面向工业现场设备环境的边界安全专用网关系统的制作方法
【技术领域】
[0001]本实用新型涉及一种面向工业现场设备环境的边界安全专用网关系统。
【背景技术】
[0002]目前,工控系统的设备提供商以国外厂家居多,且工控网络漏洞较多,很容易被黑客或恶意软件利用,影响工控信息可用性,破坏工控系统安全。网络隔离技术的应用已经广泛渗透到电力行业,用于保护电力系统的信息安全。经对其技术特点和性能进行研宄,在其基础上依据工控系统特点开发工控协议及双向通讯功能,即可满足工控系统网络隔离要求,保障工控系统信息安全。
【实用新型内容】
[0003]本实用新型所要解决的技术问题是:提供一种面向工业现场设备环境的边界安全专用网关系统,实现主机与主机之间、主机与网络之间、网络与网络之间的安全隔离,以保障工控系统信息安全。
[0004]本实用新型解决其技术问题所采用的技术方案如下:
[0005]面向工业现场设备环境的边界安全专用网关系统,其特征在于:它包括配置服务器、日志服务器和安全固件三部分;配置服务器通过串口线与安全固件相连接,日志服务器通过网线与安全固件相连接。
[0006]所述安全固件包括内网主机板、外网主机板和双端口数据通道,内网主机板和外网主机板分别通过数据线与双端口数据通道相连接;所述安全固件还包括后面板,该后面板上设置有A端以太网通讯口和B端以太网通讯口,并设置有串口 ;所述安全固件还包括前面板,该前面板上设置有A端以太网通讯口指示灯和B端以太网通讯口指示灯;所述的A端以太网通讯口通过数据线与内网主机板相连接,B端以太网通讯口通过数据线与外网主机板相连接;所述的串口与配置服务器相连接。
[0007]所述的后面板上还设置有主电源开关和备电源开关。
[0008]所述的前面板上还设置有电源指示灯、双电源指示蜂鸣器及运行指示灯。
[0009]所述的A端以太网通讯口还与所述日志服务器相连接。
[0010]所述的双端口数据通道上有一个用于模拟实现双口 RAM功能的可编程器件。
[0011]本实用新型的积极效果在于:
[0012]本实用新型在包过滤的基础上,通过特殊的硬件设备,并采用了隔离传输、数据分阶段非网络方式传送等技术,实现了网络的有效安全隔离。
[0013]本实用新型能够实现主机与主机之间、主机与网络之间、网络与网络之间的隔离;能够对通讯信息进行记录;能够对异常信息进行分析并产生必要告警信息。最终保障工控系统信息安全。
【附图说明】
[0014]图1是本实用新型应用环境的网络拓扑图。
[0015]图2是本实用新型的安全固件的后面板正视图。
[0016]图3是本实用新型的安全固件的前面板正视图。
[0017]图4是本实用新型的安全固件的内部结构示意图。
【具体实施方式】
[0018]下面结合附图和具体实例进一步描述本实用新型。
[0019]如图1,本实施例包括用于安装策略参数配置软件的配置服务器1、用于安装日志服务软件的日志服务器2和安全固件3三部分。配置服务器I通过串口线与安全固件3相连接,日志服务器2通过网线与安全固件3相连接。
[0020]配置服务器I负责产生数据检测规则,最终发送给安全固件3。日志服务器2负责接收安全固件3传来的日志信息,并进行分析,发现不安全通讯可进行报警。安全固件3的A端与内网网络连接,B端与外网网络连接。内外网所有通讯必须经过安全固件3,且不符合安全规则的通讯将不被允许。
[0021]如图4,所述安全固件3包括内网主机板13、外网主机板14和双端口数据通道15,还包括用于为安全固件3供电的冗余电源系统16。内网主机板13和外网主机板14分别通过PCIE总线17与双端口数据通道15相连接。双端口数据通道15上有一个作为可编程器件18的FPGA,用于模拟实现双口 RAM功能。
[0022]所述安全固件3还包括如图2所示的后面板,该后面板上设置有三个A端以太网通讯口 7-2、三个B端以太网通讯口 7-1,以及A、B端各两个串口 8。
[0023]该后面板上还设置有主电源开关5和备电源开关6。
[0024]所述安全固件3还包括如图3所示的前面板,该前面板上设置有三个A端以太网通讯口指示灯11-1和三个B端以太网通讯口指示灯11-2。
[0025]该前面板上还设置有电源指示灯9、双电源指示蜂鸣器10及运行指示灯12。
[0026]单电源供电时,蜂鸣器会10鸣叫。双电源供电时,蜂鸣器10无鸣叫。主电源打开时,电源指示灯9显示绿色。仅备电源打开时,电源指示灯9灭。A、B端正常运行时,运行指示灯12亮。各以太网通讯口正常连接使用时,对应以太网通讯口指示灯11亮。
[0027]所述的A端以太网通讯口 7-2通过数据线与内网主机板13相连接,B端以太网通讯口 7-1通过数据线与外网主机板14相连接。
[0028]所述的串口 8配置服务器I相连接。
[0029]所述的A端以太网通讯口 7-2还与所述日志服务器2相连接。
[0030]本系统支持内外网数据的双向通讯。以内(A端)向外(B端)通讯为例。数据从内网传来,从某个A端以太网通讯口 7-2流入,经过内网主机板13的规则检测,通过PCIE总线17送至双端口数据通道15。B端可依据FPGA的逻辑对A端发送过来的数据进行读取,并最终发往外网。
[0031]每个主机板上都有独立的CPU、内存及硬盘。数据检测规则静态存储在硬盘上,可通过串口 8对检测规则进行修改。数据检测规则可依据主机IP、MAC及通讯协议等进行定义。
[0032]安全固件3运行过程中产生的日志信息通过A端以太网通讯口 7-2发至日志服务器2。
[0033]各以太网通讯口的用途可以自定义。
【主权项】
1.面向工业现场设备环境的边界安全专用网关系统,其特征在于:它包括配置服务器(1)、日志服务器(2)和安全固件(3)三部分;配置服务器(I)通过串口线与安全固件(3)相连接,日志服务器(2)通过网线与安全固件(3)相连接。
2.如权利要求1所述的面向工业现场设备环境的边界安全专用网关系统,其特征在于:所述安全固件(3)包括内网主机板(13)、外网主机板(14)和双端口数据通道(15),内网主机板(13)和外网主机板(14)分别通过数据线与双端口数据通道(15)相连接;所述安全固件(3)还包括后面板,该后面板上设置有A端以太网通讯口(7-2)和B端以太网通讯口(7-1),并设置有串口(8);所述安全固件(3)还包括前面板,该前面板上设置有A端以太网通讯口指示灯(11-1)和B端以太网通讯口指示灯(11-2);所述的A端以太网通讯口( 7-2)通过数据线与内网主机板(13)相连接,B端以太网通讯口(7-1)通过数据线与外网主机板(14)相连接;所述的串口(8)与配置服务器(I)相连接。
3.如权利要求2所述的面向工业现场设备环境的边界安全专用网关系统,其特征在于: 所述的后面板上还设置有主电源开关(5)和备电源开关(6)。
4.如权利要求2所述的面向工业现场设备环境的边界安全专用网关系统,其特征在于:所述的前面板上还设置有电源指示灯(9)、双电源指示蜂鸣器(10)及运行指示灯(12)。
5.如权利要求2或3或4所述的面向工业现场设备环境的边界安全专用网关系统,其特征在于:所述的A端以太网通讯口(7-2)还与所述日志服务器(2)相连接。
6.如权利要求2或3或4所述的面向工业现场设备环境的边界安全专用网关系统,其特征在于:所述的双端口数据通道(15)上有一个用于模拟实现双口 RAM功能的可编程器件(18)。
【专利摘要】本实用新型是一种面向工业现场设备环境的边界安全专用网关系统,它包括配置服务器、日志服务器和安全固件三部分;配置服务器通过串口线与安全固件相连接,日志服务器通过网线与安全固件相连接。能够实现主机与主机之间、主机与网络之间、网络与网络之间的隔离;能够对通讯信息进行记录;能够对异常信息进行分析并产生必要告警信息。最终保障工控系统信息安全。
【IPC分类】H04L12-66, H04L29-06
【公开号】CN204334623
【申请号】CN201520034052
【发明人】张青山, 刘岳崇, 张莹莹, 吴冬梅, 侯志光, 张宗杰
【申请人】东方电子股份有限公司
【公开日】2015年5月13日
【申请日】2015年1月19日