数据交换单元,所述动态方式连接为非一直处于连接状态,而是在有新数据需要传递的时进行物理连接。
优选地,所述的内部数据处理器通过PCI-E高速总线连接两个维护网口。
优选地,所述的外部数据处理器连接的外部网口为ETH网口。
优选地,所述的外部数据处理器通过动态方式连接安全数据交换单元。
本发明的一种基于安全隔离网闸的多信息源通讯管理装置,能够将所有外部信息(包括外部恶意攻击)进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据,然后将有价值的原始数据通过数据摆渡提供给内部数据处理器使用。从而完全屏蔽了网络攻击的可能影响。
本发明的有益效果:
本发明实现了内、外网之间的安全网闸,确保外部数据在网络隔离的安全环境下进行数据传输,提高了综合监控系统的安全性。
(1)低耦合:采用分层/模块化设计思想,体系结构清晰,各个模块独立性高。
(2)高效率:在增加安全性的基础上,数据传输的效率不受影响,使得系统具有更好的适用性。
(3)高安全性:通过对内、外部网络的物理网络隔离,阻断了两者的网络连接,同时将外部数据进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据,然后通过内外部与数据交换单元的非TCP/IP连接(内外部不同时连接数据交换单元),进行网闸形式的数据摆渡,从而确保系统具有了极高的安全性。
附图说明
图1绘示本发明装置的结构框图。
具体实施方式
为了便于本领域技术人员的理解,下面结合实施例与附图对本发明作进一步的说明,实施方式提及的内容并非对本发明的限定。
参照图1所示,本发明的一种基于安全隔离网闸的多信息源通讯管理装置,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列(FPGA)扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。
实施例中,所述的内部数据处理器选用ATOM D525,其含有五个PCI-E高速总线,通过该PCI-E高速总线分别与两个维护网口(维护网口1和维护网口2用于对通信控制器的维护)、压缩卡/ mSATA、USB与VGA接口以及六个网口(网口1-网口6)连接;存储器用于存储相关监控数据信息。其中,压缩卡/ mSATA连接固态硬盘扩展存储容量,USB接口连接鼠标和键盘,VGA接口连接显示器,网口连接综合监控系统内部网络,现场可编程门阵列(FPGA)扩展口协助内部数据处理器进行一些并行的数据处理功能,从而提高内部处理器运算处理的整体性能。
其中,所述USB接口为三个。
其中,所述外部数据处理器选用Intel G530,连接八个ETH网口(ETH网口1-8),用于接入各个子专业待检测的网络流量数据,并对其进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到有价值的原始数据;最后将原始数据还原为原始数据文件。所述IntelG530处理器应用于多种型号的网闸产品中,如:PRA-GAP-1000G型号网闸。
所述外部数据处理器提供专门配置管理软件,提供Web方式,对安全检测引擎进行各种检测场景的规则配置,对引擎设备进行维护管理。内置入侵库及数据分析功能,检查进入其中的数据包。通过安全检查后全面断开TCP/IP和OSI数据模型的所有七层,将原始数据从模型协议中剥离出来,从而确保进入内部的数据具有极高的安全性。
其中,所述安全数据交换单元包含电子倒换开关及存储器;通过电子倒换开关实现承载数据的文件在内/外数据处理器之间进行传递,而电子倒换开关则由电路控制器来控制;此外,存储器用于对原始数据文件进行临时存储。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透这种物理隔离的网闸形式。当外部网络与内部网络之间无信息交换时,该安全数据交换单元与内网和外网之间同时断开连接的,即三者之间不存在任何物理连接与逻辑连接。
所述电路控制器根据是否有传输数据来决定安全数据交换单元与外部数据处理器、内部数据处理器的连接关系。具体为:当外部或内部数据处理器有新数据需要传递时,通过一个信号量高电平触发电路控制器,然后控制电路将根据触发位置决定电子倒换开关的工作方式。
本发明具体应用途径很多,以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进,这些改进也应视为本发明的保护范围。
Claims (8)
1.一种基于安全隔离网闸的多信息源通讯管理装置,其特征在于,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。
2.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述安全数据交换单元在同一时刻不同时与外部数据处理器、内部数据处理器进行连接。
3.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的USB接口为三个。
4.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的内部数据处理器通过PCI-E高速总线连接以太网控制板。
5.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的内部数据处理器通过动态方式连接安全数据交换单元。
6.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的内部数据处理器通过PCI-E高速总线连接两个维护网口。
7.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的外部数据处理器连接的外部网口为ETH网口。
