CN112187791B - 一种用于工业控制的数据安全传输系统 - Google Patents

一种用于工业控制的数据安全传输系统 Download PDF

Info

Publication number
CN112187791B
CN112187791B CN202011035836.7A CN202011035836A CN112187791B CN 112187791 B CN112187791 B CN 112187791B CN 202011035836 A CN202011035836 A CN 202011035836A CN 112187791 B CN112187791 B CN 112187791B
Authority
CN
China
Prior art keywords
industrial
data
data acquisition
communication processing
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011035836.7A
Other languages
English (en)
Other versions
CN112187791A (zh
Inventor
常红霞
冯旭
张涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiuquan Iron and Steel Group Co Ltd
Original Assignee
Jiuquan Iron and Steel Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiuquan Iron and Steel Group Co Ltd filed Critical Jiuquan Iron and Steel Group Co Ltd
Priority to CN202011035836.7A priority Critical patent/CN112187791B/zh
Publication of CN112187791A publication Critical patent/CN112187791A/zh
Application granted granted Critical
Publication of CN112187791B publication Critical patent/CN112187791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Abstract

发明提供了一种用于工业控制的数据安全传输系统,包括多个控制器、工业安全隔离网关、数据采集服务器和工业防火墙,其中,所述控制器用于完成现场设备的逻辑控制及数据处理,所述工业安全隔离网关用于进行数据摆渡,所述数据库用于储存通过工业安全隔离网关所传输的控制器数据,所述工业防火墙用于检测并阻止外网对数据采集服务器发起网络攻击。本发明通过物理硬件和软件逻辑的共同作用,彻底截断了穿透性的TCP连接,实现对工业协议数据的定向采集和转发,从根本上杜绝了非法数据的通过,确保工业控制网络不受攻击和入侵,从而实现从工业控制系统安全采集数据还解决了工业控制系统数据采集上传的问题。

Description

一种用于工业控制的数据安全传输系统
技术领域
本发明属于网络信息安全技术领域,涉及一种用于工业控制的数据安全传输系统。
背景技术
随着工业互联网概念的确立,经过国家推动,发展迅猛,涉及到的概念、软硬件设备较多,在企业的信息一体化建设中,迫切要求实现工业过程控制系统与上层管理信息系统之间互联互通,完成经营管理层与执行层的双向信息交互,使企业对生产情况保持实时反应,消除信息孤岛与断层现象,这就需要将工业控制系统接入信息网络,将数据采集上传至工业大数据平台,当信息网络与控制网络实现互联时,如何保障工业控制系统的安全就变成了一个严峻的问题。特别是对于钢铁生产行业,对连续生产的安全性和可靠性有着极高的要求,一旦实现了信息网络与控制网络之间的互联,就相当于将控制网络直接暴露给互联网,而面临被攻击的可能。控制网络一旦受到恶意攻击或感染病毒,很可能导致网络中的主机崩溃,整个控制网络瘫痪,甚至造成重大安全事故。
因此工业网络用户要么将控制网络封闭起来,彻底与其它网络断开,同时也断绝了网络之间信息共享与交互;要么只能选用常规网安产品,如普通防火墙来解决问题。但常规产品或者由于自身存在的缺陷与不足,不能满足工业网络较高的防护要求,或者因为不是专门针对工业网络设计,难以在工业场合应用。
发明内容
本发明的目的在于针对现有技术存在的问题,提供一种用于工业控制的数据安全传输系统。
为此,本发明采取如下技术方案:
一种用于工业控制的数据安全传输系统,其特征在于,包括多个控制器、工业安全隔离网关、数据采集服务器和工业防火墙,其中:
所述控制器用于完成现场设备的逻辑控制及数据处理;
所述工业安全隔离网关包括多个用于连接控制器的内网通信处理模块、用于连接外网的外网通信处理模块和用于实现数据交换和工业通信协议支持的协议分析模块,所述内网通信处理模块与外网通信处理模块之间通过加密的私有协议进行数据摆渡,实现内网通信处理模块与外网通信处理模块之间的非网络方式的数据交换,所述内网通信处理模块与控制器通过通讯电缆连接;
所述数据采集服务器与工业安全隔离网关的外网通信处理模块通过通讯电缆连接,数据采集服务器安装有数据采集网卡、信息传输网卡和数据库,所述据数据采集网卡用于与工业安全隔离网关之间进行数据传送以及存储,所述信息传输网卡用于与工业防火墙并进行数据传输,所述数据库用于储存通过工业安全隔离网关所传输的控制器数据;
所述工业防火墙通过通讯电缆与数据采集服务器连接,工业防火墙用于数据采集服务器和外网之间的信息传递,并对采集服务器进行信息安全隔离,检测并阻止外网对数据采集服务器发起网络攻击。
进一步地,所述控制器为PLC控制器。
进一步地,所述工业安全隔离网关与控制器之间创建有采集通道,所述数据采集通道设有相应通道协议。
进一步地,所述工业安全隔离网关的多个内网通信处理模块之间横向隔离。
进一步地,所述数据采集服务器通过OPC协议与工业安全隔离网关的外网通信处理模块通讯。
本发明的有益效果在于:通过物理硬件和软件逻辑的共同作用,彻底截断了穿透性的TCP连接,实现对工业协议数据的定向采集和上传,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保工业控制网络不受攻击和入侵,从而实现从工业控制系统安全采集数据还解决了工业控制系统数据采集上传的问题。
附图说明
图1为本发明的系统流程图。
具体实施方式
下面结合实施例对本发明做详细解释:
一种用于工业控制的数据安全传输系统,包括多个控制器、工业安全隔离网关、数据采集服务器和工业防火墙,其中:
在本实施例中设置有至少两个控制器,具体地,所述控制器采用西门子S7-300系列PLC控制器(可编程逻辑控制器),该控制器适于在恶劣的工业环境中运行,且数据处理功能强,编程指令具有模块化功能,能够解决就地编程、监控、通讯等问题,其用于完成现场设备的逻辑控制及数据处理。
所述工业安全隔离网关与控制器信通过通讯电缆连接,所述工业安全隔离网关包括多个用于连接控制器的内网通信处理模块、用于连接外网的外网通信处理模块和用于实现内网通信处理模块与外网通信处理模块之间数据交换和工业通信协议支持的协议分析模块,具体地,所述内网通信处理模块与控制器通过通讯电缆连接;
工业安全隔离网关的内网通信处理模块与控制器之间创建有采集通道,所述据采集通道设有相应通道协议,协议配置有控制器的处理器型号、槽号、IP地址等相关信息,通过通道添加或读取控制器数据,将工业控制器的数据采集到工业安全隔离网的内网通信处理模块,且多个内网通信处理模块之间横向隔离,对不同控制器的数据进行隔离防止相互串联影响;
所述内网通信处理模块与外网通信处理模块之间通过协议分析模块以加密的私有协议的方式进行数据摆渡,实现内网通信处理模块与外网通信处理模块之间的非网络方式数据交换,其可实现内网与外网之间的安全隔离,在不操作已建控制系统、不复杂化网络结构、不修改网络管理规则的前提下,完成数据采集和安全隔离功能,实现对基于TCP/IP协议体系攻击的彻底阻断。
所述数据采集服务器采用联想机架式System x3650 M5服务器,CPU类型为Intel至强E5-2600 v4,CPU主频2.2GHz,硬盘为4块2.5英寸300GB SAS硬盘,配置冗余电源,数据采集服务器还安装有数据采集网卡、信息传输网卡和数据库,具体地,所述数据采集服务器的数据采集网卡与工业安全隔离网关的外网通信处理模块通过通讯电缆连接,所述数据采集网卡用于与工业防火墙并进行数据传输,具体地,数据采集服务器上安装有数据采集软件并通过OPC协议与工业安全隔离网关的外网通信处理模块进行通讯,所述数据库用于储存通过工业安全隔离网关所传输的控制器数据,即控制器内的数据全部储存于数据库内,所述信息传输网卡用于与工业防火墙进行数据传送以及存储,即通过信息传输网卡将数据库内储存的控制器信息传输至外网。
所述工业防火墙通过通讯电缆与数据采集服务器连接,工业防火墙用于数据采集服务器和外网之间的信息传递,并对采集服务器进行信息安全隔离,检测并阻止外网对数据采集服务器发起网络攻击,具体地,工业防火墙提供针对外网所传输的数据进行深度过滤,默认拒绝所有外网连接,规定合法访问控制(即通过用户自行设置白名单的方式确定合法访问链接),过滤非法数据和操作,用户根据工业现场实际的业务通信需要配置与业务相关的放行规则,无需关心自己不熟悉的网络通信协议,帮助用户阻断来自网络的病毒传播、黑客攻击等行为,避免其对控制网络的影响和对生产流程的破坏。
本发明实现对主流工业网络协议的广泛深入支持和工业网络数据的安全传输,对数据采系统所采集的数据进行深度分析,确保数据合法性,一旦发现非法行为,将进行记录隔离。

Claims (3)

1.一种用于工业控制的数据安全传输系统,其特征在于,包括多个控制器、工业安全隔离网关、数据采集服务器和工业防火墙,其中:
所述控制器用于完成现场设备的逻辑控制及数据处理;
所述工业安全隔离网关包括多个用于连接控制器的内网通信处理模块、用于连接外网的外网通信处理模块和用于实现数据交换和工业通信协议支持的协议分析模块,所述内网通信处理模块之间横向隔离,内网通信处理模块与外网通信处理模块之间通过加密的私有协议进行数据摆渡,实现内网通信处理模块与外网通信处理模块之间的非网络方式的数据交换,所述内网通信处理模块与控制器通过通讯电缆连接,所述工业安全隔离网关与控制器之间还创建有采集通道,所述数据采集通道设有相应通道协议,所述通道协议配置有控制器的处理器型号、槽号、IP地址信息;
所述数据采集服务器与工业安全隔离网关的外网通信处理模块通过通讯电缆连接,数据采集服务器安装有数据采集网卡、信息传输网卡和数据库,所述数据采集网卡用于与工业安全隔离网关之间进行数据传送以及存储,所述信息传输网卡用于与工业防火墙并进行数据传输,所述数据库用于储存通过工业安全隔离网关所传输的控制器数据;
所述工业防火墙通过通讯电缆与数据采集服务器连接,工业防火墙用于数据采集服务器和外网之间的信息传递,并对采集服务器进行信息安全隔离,检测并阻止外网对数据采集服务器发起网络攻击。
2.根据权利要求1所述的一种用于工业控制的数据安全传输系统,其特征在于,所述控制器为PLC控制器。
3.根据权利要求1所述的一种用于工业控制的数据安全传输系统,其特征在于,所述数据采集服务器通过OPC协议与工业安全隔离网关的外网通信处理模块通讯。
CN202011035836.7A 2020-09-27 2020-09-27 一种用于工业控制的数据安全传输系统 Active CN112187791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011035836.7A CN112187791B (zh) 2020-09-27 2020-09-27 一种用于工业控制的数据安全传输系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011035836.7A CN112187791B (zh) 2020-09-27 2020-09-27 一种用于工业控制的数据安全传输系统

Publications (2)

Publication Number Publication Date
CN112187791A CN112187791A (zh) 2021-01-05
CN112187791B true CN112187791B (zh) 2023-04-18

Family

ID=73945186

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011035836.7A Active CN112187791B (zh) 2020-09-27 2020-09-27 一种用于工业控制的数据安全传输系统

Country Status (1)

Country Link
CN (1) CN112187791B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112910963A (zh) * 2021-01-18 2021-06-04 翰克偲诺水务集团有限公司 水处理设备局域网与因特网跨网域数据交互的方法及系统
CN113110347A (zh) * 2021-04-26 2021-07-13 中核四川环保工程有限责任公司 应用于水泥固化体生产线工控系统的信息采集系统
CN113176759A (zh) * 2021-04-26 2021-07-27 中核四川环保工程有限责任公司 应用于中低放核废液水泥固化体处置的信息管理系统
CN114500068B (zh) * 2022-02-10 2024-01-09 广州云羲网络科技有限公司 一种基于安全隔离网闸的信息数据交换系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106899470B (zh) * 2015-12-17 2019-08-30 南京南瑞继保电气有限公司 一种数据采集网络架构及规划方法
CN205430306U (zh) * 2016-02-03 2016-08-03 广东可信电力建设有限公司 电能无功功率补偿监控系统
CN108107811A (zh) * 2018-02-07 2018-06-01 上海星群运维电力技术有限公司 光伏电站运维管理系统
CN108375946A (zh) * 2018-03-22 2018-08-07 北京奔驰汽车有限公司 一种信息安全监控装置和工业控制系统
CN110943913A (zh) * 2019-07-31 2020-03-31 广东互动电子网络媒体有限公司 一种工业安全隔离网关

Also Published As

Publication number Publication date
CN112187791A (zh) 2021-01-05

Similar Documents

Publication Publication Date Title
CN112187791B (zh) 一种用于工业控制的数据安全传输系统
EP3588908B1 (en) An access control device, an access control method, a computer program product and a computer readable medium
US8667589B1 (en) Protection against unauthorized access to automated system for control of technological processes
JP5411916B2 (ja) 保護継電器とこれを備えるネットワークシステム
CN105812387A (zh) 一种单向数据安全交换设备
Settanni et al. Protecting cyber physical production systems using anomaly detection to enable self-adaptation
Flaus Cybersecurity of industrial systems
CN105978871A (zh) 一种针对数控系统的通信防护设备
CN104753936A (zh) Opc安全网关系统
JP2017506377A (ja) 産業用制御システムを防護するためのシステムおよび方法
EP3270572A1 (en) A system for secure communication
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
EP2577938A1 (en) Plant communication network
KR20140147583A (ko) 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법
CN209805847U (zh) 一种安全生产数据前置机
CN102739641B (zh) 用于自动化网络的入口保护器
CN112637114B (zh) 用于监控工业边缘设备的数据交换的方法和装置
CN106063221A (zh) 用于在切换后用冗余设备建立安全通信的装置和方法
Karampidis et al. Industrial cybersecurity 4.0: Preparing the operational technicians for industry 4.0
CN114095184A (zh) 一种数据传输系统及其传输方法
EP3729773B1 (en) One-way data transfer device with onboard system detection
Katulić et al. Enhancing modbus/tcp-based industrial automation and control systems cybersecurity using a misuse-based intrusion detection system
RU2750629C2 (ru) Система и способ выявления аномалий в технологической системе
RU2746101C2 (ru) Система и способ определения устройств компьютерной сети с использованием правил инвентаризации
CN112532612A (zh) 一种工业控制网络安全防护系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant