[发明专利]隔离工控设备与外部网络服务器的方法及装置

说明书

技术领域

本发明涉及工控安全技术领域，尤其涉及一种隔离工控设备与外部网络服务器的方法及装置。

背景技术

在工控场景中，工业控制协议作为工控业务的主要传输协议，多数采取明文传输的方式，协议本身缺少有效的安全机制。在此前提下，工控协议容易被监听，篡改，以及伪造。同时，在不同安全级别的网络中，协议的传输过程更容易产生不安全的因素，例如在非可信任网络到可信任网络的数据传输，需要对协议进行安全隔离及交换，保证安全的数据进入可信任网络。

在不安全的网络中传输明文的工业协议，协议内容有可能会被篡改，伪造等，不安全的协议(数据)传输到工业控制设备中，会对工业控制设备造成影响，影响正常工业生产的进行。

在网络边界处安装防火墙等安全设备，对工控协议进行管控，根据攻击威胁的特征，进行威胁检测，消除威胁。

1.目前的防火墙，多数是基于特征防护的，无法对工业协议的业务内容进行分析，无法检测未知威胁。

2.工业协议多数是基于TCP的协议传输，TCP是一种公开的协议传输方式，相对于私有协议，容易被伪造和篡改。

3.防火墙等装置，自身如果被攻击，通过设备传输数据将都会被攻击者劫持，很容易解析其中的内容。

发明内容

本发明实施例提供一种隔离工控设备与外部网络服务器的方法及装置，用于至少解决上述技术问题之一。

第一方面，本发明实施例提供一种隔离工控设备与外部网络服务器的方法，其包括：

在所述工控设备与所述外部网络服务器之间设置内端机、隔离卡和外端机；

利用所述内端机获取并存储所述工控设备的状态信息；

利用所述隔离卡基于预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；

利用所述外端机接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。

第二方面，本发明实施例还提供一种隔离工控设备与外部网络服务器的装置，包括：内端机、隔离卡和外端机，其中，

所述内端机用于获取并存储所述工控设备的状态信息；

所述隔离卡用于采用预设协议和预设加密算法实现所述内端机与所述外端机之间的数据传输；

所述外端机用于接收并存储所述内端机通过所述隔离卡上传的所述工控设备的状态信息，以供所述外部网络服务器获取。

第三方面，本发明实施例提供一种非易失性计算机可读存储介质，所述存储介质中存储有一个或多个包括执行指令的程序，所述执行指令能够被电子设备(包括但不限于计算机，服务器，或者网络设备等)读取并执行，以用于执行本发明上述任一项隔离工控设备与外部网络服务器的方法。

第四方面，提供一种电子设备，其包括：至少一个处理器，以及与所述至少一个处理器通信连接的存储器，其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明上述任一项隔离工控设备与外部网络服务器的方法。

第五方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述任一项隔离工控设备与外部网络服务器的方法。

本发明实施例的有益效果在于：在本发明的实施例中，由于工控设备的状态信息是通过内端机获取并进一步通过隔离卡上传到外端机，以供外部网络服务器访问的(即，外部网络服务器所直接获取数据的来源是外端机)，所以避免了外部网络服务器与工控设备之间的直接的通信，从而实现工控设备与网络设备之间真正意义上的隔离，避免了可能来自外部网络的对工控系统的攻击，保证了工控系统的安全性与稳定性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的隔离工控设备与外部网络服务器的方法一实施例的流程图；

图2为图1中步骤S12的一实施方式的流程图；

图3为图1中步骤S12的另一实施方式的流程图；

图4为图1中步骤S14的一实施方式的流程图；

图5为本发明的隔离工控设备与外部网络服务器的装置一实施例的原理框图；