8.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的外部数据处理器通过动态方式连接安全数据交换单元。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910715944.XA CN110417794A (zh) | 2019-08-05 | 2019-08-05 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910715944.XA CN110417794A (zh) | 2019-08-05 | 2019-08-05 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110417794A true CN110417794A (zh) | 2019-11-05 |
Family
ID=68365754
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910715944.XA Pending CN110417794A (zh) | 2019-08-05 | 2019-08-05 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110417794A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN204231409U (zh) * | 2014-12-03 | 2015-03-25 | 南京科远自动化集团股份有限公司 | 一种物理隔离网闸 |
CN106341397A (zh) * | 2016-08-25 | 2017-01-18 | 柏盟(北京)科技发展有限公司 | 一种工业安全隔离网闸 |
CN206807485U (zh) * | 2017-06-19 | 2017-12-26 | 南京轨道交通系统工程有限公司 | 一种基于网络入侵检测的通信控制器 |
CN210112051U (zh) * | 2019-08-05 | 2020-02-21 | 南京轨道交通系统工程有限公司 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
-
2019
- 2019-08-05 CN CN201910715944.XA patent/CN110417794A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN204231409U (zh) * | 2014-12-03 | 2015-03-25 | 南京科远自动化集团股份有限公司 | 一种物理隔离网闸 |
CN106341397A (zh) * | 2016-08-25 | 2017-01-18 | 柏盟(北京)科技发展有限公司 | 一种工业安全隔离网闸 |
CN206807485U (zh) * | 2017-06-19 | 2017-12-26 | 南京轨道交通系统工程有限公司 | 一种基于网络入侵检测的通信控制器 |
CN210112051U (zh) * | 2019-08-05 | 2020-02-21 | 南京轨道交通系统工程有限公司 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107493265B (zh) | 一种面向工业控制系统的网络安全监控方法 | |
CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
EP4163183A1 (en) | Information security protection method and apparatus | |
CN104954764A (zh) | 基于视频资源安全网关的视频监控系统 | |
CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
CN111797371A (zh) | 一种交换机加密系统 | |
CN105282172A (zh) | 基于硬件数据变换技术的单处理系统及网络安全隔离方法 | |
CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
CN112751843A (zh) | 铁路供电系统网络安全防护系统 | |
CN103888446A (zh) | 面向铁路信号控制网络的协议安全隔离系统 | |
CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
Zvabva et al. | Evaluation of industrial firewall performance issues in automation and control networks | |
CN202979014U (zh) | 网络隔离装置 | |
CN204719759U (zh) | 一种计算机网络病毒隔离系统 | |
CN201936307U (zh) | 电力系统专用物理隔离装置 | |
CN201878191U (zh) | 一种视频安全接入装置 | |
CN210112051U (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
CN206807485U (zh) | 一种基于网络入侵检测的通信控制器 | |
CN110417794A (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
CN216819851U (zh) | 一种变电站内安全接入装置 | |
CN204425393U (zh) | 一种注解网络流量信息的装置 | |
CN206195823U (zh) | 一种网络视频监控摄像机节点及服务器间隔离设备 | |
CN109120619A (zh) | 一种计算机网络通信系统 | |
CN203911973U (zh) | 一种适于大型局域网络安全的可扩性网络系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |