CN107800722A - 隔离工控设备与外部网络服务器的方法及装置 - Google Patents
隔离工控设备与外部网络服务器的方法及装置 Download PDFInfo
- Publication number
- CN107800722A CN107800722A CN201711269545.2A CN201711269545A CN107800722A CN 107800722 A CN107800722 A CN 107800722A CN 201711269545 A CN201711269545 A CN 201711269545A CN 107800722 A CN107800722 A CN 107800722A
- Authority
- CN
- China
- Prior art keywords
- status information
- industrial control
- control equipment
- terminal
- external network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种隔离工控设备与外部网络服务器的方法及装置,所述方法包括:在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机;利用所述内端机获取并存储所述工控设备的状态信息;利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。本发明实施例的有益效果在于:避免了外部网络服务器与工控设备之间的直接的通信,从而实现工控设备与网络设备之间真正意义上的隔离,避免了可能来自外部网络的对工控***的攻击,保证了工控***的安全性与稳定性。
Description
技术领域
本发明涉及工控安全技术领域,尤其涉及一种隔离工控设备与外部网络服务器的方法及装置。
背景技术
在工控场景中,工业控制协议作为工控业务的主要传输协议,多数采取明文传输的方式,协议本身缺少有效的安全机制。在此前提下,工控协议容易被监听,篡改,以及伪造。同时,在不同安全级别的网络中,协议的传输过程更容易产生不安全的因素,例如在非可信任网络到可信任网络的数据传输,需要对协议进行安全隔离及交换,保证安全的数据进入可信任网络。
在不安全的网络中传输明文的工业协议,协议内容有可能会被篡改,伪造等,不安全的协议(数据)传输到工业控制设备中,会对工业控制设备造成影响,影响正常工业生产的进行。
在网络边界处安装防火墙等安全设备,对工控协议进行管控,根据攻击威胁的特征,进行威胁检测,消除威胁。
1.目前的防火墙,多数是基于特征防护的,无法对工业协议的业务内容进行分析,无法检测未知威胁。
2.工业协议多数是基于TCP的协议传输,TCP是一种公开的协议传输方式,相对于私有协议,容易被伪造和篡改。
3.防火墙等装置,自身如果被攻击,通过设备传输数据将都会被攻击者劫持,很容易解析其中的内容。
发明内容
本发明实施例提供一种隔离工控设备与外部网络服务器的方法及装置,用于至少解决上述技术问题之一。
第一方面,本发明实施例提供一种隔离工控设备与外部网络服务器的方法,其包括:
在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机;
利用所述内端机获取并存储所述工控设备的状态信息;
利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;
利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
第二方面,本发明实施例还提供一种隔离工控设备与外部网络服务器的装置,包括:内端机、隔离卡和外端机,其中,
所述内端机用于获取并存储所述工控设备的状态信息;
所述隔离卡用于采用预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;
所述外端机用于接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
第三方面,本发明实施例提供一种非易失性计算机可读存储介质,所述存储介质中存储有一个或多个包括执行指令的程序,所述执行指令能够被电子设备(包括但不限于计算机,服务器,或者网络设备等)读取并执行,以用于执行本发明上述任一项隔离工控设备与外部网络服务器的方法。
第四方面,提供一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明上述任一项隔离工控设备与外部网络服务器的方法。
第五方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任一项隔离工控设备与外部网络服务器的方法。
本发明实施例的有益效果在于:在本发明的实施例中,由于工控设备的状态信息是通过内端机获取并进一步通过隔离卡上传到外端机,以供外部网络服务器访问的(即,外部网络服务器所直接获取数据的来源是外端机),所以避免了外部网络服务器与工控设备之间的直接的通信,从而实现工控设备与网络设备之间真正意义上的隔离,避免了可能来自外部网络的对工控***的攻击,保证了工控***的安全性与稳定性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的隔离工控设备与外部网络服务器的方法一实施例的流程图;
图2为图1中步骤S12的一实施方式的流程图;
图3为图1中步骤S12的另一实施方式的流程图;
图4为图1中步骤S14的一实施方式的流程图;
图5为本发明的隔离工控设备与外部网络服务器的装置一实施例的原理框图;
图6为本发明的隔离工控设备与外部网络服务器的装置中的内端机一实施例的原理框图;
图7为本发明的隔离工控设备与外部网络服务器的装置中的内端机另一实施例的原理框图;
图8为本发明的隔离工控设备与外部网络服务器的装置中的外端机一实施例的原理框图;
图9为本发明的电子设备的一实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
在本发明中,“模块”、“装置”、“***”等等指应用于计算机的相关实体,如硬件、硬件和软件的组合、软件或执行中的软件等。详细地说,例如,元件可以、但不限于是运行于处理器的过程、处理器、对象、可执行元件、执行线程、程序和/或计算机。还有,运行于服务器上的应用程序或脚本程序、服务器都可以是元件。一个或多个元件可在执行的过程和/或线程中,并且元件可以在一台计算机上本地化和/或分布在两台或多台计算机之间,并可以由各种计算机可读介质运行。元件还可以根据具有一个或多个数据包的信号,例如,来自一个与本地***、分布式***中另一元件交互的,和/或在因特网的网络通过信号与其它***交互的数据的信号通过本地和/或远程过程来进行通信。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
如图1所示,本发明的一实施例的隔离工控设备与外部网络服务器的方法,包括:
S11、在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机。其中,工控设备与内端机通信连接,内端机通过隔离卡与外端机通信连接,外端机与外部网络服务器通信连接,在物理层面上将工控设备与外部网络服务器进行了隔离。
S12、利用所述内端机获取并存储所述工控设备的状态信息。其中,工控设备为整个工控***中所有的工控设备,数量为一个或者多个。内端机按照周期获取所有工控设备的状态信息或者接收部分工控设备按需上传的状态信息(例如,响应于外部网络服务器的访问请求所上传的工控设备的状态信息)。
S13、利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输。预设协议为数据摆渡协议,数据摆渡协议使用私有协议,以文件的方式传输数据,数据摆渡协议基于TCP协议,是应用层协议,在TCP基础上,增加了预设加密算法,预设加密算法是openssl的bf-cbc加密算法,包括文件校验和数据加密的功能。实现了数据在内端机与外端机之间的安全传输,避免了在不安全的网络中传输明文的工业协议,协议内容有可能会被篡改、伪造的潜在危险。
S14、利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
在本发明的实施例中,由于工控设备的状态信息是通过内端机获取并进一步通过隔离卡上传到外端机,以供外部网络服务器访问的(即,外部网络服务器所直接获取数据的来源是外端机),所以避免了外部网络服务器与工控设备之间的直接的通信,从而实现工控设备与网络设备之间真正意义上的隔离,避免了可能来自外部网络的对工控***的攻击,保证了工控***的安全性与稳定性。
在一些实施例中,所述利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输包括:
隔离卡接收内端机所上传的工控设备的状态信息;
隔离卡基于预设协议和预设加密算法对所接收的状态信息进行处理;
隔离卡将处理后的状态信息上传至外端机。
在一些实施例中,当外部网络服务器所请求获取的工控设备的状态信息不存在于外端机本地时,所述外端机将所述获取请求发送至隔离卡,此时,
所述利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输包括:
隔离卡接收来自外端机的状态信息获取请求(该请求由外部网络服务器发送至外端机,再经外端机进行协议过滤之后发送至隔离卡);
隔离卡解析所获取的状态信息获取请求,以确定目标工控设备(例如,可以通过解析所述状态信息获取请求获取目标工控设备的标识信息,以确定目标工控设备);
隔离卡生成用于访问所述目标工控设备的访问请求,并发送所述访问请求至内端机以最终获取目标工控设备的状态信息。隔离卡具有数据加密摆渡功能,可以实现应用层数据摆渡,内端机采集到的数据,存于本地的数据库,通过数据摆渡模块将数据库的内容由内端机同步到外端机。数据摆渡是指数据信息,由内端机经过隔离卡传送到外端机,传输过程中采用私有协议。数据同步机制,内端机和外端机的数据完全一致,为了保证传输速度,采取周期做数据同步,突发改变的数据实时更新的方式。
本实施例中,隔离卡接收到状态信息获取请求之后,并非直接将其转发至内端机,而是在通过解析确定目标工控设备之后重新生成访问请求并发送至内端机。因此,在隔离卡处彻底将来自外部网络的信息进行了隔离,保证进入内端机以及可能进入工控设备的信息的安全性与可靠性,确保了工控设备不被外部网络所攻击,提升了工控***的安全性。
如图2所示,在一些实施例中,所述利用所述内端机获取并存储所述工控设备的状态信息包括:
S21、内端机接收所述工控设备主动上传的状态信息。
S22、内端机过滤接收自所述工控设备上传的状态信息;根据预先配置的规则对状态信息进行安全检测,删除掉不和规格的数据,具体地,可以通过检测与状态信息相关联的功能码和/或地址范围和/或寄存器值范围和/或协议的完整性来实现对状态信息的安全性的检测。
S23、内端机解析并存储过滤之后的状态信息;内端机通过解析工业协议数据包(即,状态信息)的方式,将协议的各个字段解析出来,区分出各个寄存器,功能码,数值等信息,并缓存在内端机本地。
S24、内端机上传所述过滤之后的状态信息至所述隔离卡。内端机将数据库同步给外端机,使用摆渡通道(即,隔离卡),对外端机的数据库进行更新,更新包含周期性全量更新和突发事件更新,周期更新是指根据特定的周期,同步整个数据库到外端机,其中,预设周期可以根据实际需要进行设定,例如,可以设定1小时或者一天等为预设周期;突发事件更新是当出现状态实时更新的情况,将数据实时更新到外端机。
本实施例中,首先将工控设备的状态信息缓存在内端机本地进行存储,并且按照预设周期将所缓存的所有工控设备的状态信息同步更新至外端机,这样避免了内端机与外端机之间的频繁的通信,在一定程度上也减少了通信过程中可能受到攻击的概率,提升了工控***的安全性。此外,当没有达到同步时机时,如果外部网络服务器要访问的设备的状态信息不存在于外端机本地,则此时可以视为突发事件进行更新(具体地,可以是直接同步被请求的目标工控设备的状态信息至外端机,也可以是将已经缓存在内端机本地的所有的状态信息同步至外端机)。
如图3所示,在一些实施例中,所述利用所述内端机获取并存储所述工控设备的状态信息包括:
S31、内端机向所述工控设备发起状态信息采集请求;内端机向预先指定的需要采集状态的工控设备发起采集请求,将工控设备状态信息存入本地数据库。内端机数据采集功能支持多种协议(Modbus,OPC,S7,IEC104),采集的工控设备的状态存储在本地数据库中,用于做数据同步。
S32、内端机接收所述工控设备响应于所述状态信息采集请求所上传的状态信息;
S33、内端机过滤接收自所述工控设备上传的状态信息;
S34、内端机解析并存储经过滤之后的状态信息;
S35、内端机上传所述过滤之后的状态信息至所述隔离卡。
本实施例中,可以在外端机本地以及内端机本地均未存储外部网络服务器所请求访问的工控设备的状态信息时,由内端机主动向工控设备请求采集状态信息,从而即保证了外部网络服务器与工控设备之间的隔离,又保证了外部网络服务器对工控设备的正常访问。
如图4所示,在一些实施例中,所述利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取包括:
S41、外端机接收所述内端机通过所述隔离卡上传的所述工控设备的状态信息;
S42、外端机存储所接收的所述工控设备的状态信息;
S43、外端机过滤所接收到的访问所述工控设备状态信息的访问请求。外端机上布置有数据过滤模块,主要用途是分析工业协议数据的内容,提取信息(功能码,寄存器,值范围等),根据预先设置的规则策略进行过滤,只保留符合规则的数据,其他数据认为是不安全的,直接丢弃掉,也就是说,经过数据过滤模块的数据已经是安全可信的数据。数据过滤模块在外端机和内端机同时部署,数据采集模块在接收到采集数据之前,先进行数据过滤;数据转发模块在数据发送之前,也需要进行数据过滤。
S44、外端机从所存储的所述工控设备的状态信息中获取并发送对应于过滤之后的访问请求的状态信息至所述外部网络服务器。外端机上设置有数据转发模块,负责向控制***(例如,外部网络服务器)提供工控设备的状态,内端机采集到的设备信息通过数据摆渡模块(设置与隔离卡上)已经同步到了外端机本地数据库,控制***读取数据时,外端机的数据转发模块直接将数据从本地数据库中取出,通过外端机支持的协议发送给外端机。
本实施例中,外端机循环监听协议摆渡卡(即,隔离卡)的状态,查看是否有数据同步的请求,如果有从内端机同步过来的数据,则更新外端机的本地数据库;同时,监听网络上是否有从控制***(例如,外部网络服务器)发出的,读取工控设备状态的请求。如果有状态读取的请求,则首先对请求做协议过滤处理,过滤掉不安全的数据。然后根据请求,从本地数据库中读取实时的设备状态信息,将实时信息发送到控制***。
本发明实施例的方法采取硬件隔离的方式,进行数据传输,两边是两个独立的主机,中间是硬件隔离卡,可以进行物理隔离,更安全可靠。硬件隔离卡是专门设计的,隔离卡上传输的是经过加密的私有协议,不容易被破解,安全性更高。隔离卡摆渡的内容是经过解析的应用层工业协议,对协议内容的可靠性和安全性做了验证之后才进行摆渡,避免内网受到不安全协议的入侵。由于是进行数据的全量保存,所以支持多种协议的摆渡及转换。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作合并,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
发明人在实现本发明的过程中意外的发现,虽然传统数据隔离装置处理内网数据交换时,也采用硬件隔离的方法,也是通过内端机和外端机分别和内外网进行连接,进行数据的交换和过滤;内端机和外端机分别作为TCP连接的客户端和服务器和内外网进行连接,内端机和外端机剥离应用层数据,同时进行转发。
但是,传统数据隔离装置采用的实时数据转发的方式,即内外端机收到数据之后,马上转发到对端,这样做并不能解决工业场景中,断线之后需要传送历史数据的问题;另外由于传统数据隔离装置只支持内外网设备的一对一连接,在工业场景下一对多或者多对一的采集转发方面无法满足。本发明的装置首先支持工业协议的全字段内容解析,可以解析功能码,地址范围,寄存器,以及寄存器的值,这是传统信息安全隔离装置不具备的;另外,本发明的装置的做法是由内端机将工业协议数据内容剥离出来,存储到数据库中。外端机在采集的时候,既可以采集历史数据,也可以采集实时数据,符合工业场景短线重连的需求;由于数据是存储在本地数据库中,内网和外网同时可以有多个机器采集或者转发同一份数据,实现一对多或者多对一的连接映射。
另一方面,本发明实施例还提供一种隔离工控设备与外部网络服务器的装置,所述装置由两台主机和一个硬件隔离卡构成,两台主机上分别都是独立的操作***,两台主机分别为内端机和外端机,连接不同安全级别的网络。硬件隔离卡具有数据加密摆渡功能,可以实现应用层数据摆渡。
如图5所示,在一些实施例中,隔离工控设备与外部网络服务器的装置500,其包括:内端机510、隔离卡520和外端机530,其中,工控设备600与内端机510通信连接,内端机510通过隔离卡520与外端机通530信连接,外端机530与外部网络服务器400通信连接;
所述内端机510用于获取并存储所述工控设备600的状态信息;
所述隔离卡520用于采用预设协议和预设加密算法实现所述内端机510与所述外端机530之间的数据传输;
所述外端机530用于接收并存储所述内端机510通过所述隔离卡520上传的所述工控设备600的状态信息,以供所述外部网络服务器400获取。
在本发明的实施例中,由于工控设备的状态信息是通过内端机获取并进一步通过隔离卡上传到外端机,以供外部网络服务器访问的(即,外部网络服务器所直接获取数据的来源是外端机),所以避免了外部网络服务器与工控设备之间的直接的通信,从而实现工控设备与网络设备之间真正意义上的隔离,避免了可能来自外部网络的对工控***的攻击,保证了工控***的安全性与稳定性。
以下按照状态读取场景以及指令下发场景分别对本发明上述实施例中所述的隔离工控设备与外部网络服务器的装置的工作流程进行进一步描述:
1、状态读取场景:
服务器(例如,外部网络服务器)通过隔离装置采集工控设备的信息,服务器直接和外端机相连,工控设备和内端机相连。
首先由内端机采集工控设备的数据,存储于本地数据库,采集的内容根据配置决定。
内端机和外端机之间通过隔离卡进行协议摆渡,同步数据库的内容。
外端机所连接的服务器,在进行数据采集时,直接通过外端机的数据库获取数据。
为了保持数据一致性,内端机定期从工控设备中读取数据。
2、指令下发场景:
服务器(例如,外部网络服务器)向工控设备下发写状态的指令。
首先由服务器将指令下发到外端机,外端机解析下发指令的数据。
外端机通过特定的摆渡协议,将下发指令传送到内端机。
内端机接收到下发指令,将指令发送给工控设备,实现指令下发。
在内端机和外端机进行指令接收和指令下发之前,都需要经过协议过滤模块对数据进行过滤。
在一些实施例中,所述隔离卡520用于:接收内端机所上传的工控设备的状态信息;基于预设协议和预设加密算法对所接收的状态信息进行处理;将处理后的状态信息上传至外端机。
在一些实施例中,当外部网络服务器所请求获取的工控设备的状态信息不存在于外端机本地时,所述外端机将所述获取请求发送至隔离卡,此时,所述隔离卡520用于:
接收来自外端机的状态信息获取请求(该请求由外部网络服务器发送至外端机,再经外端机进行协议过滤之后发送至隔离卡);
解析所获取的状态信息获取请求,以确定目标工控设备(例如,可以通过解析所述状态信息获取请求获取目标工控设备的标识信息,以确定目标工控设备);
生成用于访问所述目标工控设备的访问请求,并发送所述访问请求至内端机以最终获取目标工控设备的状态信息。
如图6所示,所述内端机510包括:
内端状态信息接收模块511,用于接收所述工控设备主动上传的状态信息;
内端协议过滤模块512,用于过滤接收自所述工控设备上传的状态信息;
内端解析存储模块513,用于解析并存储经所述内端协议过滤模块过滤之后的状态信息;
内端状态信息上传模块514,用于上传所述过滤之后的状态信息至所述隔离卡。
如图7所示,在一些实施例中,所述内端机510包括:
内端采集请求模块511′,用于向所述工控设备发起状态信息采集请求;
内端状态信息接收模块512′,用于接收所述工控设备响应于所述状态信息采集请求所上传的状态信息;
内端协议过滤模块513′,用于过滤接收自所述工控设备上传的状态信息;
内端解析存储模块514′,用于解析并存储经所述内端协议过滤模块过滤之后的状态信息;
内端状态信息上传模块515′,用于上传所述过滤之后的状态信息至所述隔离卡。
如图8所示,在一些实施例中,所述外端机530包括:
外端状态信息接收模块531,用于接收所述内端机通过所述隔离卡上传的所述工控设备的状态信息;
外端状态信息存储模块532,用于存储所述外部状态信息接收模块所接收的所述工控设备的状态信息;
外端协议过滤模块533,用于过滤所接收到的访问所述工控设备状态信息的访问请求;
外端状态信息发送模块534,用于从所存储的所述工控设备的状态信息中获取并发送对应于过滤之后的访问请求的状态信息至所述外部网络服务器。
上述本发明实施例的隔离工控设备与外部网络服务器的装置可用于执行本发明实施例的隔离工控设备与外部网络服务器的方法,并相应的达到上述本发明实施例的隔离工控设备与外部网络服务器的方法所达到的技术效果,这里不再赘述。
本发明实施例中可以通过硬件处理器(hardware processor)来实现相关功能模块。
另一方面,本发明实施例提供一种非易失性计算机可读存储介质,所述存储介质中存储有一个或多个包括执行指令的程序,所述执行指令能够被电子设备(包括但不限于计算机,服务器,或者网络设备等)读取并执行,以用于执行上述方法实施例中的相关步骤,例如:
利用所述内端机获取并存储所述工控设备的状态信息;
利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;
利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
另一方面,本发明实施例还公开一种电子设备,其包括:
至少一个处理器,以及
与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行:
利用所述内端机获取并存储所述工控设备的状态信息;
利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;
利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
图9是本申请另一实施例提供的执行隔离工控设备与外部网络服务器的方法的电子设备的硬件结构示意图,如图9所示,该设备包括:
一个或多个处理器910以及存储器920,图9中以一个处理器910为例。
执行隔离工控设备与外部网络服务器的方法的设备还可以包括:输入装置930和输出装置940。
处理器910、存储器920、输入装置930和输出装置940可以通过总线或者其他方式连接,图9中以通过总线连接为例。
存储器920作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的隔离工控设备与外部网络服务器的方法对应的程序指令/模块。处理器910通过运行存储在存储器920中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例隔离工控设备与外部网络服务器的方法。
存储器920可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储根据隔离工控设备与外部网络服务器的装置的使用所创建的数据等。此外,存储器920可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器920可选包括相对于处理器910远程设置的存储器,这些远程存储器可以通过网络连接至隔离工控设备与外部网络服务器的装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置930可接收输入的数字或字符信息,以及产生与隔离工控设备与外部网络服务器的装置的用户设置以及功能控制有关的信号。输出装置940可包括显示屏等显示设备。
所述一个或者多个模块存储在所述存储器920中,当被所述一个或者多个处理器910执行时,执行上述任意方法实施例中的隔离工控设备与外部网络服务器的方法。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
本申请实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(4)其他具有数据交互功能的电子装置。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种隔离工控设备与外部网络服务器的方法,包括:
在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机;
利用所述内端机获取并存储所述工控设备的状态信息;
利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;
利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
2.根据权利要求1所述的方法,其中,所述利用所述内端机获取并存储所述工控设备的状态信息包括:
接收所述工控设备主动上传的状态信息;
过滤接收自所述工控设备上传的状态信息;
解析并存储过滤之后的状态信息;
上传所述过滤之后的状态信息至所述隔离卡。
3.根据权利要求1所述的方法,其中,所述利用所述内端机获取并存储所述工控设备的状态信息包括:
向所述工控设备发起状态信息采集请求;
接收所述工控设备响应于所述状态信息采集请求所上传的状态信息;
过滤接收自所述工控设备上传的状态信息;
解析并存储经过滤之后的状态信息;
上传所述过滤之后的状态信息至所述隔离卡。
4.根据权利要求1中任一项所述的方法,其中,所述利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取包括:
接收所述内端机通过所述隔离卡上传的所述工控设备的状态信息;
存储所接收的所述工控设备的状态信息;
过滤所接收到的访问所述工控设备状态信息的访问请求;
从所存储的所述工控设备的状态信息中获取并发送对应于过滤之后的访问请求的状态信息至所述外部网络服务器。
5.一种隔离工控设备与外部网络服务器的装置,包括:内端机、隔离卡和外端机,其中,
所述内端机用于获取并存储所述工控设备的状态信息;
所述隔离卡用于采用预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输;
所述外端机用于接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息,以供所述外部网络服务器获取。
6.根据权利要求5所述的装置,其中,所述内端机包括:
内端状态信息接收模块,用于接收所述工控设备主动上传的状态信息;
内端协议过滤模块,用于过滤接收自所述工控设备上传的状态信息;
内端解析存储模块,用于解析并存储经所述内端协议过滤模块过滤之后的状态信息;
内端状态信息上传模块,用于上传所述过滤之后的状态信息至所述隔离卡。
7.根据权利要求5所述的装置,其中,所述内端机包括:
内端采集请求模块,用于向所述工控设备发起状态信息采集请求;
内端状态信息接收模块,用于接收所述工控设备响应于所述状态信息采集请求所上传的状态信息;
内端协议过滤模块,用于过滤接收自所述工控设备上传的状态信息;
内端解析存储模块,用于解析并存储经所述内端协议过滤模块过滤之后的状态信息;
内端状态信息上传模块,用于上传所述过滤之后的状态信息至所述隔离卡。
8.根据权利要求5中任一项所述的装置,其中,所述外端机包括:
外端状态信息接收模块,用于接收所述内端机通过所述隔离卡上传的所述工控设备的状态信息;
外端状态信息存储模块,用于存储所述外部状态信息接收模块所接收的所述工控设备的状态信息;
外端协议过滤模块,用于过滤所接收到的访问所述工控设备状态信息的访问请求;
外端状态信息发送模块,用于从所存储的所述工控设备的状态信息中获取并发送对应于过滤之后的访问请求的状态信息至所述外部网络服务器。
9.一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-4中任一项所述方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-4中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711269545.2A CN107800722A (zh) | 2017-12-05 | 2017-12-05 | 隔离工控设备与外部网络服务器的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711269545.2A CN107800722A (zh) | 2017-12-05 | 2017-12-05 | 隔离工控设备与外部网络服务器的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107800722A true CN107800722A (zh) | 2018-03-13 |
Family
ID=61536784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711269545.2A Pending CN107800722A (zh) | 2017-12-05 | 2017-12-05 | 隔离工控设备与外部网络服务器的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107800722A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572373A (zh) * | 2019-08-20 | 2019-12-13 | 北京安盟信息技术股份有限公司 | 一种数据交换平台和文件数据流处理方法 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN111586041A (zh) * | 2020-05-07 | 2020-08-25 | 英赛克科技(北京)有限公司 | 工业单向隔离网闸***和数据传输方法 |
| CN112134742A (zh) * | 2020-10-14 | 2020-12-25 | 合肥中科泛再物联网科技有限公司 | 一种重点用能单位能耗在线监测端设备***及方法 |
| CN113783714A (zh) * | 2021-06-30 | 2021-12-10 | 高新兴科技集团股份有限公司 | 数据异常定位方法、***、计算机存储介质及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN203930838U (zh) * | 2014-06-19 | 2014-11-05 | 北京淇朗科技有限公司 | 基于双台工控计算机的网络物理隔离通道 |
| CN104683352A (zh) * | 2015-03-18 | 2015-06-03 | 宁波科安网信通讯科技有限公司 | 一种具有双通道摆渡的工业通讯隔离网闸 |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| WO2017006363A1 (en) * | 2015-07-03 | 2017-01-12 | Fuji Electric Co., Ltd. | Isolator and isolator manufacturing method |
| CN106341397A (zh) * | 2016-08-25 | 2017-01-18 | 柏盟(北京)科技发展有限公司 | 一种工业安全隔离网闸 |
-
2017
- 2017-12-05 CN CN201711269545.2A patent/CN107800722A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491072A (zh) * | 2013-09-06 | 2014-01-01 | 北京信息控制研究所 | 一种基于双单向隔离网闸的边界访问控制方法 |
| CN203930838U (zh) * | 2014-06-19 | 2014-11-05 | 北京淇朗科技有限公司 | 基于双台工控计算机的网络物理隔离通道 |
| CN104683352A (zh) * | 2015-03-18 | 2015-06-03 | 宁波科安网信通讯科技有限公司 | 一种具有双通道摆渡的工业通讯隔离网闸 |
| WO2017006363A1 (en) * | 2015-07-03 | 2017-01-12 | Fuji Electric Co., Ltd. | Isolator and isolator manufacturing method |
| CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
| CN106341397A (zh) * | 2016-08-25 | 2017-01-18 | 柏盟(北京)科技发展有限公司 | 一种工业安全隔离网闸 |
Non-Patent Citations (1)
| Title |
|---|
| 于戈,等: "《数据仓库工程方法论》", 30 September 2003 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110572373A (zh) * | 2019-08-20 | 2019-12-13 | 北京安盟信息技术股份有限公司 | 一种数据交换平台和文件数据流处理方法 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN111586041A (zh) * | 2020-05-07 | 2020-08-25 | 英赛克科技(北京)有限公司 | 工业单向隔离网闸***和数据传输方法 |
| CN112134742A (zh) * | 2020-10-14 | 2020-12-25 | 合肥中科泛再物联网科技有限公司 | 一种重点用能单位能耗在线监测端设备***及方法 |
| CN113783714A (zh) * | 2021-06-30 | 2021-12-10 | 高新兴科技集团股份有限公司 | 数据异常定位方法、***、计算机存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107800722A (zh) | 隔离工控设备与外部网络服务器的方法及装置 | |
| EP3111433B1 (en) | Wireless sensor network | |
| CN104468244B (zh) | 域名解析***灾备建构方法及装置 | |
| CN104639366B (zh) | Dns灾备***孤岛应答自动切换方法及装置 | |
| CN107360145B (zh) | 一种多节点蜜罐***及其数据分析方法 | |
| US10972496B2 (en) | Upload interface identification method, identification server and system, and storage medium | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| CN105659245A (zh) | 上下文感知的网络取证 | |
| US11546295B2 (en) | Industrial control system firewall module | |
| CN105577670B (zh) | 一种撞库攻击的告警*** | |
| CN101741898A (zh) | 一种视频型安防***中的监视方法 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、***、介质和设备 | |
| WO2017107119A1 (en) | System to monitor and control sensor devices | |
| CN109309591B (zh) | 流量数据统计方法、电子设备及存储介质 | |
| CN105743880A (zh) | 一种数据分析*** | |
| CN109479013A (zh) | 计算机网络中的业务的日志记录 | |
| CN113112038B (zh) | 智能监测与诊断分析***、装置、电子设备及存储介质 | |
| CN106685685A (zh) | 一种跨安全分区的交换机性能监测方法及*** | |
| CN108566363A (zh) | 基于流式计算的暴力破解确定方法和*** | |
| CN103731429A (zh) | web应用漏洞检测方法及装置 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策***和方法 | |
| CN208046653U (zh) | 一种电力监控***网络安全监测主站平台*** | |
| CN110034979A (zh) | 一种代理资源监测方法、装置、电子设备及存储介质 | |
| CN109803030A (zh) | 一种匿名中间代理服务器及其通信方法 | |
| CN102053970B (zh) | 一种数据库监控方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180313 |