CN112822209A - 一种单向数据传输的工业网络系统 - Google Patents
一种单向数据传输的工业网络系统 Download PDFInfo
- Publication number
- CN112822209A CN112822209A CN202110140937.9A CN202110140937A CN112822209A CN 112822209 A CN112822209 A CN 112822209A CN 202110140937 A CN202110140937 A CN 202110140937A CN 112822209 A CN112822209 A CN 112822209A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- industrial
- firewall
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 19
- 238000002955 isolation Methods 0.000 claims abstract description 59
- 230000003993 interaction Effects 0.000 claims abstract description 23
- 238000001914 filtration Methods 0.000 claims abstract description 17
- 238000012544 monitoring process Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 10
- 238000013500 data storage Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000004519 manufacturing process Methods 0.000 claims description 6
- 241000700605 Viruses Species 0.000 claims description 3
- 238000011217 control strategy Methods 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 3
- 238000007726 management method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 14
- 238000000034 method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000009776 industrial production Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
本发明涉及一种单向数据传输的工业网络系统,包括:第一单向隔离设备、第二单向隔离设备、第一防火墙、第二防火墙和数据交互模块;第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给第一单向隔离设备;第一单向隔离设备将办公网络的外发数据发送给数据交互模块后,数据交互模块发送给工业网络;工业网络将接收数据发送给第二防火墙,第二防火墙基于第二过滤策略对办公网络的接收数据进行过滤后发送给办公网络的数据接收模块。两个单向隔离设备可以基于不同的过滤策略分别对办公网络与工业网络之间的发送数据和接收数据进行隔离发送。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种单向数据传输的工业网络系统。
背景技术
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备互联在一起,形成工业生产系统网络,工业生产系统网络的安全等级要求极高。而为了更好地监控和管理工业生产系统网络,需要将系统中生产过程专用设备或工业智能设备的相关数据采集并传递至外部的工业网络进行管理,工业网络一般为外网,其安全等级相对较低。
现在工业网络和办公网络都集成在一个网络系统内,相互之间存在数据交互和流通。办公端需要通网络获取工业设备运行情况,对工业生产进行管理;同时,工业网络端可以通过网络从办公端获取数据,对办公端造成数据安全隐患。因此,需要提供一种可以阻止工业网络直接访问办公网络以获取办公网络数据的单向隔离装置,确保办公网络数据安全。目前单向隔离装置通过设置防火墙、部署在硬件中的软件配置以及设置不同的网络I P地址段等方式进行网络通信数据的单向隔离,但是只能实现单方向的隔离。
发明内容
本发明针对现有技术中存在的技术问题,提供一种单向数据传输的工业网络系统,解决现有技术中问题。
本发明解决上述技术问题的技术方案如下:单向数据传输的工业网络系统,其特征在于,所述系统包括:第一单向隔离设备、第二单向隔离设备、第一防火墙、第二防火墙和数据交互模块;
所述第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给所述第一单向隔离设备;所述第一单向隔离设备将所述办公网络的外发数据发送给所述数据交互模块后,所述数据交互模块发送给工业网络;
所述工业网络将接收数据发送给所述第二防火墙,所述第二防火墙基于第二过滤策略对所述办公网络的接收数据进行过滤后发送给所述办公网络的数据接收模块。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述第一单向隔离设备和第二单向隔离设备分别包括数据采集单元、数据存储单元和数据收发单元,分别对数据进行采集、存储和收发。
进一步,述第一单向隔离设备和第二单向隔离设备还包括:
收到数据存储请求时,将接收到的数据组合为数据元信息并存储,将数据状态标记为未发送;
收到数数据查询请求时,查询结果按任务优先级优先返回高优先级的数据;
收到数据状态更新请求时,根据请求的数据I D更新对应数据的发送状态:发送成功或失败。
进一步,所述办公网络或工业网络与所述第一单向隔离设备或第二单向隔离设备连接后还包括:
接收所述单向隔离设备发送的验证信息,根据所述验证信息判断所述第一单向隔离设备或第二单向隔离设备为符合安全要求的设备后进行数据收发,所述验证信息为包含验证码的设备属性信息。
进一步,所述工业网络系统还包括异常监测模块,所述异常监测模块包括网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元,所述网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元协同可完成实时监测网络中的通讯链路状态,将系统内发生的异常通讯以告警的形式汇总展示,并可溯源网络中病毒木马的传播路径,并检测工控系统是否存在安全漏洞和隐患。
进一步,所述办公网络或工业网络将所述外发数据或接收数据发送给所述第一防火墙或所述第二防火墙之前包括:将生产过程中产生的信号转换为数据信息;将数据信息转化为满足工业通信协议的数据包信息。
进一步,所述数据交互模块还包括:将合格内部报文中的数据组装成网络报文,基于控制策略进行所述外发数据和接收数据的转发。
本发明的有益效果是:本发明提供的一种单向数据传输的工业网络系统,通过在办公网络和工业网络之间设置两个单向隔离设备,两个单向隔离设备可以基于不同的过滤策略分别对办公网络与工业网络之间的发送数据和接收数据进行隔离发送。
附图说明
图1为本发明实施例提供的一种单向数据传输的工业网络系统的结构框图;
图2为本发明提供的一种电子设备结构示意图;
图3为本发明提供的一种计算机可读存储介质结构示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示为本发明实施例提供的一种单向数据传输的工业网络系统的结构框图,结合图1可知,该系统包括:第一单向隔离设备、第二单向隔离设备、第一防火墙、第二防火墙和数据交互模块。
第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给第一单向隔离设备;第一单向隔离设备将办公网络的外发数据发送给数据交互模块后,数据交互模块发送给工业网络。
工业网络将接收数据发送给第二防火墙,第二防火墙基于第二过滤策略对办公网络的接收数据进行过滤后发送给办公网络的数据接收模块。
本发明提供的一种单向数据传输的工业网络系统,通过在办公网络和工业网络之间设置两个单向隔离设备,两个单向隔离设备可以基于不同的过滤策略分别对办公网络与工业网络之间的发送数据和接收数据进行隔离发送实施例1
本发明提供的实施例1为本发明提供的一种单向数据传输的工业网络系统的实施例,包括:第一单向隔离设备、第二单向隔离设备、第一防火墙、第二防火墙和数据交互模块。
第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给第一单向隔离设备;第一单向隔离设备将办公网络的外发数据发送给数据交互模块后,数据交互模块发送给工业网络。
工业网络将接收数据发送给第二防火墙,第二防火墙基于第二过滤策略对办公网络的接收数据进行过滤后发送给办公网络的数据接收模块。
进一步的,第一单向隔离设备和第二单向隔离设备分别包括数据采集单元、数据存储单元和数据收发单元,分别对数据进行采集、存储和收发。
第一单向隔离设备和第二单向隔离设备还包括:
收到数据存储请求时,将接收到的数据组合为数据元信息并存储,将数据状态标记为未发送。
收到数数据查询请求时,查询结果按任务优先级优先返回高优先级的数据。
收到数据状态更新请求时,根据请求的数据ID更新对应数据的发送状态:发送成功或失败。
办公网络或工业网络与第一单向隔离设备或第二单向隔离设备连接后还包括:
接收单向隔离设备发送的验证信息,根据验证信息判断第一单向隔离设备或第二单向隔离设备为符合安全要求的设备后进行数据收发,验证信息为包含验证码的设备属性信息。
工业网络系统还包括异常监测模块,异常监测模块包括网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元,网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元协同可完成实时监测网络中的通讯链路状态,将系统内发生的异常通讯以告警的形式汇总展示,并可溯源网络中病毒木马的传播路径,并检测工控系统是否存在安全漏洞和隐患。
办公网络或工业网络将外发数据或接收数据发送给第一防火墙或第二防火墙之前包括:将生产过程中产生的信号转换为数据信息;将数据信息转化为满足工业通信协议的数据包信息。
数据交互模块还包括:将合格内部报文中的数据组装成网络报文,基于控制策略进行外发数据和接收数据的转发。
图2为本发明实施例提供的电子设备的实施例示意图。如图2所示,本发明实施例提了一种电子设备,包括存储器510、处理器520及存储在存储器520上并可在处理器520上运行的计算机程序511,处理器520执行计算机程序511时实现以下步骤:第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给第一单向隔离设备;第一单向隔离设备将办公网络的外发数据发送给数据交互模块后,数据交互模块发送给工业网络。
工业网络将接收数据发送给第二防火墙,第二防火墙基于第二过滤策略对办公网络的接收数据进行过滤后发送给办公网络的数据接收模块。
请参阅图3,图3为本发明实施例提供的一种计算机可读存储介质的实施例示意图。如图3所示,本实施例提供了一种计算机可读存储介质600,其上存储有计算机程序611,该计算机程序611被处理器执行时实现如下步骤:第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给第一单向隔离设备;第一单向隔离设备将办公网络的外发数据发送给数据交互模块后,数据交互模块发送给工业网络。
