CN202979014U - 网络隔离装置 - Google Patents
网络隔离装置 Download PDFInfo
- Publication number
- CN202979014U CN202979014U CN 201220714711 CN201220714711U CN202979014U CN 202979014 U CN202979014 U CN 202979014U CN 201220714711 CN201220714711 CN 201220714711 CN 201220714711 U CN201220714711 U CN 201220714711U CN 202979014 U CN202979014 U CN 202979014U
- Authority
- CN
- China
- Prior art keywords
- network
- outer net
- intranet
- cpu
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种在工控***中能阻断生产执行层到工业控制层网络的潜在通信路径,提高工控***网络边界的安全强度的网络隔离装置。本实用新型包括两个千兆内网网口(1)、两个千兆外网网口(2)、内网主板(3)、外网主板(4)、电源(5)、电源切换器(6)、两个控制口(7)、管理与配置模块(8)、数据管理模块(9)和日志管理模块(10),所述网络隔离装置还包括有工控协议应用层数据检验模块(13),所述工控协议应用层数据检验模块(13)分别与内网CPU(11)、外网CPU(12)相连接,所述内网主板(3)与所述外网主板(4)之间采用单向光纤连接。本实用新型可应用于工业控制领域。
Description
技术领域
本实用新型涉及一种网络隔离装置。
背景技术
工业控制***是由各种自控组件以及对实时数据进行采集、监测的过程控制组件组成的***,我国超过百分之八十的关键基础设施依靠工业控制***来实现自动化作业,工业控制网络已是国家安全战略的重要组成部分,一旦工业控制网络信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患,因此,我国各级政府部门高度重视,强调工业控制***信息安全事关工业生产运行、国家经济安全和人民生命财产安全,必须切实加强工业控制网络信息安全管理。
目前在通用工业控制***网络安全防护中,采用的技术防护措施比较少,且没有形成***体系的方式进行总体防护,随着工业控制***的管控一体化,使得工业控制***与传统IT管理***以及互联网相连通,内部也越来越多地采用了通用软件、通用硬件和通用协议,直接面对来自外界的种种威胁,增加了工业控制网络信息的安全隐患。同时工业控制行业用户的安全意识不足,在***设计之中未考虑***整体安全设计,存在只重视功能实现,不重视安全的现象,而且在运行维护中对安全管理也不够重视,增加了工业控制***遭受病毒、木马攻击的可能性。
目前,生产管理***与控制***共同处于生产控制网络中,彼此支持信息互通,没有逻辑隔离和信息检测措施。这种做法存在来自互联网或其它媒介的病毒或木马以所述经营管理网络为基地通过所述防火墙对所述生产控制网络发动攻击的信息安全隐患。
实用新型内容
本实用新型所要解决的技术问题是克服现有技术的不足,提供一种在工控***中能阻断生产执行层到工业控制层网络的潜在通信路径,对正向数据提供带校验的单向通信,并保证传输、在线、实时和连续,提高工控***网络边界的安全强度的网络隔离装置。
本实用新所采用的技术方案为:本实用新型包括两个千兆内网网口、两个千兆外网网口、内网主板、外网主板、电源、电源切换器、两个控制口、管理与配置模块、数据管理模块和日志管理模块,在所述内网主板上设置有内网CPU,在所述外网主板上设置有外网CPU,所述内网网口和内网网络数据入口相连,所述外网网口和外网网络数据接口相连,所述控制口、所述管理与配置模块均和外接终端配置计算机相连,所述电源和所述电源切换器相连,所述电源切换器与电源接口相连,所述日志管理模块与外接日志管理服务器相连,所述网络隔离装置还包括有工控协议应用层数据检验模块,所述工控协议应用层数据检验模块分别与所述内网CPU、所述外网CPU相连接,所述内网主板与所述外网主板之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。
所述网络隔离装置内还设置有硬件看门狗,所述硬件看门狗均与所述内网CPU及所述外网CPU相连接。
所述网络隔离装置内还包括有报警模块,所述报警模块均与所述内网CPU及所述外网CPU相连接。
本实用新型的有益效果是:由于本实用新型包括两个千兆内网网口、两个千兆外网网口、内网主板、外网主板、电源、电源切换器、两个控制口、管理与配置模块、数据管理模块和日志管理模块,在所述内网主板上设置有内网CPU,在所述外网主板上设置有外网CPU,所述内网网口和内网网络数据入口相连,所述外网网口和外网网络数据接口相连,所述控制口、所述管理与配置模块均和外接终端配置计算机相连,所述电源和所述电源切换器相连,所述电源切换器与电源接口相连,所述日志管理模块与外接日志管理服务器相连,所述网络隔离装置还包括有工控协议应用层数据检验模块,所述工控协议应用层数据检验模块分别与所述内网CPU、所述外网CPU相连接,所述内网主板与所述外网主板之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控;所以,本实用新型通过隔离技术应用从而达到对工控生产执行层与工业控制层之间的网络进行控制,其主要体现在数据只能由工业控制层单向地通过单向光纤向生产执行层传输,阻断网络的逻辑连接,隔离传输机制具有不可编程性,网络隔离装置具备了对数据的审查功能,数据不具有攻击及有害的特性,它具有强大的管理与控制功能,为工控***网络提供一道绝对安全的大门,阻断外部应用程序直接建立TCP联接,从而保证了生产执行层及工业管理层网络的安全。
附图说明
图1是本实用新型的结构示意图;
图2是本实用新型中各模块的工作原理结构示意图;
图3是本实用新型在具体实施例中与***设备的连接结构示意图。
具体实施方式
如图1、图2所示,本实用新型包括两个千兆内网网口1、两个千兆外网网口2、内网主板3、外网主板4、电源5、电源切换器6、两个控制口7、管理与配置模块8、数据管理模块9和日志管理模块10,在所述内网主板3上设置有内网CPU11,在所述外网主板4上设置有外网CPU12,所述内网网口1和内网网络数据入口相连,所述外网网口2和外网网络数据接口相连,所述控制口7、所述管理与配置模块8均和外接终端配置计算机相连,所述电源5和所述电源切换器6相连,所述电源切换器6与电源接口相连,所述日志管理模块10与外接日志管理服务器相连,本实用新型还包括有工控协议应用层数据检验模块13,所述工控协议应用层数据检验模块13分别与所述内网CPU11、所述外网CPU12相连接,所述内网主板3与所述外网主板4之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。
本实用新型内还设置有硬件看门狗(在附图中未作标示),所述硬件看门狗均与所述内网CPU11及所述外网CPU12相连接。本实用新型内还包括有报警模块(在附图中未作标示),所述报警模块均与所述内网CPU11及所述外网CPU12相连接。
本实用新型采用安全固化的LINUX操作***,内核中只包含用户管理、进程管理和基本的网络接口,剔除了TCP/IP协议栈和其它不需要的所有***服务,提高了***抗攻击的能力,保证***的安全最大化。本实用新型支持多种接入方式以适用于不同的运行环境,同时它支持双机热备,以延长平均无故障时间,维持***更高的可用性,装置具备高速通信带宽,不会成为数据传输的瓶颈。本实用新型采用两块独立的内网和外网主板,分别接入工业控制层和生产执行层网络,,各自完成与OPC服务器和OPC客户端的通信,同时两块主板之间采用单向光通信技术实现安全隔离,在保证应用层OPC数据传输的体下阻断网络层连接,保证了工控***网络的安全。
本实用新型物理隔离阻断了网络的所有连接,隔离、阻断了网络的连通。网络被隔离、阻断后,工业管理层与生产执行层之间只有通过单向光纤进行单向通信,信道不可逆。从而实现阻断网络直接连接,有效隔离阻断潜在攻击的连接。在通信时采用阻断网络逻辑连接, TCP/IP协议被剥离,将原始数据非网络方式传送。其中包括一系列的阻断特征,如没有命令,没有协议,没有TCP/IP连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。在此同时,提供了双机互备的功能与需求,在运行途中,一旦出现故障,可自动迅速地切换到与之互备的相同设备上,保证了数据传输的稳定性。有效阻截黑客对保护网络攻击。
所述管理与配置模块8用于配置所述网络隔离装置,设置通信链路规则、通信协议、装置地址。所述数据管理模块9用于将获取网络数据及分析结果递交到主计算机进行后台处理。所述日志管理模块10用于记录通过装置进入内网的应用数据及未通过装置而被丢失的应用数据进行完整的记录,发送到指定日志服务器,以便事后审计。
本实用新型的工作过程如下:
如图3所示,内网网络端口与工业控制层网络的数据入口相接,当工业控制层网络的数据需要传输到生产执行层时,网络隔离装置通信模块主动向工业控制层服务器数据交换代理发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的通信协议剥离,将原始数据写入存储介质。在写入之前,根据不同的应用,所述工控协议应用层数据检验模块13还要对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等。一旦数据完全写入网络隔离装置的存储介质,开关立即打开,中断与工业控制层服务器的连接。转而发起对生产执行层服务器的非TCP/IP协议的数据连接请求,当生产执行层服务器收到请求后,发出“读”命令,将隔离网闸存储介质内的数据导向生产执行层服务器。生产执行层服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用***,完成了工业控制层到生产执行层的信息交换。
本实用新型可应用于工业控制领域。
Claims (3)
1.一种网络隔离装置,包括两个千兆内网网口(1)、两个千兆外网网口(2)、内网主板(3)、外网主板(4)、电源(5)、电源切换器(6)、两个控制口(7)、管理与配置模块(8)、数据管理模块(9)和日志管理模块(10),在所述内网主板(3)上设置有内网CPU(11),在所述外网主板(4)上设置有外网CPU(12),所述内网网口(1)和内网网络数据入口相连,所述外网网口(2)和外网网络数据接口相连,所述控制口(7)、所述管理与配置模块(8)均和外接终端配置计算机相连,所述电源(5)和所述电源切换器(6)相连,所述电源切换器(6)与电源接口相连,所述日志管理模块(10)与外接日志管理服务器相连,其特征在于:所述网络隔离装置还包括有工控协议应用层数据检验模块(13),所述工控协议应用层数据检验模块(13)分别与所述内网CPU(11)、所述外网CPU(12)相连接,所述内网主板(3)与所述外网主板(4)之间采用单向光纤连接,数据由内网单向地传输到外网,所述网络隔离装置采用OPC/MODBUS TCP/DNP协议过滤经过的数据及通信协议内部应用层数据过滤并对协议的控制作严格的管控。
2.根据权利要求1所述的网络隔离装置,其特征在于:所述网络隔离装置内还设置有硬件看门狗,所述硬件看门狗均与所述内网CPU(11)及所述外网CPU(12)相连接。
3.根据权利要求2所述的网络隔离装置,其特征在于:所述网络隔离装置内还包括有报警模块,所述报警模块均与所述内网CPU(11)及所述外网CPU(12)相连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201220714711 CN202979014U (zh) | 2012-12-23 | 2012-12-23 | 网络隔离装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201220714711 CN202979014U (zh) | 2012-12-23 | 2012-12-23 | 网络隔离装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202979014U true CN202979014U (zh) | 2013-06-05 |
Family
ID=48520030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201220714711 Expired - Fee Related CN202979014U (zh) | 2012-12-23 | 2012-12-23 | 网络隔离装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202979014U (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827592A (zh) * | 2016-03-07 | 2016-08-03 | 焦作大学 | 一种计算机信息安全管理*** |
| CN106780857A (zh) * | 2016-11-14 | 2017-05-31 | 韩春龙 | 一种数字产品生产资料配置方法及产品 |
| CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
| CN108055244A (zh) * | 2017-11-27 | 2018-05-18 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理***网络安全隔离方法 |
| CN109901536A (zh) * | 2019-03-04 | 2019-06-18 | 北京工业大学 | 一种单向隔离数据采集与离线算法验证*** |
-
2012
- 2012-12-23 CN CN 201220714711 patent/CN202979014U/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827592A (zh) * | 2016-03-07 | 2016-08-03 | 焦作大学 | 一种计算机信息安全管理*** |
| CN106780857A (zh) * | 2016-11-14 | 2017-05-31 | 韩春龙 | 一种数字产品生产资料配置方法及产品 |
| CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
| CN108055244A (zh) * | 2017-11-27 | 2018-05-18 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理***网络安全隔离方法 |
| CN108055244B (zh) * | 2017-11-27 | 2020-09-08 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于srio接口技术的双处理***网络安全隔离方法 |
| CN109901536A (zh) * | 2019-03-04 | 2019-06-18 | 北京工业大学 | 一种单向隔离数据采集与离线算法验证*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN204089849U (zh) | 一种基于工业控制协议的网络隔离装置 | |
| CN202979014U (zh) | 网络隔离装置 | |
| CN109558366B (zh) | 一种基于多处理器架构的防火墙 | |
| CN104486336A (zh) | 工业控制网络安全隔离交换装置 | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN101986638A (zh) | 千兆单向型网络隔离装置 | |
| CN105204583B (zh) | 一种基于嵌入式***构建的物理隔离***及隔离方法 | |
| CN105099711A (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN103973476A (zh) | 网关、网关热备份***及方法 | |
| WO2021227465A1 (zh) | 工控***网络的安全防御方法及*** | |
| CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
| CN112350858A (zh) | 一种云端智能家居数据安全管理*** | |
| CN201936307U (zh) | 电力***专用物理隔离装置 | |
| CN101699456A (zh) | 一种计算机安全***及其方法 | |
| CN209086928U (zh) | 一种数据库审计的部署结构 | |
| CN204680024U (zh) | 基于动态人脸识别技术的计算机安全防范与预警*** | |
| CN112468464B (zh) | 基于服务链的状态机完整性验证***及方法 | |
| Chai et al. | Research of intelligent intrusion detection system based on web data mining technology | |
| CN203911973U (zh) | 一种适于大型局域网络安全的可扩性网络*** | |
| CN202535368U (zh) | 千兆物理隔离装置双机热备 | |
| CN102065086B (zh) | 一种适合可信连接架构的平台鉴别过程管理方法 | |
| CN205071043U (zh) | 基于电子商务平台应用的网络安全*** | |
| CN220067442U (zh) | 一种基于光隔离的数据安全摆渡*** | |
| CN204836195U (zh) | 一种基于zynq的小型密码机 | |
| Yao et al. | Design and Application of inter-network security transmission system of self-control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130605 Termination date: 20201223 |