CN203930838U - 基于双台工控计算机的网络物理隔离通道 - Google Patents
基于双台工控计算机的网络物理隔离通道 Download PDFInfo
- Publication number
- CN203930838U CN203930838U CN201420327078.XU CN201420327078U CN203930838U CN 203930838 U CN203930838 U CN 203930838U CN 201420327078 U CN201420327078 U CN 201420327078U CN 203930838 U CN203930838 U CN 203930838U
- Authority
- CN
- China
- Prior art keywords
- network
- physical channel
- channel isolation
- industrial computer
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 20
- 238000004891 communication Methods 0.000 abstract description 7
- 238000001914 filtration Methods 0.000 abstract description 2
- 238000005457 optimization Methods 0.000 abstract description 2
- 238000012216 screening Methods 0.000 abstract 1
- 238000000034 method Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于双台工控计算机的网络物理隔离通道,使用双台工控计算机及专用大规模集成电路芯片(ASIC),在内网和外网之间建造了一个安全的网络物理隔离通道。工控计算机A接受外网数据之后,剥离常规网络协议和附加信息,将获得的纯数据通过ASIC硬件通道发送给工控计算机B;工控计算机B根据自定义的通讯协议将其重新打包,构造干净的网络数据提供给内网使用。两台工控机都采用经过深度优化的Linux操作系统,对外网数据进行严格的筛选和过滤,仅响应符合内网定义的合法数据;完善的权限管理、最大限度的端口封闭以及自定义的网络通讯和加密协议,保证了系统自身安全。工控计算机B还提供内容审查记录、用户身份认证和分组管理,以及受保护的数据库和FTP服务。
Description
技术领域
本实用新型涉及计算机安全领域,尤其有关网络物理隔离的计算机技术。
背景技术
计算机网络发展到今天取得了巨大成功,给人类带来了极大的方便,为人类创造着巨大的财富,但网络的发展也伴随着病毒蠕虫以及恶意的黑客攻击等危害,它们盗取信息、篡改文件甚至破坏系统,威胁着人们的日常生活和工作生产。在这样的安全威胁越来越严重的情况下,人们开始采用更先进的工具来保护自己的网络,比如建立更严格的防火墙,使用更强大的杀毒软件等等。而网络物理隔离技术是一种比防火墙和杀毒软件等更高级别的安全方法,它将两个网络分隔,形成“信息岛”,通过建立严格保护的物理通道,进行网络数据的解析、检测、过滤和还原,有效维护计算机安全。
发明内容
本实用新型使用双台工控计算机及专用大规模集成电路芯片(ASIC),在内网和外网之间建造了一个安全的网络物理隔离通道。ASIC扮演着两个网络这间“信息渡船”的功能,它使用电子开关实现存储介质读写控制,与双工控计算机配合,实现两网间数据缓冲区的存储转发。本实用新型包含两台工控计算机和其间的网络物理隔离通道,网络物理隔离通道采用大规模ASIC芯片搭建;外端工控计算机与外网通过有线网络接口或无线网络相连,内端工控计算机与内网通过有线网络接口或无线网络相连;外端工控计算机将网络数据解析、检测和过滤,剥离出数据通过网络物理隔离通道发送给内端工控计算机,由内端工控计算机B进行还原、验证和发送。
工控外端计算机A和工控内端计算机B采用了两套独立的高性能处理器,外端机A与外网(如接入因特网的办公网络)相连,内端机B与内网(如要求高安全性的工控网络)相连,两套系统通过ASIC建立的物理隔离通道进行通讯。外端机A接收到外网数据之后,将常规协议和附加信息剥离,并且严格检查这些数据是否存在恶意指令,将病毒蠕虫等网络攻击阻挡在外,确认数据安全之后,通过自定义的硬件ASIC通讯其发送给内端机B;内端机B接收到之后,对其进行检测和筛选,阻挡掉对内网没有恶意但是没有实际用途的信息,将符合内网自定义的合法信息重新包装,增加网络协议重新构造网络数据包,转发给内网。ASIC快速的处理能力使延时在毫秒级别,满足实时通讯要求。
外端机A和内端机B安装了深度优化的Linux操作系统,具备完善的权限管理、最大限度的端口封闭以及自定义的网络通讯和加密协议,形成坚实壁垒,保证自身能够经受公网的各类攻击;即使非法用户获得了外端机A的控制权,由于硬件ASIC的通讯协议不对外公开,且控制过程受口令保护,非法用户也无法对其进行操作;除此之外,内端机B还形成最后一道屏障,只回应受限的自定义的合法信息,从而保证内网的绝对安全。
内端机B上具备网络信息记录、内容审查记录、用户身份认证和分组管理等功能。网络信息记录方便追踪攻击来源,内容审查记录方便查看非法信息构成,而用户身份认证和分组管理带有强身份认证的指纹识别,配合Linux自身完善的权限管理,保证了责任人分级管理的需求。内端机B还提供了受保护的数据库和FTP服务,为内网的功能扩展提供资源。
附图说明
图1是设备硬件结构示意图;
图2是设备应用数据示意图;
具体实施方式
根据图1所示,对本实用新型进行说明:
本实用新型包括隔离硬件(ASIC隔离硬件)、外部处理单元(内端工控计算机A)、内部处理单元(内端工控计算机B)以及必要的电源。外部处理单元与外网“Info.21APC系统”通过有线网络接口或者无线网络相连,外部处理单元与隔离硬件通过ASIC芯片协议相连,内部处理单元与隔离硬件通过ASIC芯片协议相连,内部处理单元与内网“DCS/PLC系统”通过有线网络接口或者无线网络相连。
内部处理单元和外部处理单元可采用共地的独立电源供电,也可使用同一电源,隔离硬件从内部或者外部处理单元的任意一处取电。内部处理单元搭载强身份认证的指纹识别。
Claims (4)
1.一种基于双台工控计算机的网络物理隔离通道,其特征是:包含两台工控计算机和其间的网络物理隔离通道。
2.根据权利要求1所述的基于双台工控计算机的网络物理隔离通道,其特征是:网络物理隔离通道采用大规模ASIC芯片搭建。
3.根据权利要求1所述的基于双台工控计算机的网络物理隔离通道,其特征是:外端工控计算机与外网通过有线网络接口或无线网络相连,内端工控计算机与内网通过有线网络接口或无线网络相连。
4.根据权利要求1所述的基于双台工控计算机的网络物理隔离通道,其特征是:外端工控计算机将网络数据解析、检测和过滤,剥离出数据通过网络物理隔离通道发送给内端工控计算机,由内端工控计算机B进行还原、验证和发送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420327078.XU CN203930838U (zh) | 2014-06-19 | 2014-06-19 | 基于双台工控计算机的网络物理隔离通道 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201420327078.XU CN203930838U (zh) | 2014-06-19 | 2014-06-19 | 基于双台工控计算机的网络物理隔离通道 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN203930838U true CN203930838U (zh) | 2014-11-05 |
Family
ID=51826615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201420327078.XU Expired - Fee Related CN203930838U (zh) | 2014-06-19 | 2014-06-19 | 基于双台工控计算机的网络物理隔离通道 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN203930838U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800722A (zh) * | 2017-12-05 | 2018-03-13 | 英赛克科技(北京)有限公司 | 隔离工控设备与外部网络服务器的方法及装置 |
| CN114117435A (zh) * | 2021-12-12 | 2022-03-01 | 中国电子科技集团公司第十五研究所 | 一种隔离通道感知和脆弱性测试方法 |
-
2014
- 2014-06-19 CN CN201420327078.XU patent/CN203930838U/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800722A (zh) * | 2017-12-05 | 2018-03-13 | 英赛克科技(北京)有限公司 | 隔离工控设备与外部网络服务器的方法及装置 |
| CN114117435A (zh) * | 2021-12-12 | 2022-03-01 | 中国电子科技集团公司第十五研究所 | 一种隔离通道感知和脆弱性测试方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11907362B2 (en) | Trusted execution of an executable object on a local device | |
| KR101858375B1 (ko) | 일체형 종단점 및 공격의 네트워크 검출 및 박멸을 위한 기술 | |
| US10432627B2 (en) | Secure sensor data transport and processing | |
| CN110741615B (zh) | 使来自远程终端单元的scada网络访问安全 | |
| WO2015009430A3 (en) | System for embedded biometric authentication, identification and differentiation | |
| WO2011082084A3 (en) | Malware detection via reputation system | |
| EP2843904A3 (en) | Identifying malicious devices within a computer network | |
| IL274589B1 (en) | Isolated and secure red-black laptop | |
| WO2006074294A3 (en) | Methods and apparatus providing security to computer systems and networks | |
| IL226747B (en) | A system and method for studying malware detection | |
| US8572404B2 (en) | Security and safety manager implementation in a multi-core processor | |
| US20150350236A1 (en) | System and methods thereof for monitoring and preventing security incidents in a computerized environment | |
| SG10201900062SA (en) | Method and system of decentralized malware identification | |
| WO2017215533A1 (zh) | 生物特征识别装置和方法以及生物特征模板注册方法 | |
| CN203930838U (zh) | 基于双台工控计算机的网络物理隔离通道 | |
| US20180279449A1 (en) | Infrared light emitting diode control circuit | |
| CN107770150B (zh) | 终端保护方法及装置 | |
| WO2016115401A8 (en) | System and method for securing electronic messages | |
| CN205486355U (zh) | 一种智能楼宇电梯门禁安防系统 | |
| CN105474604A (zh) | 用于监控和过滤通用串行总线网络流量的方法和装置 | |
| CN104065533A (zh) | 物联网分布式动态安全检测系统 | |
| KR101606090B1 (ko) | 네트워크 보호 장치 및 방법 | |
| Rouse et al. | Facial recognition | |
| Kwon et al. | A Study on Anomaly Signal Detection and Management Model using Big Data | |
| Kiggundu | Advanced considerations for defensive cyber products with regards to network security and enterprise integration capabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141105 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |