CN204089849U - 一种基于工业控制协议的网络隔离装置 - Google Patents
一种基于工业控制协议的网络隔离装置 Download PDFInfo
- Publication number
- CN204089849U CN204089849U CN201320866566.3U CN201320866566U CN204089849U CN 204089849 U CN204089849 U CN 204089849U CN 201320866566 U CN201320866566 U CN 201320866566U CN 204089849 U CN204089849 U CN 204089849U
- Authority
- CN
- China
- Prior art keywords
- mainboard
- network
- outer net
- intranet
- isolating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004519 manufacturing process Methods 0.000 claims abstract description 19
- 239000013307 optical fiber Substances 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 claims description 20
- 238000007689 inspection Methods 0.000 claims description 9
- 238000013523 data management Methods 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 15
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 238000002955 isolation Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 3
- 238000009776 industrial production Methods 0.000 description 3
- 238000013479 data entry Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种网络隔离装置,旨在提供一种在工控系统中能阻断生产执行层到工业控制层网络的潜在通信路径,对正向数据提供带校验的单向通信,保证传输在线、实时和连续,还能提高工控系统网络边界安全强度的基于工业控制协议的网络隔离装置。本实用新型包括工业控制层服务器(1)和生产执行层服务器(2),所述工业控制层服务器(1)包括内网主板(3),所述生产执行层服务器(2)包括外网主板(4),所述内网主板(3)与所述外网主板(4)通过单向光纤(5)相连接,数据只能由所述内网主板(3)传输给所述外网主板(4)。本实用新型应用于工业控制的技术领域。
Description
技术领域
本实用新型涉及一种网络隔离装置,特别涉及一种基于工业控制协议的网络隔离装置。
背景技术
工业控制系统是由各种自控组件以及对实时数据进行采集、监测的过程控制组件组成的系统,我国超过百分之八十的关键基础设施依靠工业控制系统来实现自动化作业,工业控制网络已是国家安全战略的重要组成部分,一旦工业控制网络信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患,因此,我国各级政府部门高度重视,强调工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,必须切实加强工业控制网络信息安全管理。
目前在通用工业控制系统网络安全防护中,采用的技术防护措施比较少,且没有形成系统体系的方式进行总体防护,随着工业控制系统的管控一体化,使得工业控制系统与传统IT管理系统以及互联网相连通,内部也越来越多地采用了通用软件、通用硬件和通用协议,直接面对来自外界的种种威胁,增加了工业控制网络信息的安全隐患。同时工业控制行业用户的安全意识不足,在系统设计之中未考虑系统整体安全设计,存在只重视功能实现,不重视安全的现象,而且在运行维护中对安全管理也不够重视,增加了工业控制系统遭受病毒、木马攻击的可能性。
目前,生产管理系统与控制系统共同处于生产控制网络中,彼此支持信息互通,没有逻辑隔离和信息检测措施。这种做法存在来自互联网或其它媒介的病毒或木马以经营管理网络为基地通过防火墙对生产控制网络发动攻击的信息安全隐患。
实用新型内容
本实用新型所要解决的技术问题是克服现有技术的不足,提供了一种在工控系统中能阻断生产执行层到工业控制层网络的潜在通信路径,对正向数据提供带校验的单向通信,保证传输在线、实时和连续,还能提高工控系统网络边界安全强度的基于工业控制协议的网络隔离装置。
本实用新型所采用的技术方案是:本实用新型包括工业控制层服务器和生产执行层服务器,所述工业控制层服务器包括内网主板,所述生产执行层服务器包括外网主板,所述内网主板与所述外网主板通过单向光纤相连接,数据只能由所述内网主板传输给所述外网主板。
所述基于工业控制协议的网络隔离装置还包括与所述内网主板相连接的内网接口、与所述外网主板相连接的外网接口、电源接口及与所述电源接口相连接的电源,所述内网主板和所述外网主板均与所述电源接口相连接,所述电源接口和所述电源之间设置有电源切换器。
所述内网主板包括内网CPU及内网内存,所述外网主板包括外网CPU及外网内存。
所述内网接口包括两个内网网口和两个内网光口。
所述外网接口包括两个外网网口和两个外网光口。
所述基于工业控制协议的网络隔离装置还包括与所述内网主板相连接的控制口 及与所述外网主板相连接的控制口。
所述内网主板与所述外网主板之间还设置有工控协议应用层数据检验模块。
所述工业控制层服务器和所述生产执行层服务器之间还设置有数据管理模块。
所述数据管理模块包括存储介质及控制开关。
所述工业控制层服务器和所述生产执行层服务器之间还设置有管理与配置模块和日志管理模块。
本实用新型的有益效果是:由于本实用新型采用了单向传输数据的设计,本实用新型包括工业控制层服务器和生产执行层服务器,所述工业控制层服务器包括内网主板,所述生产执行层服务器包括外网主板,所述内网主板与所述外网主板通过单向光纤相连接,数据只能由所述内网主板传输给所述外网主板,阻断网络的逻辑连接,隔离传输机制具有不可编程性,网络隔离装置支持工控协议OPC/Modbus-Tcp/ DNP3.0透明接入,为工控系统网络提供一道绝对安全的大门,阻断外部应用程序直接建立TCP联接,从而保证了生产执行层及工业管理层网络的安全,所以,本实用新型在工控系统中能阻断生产执行层到工业控制层网络的潜在通信路径,对正向数据单向通信,保证传输在线、实时和连续,还能提高工控系统网络边界安全强度。
另外,由于所述内网主板与所述外网主板之间还设置有工控协议应用层数据检验模块,工控协议应用层数据检验模块能对正向数据提供带校验的单向通信,具备了对数据的审查以及检验功能,数据不具有攻击及有害的特性。
附图说明
图1是本实用新型的部分结构示意图;
图2是本实用新型中的工作原理结构示意图;
图3是本实用新型在与外围设备的连接结构示意图。
具体实施方式
如图1和图2所示,本实用新型包括工业控制层服务器1和生产执行层服务器2,所述工业控制层服务器1包括内网主板3,所述生产执行层服务器2包括外网主板4,所述内网主板3与所述外网主板4通过单向光纤5相连接,数据只能由所述内网主板3传输给所述外网主板4。在本实施中,所述基于工业控制协议的网络隔离装置还包括与所述内网主板3相连接的内网接口6、与所述外网主板4相连接的外网接口7、电源接口8及与所述电源接口8相连接的电源9,所述内网主板3和所述外网主板4均与所述电源接口8相连接,所述电源接口8和所述电源9之间设置有电源切换器10。使用时,所述内网接口6与内网相连接,所述外网接口7与外网相连接。
所述内网主板3包括内网CPU31及内网内存32,所述外网主板4包括外网CPU41及外网内存42。
所述内网接口6包括两个内网网口61和两个内网光口62,在本实施例中,两个所述内网网口61和内网网络数据入口相连,。
所述外网接口7包括两个外网网口71和两个外网光口72,两个所述外网网口71与外网网络数据接口相连,。
所述基于工业控制协议的网络隔离装置还包括与所述内网主板3相连接的控制口11及与所述外网主板4相连接的控制口12。
所述内网主板3与所述外网主板4之间还设置有工控协议应用层数据检验模块13。
所述工业控制层服务器1和所述生产执行层服务器2之间还设置有数据管理模块14,所述数据管理模块14用于将获取网络数据及分析结果递交到主计算机进行后台处理。
所述数据管理模块14包括存储介质141及控制开关142。
所述工业控制层服务器1和所述生产执行层服务器2之间还设置有管理与配置模块15和日志管理模块16,所述管理与配置模块15用于配置所述网络隔离装置,设置通信链路规则、通信协议、装置地址。所述日志管理模块16用于记录通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录,发送到指定日志服务器,以便事后审计。
在本实施例中,所述控制口11、所述控制口12、所述管理与配置模块15均和外接终端配置计算机相连,所述日志管理模块16与外接日志管理服务器相连。
本实用新型采用安全固化的LINUX操作系统,内核中只包含用户管理、进程管理和基本的网络接口,剔除了TCP/IP协议栈和其它不需要的所有系统服务,提高了系统抗攻击的能力,保证系统的安全最大化。本实用新型支持多种接入方式以适用于不同的运行环境,同时它支持双机热备,以延长平均无故障时间,维持系统更高的可用性,装置具备高速通信带宽,不会成为数据传输的瓶颈。本实用新型采用两块独立的所述内网主板3与所述外网主板4,分别接入工业控制层和生产执行层网络,支持OPC/Modbus-Tcp/ DNP3.0工控协议应用层的深度分析与数据过滤;各自完成与OPC服务器和OPC客户端的通信;工控协议应用层数据检验模块通过对opc/ Modbus-Tcp /DNP3.0协议的深度检查,对工业网络中的数据指令进行分析与控制,大大增强网络防御能力,杜绝异常报文对正常生产秩序的影响,使工业生产网络变得安全可靠。同时所述内网主板3与所述外网主板4之间采用单向光通信技术实现安全隔离,在保证应用层数据正确传输的前提下阻断网络层连接,保证了工控系统网络的安全。
本实用新型物理隔离阻断了网络的所有连接,隔离、阻断了网络的连通。网络被隔离、阻断后,工业管理层与生产执行层之间只有通过所述单向光纤5进行单向通信,信道不可逆,从而实现阻断网络直接连接,有效隔离阻断潜在攻击的连接。在通信时采用阻断网络逻辑连接, TCP/IP协议被剥离,将原始数据非网络方式传送。其中包括一系列的阻断特征,如没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。在此同时,提供了双机互备的功能与需求,在运行途中,一旦出现故障,可自动迅速地切换到与之互备的相同设备上,保证了数据传输的稳定性。有效阻截黑客对保护网络攻击。
本实用新型的工作过程如下:
如图3所示,两个所述内网网口(61)及两个所述内网光口(62)与工业控制层网络的数据入口相接,当工业控制层网络的数据需要传输到生产执行层时,网络隔离装置通信模块主动向工业控制层服务器数据交换代理发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的通信协议剥离,将原始数据写入存储介质141。在写入之前,根据不同的协议应用(包括opc、 Modbus-Tcp 、DNP3.0),所述工控协议应用层数据检验模块13会对数据进行必要的完整性、安全性检查,比如对数据规则、病毒和恶意代码进行检查等;一旦数据完全写入网络隔离装置的存储介质141,开关立即打开,中断与工业控制层服务器的连接。转而发起对生产执行层服务器的非TCP/IP协议的数据连接请求,当生产执行层服务器收到请求后,发出“读”命令,将隔离网闸存储介质141内的数据导向生产执行层服务器。生产执行层服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了工业控制层到生产执行层的信息交换。
本实用新型应用于工业控制的技术领域。
虽然本实用新型的实施例是以实际方案来描述的,但是并不构成对本实用新型含义的限制,对于本领域的技术人员,根据本说明书对其实施方案的修改及与其他方案的组合都是显而易见的。
Claims (10)
1.一种基于工业控制协议的网络隔离装置,包括工业控制层服务器(1)和生产执行层服务器(2),其特征在于:所述工业控制层服务器(1)包括内网主板(3),所述生产执行层服务器(2)包括外网主板(4),所述内网主板(3)与所述外网主板(4)通过单向光纤(5)相连接,数据只能由所述内网主板(3)传输给所述外网主板(4)。
2.根据权利要求1所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述基于工业控制协议的网络隔离装置还包括与所述内网主板(3)相连接的内网接口(6)、与所述外网主板(4)相连接的外网接口(7)、电源接口(8)及与所述电源接口(8)相连接的电源(9),所述内网主板(3)和所述外网主板(4)均与所述电源接口(8)相连接,所述电源接口(8)和所述电源(9)之间设置有电源切换器(10)。
3.根据权利要求2所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述内网主板(3)包括内网CPU(31)及内网内存(32),所述外网主板(4)包括外网CPU(41)及外网内存(42)。
4.根据权利要求2所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述内网接口(6)包括两个内网网口(61)和两个内网光口(62)。
5.根据权利要求2所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述外网接口(7)包括两个外网网口(71)和两个外网光口(72)。
6.根据权利要求2所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述基于工业控制协议的网络隔离装置还包括与所述内网主板(3)相连接的控制口 (11)及与所述外网主板(4)相连接的控制口(12)。
7.根据权利要求1至6任一项所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述内网主板(3)与所述外网主板(4)之间还设置有工控协议应用层数据检验模块(13)。
8.根据权利要求1所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述工业控制层服务器(1)和所述生产执行层服务器(2)之间还设置有数据管理模块(14)。
9.根据权利要求8所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述数据管理模块(14)包括存储介质(141)及控制开关(142)。
10.根据权利要求1所述的一种基于工业控制协议的网络隔离装置,其特征在于:所述工业控制层服务器(1)和所述生产执行层服务器(2)之间还设置有管理与配置模块(15)和日志管理模块(16)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201320866566.3U CN204089849U (zh) | 2013-12-26 | 2013-12-26 | 一种基于工业控制协议的网络隔离装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201320866566.3U CN204089849U (zh) | 2013-12-26 | 2013-12-26 | 一种基于工业控制协议的网络隔离装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN204089849U true CN204089849U (zh) | 2015-01-07 |
Family
ID=52182515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201320866566.3U Expired - Lifetime CN204089849U (zh) | 2013-12-26 | 2013-12-26 | 一种基于工业控制协议的网络隔离装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN204089849U (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106686005A (zh) * | 2017-03-01 | 2017-05-17 | 北京博众益友科技有限公司 | 一种用于工业控制系统的安全防护系统及防护方法 |
| CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
| CN108200020A (zh) * | 2017-12-21 | 2018-06-22 | 上海电机学院 | 一种工业大数据安全传输装置及方法 |
| CN108521423A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 半实物仿真工控网络靶场系统 |
| CN109901536A (zh) * | 2019-03-04 | 2019-06-18 | 北京工业大学 | 一种单向隔离数据采集与离线算法验证系统 |
| CN110187661A (zh) * | 2019-06-27 | 2019-08-30 | 山东和信智能科技有限公司 | 一种工控安全用串口数据隔离防护装置 |
-
2013
- 2013-12-26 CN CN201320866566.3U patent/CN204089849U/zh not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
| CN106686005A (zh) * | 2017-03-01 | 2017-05-17 | 北京博众益友科技有限公司 | 一种用于工业控制系统的安全防护系统及防护方法 |
| CN108200020A (zh) * | 2017-12-21 | 2018-06-22 | 上海电机学院 | 一种工业大数据安全传输装置及方法 |
| CN108521423A (zh) * | 2018-04-10 | 2018-09-11 | 江苏亨通工控安全研究院有限公司 | 半实物仿真工控网络靶场系统 |
| CN109901536A (zh) * | 2019-03-04 | 2019-06-18 | 北京工业大学 | 一种单向隔离数据采集与离线算法验证系统 |
| CN110187661A (zh) * | 2019-06-27 | 2019-08-30 | 山东和信智能科技有限公司 | 一种工控安全用串口数据隔离防护装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| CN109558366B (zh) | 一种基于多处理器架构的防火墙 | |
| CN101986638A (zh) | 千兆单向型网络隔离装置 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN110943913A (zh) | 一种工业安全隔离网关 | |
| CN105099711A (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN104917776A (zh) | 一种工控网络安全防护设备与方法 | |
| CN105204583B (zh) | 一种基于嵌入式系统构建的物理隔离系统及隔离方法 | |
| CN110099040A (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
| CN101127761A (zh) | 网络中单向协议隔离方法及其装置 | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN103973476A (zh) | 网关、网关热备份系统及方法 | |
| CN107566359A (zh) | 一种智能防火墙系统及防护方法 | |
| CN203968148U (zh) | 一种带入侵检测的网络安全管理系统 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| CN108449310B (zh) | 一种国产网络安全隔离与单向导入系统及方法 | |
| CN201936307U (zh) | 电力系统专用物理隔离装置 | |
| CN106778364A (zh) | 一种计算机网络安全控制器 | |
| CN204719759U (zh) | 一种计算机网络病毒隔离系统 | |
| CN101989975A (zh) | 一种分布式非法计算机接入的阻断方法 | |
| CN202261380U (zh) | 一种网络安全系统 | |
| CN203911973U (zh) | 一种适于大型局域网络安全的可扩性网络系统 | |
| CN202535368U (zh) | 千兆物理隔离装置双机热备 | |
| CN210112051U (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 519080 Tsinghua Science Park A605, 101 Tang Cheng Road, Zhuhai, Guangdong Patentee after: ZHUHAI HONGRUI INFORMATION TECHNOLOGY CO.,LTD. Address before: 519080 Tsinghua Science Park A606, 101 Tang Cheng Road, Zhuhai, Guangdong Patentee before: Zhuhai Hongrui Information Technology Co.,Ltd. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20150107 |
|
| CX01 | Expiry of patent term |