[发明专利]工业网络数据单向隔离方法及装置

说明书

本发明公开了一种工业网络数据单向隔离方法及装置，通过设置各自独立的第一主机系统和第二主机系统，在第一主机系统和第二主机系统的输入端和输出端分别设置点表控制数据点数据的流通，并且固化第一主机系统和第二主机系统之间的通信点表设置，将控制第一主机系统和第二主机系统之间通信的第二点表和第三点表中数据类型为遥控和遥调的数据点的配置进行无效化处理，将其余数据类型的数据点依据所使用的工业通讯规约按正常方式进行预设配置，使得本发明的单向隔离装置在数据链路上自动隔绝第二网络到第一网络的遥调和遥控工业数据，从而第一网络的数据能够可选择地传输到第二网络，第二网络中反馈的数据能自动剔除其中命令和/或数据报文，而保留网络通信的问答机制，保障工业网络正常通信的同时，确保第一网络的数据安全性。

技术领域

本发明涉及一种工业网络安全技术，尤其涉及一种工业网络数据单向隔离方法及装置。

背景技术

随着工业自动化控制的迅速发展，愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备互联在一起，形成工业生产系统网络，工业生产系统网络的安全等级要求极高。而为了更好地监控和管理工业生产系统网络，需要将系统中生产过程专用设备或工业智能设备的相关数据采集并传递至外部的工业管理网络，工业管理网络一般为外网，其安全等级相对较低。

安全等级低的网络到高安全等级的网络之间需要进行通讯隔离，第一代现有技术通过物理隔绝，由人工使用U盘等介质进行数据传递，确保两者无法直接连通，避免黑客对工业生产系统网络进行操纵和控制。但是该方式效率太低。

为了解决这个问题，第二代现有技术引入了网闸的概念。

网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离，使系统间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。因此，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的安全。

尽管作为物理安全设备，安全网闸提供的高安全性是显而易见的，但是由于其工作原理上的特性，不可避免地决定了安全网闸存在一些缺陷：

首先，现有的安全网闸只支持静态数据交换，不支持交互式访问。而工业系统中的通讯规约是在TCP/IP之上的应用协议，80％的工业通讯规约都是问答式的，使用网闸无法实现通信握手。

其次，现有的安全网闸主要用在数据中心等典型的IT环境中，其结构复杂，成本较高，体积较大，耗电量高，对安装所在的机房环境有一定的要求。而工业网络设备的安装所在往往环境恶劣，经常位于生产线、工艺设备间甚至野外监控站点，空间小、供电不稳定(许多场所缺乏市电，通常依靠风力或太阳能发电)。现有安全网闸设备体积大、功耗大，不适用于工业环境。

随着现有技术的发展，工业网络更多采用包含组态软件的工业网关实现对工业生产系统网络中数据点的采集，通过对采集点的过滤和控制实现工业生产系统网络到工业管理网络之间的单向的数据隔离。然而，工业网关只能用工程的方式来实现工业网络的单向隔离，需要工程师去现场进行工程配置，进行完全隔离或部分隔离。其隔离效果完全依靠工程师的认知来配置，如果人为发生失误，则无法达到希望的隔离效果。或者，如果有第三方如后期的维护工程师误操作修改配置，则隔离规则会发生改变。另外不同的组态软件使用的方法也各不相同，对单向隔离这种非常规操作没有一定经验的工程师往往无法胜任。

基于上述缺陷，工业系统更需要符合其自身需求、能满足工业系统特性的可以标准化、产品化的工业安全隔离网闸，从而用产品的方式取代工程的方式实现工业网络中不同安全等级间网络中的安全隔离。

发明内容