CN117714105A - 一种网络安全隔离系统 - Google Patents

一种网络安全隔离系统 Download PDF

Info

Publication number
CN117714105A
CN117714105A CN202311563512.4A CN202311563512A CN117714105A CN 117714105 A CN117714105 A CN 117714105A CN 202311563512 A CN202311563512 A CN 202311563512A CN 117714105 A CN117714105 A CN 117714105A
Authority
CN
China
Prior art keywords
network
protocol
module
information
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311563512.4A
Other languages
English (en)
Inventor
王志文
覃拓
韦景
黄晨贵
兰小鲜
蒙银沙
罗一
潘一琦
黄晶晶
刘康豪
韦雨倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hechi Power Supply Bureau of Guangxi Power Grid Co Ltd
Original Assignee
Hechi Power Supply Bureau of Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hechi Power Supply Bureau of Guangxi Power Grid Co Ltd filed Critical Hechi Power Supply Bureau of Guangxi Power Grid Co Ltd
Priority to CN202311563512.4A priority Critical patent/CN117714105A/zh
Publication of CN117714105A publication Critical patent/CN117714105A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络安全隔离系统,包括包括控制网络、信息网络及双向隔离装置;所述双向隔离装置内设有内网主板及外网主板;所述内网主板及外网主板均设有协议剥离模块及协议重组模块;所述内网主板及外网主板之间通过内部私有非网络协议进行数据交互;所述信息网络的数据经过网络协议的剥离后传递给内网主板;数据经过内网主板的协议重组后再传递给控制网络;所述控制网络内的数据信息经过协议剥离后传给外网主板;所述外网主板对数据进行协议重建后再传给信息网络。本发明可以对网络信息进行通信协议的剥离和重组,从而提高网络信息的安全性,躲避病毒等网络攻击。

