[发明专利]一种用于开放式数控系统的工业非军事区部署及访问方法

说明书

本发明涉及一种用于开放式数控系统的工业非军事区部署及访问方法，将数控网络中的主服务器配置镜像服务器；将镜像服务器从数控网络中分离出来，部署于工业防火墙的非军事区；重新配置非军事区工业防火墙规则；企业网络通过非军事区工业防火墙规则访问镜像服务器。本发明在工业防火墙上部署工业非军事区，将多种提供数据的服务器的镜像部署在工业非军事区中，从而提高这些服务器的数据可用性，也提高数控系统网络的安全性。

技术领域

本发明涉及网络控制领域，具体地说是一种用于开放式数控系统的工业非军事区部署及访问方法。

背景技术

目前，开放式、网络化数控系统成为发展趋势，其模块化、分布式体系结构使得数控系统具备更好的通用性、柔性、适应性、扩展性。随着开放式数控系统的网络化发展趋势显现，工业以太网技术被引入到开放式数控系统中，使得工业控制系统的发展趋向于“一网到底”。但是，企业网络与数控网络的融合发展导致数控系统面临前所未有的诸多信息安全问题。

具有不同安全需求的网络之间通常配置网络边界防御设备。防火墙是最常用的设备之一。在工业网络中应使用工业防火墙。工业防火墙用于连接安全级别较低的企业网络和安全级别较高的数控网络。但是数控网络中多种服务器上的数据在企业网络中的工作站中有大量的访问需求。这样的数据访问导致诸多问题，具体表现在：

1.如果工业防火墙拒绝企业网络访问数控网络中服务器的通信，则数控网络中的数据可用性被降低。

2.如果工业防火墙允许企业网络访问数控网络中服务器的通信，则数控网络的安全性被降低。

在原有封闭数控网络中，历史数据服务器等诸多服务器主要面向数控系统。在开放式数控系统中，企业网络中的工作站需要访问历史数据服务器等诸多服务器上的数据。但是相比数控网络，企业网络的安全级别较低，在两个网络的边界部署工业防火墙，应用访问控制策略，禁止非必需的网络通信。由于历史数据服务器等诸多服务器位于数控网络中，企业网络虽然对其上的数据具有需求，但是通信无法通过防火墙的允许规则，因此服务器上数据的可用性较低。

发明内容

针对现有技术的不足，本发明提供一种用于开放式数控系统的工业非军事区部署及访问方法，在工业防火墙上部署工业非军事区，将多种提供数据的服务器的镜像部署在工业非军事区中，从而提高这些服务器的数据可用性，也提高数控系统网络的安全性。

本发明为实现上述目的所采用的技术方案是：

一种用于开放式数控系统的工业非军事区部署及访问方法，包括以下步骤：

步骤1：将数控网络中的主服务器配置镜像服务器；

步骤2：将镜像服务器从数控网络中分离出来，部署于工业防火墙的非军事区；

步骤3：重新配置非军事区工业防火墙规则；

步骤4：企业网络通过非军事区工业防火墙规则访问镜像服务器。

所述企业网络通过非军事区工业防火墙规则访问镜像服务器，包括以下步骤：

步骤1：获取访问源和访问目的信息，并判断当前获取访问源和访问目的信息是否来自企业网络，如果是，则继续判断是否访问数控网络；否则禁止访问；

步骤2：如果访问数控网络，则禁止访问；否则判断是否访问非军事区；

步骤3：如果访问非军事区，则判断是否匹配非军事区工业防火墙规则中的白名单；否则禁止访问；

步骤4：如果匹配白名单，则允许访问相应的镜像服务器，否则禁止访问。

所述非军事区工业防火墙规则包括：

在原有防火墙规则中添加企业网络任意一个工作站到数控网络中主服务器的访问禁止规则；