本发明涉及电力监控,特别涉及一种数据传输方法以及实时隔离网关。
背景技术:
1、电力系统网络数据不仅与电力生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。电力二次系统划分为不同的安全工作区,反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。其中,安全区i是实时控制区,安全保护的重点与核心;安全区ii是非控制生产区;安全区iii是生产管理区;安全区iv是管理信息区。
2、《电力二次系统安全防护总体方案》强调电力专用安全隔离装置为安全区i/ii与安全区iii的必备边界,要求具有最高的安全防护强度,是安全区i/ii横向防护的要点。其中,安全隔离装置(正向)用于安全区i/ii到安全区iii的单向数据传递;安全隔离装置(反向)用于安全区iii到安全区i/ii的单向数据传递,是安全区iii到安全区i/ii的唯一数据传递途径。
3、现有的安全隔离装置,通常是对安全区中业务主机发送的数据报文,进行基于媒体访问控制(mediaaccess control,mac)地址、互联网协议(internet protocol,ip)地址、传输协议、传输端口以及通信方向等过滤处理与访问控制后,再进行转发。这种方案虽然可以一定程度上避免基于网络协议漏洞进行的攻击,但仍然无法满足电力二次系统安全防护日益增长的安全性需求。
技术实现思路
1、针对现有技术的上述问题,本发明的目的在于提供一种数据传输方法以及实时隔离网关,能够实现在网络安全隔离状态下数据的安全可靠转发,提高不同业务主机之间的通信安全性。
2、为了解决上述问题,本发明提供一种数据传输方法,应用于实时隔离网关,所述实时隔离网关包括第一处理模块、第二处理模块和隔离模块;所述方法包括:
3、所述第一处理模块接收第一业务主机发送的待传输报文;
4、所述第一处理模块提取所述待传输报文中的数据部分;
5、所述第一处理模块在所述隔离模块切断与所述第二处理模块的物理连接的情况下,将所述数据部分写入所述隔离模块的隔离缓冲区;
6、所述第二处理模块在所述隔离模块切断与所述第一处理模块的物理连接的情况下,从所述隔离模块的隔离缓冲区中读取所述数据部分;
7、所述第二处理模块基于所述数据部分生成目标报文,并将所述目标报文发送至第二业务主机。
8、进一步地,所述第一处理模块提取所述待传输报文中的数据部分,包括:
9、所述第一处理模块将所述待传输报文进行分层剥离,得到多层协议的协议内容;
10、所述第一处理模块分别对各层协议的协议内容进行检验;
11、当各层协议的协议内容均检验通过时,所述第一处理模块提取所述待传输报文中的数据部分;
12、当存在至少一层协议的协议内容检验不通过时,所述第一处理模块丢弃所述待传输报文。
13、进一步地,所述方法还包括:
14、所述隔离模块切断与所述第二处理模块的物理连接;
15、所述隔离模块在切断与所述第二处理模块的物理连接后,向所述第一处理模块发送数据写入指令;
16、其中,所述第一处理模块在所述隔离模块切断与所述第二处理模块的物理连接的情况下,将所述数据部分写入所述隔离模块的隔离缓冲区,包括:
17、所述第一处理模块响应于所述隔离模块发送的数据写入指令,将所述数据部分写入所述隔离缓冲区。
18、进一步地,所述方法还包括:
19、在数据写入完成后,所述隔离模块切断与所述第一处理模块的物理连接;
20、所述隔离模块在切断与所述第一处理模块的物理连接后,向所述第二处理模块发送数据读取指令;
21、其中,所述第二处理模块在所述隔离模块切断与所述第一处理模块的物理连接的情况下,从所述隔离模块的隔离缓冲区中读取所述数据部分,包括:
22、所述第二处理模块响应于所述隔离模块发送的数据读取指令,从所述隔离缓冲区中读取所述数据部分。
23、进一步地,所述方法还包括:
24、在数据写入完成后,所述隔离模块对所述数据部分进行安全校验,得到校验结果;
25、其中,所述隔离模块在切断与所述第一处理模块的物理连接后,向所述第二处理模块发送数据读取指令,包括:
26、所述隔离模块在切断与所述第一处理模块的物理连接后,并且在所述校验结果为校验通过时,向所述第二处理模块发送数据读取指令。
27、进一步地,所述第二处理模块基于所述数据部分生成目标报文,并将所述目标报文发送至第二业务主机,包括:
28、所述第二处理模块基于所述数据部分进行报文重组,以得到所述目标报文;
29、所述第二处理模块将所述目标报文发送至所述第二业务主机。
30、进一步地,所述方法还包括:
31、所述第一处理模块判断所述数据部分的数据大小是否大于预设阈值;
32、当判断结果为是时,所述第一处理模块丢弃所述数据部分;
33、当判断结果为否时,执行所述第一处理模块在所述隔离模块切断与所述第二处理模块的物理连接的情况下,将所述数据部分写入所述隔离模块的隔离缓冲区的步骤。
34、本发明另一方面提供一种实时隔离网关,包括第一处理模块、第二处理模块和隔离模块;
35、所述第一处理模块被配置成与第一业务主机连接,用于接收所述第一业务主机发送的待传输报文;提取所述待传输报文中的数据部分;在所述隔离模块切断与所述第二处理模块的物理连接的情况下,将所述数据部分写入所述隔离模块的隔离缓冲区;
36、所述第二处理模块被配置成与第二业务主机连接,用于在所述隔离模块切断与所述第一处理模块的物理连接的情况下,从所述隔离模块的隔离缓冲区中读取所述数据部分;基于所述数据部分生成目标报文,并将所述目标报文发送至所述第二业务主机。
37、进一步地,所述隔离模块用于在数据写入完成后,切断与所述第一处理模块的物理连接;在切断与所述第一处理模块的物理连接后,向所述第二处理模块发送数据读取指令;或者,
38、所述隔离模块用于在数据写入完成后,切断与所述第一处理模块的物理连接,并且对所述数据部分进行安全校验,得到校验结果;在切断与所述第一处理模块的物理连接后,并且在所述校验结果为校验通过时,向所述第二处理模块发送数据读取指令;
39、其中,所述第二处理模块具体用于响应于所述隔离模块发送的数据读取指令,从所述隔离缓冲区中读取所述数据部分。
40、进一步地,所述第一处理模块还用于判断所述数据部分的数据大小是否大于预设阈值;当判断结果为是时,丢弃所述数据部分;当判断结果为否时,执行在所述隔离模块切断与所述第二处理模块的物理连接的情况下,将所述数据部分写入所述隔离模块的隔离缓冲区的步骤。
41、由于上述技术方案,本发明具有以下有益效果:
42、根据本发明实施例的数据传输方法,通过使用第一处理模块在隔离模块切断与第二处理模块的物理连接的情况下,将待传输报文的数据部分写入隔离模块的隔离缓冲区,使用第二处理模块在隔离模块切断与第一处理模块的物理连接的情况下,从隔离模块的隔离缓冲区中读取所述数据部分,从而实现报文数据的应用层传输。这种通过独立的隔离通道仅传输数据的方式,使得在数据报文转发过程中,内外网一直处于断开状态,实现了在网络安全隔离状态下数据的安全可靠转发,提高了不同业务主机之间的通信安全性。