[发明专利]隔离保护系统及其执行双向数据包过滤检查的方法

说明书

本发明公开了一种隔离保护系统及其执行双向数据包过滤检查的方法，该隔离保护系统设置在通信线路中对通信双方的通信设施进行隔离保护，它包括：第一保护装置和第二保护装置，用于分别与所述通信方之一的通信设施连接；双向数据传输模块，设置在所述第一保护装置和所述第二保护装置之间，用于连接所述第一保护装置和所述第二保护装置，而且根据专有通信协议将所述第一保护装置输出的数据传送到所述第二保护装置，以及将所述第二保护装置输出的数据传送到所述第一保护装置；其特征在于：所述第一保护装置和所述第二保护装置具有完全独立的硬件结构并分别运行于独立的中央处理器。

技术领域

本发明涉使用在通信线路上的隔离保护系统及其执行双向数据包过滤检查的方法，设置在通信路径中（例如通信网络之间、网关路径中以及不同的通信终端之间），实现网络安全保障、通信双方的设施的隔离保护、及其双向数据包过滤检查。尤其适用于工业现场的信息网络和控制网络。

背景技术

现有工业现场的信息网络和控制网络之间部署的安全性产品多采用防火墙或者网关产品。

现有防火墙技术存在的不足是对工业通信协议支持不够充分。例如工业现场应用OPC工业协议时，需要使用1024到65535的动态端口，所以防火墙必须开放上述范围内的所有端口，这样做显著增加了网络的安全性风险。另外，防火墙实现了IP层的读取控制，但是不支持对数据的读取控制。防火墙支持对一般网络的数据链路层、网络层、传输层进行检查，但是对应用层的检查功能存在一定的不足，尤其是对工业协议的检查功能有所欠缺。

网关技术首先从控制系统网络的服务器采集数据，网关代理了控制系统网络的服务器的功能，MES/ERP层的客户端再通过网关采集数据，以此达到防护控制系统网络的服务器的目的。网关技术存在的不足在于网关产品有自己的IP地址，即使已经配置好的控制系统网络，其MES/ERP层的客户端仍然需要重新设定（更改服务器的IP以及服务器名等、注册网关服务器）。另外，网关的防火墙功能不足，由于网关产品有IP地址，可能会被攻击。当网关产品被入侵时，控制系统中设备的风险增加了。

作为保护网络安全、尤其是保护工业现场应用网络的现有技术可以参见例如中国专利公开CN101014048（申请日2007年02月12、申请号200710063822.4、发明名称：分布式防火墙系统及实现防火墙内容检测的方法），以及多芬诺（TOFINO）工业网络安全保护技术（可通过链接http://www.doc88.com/p-649582721525.html来查看）。上述已有技术作为背景技术结合在本申请中作为参考。

可以将上述的已有技术用图1的框图来概括：在通信的双方（N1，N2）的通信线路中设置有安全防护装置100，其中的过滤模块F0对于“来往”的数据包进行过滤。上述已有技术的缺陷在于，现有技术中的防火墙安全过滤检查模块都运行于单个中央处理器（CPU）上。在这种情况下，当防火墙在从一通信方向另一通信方传输数据时被攻击，则由于整个防火墙运行于单个中央处理器上，则整个安全防火墙将被损坏而无法使用。而且，上述已有技术中的安全防火墙技术并不对于数据包进行深度检查，例如对包体内容的深度检查，从而使得深入隐藏在包体内的病毒数据有可能破坏通信设施（N1，N2）的操作。

发明内容

本发明所要解决的技术问题是提供一种设置在通信线路中对通信双方的通信设施进行隔离保护的隔离保护系统及其执行双向数据包过滤检查的方法，该隔离保护系统集成有分别针对通信双方的运行于独立的中央处理器上的两个保护装置以及按照专有通信协议在两个保护装置之间进行双向数据通信的一个双向数据传输模块，以在确保在通信双方之间的数据包传输的安全性的同时避免由于针对一通信方的中央处理器受到攻击而被破坏时整个隔离保护系统都受到损坏而无法使用。

为此，本发明提供了一种隔离保护系统，设置在通信线路中对通信双方的通信设施进行隔离保护，它包括：

第一保护装置和第二保护装置，用于分别与所述通信方之一的通信设施连接；