专利名称:网络安全隔离装置的制作方法
技术领域:
本实用新型涉及一种网络安全隔离装置。
背景技术:
电力生产直接关系到国计民生,其安全问题一直是国家有关部门关注的重点之一。电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。
随着通信技术和网络技术的发展,接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。
而另一方面,Internet技术和因特网已得到广泛使用,E-mail、Web和PC的应用也日益普及,但同时病毒和黑客也日益猖獗。目前有一些电力调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,使得具有实时远方控制功能的监控系统,在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连,构成了对电网安全运行的严重隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
依据国家经济贸易委员会制定的《电网和电厂计算机监控系统及调度数据网络安全防护暂行规定》,把电力二次系统安全防护体系分为三层四安全区。第一层为实时监控系统,第二层为生产管理系统,第三层为电力信息系统。在层中按安全等级的不同又区分为安全工作区,第一层被认为是一个独立的安全区I。第二层分为两部分,一部分连接的外部边界通信网络为国家电力调度数据网(SPDnet),另一部分不连接国家电力调度数据网(SPDnet)。因而前者为安全区II,后者为安全区III。第三层电力信息系统,为安全区IV。在各安全区之间,均需选择适当的隔离装置。鉴于实时监控系统的重要性和生产管理系统的次重要性,安全区I、安全区II和安全区III、安全区IV的隔离尤其显得迫要。
目前市场流行的计算机防毒墙、防火墙、防毒软硬件产品为保证数据连接,必须支持全数据交换方式,这种方式在病毒和服务器寄居式黑客攻击面前是有漏洞,最近爆发的Nimda病毒现象就是最好的例证。WEB服务器同属于两个子网,一旦受到病毒或黑客的攻击侵入,则内网和RTU也就存在被攻击的危害。
它们主要存在以下的问题1、现有各种系统为确保网络的连接,必须遵循标准的通信协议,如TCP/IP协议,只要熟悉协议,就可以传送各种数据,也包括病毒和黑客的非法数据和指令。
2、WEB服务器同属于两个子网,数据通信也是双向的,内网外网没有实现信道上的隔离。
3、现有系统使用的是通用的操作系统,如Windows,一方面它是一个开放的操作系统,同时本身也存在安全的后门和漏洞,再者为确保网络连接不可能过多的干预数据包的处理。即网络是连通了,但进出的什么数据它无法管理。
4、为节约成本,有些网络连接使用的是公共网络,传输的内容又没有经过加密,很容易被恶意监听、截获、伪装,存在严重的安全隐患。
网络连接使用的都是通用网卡,没有流量统计、限制、优先通讯等功能,容易受到网络风暴的影响,造成网络阻塞,通信受到干扰甚至中断。
发明内容
本实用新型的目的在于提供一种网络安全隔离装置。其可在标准操作系统和通信协议(TCP/IP)下,完成各种网络的有效连接,包括INTERNET;同时确保网络安全,不受病毒黑客攻击,不发生网络通信故障和阻塞。
为达到上述目的,本实用新型提供一种网络安全隔离装置,其包含电路连接的一外购稳压电源,一外购计算机工业控制模块,一外购面板控制模块。
该外购稳压电源一端输入220伏特的交流电,另一端输出5伏特的直流电分别提供外购计算机工业控制模块和外购面板控制模块的电源。该外购计算机工业控制模块是网络安全隔离装置的核心模块,具有多个网络接口,通过该网口一端连接计算机外网(OA(MIS)网),另一端连接计算机内网(SCADA网),其功能类似一台计算机。该外购面板控制模块控制整个网络安全隔离装置的输入和显示,包括键盘输入、液晶显示器和指示灯。
该网络安全隔离装置具有以下功能所述的各网络接口是由独立的网卡支持,彼此间是物理隔离的,即内网和外网是完全物理隔离的,内网不会受到外网影响,病毒和黑客也就不能经由外网入侵和攻击内网。
实行IP地址认证方案,即当外网访问内网时,内网实行对外网的IP地址认证,若不是许可的IP地址用户,则拒绝访问。通过地址IP设置,可以设定通过隔离装置的机器列表,同时过滤掉某些计算机,这样就能够避免非法用户(IP地址)的使用,提高一定的安全性,滤除一部分潜在危害。
改变协议,使用非标准协议,即在外网访问内网时,传送数据报文采用非标准协议,网络安全隔离装置根据非标准协议的特殊标记判定此数据是否有效,若有效则允许内网接收带特殊标志的数据,若无效则不允许内网接收外网数据,起到屏蔽作用。
进行加密处理,即对外网计算机的数据进行拆包加密,只对内容加密,TCP/IP结构还是遵守标准规范,然后打包发送至网络。网络安全隔离装置对网络上的数据包进行分析识别,接收同一加密系统方案的数据包(包括物理层封底握手报文),丢弃非法数据包,并拆包解密再打包成标准TCP/IP包发送给内网。
流量统计与限制,记录进行数据交换的IP地址,再进行数据流量统计,实行优先通过的管理方法,以防止网络阻塞。
本实用新型提供的网络安全隔离装置能在保证各种网络连接的情况下,确保网络安全,不受病毒和黑客的攻击,也不发生网络通信故障和阻塞。
图1为本实用新型提供的网络安全隔离装置的顶部剖面示意图;图2为本实用新型提供的网络安全隔离装置的工作原理图。
具体实施方式
以下根据图1、图2,说明本实用新型的一种最佳实施方式。
如图1所示,为本实用新型提供的网络安全隔离装置1的顶部剖面示意图;其包含一外购稳压电源101(如型号为GKD-50-122),一外购计算机工业控制模块102(如型号为EC3-1566.VB1),一外购面板控制模块103(如型号为SSB-LSQL-WWM/V1.2)。
该外购稳压电源101一端输入220伏特的交流电,另一端输出5伏特的直流电分别提供外购计算机工业控制模块102和外购面板控制模块103的电源。该外购计算机工业控制模块102是网络安全隔离装置的核心模块,具有多个网络接口,通过该网络接口一端连接计算机外网(OA(MIS)网),另一端连接计算机内网(SCADA网),其功能类似一台计算机。该外购面板控制模块103控制整个网络安全隔离装置的输入和显示,包括键盘输入、液晶显示器和指示灯。
如图2所示,为本实用新型提供的网络安全隔离装置的工作原理图。
所述的各网络接口是由独立的网卡支持,彼此间是物理隔离的,即内网104和外网105是完全物理隔离的,内网104不会受到外网105影响,病毒和黑客也就不能经由外网105入侵和攻击内网104。
实行IP地址认证方案,即当外网105访问内网104时,内网104实行对外网105的IP地址认证,若不是许可的IP地址用户,则拒绝访问。通过地址IP设置,可以设定通过隔离装置的机器列表,同时过滤掉某些计算机,这样就能够避免非法用户(IP地址)的使用,提高一定的安全性,滤除一部分潜在危害。
改变协议,使用非标准协议,即在外网105访问内网104时,传送数据报文采用非标准协议,网络安全隔离装置根据非标准协议的特殊标记判定此数据是否有效,若有效则允许内网104接收带特殊标志的数据,若无效则不允许内网104接收外网数据,起到屏蔽作用。
进行加密处理,即对由外网105的计算机传送的数据进行拆包加密,只对内容加密,TCP/IP结构还是遵守标准规范,然后打包发送至网络。网络安全隔离装置对网络上的数据包进行分析识别,接收同一加密系统方案的数据包(包括物理层封底握手报文),丢弃非法数据包,并拆包解密再打包成标准TCP/IP包发送给内网104。
流量统计与限制,记录进行数据交换的IP地址,再进行数据流量统计,实行优先通过的管理方法,以防止网络阻塞。
本实用新型提供的网络安全隔离装置能在保证各种网络连接的情况下,确保网络安全,不受病毒和黑客的攻击,也不发生网络通信故障和阻塞。
权利要求1.一种网络安全隔离装置,其包含稳压电源,计算机工业控制模块,面板控制模块,特征在于,所述的稳压电源分别与计算机工业控制模块和面板控制模块通过电路连接,其提供该计算机工业控制模块和面板控制模块的工作电源;所述的计算机工业控制模块还与面板控制模块通过电路连接;所述的计算机工业控制模块包含多个网络接口,其通过所述的网络接口一端与计算机内网连接,另一端与计算机外网连接;所述的面板控制模块控制网络安全隔离装置的信息输入和显示输出。
2.如权利要求1所述的网络安全隔离装置,其特征在于,所述的各网络接口是由独立的网卡支持,彼此间是物理隔离的。
专利摘要本实用新型涉及一种网络安全隔离装置。其包含外购稳压电源,外购计算机工业控制模块,外购面板控制模块。该外购稳压电提供电源;该外购计算机工业控制模块具有多个网络接口,分别连接计算机外网和计算机内网;该外购面板控制模块控制整个网络安全隔离装置的输入和显示,包括键盘输入、液晶显示器和指示灯。本实用新型提供的网络安全隔离装置,其可在标准操作系统和通信协议(TCP/IP)的有效连接;同时确保网络安全,不受病毒黑客攻击,不发生网络通信故障和阻塞。
文档编号H04L29/10GK2774023SQ200420037198
公开日2006年4月19日 申请日期2004年7月5日 优先权日2004年7月5日
发明者李国庆 申请人:上海申贝科技发展有限公司