Description

一种网络安全隔离系统
技术领域
本发明属于计算机安全系统技术领域,具体涉及一种网络安全隔离系统。
背景技术
计算机网络技术属于高新技术,是新时代我国主要发展的科技技术之一。网络信息安全是计算机网络技术中重要的一环,关系着用户的数据秘密。网络信息安全涉及到军工、工业、电力、医疗、民用等领域,关系到千万用户的信息安全。以电力行业为例,在当今信息技术持续发展、市场环境的不断变化的时代下,作为关系到国计民生的电力行业在信息化、自动化、安全化的发展道路上也从未停歇,电力系统数据朝着信息多样化、网络结构复杂化、业务范围广泛化方向发展。然而当前的网络信息安全技术基本采用防火墙、IDS、VPN、防病毒等,这些技术是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系中存在的漏洞;同时防火墙只是一个策略执行机构,它并不区分所执行政策的对错,更无法判别出一条合法政策是否真是管理员的本意,被防火墙拦截的信息即完全不能进行传递,同时防火墙一旦被攻击者控制,由它保护的整个网络就无安全可言了;而防火墙无法从流量上判别哪些是正常的,哪些是异常的,因此容易受到流量攻击。以防火墙为代表的多种网络安全技术由于大多都均遵守现行的网络信息通信协议,因此根本上存在不可避免的漏洞,带来的信息安全隐患已经成为亟待解决的问题。
发明内容
本发明的目的在于针对现有技术中存在的网络安全技术基于通用信息通信协议建立,从而存在漏洞,无法适应飞速发展的网络技术要求等问题,提出一种网络安全隔离系统。本发明可以对网络信息进行通信协议的剥离和重组,从而提高网络信息的安全性,躲避病毒等网络攻击。
为了实现上述目的,本发明采用了以下技术方案:
一种网络安全隔离系统,包括控制网络及信息网络;还包括双向隔离装置;所述控制网络包括多台计算机主机;所述控制网络内的所有计算机主机通过局域网相互连接,形成内网;所述信息网络为除了控制网络外,通过互联网与控制网络内任意计算机主机互联且进行数据交换的其他计算机主机组成的外网;所述双向隔离装置包括内网主板及外网主板;所述内网主板设有内网控制系统,所述外网主板设有外网控制系统;所述内网主板设有两组独立的数据传输通道;所述内网主板通过两组数据传输通道分别向控制网络输入和输出数据信息;所述外网主板与信息网络通过互联网进行互联;所述内网主板与外网主板之间连接有专用硬件;所述专用硬件通过内部私有非网络协议使内网主板与外网主板之间进行数据传输;所述外网控制系统及内网控制系统均设有协议剥离模块及协议重组模块;所述外网控制系统中的协议剥离模块剥离外网数据中的通信协议,并通过所述内部私有非网络协议将剥离通信协议后的数据信息传递给内网主板;所述内网控制系统的协议重组模块将外网控制系统传输过来的数据信息重新建立通信协议,并将重建通信协议后的数据信息传递给控制网络内的任意计算机主机;所述内网控制系统中的协议剥离模块将控制网络内任意计算机主机上传的数据信息重新剥离通信协议,并传递给所述外网控制系统;所述外网控制系统的协议重组模块将数据信息重建通信协议,随后上传到信息网络。
所述控制网络的计算机主机为用户使用端,可以为工业上的计算机,也可以为个人用户的计算机,这些计算机通过网络进行连接;所述信息网络中的计算机主机为除了内网外的计算机主机,内网与外网之间通过互联网进行数据交换;所述双向隔离装置的内网主板及外网主板采用工业主板,所述双向隔离装置分别向内网及外网提供至少6个10/100/1000M以太网接口和4个千兆光口,可适应多种网络环境的接入;两组所述数据传输通道分别用于控制网络中数据信息的上传和下载;所述内网主板与外网主板之间的专用硬件为数据连接线,例如USB数据连接线等;所述内部私有非网络协议为不通过通用网络协议例如TCP/IP协议等进行数据传播的方式,具体为内网主板与外网主板均设有非网通信数据交换芯片;所述内网主板与外网主板通过数据连接线相互连接后,驱动识别为串行数据接口,并通过非网通信数据交换芯片进行数据交换;数据传输采用自定义数据格式,对于非法格式数据将直接丢弃,以保证数据的安全;通过所述专用硬件及内部私有非网络协议,可以将数据信息以私有非网络协议在内网控制系统与外网控制系统中传递,从而避免了通用信息通信协议带来的信息安全隐患;所述外网控制系统及内网控制系统的协议剥离模块及协议重组模块将数据信息中的通用信息通信协议剥离后传输,重组后再读取的形式,能够消除通用信息通信协议带来的信息安全隐患;所述协议剥离模块及协议重组模块基于应用层代理技术实现内外网之间的网络隔离;在网络层首先通过TCP代理,阻断TCP数据直接穿透隔离装置;其次在应用层,根据不同的应用协议进行代理;例如IEC104主站从外网访问内网IEC104从站,隔离装置的外网侧主板作为IEC104子站接收到该主站请求,进行IEC104协议解析,再根据用户的配置将合法的类型标识通过隔离内部非网私有协议传输到隔离内网侧主板;内网主板使用协议重组模块重新组合成一个有效的IEC104帧,作为主站端向内网子站发送该数据;所述通信协议为常见网络数据通信协议,例如TCP/IP协议。
