CN210112051U - 一种基于安全隔离网闸的多信息源通讯管理装置 - Google Patents
一种基于安全隔离网闸的多信息源通讯管理装置 Download PDFInfo
- Publication number
- CN210112051U CN210112051U CN201921258688.8U CN201921258688U CN210112051U CN 210112051 U CN210112051 U CN 210112051U CN 201921258688 U CN201921258688 U CN 201921258688U CN 210112051 U CN210112051 U CN 210112051U
- Authority
- CN
- China
- Prior art keywords
- data processor
- network
- external
- exchange unit
- control board
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本实用新型公开了一种基于安全隔离网闸的多信息源通讯管理装置,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。本实用新型实现了内、外网之间的安全网闸,确保外部数据在网络隔离的安全环境下进行数据传输,提高了综合监控系统的安全性。
Description
技术领域
本实用新型属于轨道交通综合自动化系统技术领域,具体指代一种基于安全隔离网闸的多信息源综合监控系统通讯管理装置。
背景技术
城市轨道交通是一个涉及到公共安全的重要交通手段,其安全性非常重要,必须提供城市轨道交通安全的各种标准,其中技术安全是非常重要的一环。如果从技术上无法保证轨道交通的安全性,则会对社会造成极大的危害性。现在轨道交通的管理,都是通过网络进行的,如果有不法分子借助网络,企图对轨道交通的安全造成危害,则会造成很严重的社会不安和动荡。
目前,城市轨道交通综合监控系统面临着一个复杂的环境,所谓复杂环境,是相对于其所处的内网来说的,因为综合监控系统处于内网的环境,所以其自身的安全性很高,而同时综合监控系统又需要连接外部的各专业的很多子系统,包括BAS、PSCADA、FAS、AFC等等,连接这些子系统的网络却无法保证综合监控系统不受外部网络攻击。
从信息安全角度看,仅仅依靠相关政策、法规和保密技术是不够的,还必须大力开发自己实用且操作性能强的安全部件或相关机制,这才是全面提高轨道交通综合监控系统信息安全、保密能力的有效途径。但是,不同系统之间网络互联互通,如何有效确保综合监控系统的网络安全就至关重要。
目前,基于传统防火墙功能的网络安全检测并不能防范很多未知攻击,因为这些安全检测本身都是基于TCP/IP协议的,而该协议本身就存在漏洞;另外防火墙都是基于黑名单的被动式防御,这就给了黑客攻击以可乘之机。
在如今网络安全形势日益严重的今天,为了杜绝一切可能的网络攻击,为了确保绝对的网络安全与公共安全,我们就需要对综合监控系统的内外部网络进行有效的安全隔离措施。
多信息源通讯管理装置作为综合监控系统与各专业子系统之间的网络连接设备,在轨道交通领域有着广泛的应用。通常情况下,一个车站两台通讯管理机互为冗余,主要负责应用层协议与数据的转换,其在整个综合监控系统中起到承上启下的作用,即综合监控系统通过通讯管理机获取被集成和互联系统的数据,同时,综合监控系统也是通过通讯管理装置完成发往被集成和互联系统的数据和命令。从网络拓扑的视角来看,通讯管理装置充当了网关的角色,网络上的信息在此得到了安全隔离与安全检测,提高了整个系统的安全性。
所谓安全隔离措施是针对内外部网络的物理隔离,即阻断了两者的网络连接,同时将外部数据进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据,然后通过内外部与数据交换单元的非TCP/IP连接(内外部不同时连接数据交换单元),进行网闸形式的数据摆渡。如果外部数据处理器是接收到内部的原始数据,则在接收后进行模型协议的封装。最终能使内外部网络之间实现信息的交互。
发明内容
针对于上述现有技术的不足,本实用新型的目的在于提供一种基于安全隔离网闸的多信息源通讯管理装置,以实现能够将所有外部信息(包括外部恶意攻击)进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据;将有价值的原始数据提供给内部处理器使用;从而完全屏蔽了网络攻击的可能。
为达到上述目的,本实用新型采用的技术方案如下:
本实用新型的一种基于安全隔离网闸的多信息源通讯管理装置,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列(FPGA)扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。
优选地,所述安全数据交换单元在同一时刻不同时与外部数据处理器、内部数据处理器进行连接。
优选地,所述的USB接口为三个。
优选地,所述的内部数据处理器通过PCI-E高速总线连接以太网控制板。
优选地,所述的内部数据处理器通过动态方式连接安全数据交换单元,所述动态方式连接为非一直处于连接状态,而是在有新数据需要传递的时进行物理连接。
优选地,所述的内部数据处理器通过PCI-E高速总线连接两个维护网口。
