一种安全隔离与信息交换系统和方法与流程

1.本发明属于信息传输技术领域，尤其涉及一种安全隔离与信息交换系统和方法。


背景技术：

2.在工业自动化生产过程，plc、dcs、scada等工控控制系统越来越广泛地应用在各个工业行业的生产控制过程中；以高效、高产、优质为目的局部工艺已经实现无人化；可视化技术和监控系统在企业生产、经营活动中正在发挥作用。同时mis、cims、erp也被广泛应用于企业管理过程中，使企业的生产管理产生了革命化的转变。
3.虽然工业生产流程保持畅通，而信息流程却处处阻断，形成一个又一个的信息孤岛。特别是mis网和dcs网之间的连接，由于担心控制网被攻击，往往将这两个网完全隔离。然而信息化的优势，正在于生产质量监控与管理控制的实时性。这样不仅很不方便，而且也无法及时获得实时的生产信息，极大地影响了管理的效率和质量，以及企业整体竞争力的提升。
4.为了获取现场的生产信息，实时采集准确的生产数据并加以控制是工业企业信息化面临的难题。因此需要有一个安全有效的技术来解决工业控制网与mis网之间互联互通的问题。现有的技术中，mis系统与dcs系统相连，可能从mis系统会引入dos攻击，导致控制网络的瘫痪，可能会造成极为严重的后果和重大的经济损失，且如今的互联网，病毒、入侵、系统漏洞、软件后门等网络安全隐患都严重阻碍了行业信息化的发展。


技术实现要素：

5.本发明实施例的目的在于提供一种安全隔离与信息交换系统和方法，旨在解决背景技术中提出的问题。
6.为实现上述目的，本发明实施例提供如下技术方案：一种安全隔离与信息交换系统，所述系统包括内网处理单元、外网处理单元和数据交换单元，其中：内网处理单元，用于发起第一数据连接请求，发出第一写命令，关闭第一读开关，进行内网数据的检查与缓存；接收第二数据连接请求，发出第一读命令，关闭第一写开关，进行外网处理数据的读取；外网处理单元，用于发起第二数据连接请求，发出第二写命令，关闭第二读开关，进行外网数据的检查与缓存；接收第一数据连接请求，发出第二读命令，关闭第二写开关，进行内网处理数据的读取；数据交换单元，用于接收所述第一数据连接请求和所述第一写命令，获取内网数据，对所述内网数据进行还原处理，生成内网处理数据，将所述内网处理数据传输至外网处理单元；接收所述第二数据连接请求和所述第二写命令，获取外网数据，对所述外网数据进行还原处理，生成外网处理数据，将所述外网处理数据传输至内网处理单元。
7.作为本发明实施例技术方案进一步的限定，所述内网处理单元具体包括：
内网写模块，用于发起第一数据连接请求，发出第一写命令，关闭第一读开关，进行内网数据的检查与缓存；内网读模块，用于接收第二数据连接请求，发出第一读命令，关闭第一写开关，进行外网处理数据的读取。
8.作为本发明实施例技术方案进一步的限定，所述外网处理单元具体包括：外网写模块，用于发起第二数据连接请求，发出第二写命令，关闭第二读开关，进行外网数据的检查与缓存；外网读模块，用于接收第一数据连接请求，发出第二读命令，关闭第二写开关，进行内网处理数据的读取。
9.作为本发明实施例技术方案进一步的限定，所述数据交换单元具体包括：内外交换模块，用于接收所述第一数据连接请求和所述第一写命令，获取内网数据，对所述内网数据进行还原处理，生成内网处理数据，将所述内网处理数据传输至外网处理单元；外内交换模块，用于接收所述第二数据连接请求和所述第二写命令，获取外网数据，对所述外网数据进行还原处理，生成外网处理数据，将所述外网处理数据传输至内网处理单元。
10.作为本发明实施例技术方案进一步的限定，所述数据交换单元还包括：工业控制模块，用于基于对工控协议深度解析，实现对内网数据和外网数据中参数的控制，对于无法识别的数据全部隔离丢弃。
11.作为本发明实施例技术方案进一步的限定，所述数据交换单元还包括：数据库同步模块，用于提供多个同构数据库之间、异构数据库的单、双向数据交换，对预设的同构数据库之间、异构数据库之间的数据同步；内置时间策略，通过获取用户的策略配置，进行自定义同步执行。
12.作为本发明实施例技术方案进一步的限定，所述数据交换单元还包括：文件交换模块，用于支持多个文件传输协议，通过获取用户设置的规则信息，进行相应文件的过滤；支持多个操作系统平台，在不同文件系统之间进行数据的单向、双向交换。
13.作为本发明实施例技术方案进一步的限定，所述数据交换单元还包括：视频模块，用于进行支持sctp、h.323和h.248主流视频协议转发，进行视音频同时传输，基于动态端口传输的流媒体视频应用。
14.作为本发明实施例技术方案进一步的限定，所述数据交换单元还包括：入侵防御模块，用于针对工业控制模块、数据库同步模块、文件交换模块和视频模块进行入侵实时检测，进行病毒防护查杀，并产生相关日志和告警，实时通知系统管理员。
15.一种安全隔离与信息交换方法，所述方法具体包括以下步骤：在内网向外网发送数据时，内网处理单元发起第一数据连接请求，发出第一写命令，关闭第一读开关，进行内网数据的检查与缓存；数据交换单元接收第一数据连接请求和第一写命令，获取内网数据，对内网数据进行还原处理，生成内网处理数据，将内网处理数据和第一数据连接请求传输至外网处理单元；外网处理单元接收第一数据连接请求，发出第二读命令，关闭第二写开关，进行内网处理数据的读取；
在外网向内网发送数据时，外网处理单元发起第二数据连接请求，发出第二写命令，关闭第二读开关，进行外网数据的检查与缓存；数据交换单元接收第二数据连接请求和第二写命令，获取外网数据，对外网数据进行还原处理，生成外网处理数据，将外网处理数据和第二数据连接请求传输至内网处理单元；内网处理单元接收第二数据连接请求，发出第一读命令，关闭第一写开关，进行外网处理数据的读取。
16.与现有技术相比，本发明的有益效果是：本发明公开的一种安全隔离与信息交换系统，包括内网处理单元、外网处理单元和数据交换单元。能够在内网和外网之间进行安全隔离，切断内外网络之间的直接连接，保障数据交换单元与内网处理单元和外网处理单元之间，任意时刻只能与一个处理单元建立非tcp/ip协议的数据连接，在保证内外网隔离的情况下，内、外网络之间不能同时连接，从而实现可靠、高效的安全数据交换，用户只需依据自身工控网络特点定制合适的安全策略，即可实现内外网络进行安全数据通信，在保障用户工业网络及系统安全性的同时，最大限度保证客户应用的方便性。
附图说明
17.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
18.图1示出了本发明实施例提供的系统的应用架构图。
19.图2示出了本发明实施例提供的系统中内网处理单元的结构框图。
20.图3示出了本发明实施例提供的系统中外网处理单元的结构框图。
21.图4示出了本发明实施例提供的系统中数据交换单元的结构框图。
22.图5示出了本发明实施例提供的方法的流程图。
具体实施方式
23.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
24.可以理解的是，现有的技术中，虽然工业生产流程日夜畅通，而信息流程却处处阻断，形成一个又一个的信息孤岛。特别是mis网和dcs网之间的连接，由于担心控制网被攻击，往往将这两个网完全隔离。然而信息化的优势，正在于生产质量监控与管理控制的实时性。这样不仅很不方便，而且也无法及时获得实时的生产信息，极大地影响了管理的效率和质量，以及企业整体竞争力的提升。而mis系统与dcs系统相连，可能从mis系统会引入dos攻击，导致控制网络的瘫痪，可能会造成极为严重的后果和重大的经济损失，且如今的互联网，病毒、入侵、系统漏洞、软件后门等网络安全隐患都严重阻碍了行业信息化的发展。
25.为解决上述问题，本发明实施例公开的一种安全隔离与信息交换系统，包括内网处理单元、外网处理单元和数据交换单元。能够在内网和外网之间进行安全隔离，切断内外网络之间的直接连接，保障数据交换单元与内网处理单元和外网处理单元之间，任意时刻只能与一个处理单元建立非tcp/ip协议的数据连接，在保证内外网隔离的情况下，内、外网
络之间不能同时连接，从而实现可靠、高效的安全数据交换，用户只需依据自身工控网络特点定制合适的安全策略，即可实现内外网络进行安全数据通信，在保障用户工业网络及系统安全性的同时，最大限度保证客户应用的方便性。
26.图1示出了本发明实施例提供的系统的应用架构图。
27.具体的，一种安全隔离与信息交换系统，所述系统包括内网处理单元101、外网处理单元103和数据交换单元102，其中：内网处理单元101，用于发起第一数据连接请求，发出第一写命令，关闭第一读开关，进行内网数据的检查与缓存；接收第二数据连接请求，发出第一读命令，关闭第一写开关，进行外网处理数据的读取。
28.具体的，图2示出了本发明实施例提供的系统中内网处理单元101的结构框图。
29.其中，在本发明提供的优选实施方式中，所述内网处理单元101具体包括：内网写模块1011，用于发起第一数据连接请求，发出第一写命令，关闭第一读开关，进行内网数据的检查与缓存。
30.内网读模块1012，用于接收第二数据连接请求，发出第一读命令，关闭第一写开关，进行外网处理数据的读取。
31.进一步的，所述安全隔离与信息交换系统还包括：外网处理单元103，用于发起第二数据连接请求，发出第二写命令，关闭第二读开关，进行外网数据的检查与缓存；接收第一数据连接请求，发出第二读命令，关闭第二写开关，进行内网处理数据的读取。
32.具体的，图3示出了本发明实施例提供的系统中外网处理单元103的结构框图。
33.其中，在本发明提供的优选实施方式中，所述外网处理单元103具体包括：外网写模块1031，用于发起第二数据连接请求，发出第二写命令，关闭第二读开关，进行外网数据的检查与缓存。
34.外网读模块1032，用于接收第一数据连接请求，发出第二读命令，关闭第二写开关，进行内网处理数据的读取。
35.进一步的，所述安全隔离与信息交换系统还包括：数据交换单元102，用于接收所述第一数据连接请求和所述第一写命令，获取内网数据，对所述内网数据进行还原处理，生成内网处理数据，将所述内网处理数据传输至外网处理单元103；接收所述第二数据连接请求和所述第二写命令，获取外网数据，对所述外网数据进行还原处理，生成外网处理数据，将所述外网处理数据传输至内网处理单元101。
36.在本发明实施例中，当内网与外网之间无信息交换时，数据交换单元102与内网交换单元，数据交换单元与外网处理单元，内网处理单元101与外网处理单元103之间是完全断开的，即内网处理单元101、外网处理单元103和数据交换单元102三者之间不存在任何连接，当内网数据需要传输到外网时，内网处理单元101会主动向数据交换单元102发起非tcp/ip协议的数据连接请求，并发出“写”命令，将“读”开关合上，并把所有的协议剥离，将原始数据写入高速缓存，且在写入之前，根据不同的应用，对数据进行完整性、安全性检查，如病毒和恶意代码检查等，并在此过程中，外网处理单元103与数据交换单元102处于断开状态，一旦数据完全写入网闸的存储介质，“读取”开关立即打开，中断与内网的“写”开关，实现内网连接的中断，转而发起对外网处理单元103的非tcp/ip协议的数据连接请求，当外
网处理单元103收到请求后，发出“读”命令，将数据交换单元102的数据读取到外网处理单元103，外网处理单元103重新发起tcp/ip的会话到达目标服务器中，将数据上传交给应用系统，完成了内网到外网的信息交换。
37.根据以上的内网到外网的信息交换过程，可以得到相似的外网到内网的信息交换过程。
38.具体的，图4示出了本发明实施例提供的系统中数据交换单元102的结构框图。
39.其中，在本发明提供的优选实施方式中，所述数据交换单元102具体包括：内外交换模块1021，用于接收所述第一数据连接请求和所述第一写命令，获取内网数据，对所述内网数据进行还原处理，生成内网处理数据，将所述内网处理数据传输至外网处理单元。
40.外内交换模块1022，用于接收所述第二数据连接请求和所述第二写命令，获取外网数据，对所述外网数据进行还原处理，生成外网处理数据，将所述外网处理数据传输至内网处理单元。
41.进一步的，在本发明提供的又一个优选实施方式中，所述数据交换单元102还包括：工业控制模块，用于基于对工控协议深度解析，实现对内网数据和外网数据中参数的控制，对于无法识别的数据全部隔离丢弃。
42.在本发明实施例中，工业控制模块支持modbus、opc、s7、wincc、dnp3、iec等工控协议，基于对工控协议的深度解析，能实现对功能码、线圈值、值域范围等参数的控制，如典型的实现opc只允许读，modbus限制值域范围等控制功能，彻底阻挡不符合opc标准格式的dec/rpc数据访问，对于无法识别的数据全部隔离丢弃。
43.进一步的，在本发明提供的又一个优选实施方式中，所述数据交换单元102还包括：数据库同步模块，用于提供多个同构数据库之间、异构数据库的单、双向数据交换，对预设的同构数据库之间、异构数据库之间的数据同步；内置时间策略，通过获取用户的策略配置，进行自定义同步执行。
44.在本发明实施例中，数据库同步模块提供多种主流数据库（oracle、sybase、mysql、sql server、db2等）的单、双向数据交换，支持同构数据库之间、异构数据库之间的数据同步，表结构转换由数据库同步模块自动完成，无需修改数据库表结构，且数据库同步模块内置时间策略，用户可根据实际情况进行策略配置，时间段可以是一次性执行、某个时间段执行、周期循环执行等，并且同步的数据量和表可以自定义。
45.进一步的，在本发明提供的又一个优选实施方式中，所述数据交换单元102还包括：文件交换模块，用于支持多个文件传输协议，通过获取用户设置的规则信息，进行相应文件的过滤；支持多个操作系统平台，在不同文件系统之间进行数据的单向、双向交换。
46.在本发明实施例中，文件交换模块支持ftp、nsf、smb等文件传输协议，兼容linux、uinux、windowx等操作系统平台，可在不同文件系统之间实现数据的单向、双向交换，且内置实用的文件交换策略，用户可根据需求配置相关的规则信息，如文件大小过滤、文件类型
过滤、文件内容关键字过滤等，确保只有符合保密、安全策略的数据文件才允许被同步。
47.进一步的，在本发明提供的又一个优选实施方式中，所述数据交换单元102还包括：视频模块，用于进行支持sctp、h.323和h.248主流视频协议转发，进行视音频同时传输，基于动态端口传输的流媒体视频应用。
48.在本发明实施例中，视频模块支持sctp、h.323、h.248等主流视频协议转发、视音频同时传输、基于动态端口传输的流媒体视频应用、视频管理服务器数据转发和视频管理服务器通道建立。
49.进一步的，在本发明提供的又一个优选实施方式中，所述数据交换单元102还包括：入侵防御模块，用于针对工业控制模块、数据库同步模块、文件交换模块和视频模块进行入侵实时检测，进行病毒防护查杀，并产生相关日志和告警，实时通知系统管理员。
50.在本发明实施例中，数据交换单元102中内嵌入侵防御模块，针对工业控制模块、数据库同步模块、文件交换模块和视频模块进行入侵实时检测，具体可对basicattack、smtp、ftp、dns、dos/ddos攻击、portscan等入侵行为进行实时检测，并产生相关日志和告警，实时通知系统管理员。
51.进一步的，图5示出了本发明实施例提供的方法的流程图。
52.其中，在本发明提供的又一个优选实施方式中，一种安全隔离与信息交换方法，所述方法具体包括以下步骤：步骤s100，在内网向外网发送数据时，内网处理单元101发起第一数据连接请求，发出第一写命令，关闭第一读开关，进行内网数据的检查与缓存；数据交换单元102接收第一数据连接请求和第一写命令，获取内网数据，对内网数据进行还原处理，生成内网处理数据，将内网处理数据和第一数据连接请求传输至外网处理单元103；外网处理单元103接收第一数据连接请求，发出第二读命令，关闭第二写开关，进行内网处理数据的读取；步骤s200，在外网向内网发送数据时，外网处理单元103发起第二数据连接请求，发出第二写命令，关闭第二读开关，进行外网数据的检查与缓存；数据交换单元102接收第二数据连接请求和第二写命令，获取外网数据，对外网数据进行还原处理，生成外网处理数据，将外网处理数据和第二数据连接请求传输至内网处理单元101；内网处理单元101接收第二数据连接请求，发出第一读命令，关闭第一写开关，进行外网处理数据的读取。
53.综上所述，本发明公开的一种安全隔离与信息交换系统，包括内网处理单元101、外网处理单元103和数据交换单元102。能够在内网和外网之间进行安全隔离，切断内外网络之间的直接连接，保障数据交换单元102与内网处理单元101和外网处理单元103之间，任意时刻只能与一个处理单元建立非tcp/ip协议的数据连接，在保证内外网隔离的情况下，内、外网络之间不能同时连接，从而实现可靠、高效的安全数据交换，用户只需依据自身工控网络特点定制合适的安全策略，即可实现内外网络进行安全数据通信，在保障用户工业网络及系统安全性的同时，最大限度保证客户应用的方便性。
54.应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例
中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
55.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink） dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
56.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
57.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
58.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。