本发明涉及工业安全领域,尤其是涉及一种工业机房安全防护系统。
背景技术:
目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,因此工业控制系统已经成为国家关键基础设施的重要组成部分。为了满足实际工控生产需求,在工控生产环境(例如工业机房)中,需要将工业设备、工控设备、计算机系统、通信设备、监控设备等设备组建成整套的工业控制系统。但由于整个工控生产环境内的设备种类繁多,实际环境复杂,导致整个工控生产环境面临安全问题,例如:工业机房内的自然环境温度过高或者湿度过大,容易导致各个设备无法正常运行,容易出现安全事故;设备之间的通信网络缺乏必要的安全防护等问题。
技术实现要素:
有鉴于此,本发明的目的在于提供一种工业机房安全防护系统,以缓解由于整个工业机房的工控生产环境内的设备种类繁多,实际环境复杂,整个工控生产环境面临安全问题的技术问题。
第一方面,本发明实施例提供了一种工业机房安全防护系统,包括:机房环境监测装置、工业交换机、工控隔离网闸、监测单元、第一智能控制器、第二智能控制器、管理单元和单向隔离装置;
所述机房环境监测装置包括:第一智能控制器和环境采集模块;
所述第一智能控制器的输入端与所述环境采集模块连接,输出端与所述工业交换机连接,用于发送报警信息给所述工业交换机;
所述第二智能控制器的输入端与至少一个工业设备连接,输出端与所述工业交换机连接,用于发送所述工业设备的运行信息给所述工业交换机;
所述工控隔离网闸的输入端与所述工业交换机连接,输出端与所述监测单元连接,用于将所述报警信息和所述工业设备的运行信息按照预设数据隔离交换方式发送给所述监测单元;
所述单向隔离装置的输入端与所述工业交换机连接,输出端与所述管理单元连接,用于将所述工业设备的运行信息发送给所述管理单元。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,还包括:部署于所述工业交换机与所述第一智能控制器之间的第一防火墙,以及部署于所述工业交换机与所述第二智能控制器之间的第二防火墙。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述监测单元包括:外网交换机、外网服务器和至少一个显示模块;
所述外网服务器通过所述外网交换机与所述工控隔离网闸连接,用于接收所述工控隔离网闸发送的所述报警信息和所述工业设备的运行信息;
所述显示模块与所述外网服务器连接,用于接收并显示所述报警信息和所述工业设备的运行信息。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,还包括:部署于所述工控隔离网闸与所述外网交换机之间的第三防火墙。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述监测单元还包括:声光报警模块;
所述声光报警模块与所述外网服务器连接,用于根据所述外网服务器发送的报警信号报警;
所述外网服务器,还用于根据所述报警信息和所述工业设备的运行信息生成报警信号。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述环境监测模块包括:温度传感器、湿度传感器、光强传感器、空气质量传感器、红外热成像仪、火花传感器、硬盘录像模块和监控摄像机等。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述机房环境监测装置还包括:开关量输入输出模块和环境调节装置;
所述环境调节装置通过所述开关量输入输出模块与所述第一智能控制器连接,用于在所述智能控制器的控制下,调节机房内环境;
所述环境调节装置包括:智能电源开关、智能新风机控制器、智能精密空调和智能水泵控制器等。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,所述第一智能控制器通过i/o模块与所述至少一个工业设备连接;
所述i/o模块包括:开关量i/o模块和模拟量i/o模块。
结合第一方面,本发明实施例提供了第一方面的第八种可能的实施方式,其中,所述第一智能控制器和所述第二智能控制器包括:plc控制器;
所述管理单元包括:opc服务器。
结合第一方面,本发明实施例提供了第一方面的第九种可能的实施方式,其中,所述显示模块包括:触摸显示屏,所述触摸显示屏的数量为两个。
本发明实施例带来了以下有益效果:本发明实施例提供的一种工业机房安全防护系统,从环境安全和网络安全的维度对整个机房的工控生产环境进行安全防护,以提高整个工业机房的工控生产安全性。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的工业机房安全防护系统的结构示意图;
图2为本发明另一个实施例提供的工业机房安全防护系统的结构示意图;
图3为本发明另一个实施例提供的工业机房安全防护系统的结构示意图;
图4为本发明另一个实施例提供的工业机房安全防护系统的结构示意图。
图标:
11-监测单元;12-管理单元;13-工控隔离网闸;14-单向隔离装置;15-工业交换机;16-第一智能控制器;17-第二智能控制器;18-机房环境监测装置;19-工业设备;20-第一防火墙;21-第二防火墙;22第三防火墙。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,由于整个工业机房的工控生产环境内的设备种类繁多,实际环境复杂,整个工控生产环境面临安全问题,基于此,本发明实施例提供的一种工业机房安全防护系统,从环境安全和网络安全的维度对整个机房的工控生产环境进行安全防护,以提高整个工业机房的工控生产安全性。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种工业机房安全防护系统进行详细介绍。
如图1所示,在本发明的一个实施例中,提供了一种工业机房安全防护系统,包括:机房环境监测装置18、工业交换机15、工控隔离网闸13、监测单元11、第一智能控制器16、第二智能控制器17、管理单元12和单向隔离装置14。
其中,所述机房环境监测装置18包括:第一智能控制器16和环境采集模块。
所述第一智能控制器16的输入端与所述环境采集模块连接,输出端与所述工业交换机15连接,用于发送报警信息给所述工业交换机15。
具体的,为了保证整个工业机房内的各个设备处于安全环境下正常运行,需要从防盗、防火、防火、防破坏及电力供应监控等物理安全角度,对整个工业机房的环境异常进行监控。其中,所述环境监测模块包括各种传感器组件等采集装置,例如,包括:温度传感器、湿度传感器、光强传感器、空气质量传感器、红外热成像仪、火花传感器、硬盘录像模块和监控摄像机等。
所述第一智能控制器16包括但不仅限于:plc控制器,所述plc控制器会判断多个传感器采集的环境信息是否出现异常,并发送环境异常报警信息给工业交换机15,以使所述工业交换机15将环境异常报警信息发送给所述监测单元11。
其中,所述第二智能控制器17的输入端与至少一个工业设备19连接,输出端与所述工业交换机15连接,用于发送所述工业设备19的运行信息给所述工业交换机15。
具体的,所述第二智能控制器17包括:plc控制器,所述plc控制器通过i/o模块与工业现场中的至少一个工业设备19连接,用于接收所述工业设备19的运行信息,所述运行信息包括:设备状态和设备异常等信息。其中,所述i/o模块包括:开关量i/o模块和模拟量i/o模块。所述工业设备19包括:流量计、测量仪表、传输设备、保障设备、仓储设备等工业设备19。
所述工控隔离网闸13的输入端与所述工业交换机15连接,输出端与所述监测单元11连接,用于将所述报警信息和所述工业设备19的运行信息按照预设数据隔离交换方式发送给所述监测单元11。
具体的,如图2所示,所述监测单元11包括:外网交换机、外网服务器和至少一个显示模块。
在实际应用中,所述工控隔离网闸13,用于建立工业交换机15与外网交换机之间的物理隔离通道,采用预设数据隔离交换方式(即数据隔离摆渡)将所述工业交换机15发送的所述报警信息和所述工业设备19的运行信息传输给外网交换机,并且阻断具有潜在攻击可能的一切网络连接,保证工业以太网与外网之间的网络安全以及数据交换的安全性。
具体的,工控隔离网闸内部包括两套处理系统,包括:两套相互独立的外网处理单元和内网处理单元,且两个单元之间不存在网络连接因此可以保障内部网络不会直接受到外部网络干扰,即来自外网的所有网络攻击信息都只对外网处理单元起作用而无法穿透工控隔离网闸到达内网(即内部工业以太网)。在极限情况下,外网系统可能瘫痪或被黑客控制,但影响不会扩散到内网,保障了内网的安全。
此外,工控隔离网闸中通过截断tcp连接,通过自身内部的安全隔离交换协议对工业协议(opcclassic、modbustcp、dnp3)数据进行数据交换。安全隔离交换协议对(且仅对)内外网间的纯数据内容进行解析、过滤和搬运,而在数据到达目的地后再由工控隔离网闸按照标准的网络协议进行重组进而提供网络服务。也就是说,在隔离的外网处理单元和内网处理单元,同时也是内网和外网之间只传递纯数据而不传递网络信息、控制信息等存在安全隐患的内容,保证内外网之间交换信息的纯洁、安全、可靠。同时,工控隔离网闸中“网络协议→安全隔离交换协议→网络协议”的协议转换,可以过滤掉绝大部分基于网络协议的漏洞攻击,实现内外网之间的协议隔离。
所述外网服务器通过所述外网交换机与所述工控隔离网闸13连接,用于接收所述工控隔离网闸13预设数据隔离交换方式发送的所述报警信息和所述工业设备19的运行信息。
所述显示模块与所述外网服务器连接,用于接收并显示所述报警信息和所述工业设备19的运行信息。
在实际应用中,所述显示模块包括:触摸显示屏等显示设备,所述触摸显示屏的数量可以为一个,也可以为两个,具体数量根据实际需要确定。以两个显示屏为例,其中一个显示环境异常报警信息,另一个显示所述工业设备19的运行信息。当环境异常和/或工业设备19运行出现异常时,监控人员可以通过显示模块得知环境异常报警信息和工业设备19的运行异常信息,使监控人员快速及时处理异常现象,降低损失,以保障工业机房整个工控生产环境正常有序地运行。
在本发明实施例中,所述监测单元11还包括:声光报警模块。
所述外网服务器,还用于根据所述报警信息和所述工业设备19的运行信息生成报警信号。所述声光报警模块与所述外网服务器连接,用于根据所述外网服务器发送的报警信号报警。
在实际应用中,当环境异常和/或工业设备19运行出现异常时,所述声光报警模块发出报警信号,保证监控人员第一时间内得知报警信号,避免由于显示屏显示异常漏掉重要异常信息。
此外,外网服务器还可以通过无线通信模块与用户终端(如手机)通信,当工业机房内出现异常情况后,可以进行短信报警,通知管理人员及时处理。具体的,无线通信模块包括:3g/4g模块、gprs无线通信模块等。
如图1所示,所述单向隔离装置14的输入端与所述工业交换机15连接,输出端与所述管理单元12连接,用于将所述工业设备19的运行信息发送给所述管理单元12。
具体的,所述单向隔离装置14,采用数据摆渡方式将所述工业设备19的运行信息单向传输给管理单元12,不提供反向数据通道,阻断管理网通向工业网的潜在攻击途径,保证网络安全。所述管理单元12包括:opc服务器。
本发明实施例提供的一种工业机房安全防护系统,从环境安全和网络安全的维度对整个机房的工控生产环境进行安全防护,以提高整个工业机房的工控生产安全性。
在前述实施例的基础上,如图3所示,本发明的另一个实施例中,所述工业机房安全防护系统还包括:部署于所述工业交换机15与所述第一智能控制器16之间的第一防火墙20,以及部署于所述工业交换机15与所述第二智能控制器17之间的第二防火墙21,部署于所述工控隔离网闸13与所述外网交换机之间的第三防火墙22。
具体的,所述第一防火墙20、所述第二防火墙21,用于拦截一切对plc控制器的非法访问,保证只有可信任的设备可以接入工控网络,只有可信任的数据可以在网络上传输。所述第三防火墙22,用于过滤工业以太网和管理信息网之间的数据,拦截攻击等,进而实现网络边界保护。
在前述实施例的基础上,如图4所示,本发明的另一个实施例中,所述机房环境监测装置18还包括:开关量输入输出模块和环境调节装置。
所述环境调节装置通过所述开关量输入输出模块与所述第一智能控制器16连接,用于在所述智能控制器的控制下,调节机房内环境。
所述环境调节装置包括:智能电源开关、智能新风机控制器、智能精密空调和智能水泵控制器等设备。
例如,当工业机房内的供电异常时,plc控制器向电源开关量输入输出模块发送关闭电源控制信号,智能电源开关根据关闭电源控制信号断开电源为机房的供电,避免发生重大电力危险。例如,工业机房内出现烟雾、火花等危险现象时,plc控制器控制智能电源开关断电,以及控制智能水泵控制器开启水泵,避免重大危险的发生,尽量降低损失。
需要说明的是,在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的系统、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的工业机房安全防护系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。