优选地,所述的外部数据处理器连接的外部网口为ETH网口。
优选地,所述的外部数据处理器通过动态方式连接安全数据交换单元。
本实用新型的一种基于安全隔离网闸的多信息源通讯管理装置,能够将所有外部信息(包括外部恶意攻击)进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据,然后将有价值的原始数据通过数据摆渡提供给内部数据处理器使用。从而完全屏蔽了网络攻击的可能影响。
本实用新型的有益效果:
本实用新型实现了内、外网之间的安全网闸,确保外部数据在网络隔离的安全环境下进行数据传输,提高了综合监控系统的安全性。
(1)低耦合:采用分层/模块化设计思想,体系结构清晰,各个模块独立性高。
(2)高效率:在增加安全性的基础上,数据传输的效率不受影响,使得系统具有更好的适用性。
(3)高安全性:通过对内、外部网络的物理网络隔离,阻断了两者的网络连接,同时将外部数据进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到原始数据,然后通过内外部与数据交换单元的非TCP/IP连接(内外部不同时连接数据交换单元),进行网闸形式的数据摆渡,从而确保系统具有了极高的安全性。
附图说明
图1绘示本实用新型装置的结构框图。
具体实施方式
为了便于本领域技术人员的理解,下面结合实施例与附图对本实用新型作进一步的说明,实施方式提及的内容并非对本实用新型的限定。
参照图1所示,本实用新型的一种基于安全隔离网闸的多信息源通讯管理装置,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列(FPGA)扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。
实施例中,所述的内部数据处理器选用ATOM D525,其含有五个PCI-E高速总线,通过该PCI-E高速总线分别与两个维护网口(维护网口1和维护网口2用于对通信控制器的维护)、压缩卡/ mSATA、USB与VGA接口以及六个网口(网口1-网口6)连接;存储器用于存储相关监控数据信息。其中,压缩卡/ mSATA连接固态硬盘扩展存储容量,USB接口连接鼠标和键盘,VGA接口连接显示器,网口连接综合监控系统内部网络,现场可编程门阵列(FPGA)扩展口协助内部数据处理器进行一些并行的数据处理功能,从而提高内部处理器运算处理的整体性能。
其中,所述USB接口为三个。
其中,所述外部数据处理器选用Intel G530,连接八个ETH网口(ETH网口1-8),用于接入各个子专业待检测的网络流量数据,并对其进行安全检测与模型协议剥离,全面断开TCP/IP和OSI数据模型的所有七层,以消除TCP/IP网络存在的攻击可能性,并获取到有价值的原始数据;最后将原始数据还原为原始数据文件。所述IntelG530处理器应用于多种型号的网闸产品中,如:PRA-GAP-1000G型号网闸。
其中,所述安全数据交换单元包含电子倒换开关及存储器;通过电子倒换开关实现承载数据的文件在内/外数据处理器之间进行传递,而电子倒换开关则由电路控制器来控制;此外,存储器用于对原始数据文件进行临时存储。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透这种物理隔离的网闸形式。当外部网络与内部网络之间无信息交换时,该安全数据交换单元与内网和外网之间同时断开连接的,即三者之间不存在任何物理连接与逻辑连接。
所述电路控制器根据是否有传输数据来决定安全数据交换单元与外部数据处理器、内部数据处理器的连接关系。具体为:当外部或内部数据处理器有新数据需要传递时,通过一个信号量高电平触发电路控制器,然后控制电路将根据触发位置决定电子倒换开关的工作方式。
本实用新型具体应用途径很多,以上所述仅是本实用新型的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本实用新型原理的前提下,还可以作出若干改进,这些改进也应视为本实用新型的保护范围。
Claims (8)
1.一种基于安全隔离网闸的多信息源通讯管理装置,其特征在于,包括:安全数据交换单元及与之连接的电路控制器、外部数据处理器、内部数据处理器;所述外部数据处理器连接有多个外部网口;所述内部数据处理器分别连接存储器、以太网控制板、串口控制板、维护网口及现场可编程门阵列扩展口,并通过以太网控制板连接多个网口,通过串口控制板连接VGA接口及USB接口;电路控制器控制安全数据交换单元与外、内部数据处理器的连接。
2.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述安全数据交换单元在同一时刻不同时与外部数据处理器、内部数据处理器进行连接。
3.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的USB接口为三个。
4.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的内部数据处理器通过PCI-E高速总线连接以太网控制板。
5.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的内部数据处理器通过动态方式连接安全数据交换单元。
6.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的内部数据处理器通过PCI-E高速总线连接两个维护网口。
7.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的外部数据处理器连接的外部网口为ETH网口。
8.根据权利要求1所述的基于安全隔离网闸的多信息源通讯管理装置,其特征在于,所述的外部数据处理器通过动态方式连接安全数据交换单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921258688.8U CN210112051U (zh) | 2019-08-05 | 2019-08-05 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921258688.8U CN210112051U (zh) | 2019-08-05 | 2019-08-05 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN210112051U true CN210112051U (zh) | 2020-02-21 |
Family
ID=69567692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201921258688.8U Active CN210112051U (zh) | 2019-08-05 | 2019-08-05 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN210112051U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417794A (zh) * | 2019-08-05 | 2019-11-05 | 南京轨道交通系统工程有限公司 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
-
2019
- 2019-08-05 CN CN201921258688.8U patent/CN210112051U/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417794A (zh) * | 2019-08-05 | 2019-11-05 | 南京轨道交通系统工程有限公司 | 一种基于安全隔离网闸的多信息源通讯管理装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4163183A1 (en) | Information security protection method and apparatus | |
| CN110943913A (zh) | 一种工业安全隔离网关 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| US8891546B1 (en) | Protocol splitter | |
| CN102404254A (zh) | 多网融合的智能家庭网关装置及系统 | |
| CN105208352B (zh) | 一种网络视频安全监控系统及物理隔离方法 | |
| CN110620791A (zh) | 一种带有预警功能的工业安全数据摆渡系统 | |
| CN101127760A (zh) | 网络中双向协议隔离方法及其装置 | |
| CN213521957U (zh) | 一种基于数字船舶网络安全的网络接入系统 | |
| CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
| CN103888446A (zh) | 面向铁路信号控制网络的协议安全隔离系统 | |
| CN112187791A (zh) | 一种用于工业控制的数据安全传输系统 | |
| CN210112051U (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN107864153A (zh) | 一种基于网络安全传感器的网络病毒预警方法 | |
| Zvabva et al. | Evaluation of industrial firewall performance issues in automation and control networks | |
| CN201936307U (zh) | 电力系统专用物理隔离装置 | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| CN206807485U (zh) | 一种基于网络入侵检测的通信控制器 | |
| CN216819851U (zh) | 一种变电站内安全接入装置 | |
| CN111885179B (zh) | 一种基于文件监测服务的外接式终端防护设备及防护系统 | |
| CN103873467A (zh) | 一种控制网络边界的方法 | |
| CN110417794A (zh) | 一种基于安全隔离网闸的多信息源通讯管理装置 | |
| CN109150888B (zh) | 一种通过物理开关控制网络安全模组工作模式的方法 | |
| CN203911973U (zh) | 一种适于大型局域网络安全的可扩性网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |