[发明专利]一种用于人防工程的网络安全防护系统

说明书

一种用于人防工程的网络安全防护系统，属于工业控制网络安全领域。包括嵌入式硬件、嵌入式基础软件和业务场景应用软件。嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道。内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，内网控制器M287负责接入到现场端控制网络；外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信。优点在于，解决了防护能力较为单一等问题。

技术领域

本发明属于工业控制网络安全领域，特别是提供了一种用于人防工程的网络安全防护系统，人防工程内自动化、信息化系统多，且属于半军事化工程，对安全防护要求较高，该系统具有物理隔离、安全通信和数据安全检测等特性。

背景技术

随着物联网、云计算、移动应用技术在人防工程应用的越来越广泛，其信息安全问题正在越来越受到重视，包括数据、物理、网络在内的多方面信息安全问题，要维持人防工程内信息化整体系统的稳定运行，保证平时战时控制过程不受影响，就需要制定行之有效的安全防护方法。

目前，市场上已经存在部分针对工业通信的网闸，用于数据隔离交换，但其防护能力较为单一，同时不熟悉人防三防控制指令工艺场景不能进行有效的数据信息安全防护，也不能做到安全防护监测拓展，也不支持远程管理，且防护手段单一，这样会给后期人防系统信息统一集成使用带来安全隐患。所以针对以上问题提出了用于人防工程应用的网络安全防护方法，整个防护系统从硬件、软件两部分实现。

发明内容

本发明的目的在于提供一种用于人防工程的网络安全防护系统，解决了防护能力较为单一，同时不熟悉人防三防控制指令工艺场景不能进行有效的数据信息安全防护，给后期人防系统信息统一集成使用带来安全隐患等问题，该发明为解决以上问题提供了解决方法。

本发明包括嵌入式硬件、嵌入式基础软件和业务场景应用软件三部分。其中，嵌入式硬件是整个系统的运行基础，也是最底层的安全隔离措施，嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道三部分。处于两端的内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，其中内网控制器M287负责接入到现场端控制网络；另一端外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信。内网控制器M287、外网控制器M287各有两个千兆冗余的以太网接口用来连接要隔离的两个网络。存储单元双口RAM为冗余配置，是内、外网数据的缓存空间，数据存储时采用基于一对一内存镜像的内部数据冗余方式，并对重点数据采用标签级别标注进行容错处理；数据通道是IO并行总线的数据传输通道和逻辑传输通道共同作用，用于缓存数据到内网控制器M287和外网控制器M287的传输；控制单元FPGA用于实现对内网控制器M287和外网控制器M287的数据收发逻辑控制，用控制单元FPGA的两个标准RS232作为心跳控制信号来判断是否执行内、外网数据交换任务。