CN209627407U - 有限连通的安全隔离网闸 - Google Patents

有限连通的安全隔离网闸 Download PDF

Info

Publication number
CN209627407U
CN209627407U CN201920493905.5U CN201920493905U CN209627407U CN 209627407 U CN209627407 U CN 209627407U CN 201920493905 U CN201920493905 U CN 201920493905U CN 209627407 U CN209627407 U CN 209627407U
Authority
CN
China
Prior art keywords
outer end
end system
end machine
module
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201920493905.5U
Other languages
English (en)
Inventor
陈夏裕
徐乐晨
章明飞
杨明旭
申枭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Original Assignee
Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd filed Critical Jiangsu Hengtong Industrial Control Safety Research Institute Co Ltd
Priority to CN201920493905.5U priority Critical patent/CN209627407U/zh
Application granted granted Critical
Publication of CN209627407U publication Critical patent/CN209627407U/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本实用新型公开了一种有限连通的安全隔离网闸,部署于管理网和生产网的边界,包括内端系统、外端系统以及硬件映射隔离系统,内端系统连接内部网络,其配置有内端机IP、内端机MASK、内端机GATEWAYWAY、内端机DNS、内端机子网系统,外端系统连接外部网络,其配置有外端机IP、外端机MASK、外端机GATEWAYWAY、外端机DNS、外端机子网系统,硬件映射隔离系统为基于HRITM技术的隔离交换卡,内端系统与外端系统之间仅通过隔离交换卡连接,隔离交换卡构造了分别连接内端系统和外端系统的安全数据传输信道,安全数据传输信道单向可控且仅传输纯数据,对工业应用层数据的深度解析控制,实现对工业网络的纵深安全防护需求。

Description

有限连通的安全隔离网闸
技术领域
本实用新型涉及一种局域网信息安全技术领域,具体涉及一种有限连通的安全隔离网闸。
背景技术
工业控制系统(ICS)是对SCADA、DCS、PCS、PLC等多种控制系统的总称,广泛运用于电力、石油化工、水利、工业制造、市政等行业。工业控制系统由主站、网络和终端组成,其原理是终端采集工业过程数据,通过网络将数据送至主站,主站分析后通过网络向终端发送控制命令,终端执行命令并向主站返回结果。
随着计算机和网络技术的发展,特别是信息化工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件、通用软件,以各种方式与互联网等公共网络连接,病毒、木马、操作系统漏洞等威胁在工业控制系统扩散;另一方面,传统的工业控制系统在设计上基本没有考虑互联互通所必须的通信安全问题,几乎没有隔离功能,在互联网和企业管理网环境下的防护功能很弱。因此工业控制系统在实现系统开放性的同时,也降低了系统的安全性,而且主站与终端间的报文基本没有考虑身份认证、数据完整性、数据加密及抗重放攻击等安全内容。
而纵观现在的工业控制网络,随着“两化融合”的推进,以往“信息孤岛”似的环境已经一去不复返。企业或组织机构越来越需要在其工控网络、业务网络和企业网络之间共享信息。这也就造成了关乎企业根本的工控网络有暴露在外网的可能性,随着网络化时间信息获取的成本越来越小,黑客对工控系统的攻击难度也越来越低,进一步加剧了工控系统的网络安全风险。产生信息安全问题的威胁源不仅来自外部,内部具有一定技术能力的人员恶意或者无意的行为也可能导致严重信息安全风险。工控网络面临如此的内忧外患,单一的对整个网络进行防护力度是不够的。网络层次不同,区域不同,工艺不同对安全防护的等级也是不同的。因此,工业控制系统的安全问题急需解决。
发明内容
本实用新型要解决的技术问题是提供一种专门为工业控制系统开发的信息安全产品,实现对工业应用层数据的深度解析控制,对文件同步、数据库同步进行传输控制,实现对工业网络的纵深安全防护需求。
为了解决上述技术问题,本实用新型提供了一种有限连通的安全隔离网闸,部署于管理网和生产网的边界,其特征在于,包括内端系统、外端系统以及硬件映射隔离系统,所述内端系统连接内部网络,其配置有内端机IP、内端机MASK、内端机GATEWAYWAY、内端机DNS、内端机子网系统,所述外端系统连接外部网络,其配置有外端机IP、外端机MASK、外端机GATEWAYWAY、外端机DNS、外端机子网系统,所述硬件映射隔离系统为基于HRITM技术的隔离交换卡,所述内端系统与外端系统之间仅通过隔离交换卡连接,所述隔离交换卡构造了分别连接内端系统和外端系统的安全数据传输信道,所述安全数据传输信道单向可控且仅传输纯数据。
进一步的,所述内端系统通过内网接口、内网管理配置口和内网CONSOLE口连接内部网络,所述外端系统通过外网接口、外网管理配置口和外网CONSOLE口连接外部网络。
进一步的,隔离网闸的背板设置有电源接口。
进一步的,所述外端系统包括防火墙模块、入侵检测模块和防病毒模块,所述防火墙模块在缺省情况下不开放任何端口,所述入侵检测模块收集信息并及时响应,所述防病毒模块对病毒进行过滤。
进一步的,所述内端系统包括密级标识检查模块和内容检查模块,对文件内容及内容的涉密等级进行检查。
进一步的,隔离网闸还包括GUI、CONSOLE及LCD模块,通过该GUI、CONSOLE或LCD模块进行管理配置。
进一步的,所述GUI模块连接有独立网络接口。
进一步的,所述内端系统与外端系统均包括日志分析模块,所述日志分析模块与所述GUI模块相连。
本实用新型的有益效果:实现对工业应用层数据的深度解析控制,对文件同步、数据库同步进行内外网传输控制,实现对工业网络的纵深安全防护需求。
附图说明
图1是本实用新型的连接示意图;
图2是本实用新型的隔离网闸结构示意图。
具体实施方式
下面结合附图和具体实施例对本实用新型作进一步说明,以使本领域的技术人员可以更好地理解本实用新型并能予以实施,但所举实施例不作为对本实用新型的限定。
参照图1和图2所示,本实用新型的一种有限连通的安全隔离网闸的一实施例,该安全隔离网闸部署于管理网和生产网的边界,本实施例中该隔离网闸连接于路由器与交换机之间,实现内网与外网的隔离,包括内端系统、外端系统以及硬件映射隔离系统;所述内端系统通过内网接口、内网管理配置口和内网CONSOLE口连接内部网络,所述内端系统配置有内端机IP、内端机MASK、内端机GATEWAYWAY、内端机DNS、内端机子网系统,当用户需要配置多个内端机IP地址时,可通过配置内端机子网系统来实现,如需再配置2个内端机IP,就可以在内端机子网系统中添加;所述外端系统通过外网接口、外网管理配置口和外网CONSOLE口连接外部网络,所述外端系统配置有外端机IP、外端机MASK、外端机GATEWAYWAY、外端机DNS、外端机子网系统,当用户需要配置多个外端机IP地址时,可通过配置外端机子网系统来实现,如需再配置2个外端机IP,就可以在外端机子网系统中添加;通过内端系统与外端系统的配置,使隔离网闸发挥作用。所述硬件映射隔离系统为基于HRITM技术的隔离交换卡,所述内端系统与外端系统之间仅通过隔离交换卡连接,所述隔离交换卡构造了分别连接内端系统和外端系统的安全数据传输信道,由于内端系统与外端系统不存在其他直接或间接的联系,且安全数据传输信道上运行私有安全隔离交换协议,因此可以保证内部网络不会直接受到外部网络干扰,即来自外网的所有网络攻击信息都只对外端系统起作用而无法穿透隔离交换卡到达内网。在极限情况下,外端系统可能瘫痪或被黑客控制,但影响不会扩散到内网,保障了内网的安全。所述安全数据传输信道单向可控且仅传输纯数据,纯数据对应网络七层协议中的应用层,因此纯数据在内外网之间经安全隔离交换协议进行解析、过滤和搬运的方式允许做七层通讯,而七层以下的数据无法穿透隔离网闸,在数据到达目的地后在由工控隔离网闸按照标准的网络协议进行重组进而提供网络服务,即内端系统与外端系统之间只传递纯数据而不传递网络信息、控制信息等存在安全隐患的内容,保证内外网件交换心得纯洁、安全、可靠,同时也可以过滤掉绝大部分基于网络协议漏洞的攻击,做到了通过网络分层屏蔽危险层的方式保护内部网络,为保证支持隔离网闸的工作,隔离网闸的背板设置有电源接口,用以对其供电。
本实施例中,为有效防止来自外网的各类网络攻击,所述外端系统包括防火墙模块、入侵检测模块和防病毒模块,所述防火墙模块实现基于地址和端口的访问控制功能,阻断黑客利用网络协议漏洞和操作系统漏洞入侵,缺省情况下,不开放任何端口,所述入侵检测模块可以对未配备入侵检测系统的单位提供基本的入侵检查功能,其收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等;所述防病毒模块对网页病毒、邮件病毒等进行过滤,并对含毒邮件报警,提醒用户重新连接。
为实现有层次的防护,对不同层次采用不同的防护等级,所述内端系统包括密级标识检查模块和内容检查模块,对文件内容及内容的涉密等级进行检查,根据各区域的安全特点有针对性的进行过滤拦截,屏蔽非法操作,控制病毒或攻击事件扩散,保障生产安全。
为方便进行管理配置,隔离网闸还包括GUI、CONSOLE及LCD模块,通过该GUI、CONSOLE或LCD模块进行管理配置,操作方式多样,方便实用,同时所述GUI模块连接有独立网络接口,以保证更高的安全性。
所述内端系统与外端系统均包括日志分析模块,所述日志分析模块与所述GUI模块相连,可以通过GUI方式进行日志的查询、维护。
以上所述实施例仅是为充分说明本实用新型而所举的较佳的实施例,本实用新型的保护范围不限于此。本技术领域的技术人员在本实用新型基础上所作的等同替代或变换,均在本实用新型的保护范围之内。本实用新型的保护范围以权利要求书为准。

Claims (8)

1.一种有限连通的安全隔离网闸,部署于管理网和生产网的边界,其特征在于,包括内端系统、外端系统以及硬件映射隔离系统,所述内端系统连接内部网络,其配置有内端机IP、内端机MASK、内端机GATEWAYWAY、内端机DNS、内端机子网系统,所述外端系统连接外部网络,其配置有外端机IP、外端机MASK、外端机GATEWAYWAY、外端机DNS、外端机子网系统,所述硬件映射隔离系统为基于HRITM技术的隔离交换卡,所述内端系统与外端系统之间仅通过隔离交换卡连接,所述隔离交换卡构造了分别连接内端系统和外端系统的安全数据传输信道,所述安全数据传输信道单向可控且仅传输纯数据。
2.如权利要求1所述的有限连通的安全隔离网闸,其特征在于,所述内端系统通过内网接口、内网管理配置口和内网CONSOLE口连接内部网络,所述外端系统通过外网接口、外网管理配置口和外网CONSOLE口连接外部网络。
3.如权利要求1所述的有限连通的安全隔离网闸,其特征在于,隔离网闸的背板设置有电源接口。
4.如权利要求1所述的有限连通的安全隔离网闸,其特征在于,所述外端系统包括防火墙模块、入侵检测模块和防病毒模块,所述防火墙模块在缺省情况下不开放任何端口,所述入侵检测模块收集信息并及时响应,所述防病毒模块对病毒进行过滤。
5.如权利要求1所述的有限连通的安全隔离网闸,其特征在于,所述内端系统包括密级标识检查模块和内容检查模块,对文件内容及内容的涉密等级进行检查。
6.如权利要求1所述的有限连通的安全隔离网闸,其特征在于,隔离网闸还包括GUI、CONSOLE及LCD模块,通过该GUI、CONSOLE或LCD模块进行管理配置。
7.如权利要求6所述的有限连通的安全隔离网闸,其特征在于,所述GUI模块连接有独立网络接口。
8.如权利要求6所述的有限连通的安全隔离网闸,其特征在于,所述内端系统与外端系统均包括日志分析模块,所述日志分析模块与所述GUI模块相连。
CN201920493905.5U 2019-04-12 2019-04-12 有限连通的安全隔离网闸 Active CN209627407U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201920493905.5U CN209627407U (zh) 2019-04-12 2019-04-12 有限连通的安全隔离网闸

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201920493905.5U CN209627407U (zh) 2019-04-12 2019-04-12 有限连通的安全隔离网闸

Publications (1)

Publication Number Publication Date
CN209627407U true CN209627407U (zh) 2019-11-12

Family

ID=68458595

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201920493905.5U Active CN209627407U (zh) 2019-04-12 2019-04-12 有限连通的安全隔离网闸

Country Status (1)

Country Link
CN (1) CN209627407U (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111596633A (zh) * 2020-06-15 2020-08-28 中国人民解放军63796部队 一种高安全性的工业控制系统
CN111679640A (zh) * 2020-06-05 2020-09-18 深圳融安网络科技有限公司 基于虚拟化技术的工业数据采集隔离装置以及数据传输方法
CN111756766A (zh) * 2020-07-01 2020-10-09 天津理工大学 一种网络信息安全防护系统
CN115242446A (zh) * 2022-06-22 2022-10-25 中国电子科技集团公司第五十二研究所 一种内网环境下的云桌面单向数据导入系统及方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111679640A (zh) * 2020-06-05 2020-09-18 深圳融安网络科技有限公司 基于虚拟化技术的工业数据采集隔离装置以及数据传输方法
CN111596633A (zh) * 2020-06-15 2020-08-28 中国人民解放军63796部队 一种高安全性的工业控制系统
CN111596633B (zh) * 2020-06-15 2021-07-09 中国人民解放军63796部队 一种工业控制系统
CN111756766A (zh) * 2020-07-01 2020-10-09 天津理工大学 一种网络信息安全防护系统
CN115242446A (zh) * 2022-06-22 2022-10-25 中国电子科技集团公司第五十二研究所 一种内网环境下的云桌面单向数据导入系统及方法

Similar Documents

Publication Publication Date Title
CN209627407U (zh) 有限连通的安全隔离网闸
Slay et al. Lessons learned from the maroochy water breach
CN101567888B (zh) 网络反馈主机安全防护方法
CN106411562B (zh) 一种电力信息网络安全联动防御方法及系统
CN101669339B (zh) 安全网关方法
CN205670253U (zh) 一种工业控制系统的可信网关系统
CN109995796A (zh) 工控系统终端安全防护方法
CN109976239A (zh) 工控系统终端安全防护系统
US20220070188A1 (en) Network Traffic Correlation Engine
CN110601889B (zh) 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法
CN112751843A (zh) 铁路供电系统网络安全防护系统
CN111314282A (zh) 零信任网络安全系统
Czechowski et al. Cyber security in communication of SCADA systems using IEC 61850
Mahboob et al. Intrusion avoidance for SCADA security in industrial plants
Farook et al. Implementation of Intrusion Detection Systems for High Performance Computing Environment Applications
RU2703329C1 (ru) Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак
CN104735043A (zh) 一种阻止可疑数据包通过工业以太网攻击plc的方法
CN106878338B (zh) 远动设备网关防火墙一体机系统
CN114189355A (zh) 一种分层网络安全防护一体化联动防御方法
Cisco Glossary
CN211183990U (zh) 零信任网络安全系统
CN202068440U (zh) 一种基于国产自主处理器的硬件防火墙系统
Sharma et al. An Approach for Collaborative Decision in Distributed Intrusion Detection System''
Nurika et al. Review of various firewall deployment models
Kim et al. Structure design and test of enterprise security management system with advanced internal security

Legal Events

Date Code Title Description
GR01 Patent grant
GR01 Patent grant