CN103401756A - 一种用于工业网络的安全防护*** - Google Patents
一种用于工业网络的安全防护*** Download PDFInfo
- Publication number
- CN103401756A CN103401756A CN2013103658649A CN201310365864A CN103401756A CN 103401756 A CN103401756 A CN 103401756A CN 2013103658649 A CN2013103658649 A CN 2013103658649A CN 201310365864 A CN201310365864 A CN 201310365864A CN 103401756 A CN103401756 A CN 103401756A
- Authority
- CN
- China
- Prior art keywords
- security protection
- protection system
- industrial network
- opc
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种工业网络完全隔离***—SO系列OPC网关。该网关采用内置安全数据传输隧道、校验技术,与DCS、PLC、SCADA等***连接采集实时数据,通过安全隧道、校验后封装成OPCServer工业标准通讯接口,提供给上层应用***,实验自动化控制***和上层***之间的有效安全隔离。与现有技术相比,本发明具有结构先进、物理上不存在连接等优点。
Description
技术领域
本发明涉及一种工业领域的网络隔离产品,具体说是一种用于工业网络的SO系列OPC防护网关。
背景技术
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,工业控制***产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与MIS网络、因特网等公共网络连接,造成病毒、木马等威胁向工业控制***扩散,工业控制***安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制***信息安全面临严峻的形势。工业控制***信息安全防护是一个刻不容缓的课题,我们要从技术层面和管理层面着手,建设工业控制***网络安全。
目前对控制网络的防护,大部分采用的是防火墙、IDS、VPN等常规网络安全技术,这些常规安全防护方案都有很强的针对性,只能管辖属于自己管辖的事情,出了这个边界就不再能发挥作用。
传统网关产品的主要定位是各行业中对安全性要求较高的涉密业务的办公***,因此它提供的应用也以通用的互联网功能为主。例如,目前大多数网关都支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业领域,网关也开始得到应用和推广。但除了用于办公***外,当用于隔离控制网络时,由于网关一般都不支持工业通信标准如OPC、Modbus,用户只能使用其TCP/UDP定制功能。这种方式需要在连接网关的上、下游增加接口计算机或代理服务器,并定制通信协议转换接口软件才能实现通信。
发明内容
本发明目的是为了克服上述现有技术所存在的缺陷而提供的一款专门为企业过程控制***和管理信息***之间进行单向物理隔离并传输过程数据而开发的一款网络安全隔离网关SO系列OPC网关,其特征在于,该防护网关采用“2+1”的三模块构架,内置双主机***和一个用于建立安全通道可交换数据的隔离单元,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。该防护网关只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能。该OPC服务器与DCS、PLC、SCADA等***连接采集实时数据,通过安全隧道、校验后封装成OPC Server工业标准通讯接口,提供给上层应用***。OPC网关为上层***提供实时数据时,采用了内置安全数据传输隧道和校验技术,可以实现自动化控制***和上层***之间的有效安全隔离。该产品操作***、数据采集程序等均固化,不可修改,一旦被修改,重新启动后,自动恢复到初始状态,可以防止病毒以及黑客软件攻击。
与现有技术相比,本发明从物理上彻底切断工业控制网络与信息网络的连接通道,切断入侵路径。对于工业网络信息与信息网络之间要交换的信息一般只有过程数据,对不必要的信息不予摆渡,彻底切断病毒、木马等网络传播路径,且只允许授权的OPC客户端连接。
附图说明
图1为本发明的防护技术示意图。
图2为本发明的防护结构原理图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例1
如图1所示,OPC网闸采用“2+1”的三模块构架,内置双主机***和一个用于建立安全通道可交换数据的隔离单元,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。如图2所示,OPC网闸与DCS、PLC、SCADA等***连接采集实时数据,通过安全隧道、校验后封装成OPC Server工业标准通讯接口,提供给上层应用***,如实时数据库***、MIS、MES***。当OPC网关为上层***提供实时数据时,它一般位于自动化控制***和上层***之间,由于OPC网关采用了内置安全数据传输隧道、校验技术,可实现自动化控制***和上层***之间的有效安全隔离。
Claims (6)
1.一种工业网络安全防护***,其特征在于,采用“2+1”的三模块构架,所述三模块构架为内置双主机***和一个用于建立安全通道可交换数据的隔离单元,所述隔离单元通过总线技术建立安全通道以安全地实现快速数据交换;所述安全防护***只提供控制网络常用通信功能,而不提供通用互联网功能。
2.根据权利1所述的工业网络安全防护***,其特征在于,所述的安全防护***采用SO系列的OPC网关。
3.根据权利2所述的工业网络安全防护***,其特征在于,所述OPC网关与DCS、PLC、SCADA等***连接采集实时数据,通过安全隧道、校验后封装成OPC Server工业标准通讯接口,提供给上层应用***。
4.根据权利2所述的工业网络安全防护***,其特征在于,OPC网关采用了内置安全数据传输隧道和校验技术。
5.根据权利1所述的工业网络安全防护***,其特征在于,该产品操作***、数据采集程序等均固化,不可修改;一旦被修改,重新启动后,自动恢复到初始状态。
6.根据权利要求1所述的工业网络安全防护***,其特征在于:所述常用通信功能为OPC、Modbus等。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103658649A CN103401756A (zh) | 2013-08-21 | 2013-08-21 | 一种用于工业网络的安全防护*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103658649A CN103401756A (zh) | 2013-08-21 | 2013-08-21 | 一种用于工业网络的安全防护*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103401756A true CN103401756A (zh) | 2013-11-20 |
Family
ID=49565285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103658649A Pending CN103401756A (zh) | 2013-08-21 | 2013-08-21 | 一种用于工业网络的安全防护*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103401756A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关*** |
| CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN106603396A (zh) * | 2016-11-12 | 2017-04-26 | 北京瑞祺皓迪技术股份有限公司 | 一种基于总线型数据交换的物联网接入网关 |
| CN107743117A (zh) * | 2017-08-22 | 2018-02-27 | 北京华电众信技术股份有限公司 | 网闸及控制数据传输的方法和装置 |
| CN107942972A (zh) * | 2017-11-15 | 2018-04-20 | 云南昆钢电子信息科技有限公司 | 一种工厂智能集成***及方法 |
| CN110875894A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 通讯安全防护***、方法及消息缓存节点 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030093486A1 (en) * | 2001-10-31 | 2003-05-15 | Alcatel | CIM gateway for supervising and controlling telecommunications transport networks |
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御***、方法和安全管理服务器 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及*** |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制***主站安全防护装置 |
-
2013
- 2013-08-21 CN CN2013103658649A patent/CN103401756A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030093486A1 (en) * | 2001-10-31 | 2003-05-15 | Alcatel | CIM gateway for supervising and controlling telecommunications transport networks |
| CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御***、方法和安全管理服务器 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及*** |
| CN202856781U (zh) * | 2012-08-29 | 2013-04-03 | 广东电网公司电力科学研究院 | 一种工业控制***主站安全防护装置 |
Non-Patent Citations (1)
| Title |
|---|
| 魏钦志: "工业网络控制***的安全与管理", 《测控技术》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486336A (zh) * | 2014-12-12 | 2015-04-01 | 冶金自动化研究设计院 | 工业控制网络安全隔离交换装置 |
| CN104660593A (zh) * | 2015-02-09 | 2015-05-27 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104660593B (zh) * | 2015-02-09 | 2017-10-10 | 西北工业大学 | Opc安全网关数据包过滤方法 |
| CN104753936B (zh) * | 2015-03-24 | 2017-10-10 | 西北工业大学 | Opc安全网关*** |
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关*** |
| CN105573291A (zh) * | 2015-12-24 | 2016-05-11 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105573291B (zh) * | 2015-12-24 | 2018-05-18 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105791269A (zh) * | 2016-02-18 | 2016-07-20 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN105791269B (zh) * | 2016-02-18 | 2019-05-14 | 南京富岛信息工程有限公司 | 一种基于数据白名单的信息安全网关 |
| CN106603396A (zh) * | 2016-11-12 | 2017-04-26 | 北京瑞祺皓迪技术股份有限公司 | 一种基于总线型数据交换的物联网接入网关 |
| CN106603396B (zh) * | 2016-11-12 | 2018-03-13 | 北京瑞祺皓迪技术股份有限公司 | 一种基于总线型数据交换的物联网接入网关 |
| CN107743117A (zh) * | 2017-08-22 | 2018-02-27 | 北京华电众信技术股份有限公司 | 网闸及控制数据传输的方法和装置 |
| CN107942972A (zh) * | 2017-11-15 | 2018-04-20 | 云南昆钢电子信息科技有限公司 | 一种工厂智能集成***及方法 |
| CN110875894A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 通讯安全防护***、方法及消息缓存节点 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103401756A (zh) | 一种用于工业网络的安全防护*** | |
| JP2016220213A (ja) | プラントセキュリティシステムにおける構成可能なロバスト性エージェント | |
| EP2382512B1 (en) | Communication module with network isolation and communication filter | |
| US20170093917A1 (en) | Centralized management and enforcement of online behavioral tracking policies | |
| CN104753936A (zh) | Opc安全网关*** | |
| CN105656883A (zh) | 一种适用于工控网络的单向传输内外网安全隔离网闸 | |
| US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
| Flaus | Cybersecurity of industrial systems | |
| CN104113522A (zh) | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 | |
| CN101296182A (zh) | 一种数据传输控制方法以及数据传输控制装置 | |
| CN104660593A (zh) | Opc安全网关数据包过滤方法 | |
| CN103973476A (zh) | 网关、网关热备份***及方法 | |
| CN104539600A (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN106326736A (zh) | 数据处理方法及*** | |
| CN109165508A (zh) | 一种外部设备访问安全控制***及其控制方法 | |
| CN113067843A (zh) | 一种配电物联网网络的安全监测与联动防御***及方法 | |
| CN105488396A (zh) | 一种基于数据流关联分析技术的智能电网业务安全网关*** | |
| CN102014010B (zh) | 一种网络行为管理***及方法 | |
| Bajramovic et al. | Security challenges and best practices for IIoT | |
| WO2012044821A2 (en) | System and method for controlling access to a plant network | |
| CN103530538A (zh) | 一种基于Schema的XML安全视图查询方法 | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| CN106254312A (zh) | 一种通过虚拟机异构实现服务器防攻击的方法及装置 | |
| CN105245336B (zh) | 一种文档加密管理*** | |
| CN102761541A (zh) | 定时器处理方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131120 |