作为进一步的技术改进,所述内网主板的两组数据传输通道内均设有单向通信模块;所述单向通信模块与内网控制系统中的协议剥离模块及协议重组模块进行数据连接;所述单向通信模块接受控制网络及信息网络中的UDP数据信息,并传递给相应的协议剥离模块及协议重组模块。如此实现了数据的单向安全隔离,保证了控制网络的信息安全。
作为进一步的技术改进,所述协议剥离模块及协议重组模块是在OSI模型的七层上对通信协议进行剥离和重组。所述OSI模型的七层指的是应用层、传输层、网络层、链路层及物理层;在应用层开始对通信协议进行剥离和重建,从应用层开始就消除了通信协议的漏洞,从而消除网络攻击,并可针对应用协议实现访问的控制。
作为进一步的技术改进,所述控制网络及信息网络均连有FTP服务器;所述控制网络与信息网络通过FTP服务器进行数据的上传和下载,实现数据同步。
作为进一步的技术改进,所述控制网络及信息网络均分别连有网关;所述控制网络与信息网络中的计算机主机采用文件共享的方式与网关同步;所述网关通过认证加密的方式进行同步通信。
作为进一步的技术改进,所述外网控制系统设有数字签名模块、文本转换模块及文本校验模块;所述数字签名模块对数据进行加密;所述文本转换模块对文本文件形式的数据通过编码转换技术实现半角字符转换为全角字符;所述文本校验模块对文本转换模块转换后的数据信息进行校验,随后数据信息进入内网控制系统。信息网络传来的数据先采用RSA加密算法,然后用RSA私钥对摘要数据进行加密,将密文作为签名附在数据后,装置收到数据后,用公钥对签名数据解密,对比计算出的摘要,完成对发送数据的验证;将密文通过数字签名验证的报文,需要通过文本格式检查,才能最终进入内网,从而保证进入内网的数据为纯文本数据,而且这种文本中的脚本数据也不能运行的全角数据,可以有效防止病毒进入内网。
作为进一步的技术改进,所述内网控制系统及外网控制系统均设有Mysql模块;所述Mysql模块将内网数据映射到外网。如此便于外网应用程序直接使用。
作为进一步的技术改进,所述内网控制系统还设有告警模块;所述双向隔离装置设有告警串口;所述告警模块连接告警串口,输出数据异常信息。当发生非法入侵、装置异常、通信中断或丢失应用数据时,可通过告警串口输出报警信息,报警信息遵循Syslog格式。
作为进一步的技术改进,所述双向隔离装置设有两组;两组所述双向隔离装置均连接控制网络及信息网络;两组所述双向隔离装置分为主机及备机。为了保证网络的高可用性与高可靠性,针对工业级的需求,设置两组双向隔离装置,以提供双机热备份功能;当一台所述双向隔离装置发生意外宕机、网络故障、硬件故障等情况时,另一台双向隔离装置自动切换到工作状态,从而保证了网络的正常使用;切换过程不需要人为操作和其他系统的参与,用户不会觉察到。
以上所述的网络安全隔离系统的使用方法:
信息网络内的信息数据通过互联网传递到双向隔离装置的外网主板;外网控制系统中的协议剥离模块将信息数据中的通信协议剥离,随后通过内部私有非网络协议将剥离通信协议后的数据信息传递给内网主板的内网控制系统;内网控制系统的协议重组模块再对数据进行通信协议的重组,使信息数据再次获得通信协议,从而使控制网络内的任意计算机主机能够读取相应的数据信息,通过剥离通信协议再重组的方式消除了网络病毒等攻击的问题;当信息网络内的计算机主机数据向信息网络传递时,数据信息先被内网控制系统中的通信协议剥离模块进行协议剥离,随后将剥离了通信协议的数据信息传递给外网控制系统;外网控制系统的协议重组模块对数据信息进行协议重组,使得信息数据再次获得通信协议,最后将数据信息上传到信息网络,供信息网络中的计算机主机用户获取;以上述方法在控制网络及信息网络中进行数据交换的数据信息均经过通信协议的剥离和重组,消除了传统通用通信协议中存在的漏洞,提高了网络信息的安全性。
本发明技术方案具有以下有益效果:
1.本发明系统在控制网络形成的内网以及信息网络形成的外网中间加入双向隔离装置,使得内网与外网之间的数据信息交互均进行隔离,增加了数据的安全性。
2.本发明装置的外网控制系统及内网控制系统均设有协议剥离模块及协议重组模块,对即将进入控制网络或信息网络的数据信息先进行通信协议的剥离随后再进行重组,以此方式消除网络信息中因为通用通信协议而存在的漏洞,提高网络信息的安全性,躲避病毒等网络攻击。
3.本发明装置通过单向通信模块,使得数据信息进行单向通信,实现数据通信的单向安全隔离,保证网络通信的安全。
4.本发明通过树脂签名模块、文本转换模块及文本校验模块,可以实现数据信息的加密传输,提高了网络安全性。
5.本发明通过告警模块可以记录数据信息交互过程中出现的数据异常信息,从而供系统维护者更好的对系统进行维护和升级。
