CN213521957U - 一种基于数字船舶网络安全的网络接入系统 - Google Patents
一种基于数字船舶网络安全的网络接入系统 Download PDFInfo
- Publication number
- CN213521957U CN213521957U CN202023001520.4U CN202023001520U CN213521957U CN 213521957 U CN213521957 U CN 213521957U CN 202023001520 U CN202023001520 U CN 202023001520U CN 213521957 U CN213521957 U CN 213521957U
- Authority
- CN
- China
- Prior art keywords
- network
- ship
- switch
- access system
- communication connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本实用新型涉及一种基于数字船舶网络安全的网络接入系统,属于船舶网络安全技术领域,解决了现有技术无法保证船舶网络安全的问题。基于数字船舶网络安全的网络接入系统包括:按功能划分的多个船舶区域服务网、核心交换机、集成信息平台服务器、带路由的防火墙和通信网络;其中,所述通信网络经由所述带路由的防火墙与所述核心交换机通信连接;所述核心交换机分别与所述多个船舶区域服务网、集成信息平台服务器通信连接。该网络接入系统设置了多个功能分区的服务网,各服务网均直接与核心交换机通信连接,有效地保证了船舶网络的安全。
Description
技术领域
本实用新型涉及船舶网络安全技术领域,尤其涉及一种基于数字船舶网络安全的网络接入系统。
背景技术
随着船舶智能化程度的不断提高,整船对网络安全的要求也随之提高。由于数字船舶网络中涉及的船舶计算机系统、开放网络技术和增加的连通性,都会使得数字船舶网络中的硬件和软件设备非常容易受到攻击,严重影响了船舶航行安全及资产安全。
在现有的数字船舶网络中,包括了和船舶相关的多种应用系统和通信网络,其中,各应用系统独立设计,因此,在此过程中并未充分考虑整船网络的安全性,例如,数字船舶网络中边界防护、访问控制、入侵防范、恶意代码防范、可信验证等。另外,数字船舶网络中的OT和IT 系统之间未能实现全面的网络隔离,从而容易出现网络漏洞,严重威胁船舶的航行安全。因此,采用传统的网络架构难以保证数字船舶网络的安全性。
因此,如何保证数字船舶网络安全,是目前亟待解决的问题。
实用新型内容
鉴于上述的分析,本实用新型实施例旨在提供一种基于数字船舶网络安全的网络接入系统,用以解决现有技术无法保证船舶网络安全的问题。
本实用新型提供了一种基于数字船舶网络安全的网络接入系统,所述网络接入系统包括:按功能划分的多个船舶区域服务网、核心交换机、集成信息平台服务器、带路由的防火墙和通信网络;其中,
所述通信网络经由所述带路由的防火墙与所述核心交换机通信连接;
所述核心交换机分别与所述多个船舶区域服务网、集成信息平台服务器通信连接。
在上述方案的基础上,本实用新型还做出了如下改进:
进一步,所述船舶区域服务网包括机舱区域服务网、艏部区域服务网、桥楼和/或居民区域服务网、船员办公服务网和船员生活服务网。
进一步,所述机舱区域服务网包括第一汇聚交换机、第一串口服务器、健康管理系统、机舱监控报警系统以及至少一个第一传感器;其中,
所述第一汇聚交换机分别与所述核心交换机、第一串口服务器、所述健康管理系统和所述机舱监控报警系统通信连接;
所述第一传感器与所述第一串口服务器通信连接。
进一步,艏部区域服务网包括光电跟踪系统、第二串口服务器以及至少一个第二传感器;其中,
所述光电跟踪系统与所述桥楼和/或居民区域服务网中的第二汇聚交换机通信连接;
所述第二传感器与所述第二串口服务器通信连接。
进一步,所述桥楼和/或居民区域服务网还包括第三汇聚交换机、第三串口服务器、防火墙、能效管理系统、自主航行系统以及至少一个第三传感器;其中,
所述第二汇聚交换机还经由所述防火墙与所述自主航行系统通信连接;所述第二汇聚交换机还与所述核心交换机通信连接;
所述第三汇聚交换机分别与所述核心交换机、所述第二串口服务器、所述第三串口服务器以及能效管理系统通信连接;
所述第三传感器与所述第三串口服务器通信连接。
进一步,所述船员办公服务网包括第四汇聚交换机和至少一个LAN;其中,所述第四汇聚交换机与所述核心交换机、所述LAN通信连接。
进一步,所述通信网络包括第一通信网络和第二通信网络,所述第一通信网络包括VSAT和/或FBB,第二通信网络包括3G/4G/5G或WIFI。
进一步,所述船员生活服务网包括路由器;
所述路由器与所述VSAT和/或FBB通信连接。
进一步,所述核心交换机包括主核心交换机和备用核心交换机;当所述主核心交换机出现故障时,启用所述备用核心交换机。
进一步,所述核心交换机为千兆三层管理交换机。
本实用新型的有益效果:
(1)对船舶网络中进行功能分区,分区后的多个服务网分别与核心交换机通信连接,能够保证业务不相关的网络相互隔离,提高了船舶网络的安全性;
(2)通过将两个核心交换机(一用一备)作为中心节点,其他节点直接与中心节点相连,网络可靠性强;
(3)核心区采用链路聚合技术,灵活增加网络设备之间的带宽供给,增强网络设备之间连接的可靠性。
(4)采用防病毒的防火墙,有效应对网络威胁。
本实用新型中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本实用新型的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本实用新型而了解。本实用新型的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本实用新型的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本实用新型实施例中提供的基于数字船舶网络安全的网络接入系统。
具体实施方式
下面结合附图来具体描述本实用新型的优选实施例,其中,附图构成本申请一部分,并与本实用新型的实施例一起用于阐释本实用新型的原理,并非用于限定本实用新型的范围。
本实用新型的一个具体实施例,公开了一种基于数字船舶网络安全的网络接入系统,结构示意图如图1所示,该系统包括:按功能划分的多个船舶区域服务网、核心交换机、集成信息平台服务器、带路由的防火墙和通信网络;其中,所述通信网络经由所述带路由的防火墙与所述核心交换机通信连接;所述核心交换机分别与所述多个船舶区域服务网、集成信息平台服务器通信连接。考虑到上述设备之间通信的数据量较大,可选用千兆网络线路实现上述设备之间的通信。需要说明的是,集成信息平台服务器用于存放数据、软件、算法,执行涉及到网络安全的数据加密,管理登录口令等。
优选地,所述船舶区域服务网至少包括:机舱区域服务网、艏部区域服务网、桥楼和/或居民区域服务网、船员办公服务网和船员生活服务网。各船舶区域服务网的功能介绍如下:机舱区域服务网,用于收集机舱数据、并确保该区域数据链路传输安全;艏部区域服务网,用于收集艏部数据、并确保该区域数据链路传输安全;桥楼和/或居民区域服务网,用于收集桥楼和居民区数据、并确保该区域数据链路传输安全;船员办公服务网,用于收集船员办公数据、并确保该区域数据链路传输安全;船员生活服务网,用于收集船员生数据、并确保该区域数据链路传输安全。
优选地,所述机舱区域服务网包括第一汇聚交换机、第一串口服务器、健康管理系统(用于评估船舶的健康状况,是船上的第三方设备)、机舱监控报警系统(用于对机舱数据进行监控、并当数据超过阈值后进行报警;是船上的第三方设备)以及至少一个第一传感器;其中,所述第一汇聚交换机通过千兆网络线路与所述核心交换机通信连接;所述第一汇聚交换机还通过百兆网络线路与第一串口服务器、所述健康管理系统和所述机舱监控报警系统通信连接;所述第一传感器通过串口通信线路与所述第一串口服务器通信连接;示例性地,第一传感器可以是压力传感器、温度传感器或流量传感器,为机舱区域服务网中备用的数据采集装置。
优选地,艏部区域服务网包括光电跟踪系统、第二串口服务器以及至少一个第二传感器;其中,考虑到光电跟踪系统的摄像头在艏部,但主机在桥楼,对外接口是主机,因此,所述光电跟踪系统通过千兆网络线路与所述桥楼和/或居民区域服务网中的第二汇聚交换机通信连接;所述第二传感器通过串口通信线路与所述第二串口服务器通信连接。示例性地,第二传感器可以是压力传感器、温度传感器或流量传感器,为艏部区域服务网中备用的数据采集装置。
优选地,所述桥楼和/或居民区域服务网还包括第三汇聚交换机、第三串口服务器、防火墙、能效管理系统(用于完成船舶运行过程中的能效管理)、自主航行系统(用于控制船舶的自主航行)以及用于采集自主航行系统中数据信息的第三传感器;其中,所述第二汇聚交换机还选用百兆网络线路经由所述防火墙与所述自主航行系统通信连接;所述第二汇聚交换机、第三汇聚交换机均通过千兆网络线路还与所述核心交换机通信连接;所述第三汇聚交换机还通过百兆网络线路与所述第三串口服务器以及能效管理系统通信连接;所述第三传感器通过百兆网络线路与所述第三串口服务器通信连接;示例性地,第三传感器可以是压力传感器、温度传感器或流量传感器,为桥楼和/或居民区域服务网中备用的数据采集装置。
优选地,所述船员办公服务网包括第四汇聚交换机和至少一个LAN;其中,所述第四汇聚交换机通过千兆网络线路与所述核心交换机通信连接、通过百兆网络线路与所述LAN通信连接。
优选地,所述通信网络包括第一通信网络和第二通信网络,所述第一通信网络包括VSAT(Very SmallAperture Terminal,卫星通信地球站) 和/或FBB(fiberbackbone,光纤主干网),第二通信网络包括3G/4G/5G 或WIFI。
优选地,所述船员生活服务网包括路由器;所述路由器通过千兆网络线路所述VSAT和/或FBB通信连接;还可以通过百兆网络线路与WIFI 连接。
优选地,所述核心交换机包括主核心交换机和备用核心交换机;当主核心交换机出现故障时,启用备用核心交换机。
优选地,所述核心交换机为千兆三层管理交换机。
本实施例中提供的基于数字船舶网络安全的网络接入系统,网络设计主要从IT/OT连接网络的安全性、可靠性、易于管理和维护着重考虑,整体网络分二层:核心层(对应上述核心交换机)、汇聚层(第一汇聚交换机-第三汇聚交换机)。
核心层用于通过高速转发通信,提供快速、可靠的骨干传输结构,核心层具有可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等特性。核心层是网络的枢纽中心,重要性突出,因此核心层交换机采用拥有高带宽、高可靠性、高性能和吞吐量的千兆三层管理交换机。可基于IP地址和协议进行第三层数据交换。
汇聚层实现资源访问控制和流量控制的功能,具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在本实施例中,(1)通过将两个核心交换机(一用一备)作为中心节点,其他节点直接与中心节点相连,网络可靠性强;(2)核心区采用链路聚合技术,灵活增加网络设备之间的带宽供给,增强网络设备之间连接的可靠性;(3)采用防病毒的防火墙,有效应对网络威胁;(4)视频数据/自主航行系统/信息平台/核心区采用千兆线路,保证数据传输有效性;(5)整个网络进行VLAN划分,将整个网络进行分组处理,使业务不相关的网络相互隔离,提高网络的安全性;(6)系统配备上网行为管理设备,对人员上网行为进行管控,可以根据业务需求屏蔽相关网站及应用,保证全船网络的宽带,对网速进行统一管理;(7)系统配备AC管理器,可以全船wifi设备进行集中管理,方便维护。
对本实施例中中点网络设备的技术性能说明如下:
核心层:核心交换机配备千兆以太网端口,支持三层路由功能,适用于跨网络部署,全千兆通信功能增加了带宽,千兆传输速率提高了带宽,实现高性能网络快速传输大量视频、语音和数据。此系列无风扇设计的交换机支持Turbo Ring、Turbo Chain和RSTP/STP网络冗余技术,以及隔离冗余电源,增强了系统可靠性和骨干网络可用性。安全性:访问控制列表、广播风暴保护、数据加密安全证书、MAB授权认证、Sticky MAC、NTP授权认证、端口锁定、网络远程认证、安全外壳协议、终端访问控制系统协议TACACS+。
汇聚层:汇聚交换机集防火墙/NAT和二层网管型交换机功能于一体,提供电子安全边界(ESP)来保护关键网络资产。
防火墙/NAT:防火墙策略控制不同信任区之间的网络流量,而网络地址转换(NAT)则是保护内部局域网,免受来自外部主机的未授权活动。
防火墙:防火墙是一系列具有千兆效能的多合一防火墙/VPN安全路由器设备,适用于关键的远程监控或是工业级资产监视等以太网安全性应用。支持一个WAN、一个LAN和一个用户定义的WAN/DMZ接口,为不同的应用需求提供极高的灵活性,例如WAN冗余或Data/FTP服务器保护等应用。
网络安全性:整个网络的敏感数据通过DMZ传输,工业隔离区 (DMZ)是在办公网络(不受信网络)和工业网络之间的1个子网数据流不会直接跨过隔离区进行通信隔离区中的应用数据库和应用服务器,相当于中间人角色,可以分别与办公区域和控制区域进行通信。
整体网络构架采取了以下措施支持网络安全化:
(1)区域间防火墙边界防护。
(2)过滤Access Control List(ACL),ACL用于过滤进出某个端口的数据流,通过对于某个设备或者网络局域配置ACL提升网络安全性。
(3)远程VPN接入访问,用来隔离不安全的接入:外网接入或者远程连接。
(4)整个网络构架配置网络管理软件,实现相应功能。
以上所述,仅为本实用新型较佳的具体实施方式,但本实用新型的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本实用新型揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本实用新型的保护范围之内。
Claims (10)
1.一种基于数字船舶网络安全的网络接入系统,其特征在于,所述网络接入系统包括:按功能划分的多个船舶区域服务网、核心交换机、集成信息平台服务器、带路由的防火墙和通信网络;其中,
所述通信网络经由所述带路由的防火墙与所述核心交换机通信连接;
所述核心交换机分别与所述多个船舶区域服务网、集成信息平台服务器通信连接。
2.根据权利要求1所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述船舶区域服务网包括机舱区域服务网、艏部区域服务网、桥楼和/或居民区域服务网、船员办公服务网和船员生活服务网。
3.根据权利要求2所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述机舱区域服务网包括第一汇聚交换机、第一串口服务器、健康管理系统、机舱监控报警系统以及至少一个第一传感器;其中,
所述第一汇聚交换机分别与所述核心交换机、第一串口服务器、所述健康管理系统和所述机舱监控报警系统通信连接;
所述第一传感器与所述第一串口服务器通信连接。
4.根据权利要求2所述的基于数字船舶网络安全的网络接入系统,其特征在于,艏部区域服务网包括光电跟踪系统、第二串口服务器以及至少一个第二传感器;其中,
所述光电跟踪系统与所述桥楼和/或居民区域服务网中的第二汇聚交换机通信连接;
所述第二传感器与所述第二串口服务器通信连接。
5.根据权利要求4所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述桥楼和/或居民区域服务网还包括第三汇聚交换机、第三串口服务器、防火墙、能效管理系统、自主航行系统以及至少一个第三传感器;其中,
所述第二汇聚交换机还经由所述防火墙与所述自主航行系统通信连接;所述第二汇聚交换机还与所述核心交换机通信连接;
所述第三汇聚交换机分别与所述核心交换机、所述第二串口服务器、所述第三串口服务器以及能效管理系统通信连接;
所述第三传感器与所述第三串口服务器通信连接。
6.根据权利要求2所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述船员办公服务网包括第四汇聚交换机和至少一个LAN;其中,
所述第四汇聚交换机与所述核心交换机、所述LAN通信连接。
7.根据权利要求2所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述通信网络包括第一通信网络和第二通信网络,所述第一通信网络包括VSAT和/或FBB,第二通信网络包括3G/4G/5G或WIFI。
8.根据权利要求7所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述船员生活服务网包括路由器;
所述路由器与所述VSAT和/或FBB通信连接。
9.根据权利要求1-8中任一项所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述核心交换机包括主核心交换机和备用核心交换机;当所述主核心交换机出现故障时,启用所述备用核心交换机。
10.根据权利要求9所述的基于数字船舶网络安全的网络接入系统,其特征在于,所述核心交换机为千兆三层管理交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202023001520.4U CN213521957U (zh) | 2020-12-14 | 2020-12-14 | 一种基于数字船舶网络安全的网络接入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202023001520.4U CN213521957U (zh) | 2020-12-14 | 2020-12-14 | 一种基于数字船舶网络安全的网络接入系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN213521957U true CN213521957U (zh) | 2021-06-22 |
Family
ID=76427528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202023001520.4U Active CN213521957U (zh) | 2020-12-14 | 2020-12-14 | 一种基于数字船舶网络安全的网络接入系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN213521957U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660349A (zh) * | 2021-09-17 | 2021-11-16 | 上海外高桥造船有限公司 | 一种船舶网络安全防护系统和方法 |
| CN113660310A (zh) * | 2021-07-21 | 2021-11-16 | 上海外高桥造船有限公司 | 用于船舶数据集成平台的网络架构和船舶数据集成平台 |
| CN115396465A (zh) * | 2022-07-20 | 2022-11-25 | 大连海事大学 | 一种基于sdn的智能船网络系统 |
-
2020
- 2020-12-14 CN CN202023001520.4U patent/CN213521957U/zh active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660310A (zh) * | 2021-07-21 | 2021-11-16 | 上海外高桥造船有限公司 | 用于船舶数据集成平台的网络架构和船舶数据集成平台 |
| CN113660349A (zh) * | 2021-09-17 | 2021-11-16 | 上海外高桥造船有限公司 | 一种船舶网络安全防护系统和方法 |
| CN115396465A (zh) * | 2022-07-20 | 2022-11-25 | 大连海事大学 | 一种基于sdn的智能船网络系统 |
| WO2024016642A1 (zh) * | 2022-07-20 | 2024-01-25 | 大连海事大学 | 一种基于sdn的智能船网络系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN213521957U (zh) | 一种基于数字船舶网络安全的网络接入系统 | |
| US9716690B2 (en) | Integrated security switch | |
| US8181240B2 (en) | Method and apparatus for preventing DOS attacks on trunk interfaces | |
| CN102571738B (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
| US20100132027A1 (en) | Independent role based authorization in boundary interface elements | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| CN109495448A (zh) | 基于核电应急控制的信息安全系统 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| Hadley et al. | Software-defined networking redefines performance for ethernet control systems | |
| CN113194027A (zh) | 面向自动化码头工业互联网的安全通信网关系统 | |
| KR20040036228A (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
| Mahmood et al. | Network security issues of data link layer: An overview | |
| CN113794714A (zh) | 一种用于智慧电厂架构的网络安全系统 | |
| Patidar et al. | Information Theory-based Techniques to Detect DDoS in SDN: A Survey | |
| US7562389B1 (en) | Method and system for network security | |
| Diwan et al. | Security mechanism in RIPv2, EIGRP and OSPF for campus network-a review | |
| CN204425393U (zh) | 一种注解网络流量信息的装置 | |
| CN111385303B (zh) | 一种网络安全防护系统及实现方法 | |
| CN211183990U (zh) | 零信任网络安全系统 | |
| Umasuthan | Protecting the Communications Network at Layer 2 | |
| Eranga et al. | Cyber-security enabled communication architecture for power routing in the smart grid | |
| CN105656905A (zh) | 网络出口侧安全认证系统 | |
| Amro et al. | SECURING AUTONOMOUS PASSENGER SHIP USING THREAT INFORMED DEFENSE-IN-DEPTH | |
| Akyamac et al. | Achieving NERC CIP compliance with secure MPLS networks | |
| CN114826822A (zh) | 一种钢铁企业多层网络安全架构方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |