一种工业控制网络中的安全隔离网关的制作方法
【技术领域】
[0001]本实用新型涉及网络信息安全领域,尤其涉及了一种适用于工业控制网络中的安全隔离网关。
【背景技术】
[0002]随着工业网络技术的不断应用和完善,Internet与社会各方面的结合越来越紧密,工业企业各单位信息化建设等一系列网络应用蓬勃发展。人们在享受互联网丰富、便捷的同时,也日益感受到各类安全威胁正在飞速增长,频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题极大地困扰着用户,给信息网络和核心业务造成严重的破坏。
[0003]工业控制网络集成架构,包括可编程控制产品、数控产品、过程仪表产品、网络通信产品和编程组态软件等,通过以太网形成从现场级到控制级、从执行级再到工厂管理级的自动化解决方案。在此架构下,控制系统与其他设备通过交换技术共享同一物理通道,为消除信息孤岛,实现智慧工厂创造了条件。但同时,由于物理通道共享使控制系统更容易遭到内部和外部的攻击,使系统存在安全隐患。
【发明内容】
[0004]本实用新型针对现有技术中工业测控系统网络存在安全隐患的缺点,提供了一种安全隔离网关。
[0005]为了解决上述技术问题,本实用新型通过下述技术方案得以解决:
[0006]包括内网接口处理单元、外网接口处理单元和安全网关检测处理单元,内网接口处理单元和外网接口处理单元均包括通讯功能模块、串口配置模块和日志功能模块,安全网关检测处理单元包括安全隔离模块、协议分析模块、深度包检测模块、数据流向控制模块、VPN模块和访问控制模块,内网接口处理单元、安全网关检测处理单元和外网接口处理单元依次通过数据流连接。其中:
[0007]安全隔离模块:基于私有加密语言的实时数据交换技术及相应的隔离加密电路,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理。
[0008]协议分析模块:协议分析模块同时具备完善的身份认证管理与安全审计功能,保证内网系统的机密性、完整性和不可否认性,具备强大的数据交换能力和多种工业通信协议支持。协议分析模块通过明确定义访问控制权限,对用户和权限进行统一管理,采用最低权限原则,有效避免有意或无意的操作失误。可通过可信用户列表对用户统一管理,为应用程序和工厂区域指定相应的权限。
[0009]深度包检测模块:深度包检测技术基于“特征字”的识别,工业通信网络应用程序都是建立在一定的应用协议之上,不同的应用协议和通信数据流会带有其特殊的“指纹”,这些指纹有可能是固定的端口、特定的字符串或者特定的比特流。基于“特征字”的识别技术,是通过分析数据流中一些数据报文中的“指纹”信息,进行模式匹配、实时的行为分析、启发分析和统计分析,即使数据包采用先进的迷惑和加密技术,它也能可靠的对网络协议进行检测分析。通过数据流的数据部分和包头部分,寻找协议违规行为、病毒、垃圾邮件、入侵行为、或执行定义的标准来决定数据包是否能通过或它需要被路由到一个不同的目的地。
[0010]数据流向控制模块:数据流向控制模块进行报文过滤,仅有符合特定特征的单播和多播报文允许通过,同时限制单个端口的流量,避免网络过载;在保证工业控制系统实时性的前提下,采用基于私有密钥的加密网络报文,避免非授权用户将伪造的数据替换正常传输的数据或插入伪造的数据,同时也避免了关键信息的泄漏;工业控制网络采用实时以太网传输协议,减少受到网络攻击的可能。从而建立一套工业通信安全体系,纵深防御,加强预防性控制,保障工业通信的信息安全。
[0011]VPN模块:VPN功能采用IPSec协议,利用密码算法和相关的网络技术构建VPN的安全隧道,进行数据加密安全传输,达到专用网络的目的,具有保护IP层安全的性能。这样,即便信息被截取也无法偷窥或窜改其内容。从而保证通过互联网连接的局域网间通信的机密、完整性和认证。
[0012]访问控制模块:采用安全防护分区设计原则,将控制系统按“区域和通道”及控制功能分层或分区域。多分区隔离有助于系统提供“纵深防御”。区域之间的连接通道具备进入区域的管制:采用抵御拒绝服务(DoS)防范攻击或恶意软件的转移;屏蔽其他网络系统;保护网络流量的完整性和保密性。采用防火墙和单向网关隔断阻止外界对控制系统内部工业控制网络资源的非法访问,同时禁止内部对外部的不安全访问。
[0013]同时,安全隔离网关具有实现网关基本的通讯功能模块、串口配置模块和日志功能模块,实现网络互连,信息交换服务。其中:
[0014]通讯功能模块:基本的数据交互功能,实现互链。
[0015]串口配置模块:基本串口参数的配置功能。
[0016]日志功能模块:基本的历史记录功能。
[0017]内网接口处理单元和外网接口处理单元之间存在状态反馈,当外网数据进入,通过安全监测单元进行数据监测,若监测结果安全,则有状态反馈通知内网接口允许数据与内网主机通信,若监测结果不安全,则有状态反馈通知内网接口单元拒绝数据与内网主机通信,反之依然。
[0018]作为优选,内网接口处理单元与内网中的通讯主机相连,外网接口处理单元与外网中的通讯主机相连。
[0019]本实用新型针对控制系统连接管理信息系统或广域网络系统的安全性难题,基于控制系统安全隔离网关的网络外联安全隔离解决方案,可有效解决工业控制网络外联时面临的安全问题。
【附图说明】
[0020]图1是本实用新型的结构方框图。
【具体实施方式】
[0021]下面结合附图与实施例对本实用新型作进一步详细描述。
[0022]实施例1
[0023]一种工业控制网络中的安全隔离网关,如附图1所示,包括内网接口处理单元、夕卜网接口处理单元和安全网关检测处理单元,内网接口处理单元和外网接口处理单元均包括通讯功能模块、串口配置模块和日志功能模块,安全网关检测处理单元包括安全隔离模块、协议分析模块、深度包检测模块、数据流向控制模块、VPN模块、访问控制模块,内网接口处理单元、安全网关检测处理单元和外网接口处理单元依次通过数据流连接。内网接口处理单元与内网中的通讯主机相连,外网接口处理单元与外网中的通讯主机相连。外网接口处理单元还将工作状态反馈至内网接口处理单元。其中:
[0024]安全隔离模块:基于私有加密语言的实时数据交换技术及相应的隔离加密电路,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。以统一安全引擎为基础,对隔离交换报文进行全文数据还原,对用户登录、命令请求、文本信息、协议格式等实施全文深度检测,并支持特定应用层协议标签的检测控制,实现了对特定信息交换多重内容安全管理。
[0025]协议分析模块:协议分析模块同时具备完