6.本发明的双向隔离装置设置两组,当其中一组出现宕机等问题时,则可通过另一组双向隔离装置进行数据的安全传输,确保了网络数据传输的稳定性。
附图说明
图1为本发明系统的整体流程示意图。
图2为在OSI模型的七层上对通信协议进行剥离和重组示意图。
具体实施方式
下面结合附图对本发明作进一步说明。
实施例一:
如图1~2所示,一种网络安全隔离系统,包括控制网络及信息网络;还包括双向隔离装置;所述控制网络包括多台计算机主机;所述控制网络内的所有计算机主机通过局域网相互连接,形成内网;所述信息网络为除了控制网络外,通过互联网与控制网络内任意计算机主机互联且进行数据交换的其他计算机主机组成的外网;所述双向隔离装置包括内网主板及外网主板;所述内网主板设有内网控制系统,所述外网主板设有外网控制系统;所述内网主板设有两组独立的数据传输通道;所述内网主板通过两组数据传输通道分别向控制网络输入和输出数据信息;所述外网主板与信息网络通过互联网进行互联;所述内网主板与外网主板之间连接有专用硬件;所述专用硬件通过内部私有非网络协议使内网主板与外网主板之间进行数据传输;所述外网控制系统及内网控制系统均设有协议剥离模块及协议重组模块;所述外网控制系统中的协议剥离模块剥离外网数据中的通信协议,并通过所述内部私有非网络协议将剥离通信协议后的数据信息传递给内网主板;所述内网控制系统的协议重组模块将外网控制系统传输过来的数据信息重新建立通信协议,并将重建通信协议后的数据信息传递给控制网络内的任意计算机主机;所述内网控制系统中的协议剥离模块将控制网络内任意计算机主机上传的数据信息重新剥离通信协议,并传递给所述外网控制系统;所述外网控制系统的协议重组模块将数据信息重建通信协议,随后上传到信息网络。
所述内网主板的两组数据传输通道内均设有单向通信模块;所述单向通信模块与内网控制系统中的协议剥离模块及协议重组模块进行数据连接;所述单向通信模块接受控制网络及信息网络中的UDP数据信息,并传递给相应的协议剥离模块及协议重组模块。
所述协议剥离模块及协议重组模块是在OSI模型的七层上对通信协议进行剥离和重组。
所述控制网络及信息网络均连有FTP服务器;所述控制网络与信息网络通过FTP服务器进行数据的上传和下载,实现数据同步。
所述控制网络及信息网络均分别连有网关;所述控制网络与信息网络中的计算机主机采用文件共享的方式与网关同步;所述网关通过认证加密的方式进行同步通信。
所述外网控制系统设有数字签名模块、文本转换模块及文本校验模块;所述数字签名模块对数据进行加密;所述文本转换模块对文本文件形式的数据通过编码转换技术实现半角字符转换为全角字符;所述文本校验模块对文本转换模块转换后的数据信息进行校验,随后数据信息进入内网控制系统。
所述内网控制系统及外网控制系统均设有Mysql模块;所述Mysql模块将内网数据映射到外网。
本发明的使用方法如下:
信息网络内的信息数据通过互联网传递到双向隔离装置的外网主板;外网控制系统中的协议剥离模块将信息数据中的通信协议剥离,随后通过内部私有非网络协议将剥离通信协议后的数据信息传递给内网主板的内网控制系统;内网控制系统的协议重组模块再对数据进行通信协议的重组,使信息数据再次获得通信协议,从而使控制网络内的任意计算机主机能够读取相应的数据信息,通过剥离通信协议再重组的方式消除了网络病毒等攻击的问题;当信息网络内的计算机主机数据向信息网络传递时,数据信息先被内网控制系统中的通信协议剥离模块进行协议剥离,随后将剥离了通信协议的数据信息传递给外网控制系统;外网控制系统的协议重组模块对数据信息进行协议重组,使得信息数据再次获得通信协议,最后将数据信息上传到信息网络,供信息网络中的计算机主机用户获取;以上述方法在控制网络及信息网络中进行数据交换的数据信息均经过通信协议的剥离和重组,消除了传统通用通信协议中存在的漏洞,提高了网络信息的安全性。
实施例二:
本实施例与实施例一的区别在于:所述内网控制系统还设有告警模块;所述双向隔离装置设有告警串口;所述告警模块连接告警串口,输出数据异常信息。
本实施例的使用方法与实施例一相同。
实施例三:
本实施例与实施例二的区别在于:所述双向隔离装置设有两组;两组所述双向隔离装置均连接控制网络及信息网络;两组所述双向隔离装置分为主机及备机。
本实施例的使用方法与实施例一相同。
实施例四:
本实施例与实施例三的区别在于:所述内网控制系统还设有告警模块;所述双向隔离装置设有告警串口;所述告警模块连接告警串口,输出数据异常信息。所述双向隔离装置设有两组;两组所述双向隔离装置均连接控制网络及信息网络;两组所述双向隔离装置分为主机及备机。
本实施例的使用方法与实施例一相同。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
在本发明的描述中,需要说明的是,术语“内”、“前”、“后”、“左”、“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。

Claims (9)

1.一种网络安全隔离系统,包括控制网络及信息网络;其特征在于:还包括双向隔离装置;所述控制网络包括多台计算机主机;所述控制网络内的所有计算机主机通过局域网相互连接,形成内网;所述信息网络为除了控制网络外,通过互联网与控制网络内任意计算机主机互联且进行数据交换的其他计算机主机组成的外网;
所述双向隔离装置包括内网主板及外网主板;所述内网主板设有内网控制系统,所述外网主板设有外网控制系统;
所述内网主板设有两组独立的数据传输通道;所述内网主板通过两组数据传输通道分别向控制网络输入和输出数据信息;所述外网主板与信息网络通过互联网进行互联;
所述内网主板与外网主板之间连接有专用硬件;所述专用硬件通过内部私有非网络协议使内网主板与外网主板之间进行数据传输;
所述外网控制系统及内网控制系统均设有协议剥离模块及协议重组模块;所述外网控制系统中的协议剥离模块剥离外网数据中的通信协议,并通过所述内部私有非网络协议将剥离通信协议后的数据信息传递给内网主板;所述内网控制系统的协议重组模块将外网控制系统传输过来的数据信息重新建立通信协议,并将重建通信协议后的数据信息传递给控制网络内的任意计算机主机;所述内网控制系统中的协议剥离模块将控制网络内任意计算机主机上传的数据信息重新剥离通信协议,并传递给所述外网控制系统;所述外网控制系统的协议重组模块将数据信息重建通信协议,随后上传到信息网络。
2.根据权利要求1所述的网络安全隔离系统,其特征在于:所述内网主板的两组数据传输通道内均设有单向通信模块;所述单向通信模块与内网控制系统中的协议剥离模块及协议重组模块进行数据连接;所述单向通信模块接受控制网络及信息网络中的UDP数据信息,并传递给相应的协议剥离模块及协议重组模块。
3.根据权利要求1所述的网络安全隔离系统,其特征在于:所述协议剥离模块及协议重组模块是在OSI模型的七层上对通信协议进行剥离和重组。
4.根据权利要求1所述的网络安全隔离系统,其特征在于:所述控制网络及信息网络均连有FTP服务器;所述控制网络与信息网络通过FTP服务器进行数据的上传和下载,实现数据同步。
5.根据权利要求1所述的网络安全隔离系统,其特征在于:所述控制网络及信息网络均分别连有网关;所述控制网络与信息网络中的计算机主机采用文件共享的方式与网关同步;所述网关通过认证加密的方式进行同步通信。
6.根据权利要求1所述的网络安全隔离系统,其特征在于:所述外网控制系统设有数字签名模块、文本转换模块及文本校验模块;所述数字签名模块对数据进行加密;所述文本转换模块对文本文件形式的数据通过编码转换技术实现半角字符转换为全角字符;所述文本校验模块对文本转换模块转换后的数据信息进行校验,随后数据信息进入内网控制系统。
7.根据权利要求1所述的网络安全隔离系统,其特征在于:所述内网控制系统及外网控制系统均设有Mysql模块;所述Mysql模块将内网数据映射到外网。
8.根据权利要求1所述的网络安全隔离系统,其特征在于:所述内网控制系统还设有告警模块;所述双向隔离装置设有告警串口;所述告警模块连接告警串口,输出数据异常信息。
9.根据权利要求1所述的网络安全隔离系统,其特征在于:所述双向隔离装置设有两组;两组所述双向隔离装置均连接控制网络及信息网络;两组所述双向隔离装置分为主机及备机。
CN202311563512.4A 2023-11-22 2023-11-22 一种网络安全隔离系统 Pending CN117714105A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311563512.4A CN117714105A (zh) 2023-11-22 2023-11-22 一种网络安全隔离系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311563512.4A CN117714105A (zh) 2023-11-22 2023-11-22 一种网络安全隔离系统

Publications (1)

Publication Number Publication Date
CN117714105A true CN117714105A (zh) 2024-03-15

Family

ID=90148842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311563512.4A Pending CN117714105A (zh) 2023-11-22 2023-11-22 一种网络安全隔离系统

Country Status (1)

Country Link
CN (1) CN117714105A (zh)

Similar Documents

Publication Publication Date Title
CN109842585B (zh) 面向工业嵌入式系统的网络信息安全防护单元和防护方法
US8756411B2 (en) Application layer security proxy for automation and control system networks
US20030233573A1 (en) System and method for securing network communications
CN106341397A (zh) 一种工业安全隔离网闸
EP3140976B1 (en) Apparatus, systems, platforms, and methods for securing communication data exchanges between multiple networks for industrial and non-industrial applications
CA3073642C (en) Hardware-enforced one-way information flow control device
WO2012012463A1 (en) Network switch with power over ethernet
KR101252529B1 (ko) 이중화를 지원하는 배전반용 보안 시스템
WO2022179304A1 (zh) 一种用于dc互联的安全通信方法、装置及系统
CN109660565A (zh) 一种隔离网闸设备和实现方法
CN211352206U (zh) 基于量子密钥分发的IPSec VPN密码机
CN111526018B (zh) 一种基于电力配电的通信加密系统及通信加密方法
US12088569B1 (en) Protocol free encrypting device
CN111245604B (zh) 一种服务器数据安全交互系统
CN117714105A (zh) 一种网络安全隔离系统
CN114338116B (zh) 加密传输方法、装置及sd-wan网络系统
JP7526827B2 (ja) サービス伝送方法、装置、ネットワーク機器及び記憶媒体
US20070058654A1 (en) Arrangement and coupling device for securing data access
CN209419652U (zh) 一种隔离网闸设备
KR101227086B1 (ko) 물리적으로 분리된 네트워크 사이의 데이터 통신 방법 및 장치
CN109547457B (zh) 一种具有“微交互”功能的网络隔离系统
EP1879350A1 (en) Distributed computer system with a local area network
CN106789318B (zh) 网络电源安全管理系统
Nagaki et al. Integration of Digital, Voice, and Video Data on a Multilevel Secure Fiber Optic Network
CN220985682U (zh) 具有高速数据同步功能的智能网闸

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication