[发明专利]一种隔离式网关

说明书

技术领域

本发明涉及一种隔离式网关。

背景技术

在现代工业企业的信息系统中，由各种DCS(Distributed ControlSystem，分散控制系统)、PLC(Programmable logic Controller，可编程控制器)、测控设备、SCADA(Supervisory Control And Data Acquisition，数据采集与监视控制系统)构成了过程控制系统。现有技术中过程控制系统位于底层车间，负责完成基本的生产控制。

随着企业信息化建设的发展，迫切要求实现过程控制系统与上层的管理信息系统之间的互联。这样可以实时完成经营管理层与车间执行层的双向信息流交互，使企业对生产情况保证实时反应，消除信息孤岛与断层现象。

在这种需要实现信息网络与控制网络互联的情况下，如何保证过程控制网络的安全就变成了一个严峻的问题。特别是对于石油、石化、电力、钢铁、煤矿等生产行业，对连续生产的安全性和可靠性有着极高的要求。这种企业对于过程控制网络的安全性要求极高，一旦实现了信息网络与控制网络之间的互联，就相当于将控制网络直接暴露给外网，导致过程控制网络面临被攻击的可能。

为了获取现场的生产信息，许多企业采用拷盘或人力传递的方式传送信息，包括人工抄表，定期上报的方式。人工采集不仅极不方便也无法实时地采集到现场的数据，很难满足当今工业控制行业对生产控制和信息管理方面的要求。

目前自动化市场上现有的数据采集与监控系统、工业通信网关、工业以太网采集设备等，有的虽然内嵌了防火墙功能，但都不能提供真正的物理隔离，网络安全防护性很差。

现在国内也有一部分网络技术公司，针对这一问题推出了专用的安全隔离类产品，或称网闸。但由于网闸类产品本身不具备工业数据采集与协议解析能力，仅仅实现单纯的网络隔离，因此对数据通信方向(一般都是单向隔离)和数据字节长度都有严格的限制，导致在应用时现有的SCADA系统均要为适应网闸重新开发通信接口，大大增加了开发成本与实施难度。另外由于通信功能受限，对于通信过程复杂的应用场合特别是需要数据控制的情况难以实现甚至无法实现。

发明内容

针对现有技术中存在的缺陷和不足，本发明的目的是提出一种隔离式网关，能够实现真正的物理隔离，提高网络安全性。

为了达到上述目的，本发明提出了一种隔离式网关，包括：

控制端连接模块、客户机连接模块、隔离模块，所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块；所述控制端连接模块电连接控制端，所述客户机连接模块连接客户机；

控制模块，所述控制模块控制所述控制端连接模块及客户机连接模块；当所述控制端通过所述控制端连接模块连接隔离模块时，所述客户机与隔离模块断开连接；当所述客户机通过所述客户机连接模块连接隔离模块时，所述控制端与隔离模块断开连接。

在上述技术方案中，控制端连接模块与控制端之间可通过各种标准通信协议通信；客户机连接模块与客户机之间可通过各种标准通信协议通信。

作为上述技术方案的优选，还包括数据传输模块，所述数据传输模块控制所述控制端和客户机之间的数据流，使所述控制端与客户机之间单向或双向数据传输。

作为上述技术方案的优选，所述控制端连接模块、客户机连接模块、隔离模块之间通过总线连接。

本发明提出了一种隔离式网关，主要应用于工业企业的信息系统，特别是对于过程控制网络的安全性要求极高的工业企业。本发明的隔离式网关包括：控制端连接模块、客户机连接模块、隔离模块，所述控制端连接模块和所述客户机连接模块分别电连接所述隔离模块；所述控制端连接模块电连接控制端，所述客户机连接模块连接客户机；控制模块，所述控制模块控制所述控制端连接模块及客户机连接模块；当所述控制端通过所述控制端连接模块连接隔离模块时，所述客户机与隔离模块断开连接；当所述客户机通过所述客户机连接模块连接隔离模块时，所述控制端与隔离模块断开连接。这种“双机非网”的物理隔离技术，能够有效的阻断网络直接连接，保证控制端和客户端不能同时连接到隔离模块，实现真正的物理隔离。

附图说明

图1为本发明提出的隔离式网关的结构示意图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步的详细说明。对于所属技术领域的技术人员而言，从对本发明的详细说明中，本发明的上述和其他目的、特征和优点将显而易见。

本发明提出的隔离式网关的第一优选实施例如图1所示，包括：