专利名称:网络隔离装置的制作方法
技术领域:
本实用新型涉及一种网络隔离装置。
背景技术:
工业控制系统是由各种自控组件以及对实时数据进行采集、监测的过程控制组件组成的系统,我国超过百分之八十的关键基础设施依靠工业控制系统来实现自动化作业,工业控制网络已是国家安全战略的重要组成部分,一旦工业控制网络信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患,因此,我国各级政府部门高度重视,强调工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,必须切实加强工业控制网络信息安全管理。目前在通用工业控制系统网络安全防护中,采用的技术防护措施比较少,且没有形成系统体系的方式进行总体防护,随着工业控制系统的管控一体化,使得工业控制系统与传统IT管理系统以及互联网相连通,内部也越来越多地采用了通用软件、通用硬件和通用协议,直接面对来自外界的种种威胁,增加了工业控制网络信息的安全隐患。同时工业控制行业用户的安全意识不足,在系统设计之中未考虑系统整体安全设计,存在只重视功能实现,不重视安全的现象,而且在运行维护中对安全管理也不够重视,增加了工业控制系统遭受病毒、木马攻击的可能性。目前,生产管理系统与控制系统共同处于生产控制网络中,彼此支持信息互通,没有逻辑隔离和信息检测措施。这种做法存在来自互联网或其它媒介的病毒或木马以所述经营管理网络为基地通过所述防火墙对所述生产控制网络发动攻击的信息安全隐患。
实用新型内容本实用新型所要解决的技术问题是克服现有技术的不足,提供一种在工控系统中能阻断生产执行层到工业控制层网络的潜在通信路径,对正向数据提供带校验的单向通信,并保证传输、在线、实时和连续,提高工控系统网络边界的安全强度的网络隔离装置。本实用新所采用的技术方案为:本实用新型包括两个千兆内网网口、两个千兆外网网口、内网主板、外网主板、电源、电源切换器、两个控制口、管理与配置模块、数据管理模块和日志管理模块,在所述内网主板上设置有内网CPU,在所述外网主板上设置有外网CPU,所述内网网口和内网网络数据入口相连,所述外网网口和外网网络数据接口相连,所述控制口、所述管理与配置模块均和外接终端配置计算机相连,所述电源和所述电源切换器相连,所述电源切换器与电源接口相连,所述日志管理模块与外接日志管理服务器相连,所述网络隔离装置还包括有工控协议应用层数据检验模块,所述工控协议应用层数据检验模块分别与所述内网CPU、所述外网CPU相连接,所述内网主板与所述外网主板之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。所述网络隔离装置内还设置有硬件看门狗,所述硬件看门狗均与所述内网CPU及所述外网CPU相连接。所述网络隔离装置内还包括有报警模块,所述报警模块均与所述内网CPU及所述外网CPU相连接。本实用新型的有益效果是:由于本实用新型包括两个千兆内网网口、两个千兆外网网口、内网主板、外网主板、电源、电源切换器、两个控制口、管理与配置模块、数据管理模块和日志管理模块,在所述内网主板上设置有内网CPU,在所述外网主板上设置有外网CPU,所述内网网口和内网网络数据入口相连,所述外网网口和外网网络数据接口相连,所述控制口、所述管理与配置模块均和外接终端配置计算机相连,所述电源和所述电源切换器相连,所述电源切换器与电源接口相连,所述日志管理模块与外接日志管理服务器相连,所述网络隔离装置还包括有工控协议应用层数据检验模块,所述工控协议应用层数据检验模块分别与所述内网CPU、所述外网CPU相连接,所述内网主板与所述外网主板之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控;所以,本实用新型通过隔离技术应用从而达到对工控生产执行层与工业控制层之间的网络进行控制,其主要体现在数据只能由工业控制层单向地通过单向光纤向生产执行层传输,阻断网络的逻辑连接,隔离传输机制具有不可编程性,网络隔离装置具备了对数据的审查功能,数据不具有攻击及有害的特性,它具有强大的管理与控制功能,为工控系统网络提供一道绝对安全的大门,阻断外部应用程序直接建立TCP联接,从而保证了生产执行层及工业管理层网络的安全。
图1是本实用新型的结构示意图;图2是本实用新型中各模块的工作原理结构示意图;图3是本实用新型在具体实施例中与外围设备的连接结构示意图。
具体实施方式
如图1、图2所示,本实用新型包括两个千兆内网网口 1、两个千兆外网网口 2、内网主板3、外网主板4、电源5、电源切换器6、两个控制口 7、管理与配置模块8、数据管理模块9和日志管理模块10,在所述内网主板3上设置有内网CPUl I,在所述外网主板4上设置有外网CPU12,所述内网网口 I和内网网络数据入口相连,所述外网网口 2和外网网络数据接口相连,所述控制口 7、所述管理与配置模块8均和外接终端配置计算机相连,所述电源5和所述电源切换器6相连,所述电源切换器6与电源接口相连,所述日志管理模块10与外接日志管理服务器相连,本实用新型还包括有工控协议应用层数据检验模块13,所述工控协议应用层数据检验模块13分别与所述内网CPU11、所述外网CPU12相连接,所述内网主板3与所述外网主板4之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。本实用新型内还设置有硬件看门狗(在附图中未作标示),所述硬件看门狗均与所述内网CPUll及所述外网CPU12相连接。本实用新型内还包括有报警模块(在附图中未作标示),所述报警模块均与所述内网CPUll及所述外网CPU12相连接。本实用新型采用安全固化的LINUX操作系统,内核中只包含用户管理、进程管理和基本的网络接口,剔除了 TCP/IP协议栈和其它不需要的所有系统服务,提高了系统抗攻击的能力,保证系统的安全最大化。本实用新型支持多种接入方式以适用于不同的运行环境,同时它支持双机热备,以延长平均无故障时间,维持系统更高的可用性,装置具备高速通信带宽,不会成为数据传输的瓶颈。本实用新型采用两块独立的内网和外网主板,分别接入工业控制层和生产执行层网络,,各自完成与OPC服务器和OPC客户端的通信,同时两块主板之间采用单向光通信技术实现安全隔离,在保证应用层OPC数据传输的体下阻断网络层连接,保证了工控系统网络的安全。本实用新型物理隔离阻断了网络的所有连接,隔离、阻断了网络的连通。网络被隔离、阻断后,工业管理层与生产执行层之间只有通过单向光纤进行单向通信,信道不可逆。从而实现阻断网络直接连接,有效隔离阻断潜在攻击的连接。在通信时采用阻断网络逻辑连接,TCP/IP协议被剥离,将原始数据非网络方式传送。其中包括一系列的阻断特征,如没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。在此同时,提供了双机互备的功能与需求,在运行途中,一旦出现故障,可自动迅速地切换到与之互备的相同设备上,保证了数据传输的稳定性。有效阻截黑客对保护网络攻击。所述管理与配置模块8用于配置所述网络隔离装置,设置通信链路规则、通信协议、装置地址。所述数据管理模块9用于将获取网络数据及分析结果递交到主计算机进行后台处理。所述日志管理模块10用于记录通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录,发送到指定日志服务器,以便事后审计。本实用新型的工作过程如下:如图3所示,内网网络端口与工业控制层网络的数据入口相接,当工业控制层网络的数据需要传输到生产执行层时,网络隔离装置通信模块主动向工业控制层服务器数据交换代理发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的通信协议剥离,将原始数据写入存储介质。在写入之前,根据不同的应用,所述工控协议应用层数据检验模块13还要对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等。一旦数据完全写入网络隔离装置的存储介质,开关立即打开,中断与工业控制层服务器的连接。转而发起对生产执行层服务器的非TCP/IP协议的数据连接请求,当生产执行层服务器收到请求后,发出“读”命令,将隔离网闸存储介质内的数据导向生产执行层服务器。生产执行层服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了工业控制层到生产执行层的信息交换。本实用新型可应用于工业控制领域。
权利要求1.一种网络隔离装置,包括两个千兆内网网口(I)、两个千兆外网网口(2)、内网主板(3)、外网主板(4)、电源(5)、电源切换器(6)、两个控制口(7)、管理与配置模块(8)、数据管理模块(9 )和日志管理模块(10 ),在所述内网主板(3 )上设置有内网CPU (11),在所述外网主板(4)上设置有外网CPU (12),所述内网网口(I)和内网网络数据入口相连,所述外网网口(2)和外网网络数据接口相连,所述控制口(7)、所述管理与配置模块(8)均和外接终端配置计算机相连,所述电源(5)和所述电源切换器(6)相连,所述电源切换器(6)与电源接口相连,所述日志管理模块(10)与外接日志管理服务器相连,其特征在于:所述网络隔离装置还包括有工控协议应用层数据检验模块(13),所述工控协议应用层数据检验模块(13)分别与所述内网CPU (11)、所述外网CPU (12)相连接,所述内网主板(3)与所述外网主板(4)之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。
2.根据权利要求1所述的网络隔离装置,其特征在于:所述网络隔离装置内还设置有硬件看门狗,所述硬件看门狗均与所述内网CPU (11)及所述外网CPU (12)相连接。
3.根据权利要求2所述的网络隔离装置,其特征在于:所述网络隔离装置内还包括有报警模块,所述报警模块均与所述内网CPU (11)及所述外网CPU (12)相连接。
专利摘要本实用新型公开了一种在工控系统中能阻断生产执行层到工业控制层网络的潜在通信路径,提高工控系统网络边界的安全强度的网络隔离装置。本实用新型包括两个千兆内网网口(1)、两个千兆外网网口(2)、内网主板(3)、外网主板(4)、电源(5)、电源切换器(6)、两个控制口(7)、管理与配置模块(8)、数据管理模块(9)和日志管理模块(10),所述网络隔离装置还包括有工控协议应用层数据检验模块(13),所述工控协议应用层数据检验模块(13)分别与内网CPU(11)、外网CPU(12)相连接,所述内网主板(3)与所述外网主板(4)之间采用单向光纤连接。本实用新型可应用于工业控制领域。
文档编号H04L29/06GK202979014SQ20122071471
公开日2013年6月5日 申请日期2012年12月23日 优先权日2012年12月23日
发明者刘智勇, 陈良汉 申请人:珠海市鸿瑞软件技术有限公司