一種工業(yè)控制網(wǎng)絡(luò)中的安全隔離網(wǎng)關(guān)的制作方法
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型涉及網(wǎng)絡(luò)信息安全領(lǐng)域,尤其涉及了一種適用于工業(yè)控制網(wǎng)絡(luò)中的安全隔離網(wǎng)關(guān)�。
【背景技術(shù)】
[0002]隨著工業(yè)網(wǎng)絡(luò)技術(shù)的不斷應(yīng)用和完善,Internet與社會(huì)各方面的結(jié)合越來(lái)越緊密��,工業(yè)企業(yè)各單位信息化建設(shè)等一系列網(wǎng)絡(luò)應(yīng)用蓬勃發(fā)展���。人們?cè)谙硎芑ヂ?lián)網(wǎng)豐富�、便捷的同時(shí),也日益感受到各類安全威脅正在飛速增長(zhǎng)��,頻繁的網(wǎng)絡(luò)攻擊����、病毒泛濫、非授權(quán)訪問(wèn)�、信息泄密等問(wèn)題極大地困擾著用戶,給信息網(wǎng)絡(luò)和核心業(yè)務(wù)造成嚴(yán)重的破壞��。
[0003]工業(yè)控制網(wǎng)絡(luò)集成架構(gòu)���,包括可編程控制產(chǎn)品�����、數(shù)控產(chǎn)品���、過(guò)程儀表產(chǎn)品、網(wǎng)絡(luò)通信產(chǎn)品和編程組態(tài)軟件等�,通過(guò)以太網(wǎng)形成從現(xiàn)場(chǎng)級(jí)到控制級(jí)、從執(zhí)行級(jí)再到工廠管理級(jí)的自動(dòng)化解決方案���。在此架構(gòu)下�,控制系統(tǒng)與其他設(shè)備通過(guò)交換技術(shù)共享同一物理通道,為消除信息孤島�����,實(shí)現(xiàn)智慧工廠創(chuàng)造了條件�����。但同時(shí)���,由于物理通道共享使控制系統(tǒng)更容易遭到內(nèi)部和外部的攻擊,使系統(tǒng)存在安全隱患����。
【發(fā)明內(nèi)容】
[0004]本實(shí)用新型針對(duì)現(xiàn)有技術(shù)中工業(yè)測(cè)控系統(tǒng)網(wǎng)絡(luò)存在安全隱患的缺點(diǎn),提供了一種安全隔離網(wǎng)關(guān)�。
[0005]為了解決上述技術(shù)問(wèn)題,本實(shí)用新型通過(guò)下述技術(shù)方案得以解決:
[0006]包括內(nèi)網(wǎng)接口處理單元����、外網(wǎng)接口處理單元和安全網(wǎng)關(guān)檢測(cè)處理單元,內(nèi)網(wǎng)接口處理單元和外網(wǎng)接口處理單元均包括通訊功能模塊����、串口配置模塊和日志功能模塊��,安全網(wǎng)關(guān)檢測(cè)處理單元包括安全隔離模塊�、協(xié)議分析模塊��、深度包檢測(cè)模塊��、數(shù)據(jù)流向控制模塊�����、VPN模塊和訪問(wèn)控制模塊�����,內(nèi)網(wǎng)接口處理單元�、安全網(wǎng)關(guān)檢測(cè)處理單元和外網(wǎng)接口處理單元依次通過(guò)數(shù)據(jù)流連接。其中:
[0007]安全隔離模塊:基于私有加密語(yǔ)言的實(shí)時(shí)數(shù)據(jù)交換技術(shù)及相應(yīng)的隔離加密電路���,獨(dú)立完成應(yīng)用數(shù)據(jù)的封包���、擺渡、拆包���,從而實(shí)現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離交換�����。以統(tǒng)一安全引擎為基礎(chǔ)���,對(duì)隔離交換報(bào)文進(jìn)行全文數(shù)據(jù)還原�����,對(duì)用戶登錄�����、命令請(qǐng)求、文本信息����、協(xié)議格式等實(shí)施全文深度檢測(cè),并支持特定應(yīng)用層協(xié)議標(biāo)簽的檢測(cè)控制�����,實(shí)現(xiàn)了對(duì)特定信息交換多重內(nèi)容安全管理��。