工业网络将接收数据发送给第二防火墙,第二防火墙基于第二过滤策略对办公网络的接收数据进行过滤后发送给办公网络的数据接收模块。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/ 或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种单向数据传输的工业网络系统,其特征在于,所述系统包括:第一单向隔离设备、第二单向隔离设备、第一防火墙、第二防火墙和数据交互模块;
所述第一防火墙基于第一过滤策略对办公网络的数据发送模块采集的外发数据进行过滤后发送给所述第一单向隔离设备;所述第一单向隔离设备将所述办公网络的外发数据发送给所述数据交互模块后,所述数据交互模块发送给工业网络;
所述工业网络将接收数据发送给所述第二防火墙,所述第二防火墙基于第二过滤策略对所述办公网络的接收数据进行过滤后发送给所述办公网络的数据接收模块。
2.根据权利要求1所述的工业网络系统,其特征在于,所述第一单向隔离设备和第二单向隔离设备分别包括数据采集单元、数据存储单元和数据收发单元,分别对数据进行采集、存储和收发。
3.根据权利要求1所述的工业网络系统,其特征在于,所述第一单向隔离设备和第二单向隔离设备还包括:
收到数据存储请求时,将接收到的数据组合为数据元信息并存储,将数据状态标记为未发送;
收到数数据查询请求时,查询结果按任务优先级优先返回高优先级的数据;
收到数据状态更新请求时,根据请求的数据ID更新对应数据的发送状态:发送成功或失败。
4.根据权利要求1所述的工业网络系统,其特征在于,所述办公网络或工业网络与所述第一单向隔离设备或第二单向隔离设备连接后还包括:
接收所述单向隔离设备发送的验证信息,根据所述验证信息判断所述第一单向隔离设备或第二单向隔离设备为符合安全要求的设备后进行数据收发,所述验证信息为包含验证码的设备属性信息。
5.根据权利要求1所述的工业网络系统,其特征在于,所述工业网络系统还包括异常监测模块,所述异常监测模块包括网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元,所述网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元协同可完成实时监测网络中的通讯链路状态,将系统内发生的异常通讯以告警的形式汇总展示,并可溯源网络中病毒木马的传播路径,并检测工控系统是否存在安全漏洞和隐患。
6.根据权利要求1所述的工业网络系统,其特征在于,所述办公网络或工业网络将所述外发数据或接收数据发送给所述第一防火墙或所述第二防火墙之前包括:将生产过程中产生的信号转换为数据信息;将数据信息转化为满足工业通信协议的数据包信息。
7.根据权利要求6所述的工业网络系统,其特征在于,所述数据交互模块还包括:将合格内部报文中的数据组装成网络报文,基于控制策略进行所述外发数据和接收数据的转发。
8.一种电子设备,其特征在于,包括存储器、处理器,所述处理器用于执行存储器中存储的计算机管理类程序时实现如权利要求1-7任一项所述的工业网络系统。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述的工业网络系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110140937.9A CN112822209A (zh) | 2021-02-02 | 2021-02-02 | 一种单向数据传输的工业网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110140937.9A CN112822209A (zh) | 2021-02-02 | 2021-02-02 | 一种单向数据传输的工业网络系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112822209A true CN112822209A (zh) | 2021-05-18 |
Family
ID=75861722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110140937.9A Pending CN112822209A (zh) | 2021-02-02 | 2021-02-02 | 一种单向数据传输的工业网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112822209A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116578434A (zh) * | 2023-05-15 | 2023-08-11 | 合芯科技(苏州)有限公司 | 一种ic设计平台的信息通知管理系统及方法 |
| CN117240633A (zh) * | 2023-11-16 | 2023-12-15 | 深圳市加糖电子科技有限公司 | 信息交互方法、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105812387A (zh) * | 2016-05-09 | 2016-07-27 | 北京航天数控系统有限公司 | 一种单向数据安全交换设备 |
| CN205510103U (zh) * | 2015-11-03 | 2016-08-24 | 深圳市华傲数据技术有限公司 | 电子政务系统安全网络架构 |
| CN108055244A (zh) * | 2017-11-27 | 2018-05-18 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
| CN108933774A (zh) * | 2018-05-04 | 2018-12-04 | 北京明朝万达科技股份有限公司 | 数据交互系统和方法 |
| CN111556062A (zh) * | 2020-05-06 | 2020-08-18 | 国网电力科学研究院有限公司 | 一种具备单向导入功能的网络安全隔离装置及方法 |
