[发明专利]一种油田多功能安全网关

说明书

本发明提供了一种油田多功能安全网关，至少包含一组内网主机和外网主机，所述内网主机和外网主机内分别设置有内网通信主板和外网通信主板，其特征在于，所述内网主板上设置有若干第一LAN口，各个第一LAN口组成单向传递的控制网簇，所述内网主板通过单向网络协议连接至外网主机上设置的外网通信主板，所述外网通信主板设置有若干第二LAN口，各个第二LAN口组成单向传递的管理网簇，所述控制网簇和管理网簇用单向网络协议隔离。本发明采用最高安全等级的基于单向光的物理单向隔离技术，满足油田网络防护的安全等级要求。

技术领域

本发明涉及多功能安全网关技术，尤其是一种油田多功能安全网关，。

背景技术

随着两化融合的不断深入，油田大力推进生产信息化建设，自动化技术装备与信息化管理手段相结合，促进工控网与办公网之间的互通互联，充分利用海量的自动化实时数据为动态分析、科学决策提供依据，为大数据分析预警提供支撑，极大地提升了油气生产水平和管理效率。与此同时，严峻的网络信息安全风险也如影随形。一旦办公网遭受病毒、恶意代码、黑客入侵等攻击，工控网内的油气生产装置或管线等关键设施也极易受到破坏，造成严重的财产损失和人员伤亡。

因此，油田对工控网的网络安全非常重视，采用各种技术手段对工控网进行隔离防护。目前普遍的工控网隔离防护措施有：

（1）通用防火墙或工业防火墙设备。防火墙技术是在保障双向通信前提下考虑网络安全，基于IP地址、端口或协议特征构造黑白名单进行数据包过滤，安全级别低。

（2）网闸或协议隔离网关设备。网闸基于摆渡方式、协议隔离网关基于协议过滤方式实现逻辑上的单向传输，以电信号为传输媒介，其传输信道反方向有信号应答反馈，安全级别不高。

现有技术的缺点，一是安全级别较低，不能满足油田网络防护的安全等级要求；二是仅具备隔离防护功能、功能单一，部署后增加了网络复杂性，故障定位困难，给运维人员增加了维护工作量。

发明内容

有鉴于此，本发明的主要目的是提供一种油田多功能安全网关，。

其采用的技术方案是：

一种油田多功能安全网关，至少包含一组内网主机和外网主机，所述内网主机和外网主机内分别设置有内网通信主板和外网通信主板，其特征在于，所述内网主板上设置有若干第一LAN口，各个第一LAN口组成单向传递的控制网簇，所述内网主板通过单向网络协议连接至外网主机上设置的外网通信主板，所述外网通信主板设置有若干第二LAN口，各个第二LAN口组成单向传递的管理网簇，所述控制网簇和管理网簇用单向网络协议隔离。

所述内网主板内设置有支持OPC DA、OPC HDA、OPC AE、ModBus、HART、IEC104、IEC101中任意一个工业协议的数据采集功能的采集单元，该采集单元独立匹配OPC DA、OPCHDA、OPC AE、ModBus、HART、IEC104、IEC101中的匹配网络协议，该匹配网络协议为所述的单向网络协议。

所述内网主机设置有内网多核网络处理器、内网数据协议识别模块、内网网络协议识别模块、内网启动引导模块以及内网安全控制模块，所述内网数据协议识别模块包括数据包分类单元，该数据包分类单元将OPC DA、OPC HDA、OPC AE、ModBus、HART、IEC104、IEC101中任意一个工业协议的采集单元采集到的数据进行识别处理，确定选用的网络协议，内网网络协议识别模块确认网络协议后启动内网启动引导模块，内网启动引导模块通过内网多核网络处理器进行处理，所述内网安全控制模块用于数据传输时的安全。

本发明的有益效果为：一是采用最高安全等级的基于单向光的物理单向隔离技术，满足油田网络防护的安全等级要求。

二是具备多种功能（数采功能、状态监控、点表监控等功能），部署后可以简化网络结构，更容易进行故障定位，降低运维人员维护工作量。

附图说明