[0008]協(xié)議分析模塊:協(xié)議分析模塊同時(shí)具備完善的身份認(rèn)證管理與安全審計(jì)功能��,保證內(nèi)網(wǎng)系統(tǒng)的機(jī)密性、完整性和不可否認(rèn)性���,具備強(qiáng)大的數(shù)據(jù)交換能力和多種工業(yè)通信協(xié)議支持�����。協(xié)議分析模塊通過(guò)明確定義訪問(wèn)控制權(quán)限����,對(duì)用戶和權(quán)限進(jìn)行統(tǒng)一管理����,采用最低權(quán)限原則,有效避免有意或無(wú)意的操作失誤���?���?赏ㄟ^(guò)可信用戶列表對(duì)用戶統(tǒng)一管理��,為應(yīng)用程序和工廠區(qū)域指定相應(yīng)的權(quán)限��。
[0009]深度包檢測(cè)模塊:深度包檢測(cè)技術(shù)基于“特征字”的識(shí)別,工業(yè)通信網(wǎng)絡(luò)應(yīng)用程序都是建立在一定的應(yīng)用協(xié)議之上�,不同的應(yīng)用協(xié)議和通信數(shù)據(jù)流會(huì)帶有其特殊的“指紋”,這些指紋有可能是固定的端口��、特定的字符串或者特定的比特流����。基于“特征字”的識(shí)別技術(shù)��,是通過(guò)分析數(shù)據(jù)流中一些數(shù)據(jù)報(bào)文中的“指紋”信息�����,進(jìn)行模式匹配���、實(shí)時(shí)的行為分析、啟發(fā)分析和統(tǒng)計(jì)分析���,即使數(shù)據(jù)包采用先進(jìn)的迷惑和加密技術(shù)���,它也能可靠的對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行檢測(cè)分析。通過(guò)數(shù)據(jù)流的數(shù)據(jù)部分和包頭部分���,尋找協(xié)議違規(guī)行為����、病毒、垃圾郵件���、入侵行為��、或執(zhí)行定義的標(biāo)準(zhǔn)來(lái)決定數(shù)據(jù)包是否能通過(guò)或它需要被路由到一個(gè)不同的目的地����。
[0010]數(shù)據(jù)流向控制模塊:數(shù)據(jù)流向控制模塊進(jìn)行報(bào)文過(guò)濾�,僅有符合特定特征的單播和多播報(bào)文允許通過(guò),同時(shí)限制單個(gè)端口的流量�����,避免網(wǎng)絡(luò)過(guò)載�����;在保證工業(yè)控制系統(tǒng)實(shí)時(shí)性的前提下���,采用基于私有密鑰的加密網(wǎng)絡(luò)報(bào)文����,避免非授權(quán)用戶將偽造的數(shù)據(jù)替換正常傳輸?shù)臄?shù)據(jù)或插入偽造的數(shù)據(jù),同時(shí)也避免了關(guān)鍵信息的泄漏���;工業(yè)控制網(wǎng)絡(luò)采用實(shí)時(shí)以太網(wǎng)傳輸協(xié)議�����,減少受到網(wǎng)絡(luò)攻擊的可能����。從而建立一套工業(yè)通信安全體系����,縱深防御,加強(qiáng)預(yù)防性控制�����,保障工業(yè)通信的信息安全��。
[0011]VPN模塊:VPN功能采用IPSec協(xié)議����,利用密碼算法和相關(guān)的網(wǎng)絡(luò)技術(shù)構(gòu)建VPN的安全隧道,進(jìn)行數(shù)據(jù)加密安全傳輸��,達(dá)到專用網(wǎng)絡(luò)的目的�����,具有保護(hù)IP層安全的性能��。這樣�,即便信息被截取也無(wú)法偷窺或竄改其內(nèi)容。從而保證通過(guò)互聯(lián)網(wǎng)連接的局域網(wǎng)間通信的機(jī)密��、完整性和認(rèn)證����。
[0012]訪問(wèn)控制模塊:采用安全防護(hù)分區(qū)設(shè)計(jì)原則,將控制系統(tǒng)按“區(qū)域和通道”及控制功能分層或分區(qū)域���。多分區(qū)隔離有助于系統(tǒng)提供“縱深防御”���。區(qū)域之間的連接通道具備進(jìn)入?yún)^(qū)域的管制:采用抵御拒絕服務(wù)(DoS)防范攻擊或惡意軟件的轉(zhuǎn)移;屏蔽其他網(wǎng)絡(luò)系統(tǒng)��;保護(hù)網(wǎng)絡(luò)流量的完整性和保密性�。采用防火墻和單向網(wǎng)關(guān)隔斷阻止外界對(duì)控制系統(tǒng)內(nèi)部工業(yè)控制網(wǎng)絡(luò)資源的非法訪問(wèn)����,同時(shí)禁止內(nèi)部對(duì)外部的不安全訪問(wèn)����。
[0013]同時(shí),安全隔離網(wǎng)關(guān)具有實(shí)現(xiàn)網(wǎng)關(guān)基本的通訊功能模塊����、串口配置模塊和日志功能模塊,實(shí)現(xiàn)網(wǎng)絡(luò)互連����,信息交換服務(wù)。其中:
[0014]通訊功能模塊:基本的數(shù)據(jù)交互功能�,實(shí)現(xiàn)互鏈。
[0015]串口配置模塊:基本串口參數(shù)的配置功能��。
[0016]日志功能模塊:基本的歷史記錄功能����。
[0017]內(nèi)網(wǎng)接口處理單元和外網(wǎng)接口處理單元之間存在狀態(tài)反饋,當(dāng)外網(wǎng)數(shù)據(jù)進(jìn)入��,通過(guò)安全監(jiān)測(cè)單元進(jìn)行數(shù)據(jù)監(jiān)測(cè)���,若監(jiān)測(cè)結(jié)果安全����,則有狀態(tài)反饋通知內(nèi)網(wǎng)接口允許數(shù)據(jù)與內(nèi)網(wǎng)主機(jī)通信�,若監(jiān)測(cè)結(jié)果不安全,則有狀態(tài)反饋通知內(nèi)網(wǎng)接口單元拒絕數(shù)據(jù)與內(nèi)網(wǎng)主機(jī)通信��,反之依然����。
[0018]作為優(yōu)選,內(nèi)網(wǎng)接口處理單元與內(nèi)網(wǎng)中的通訊主機(jī)相連����,外網(wǎng)接口處理單元與外網(wǎng)中的通訊主機(jī)相連。
[0019]本實(shí)用新型針對(duì)控制系統(tǒng)連接管理信息系統(tǒng)或廣域網(wǎng)絡(luò)系統(tǒng)的安全性難題��,基于控制系統(tǒng)安全隔離網(wǎng)關(guān)的網(wǎng)絡(luò)外聯(lián)安全隔離解決方案�,可有效解決工業(yè)控制網(wǎng)絡(luò)外聯(lián)時(shí)面臨的安全問(wèn)題。
【附圖說(shuō)明】
[0020]圖1是本實(shí)用新型的結(jié)構(gòu)方框圖��。
【具體實(shí)施方式】
[0021]下面結(jié)合附圖與實(shí)施例對(duì)本實(shí)用新型作進(jìn)一步詳細(xì)描述�����。
[0022]實(shí)施例1
[0023]一種工業(yè)控制網(wǎng)絡(luò)中的安全隔離網(wǎng)關(guān),如附圖1所示�,包括內(nèi)網(wǎng)接口處理單元、夕卜網(wǎng)接口處理單元和安全網(wǎng)關(guān)檢測(cè)處理單元�����,內(nèi)網(wǎng)接口處理單元和外網(wǎng)接口處理單元均包括通訊功能模塊�����、串口配置模塊和日志功能模塊���,安全網(wǎng)關(guān)檢測(cè)處理單元包括安全隔離模塊�����、協(xié)議分析模塊���、深度包檢測(cè)模塊、數(shù)據(jù)流向控制模塊�、VPN模塊、訪問(wèn)控制模塊����,內(nèi)網(wǎng)接口處理單元�、安全網(wǎng)關(guān)檢測(cè)處理單元和外網(wǎng)接口處理單元依次通過(guò)數(shù)據(jù)流連接�。內(nèi)網(wǎng)接口處理單元與內(nèi)網(wǎng)中的通訊主機(jī)相連��,外網(wǎng)接口處理單元與外網(wǎng)中的通訊主機(jī)相連���。外網(wǎng)接口處理單元還將工作狀態(tài)反饋至內(nèi)網(wǎng)接口處理單元�����。其中:
[0024]安全隔離模塊:基于私有加密語(yǔ)言的實(shí)時(shí)數(shù)據(jù)交換技術(shù)及相應(yīng)的隔離加密電路��,獨(dú)立完成應(yīng)用數(shù)據(jù)的封包�����、擺渡�、拆包���,從而實(shí)現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)隔離交換���。以統(tǒng)一安全引擎為基礎(chǔ),對(duì)隔離交換報(bào)文進(jìn)行全文數(shù)據(jù)還原���,對(duì)用戶登錄����、命令請(qǐng)求、文本信息�����、協(xié)議格式等實(shí)施全文深度檢測(cè)�����,并支持特定應(yīng)用層協(xié)議標(biāo)簽的檢測(cè)控制��,實(shí)現(xiàn)了對(duì)特定信息交換多重內(nèi)容安全管理�����。
[0025]協(xié)議分析模塊:協(xié)議分析模塊同時(shí)具備完