-
2021
- 2021-02-02 CN CN202110140937.9A patent/CN112822209A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN205510103U (zh) * | 2015-11-03 | 2016-08-24 | 深圳市华傲数据技术有限公司 | 电子政务系统安全网络架构 |
| CN105812387A (zh) * | 2016-05-09 | 2016-07-27 | 北京航天数控系统有限公司 | 一种单向数据安全交换设备 |
| CN108055244A (zh) * | 2017-11-27 | 2018-05-18 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理系统网络安全隔离方法 |
| CN108933774A (zh) * | 2018-05-04 | 2018-12-04 | 北京明朝万达科技股份有限公司 | 数据交互系统和方法 |
| CN111556062A (zh) * | 2020-05-06 | 2020-08-18 | 国网电力科学研究院有限公司 | 一种具备单向导入功能的网络安全隔离装置及方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116578434A (zh) * | 2023-05-15 | 2023-08-11 | 合芯科技(苏州)有限公司 | 一种ic设计平台的信息通知管理系统及方法 |
| CN116578434B (zh) * | 2023-05-15 | 2023-10-20 | 合芯科技(苏州)有限公司 | 一种ic设计平台的信息通知管理系统及方法 |
| CN117240633A (zh) * | 2023-11-16 | 2023-12-15 | 深圳市加糖电子科技有限公司 | 信息交互方法、电子设备和存储介质 |
| CN117240633B (zh) * | 2023-11-16 | 2024-03-08 | 深圳市加糖电子科技有限公司 | 信息交互方法、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3745271B1 (en) | Abnormality determination device, abnormality detection model creation server, and program | |
| CN109739203B (zh) | 一种工业网络边界防护系统 | |
| CN112822209A (zh) | 一种单向数据传输的工业网络系统 | |
| CN104967588A (zh) | 分布式拒绝服务DDoS攻击的防护方法及其装置和系统 | |
| CN105553740A (zh) | 数据接口监控方法和装置 | |
| CN108769076B (zh) | 具有网络隔离功能的数据采集系统、方法及装置 | |
| JP6433578B2 (ja) | 情報自主登録の実現方法、装置、システム及びコンピュータ記憶媒体 | |
| CN106657163B (zh) | 工业控制动态防御方法和系统 | |
| CN103888282A (zh) | 基于核电站的网络入侵报警方法和系统 | |
| US20230231864A1 (en) | Intrusion monitoring system, method and related products | |
| EP2916616A2 (en) | M2m gateway device and applying method thereof | |
| CN106326736A (zh) | 数据处理方法及系统 | |
| CN107360035B (zh) | 一种数据处理方法及系统 | |
| WO2023239813A1 (en) | A unifying of the network device entity and the user entity for better cyber security modeling along with ingesting firewall rules to determine pathways through a network | |
| CN210093254U (zh) | 具有网络隔离功能的数据采集系统及装置 | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| JP4624443B2 (ja) | ネットワーク機器設定方法 | |
| CN115150209B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN102769495B (zh) | 一种光纤接入网设备通信方法、装置及系统 | |
| CN109921920A (zh) | 一种故障信息处理方法与相关装置 | |
| CN110224872B (zh) | 一种通信方法、装置及存储介质 | |
| US10674337B2 (en) | Method and device for processing operation for device peripheral | |
| CN106254163B (zh) | 监控局域网中计算机的usb端口的方法及装置 | |
| CN105635067A (zh) | 报文发送方法及装置 | |
| CN108259229B (zh) | 一种设备管理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210518 |
|
| RJ01 | Rejection of invention patent application after publication |