[发明专利]一种用于人防工程的网络安全防护系统

摘要

一种用于人防工程的网络安全防护系统，属于工业控制网络安全领域。包括嵌入式硬件、嵌入式基础软件和业务场景应用软件。嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道。内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，内网控制器M287负责接入到现场端控制网络；外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信。优点在于，解决了防护能力较为单一等问题。

主权项

1.一种用于人防工程的网络安全防护系统，其特征在于，包括嵌入式硬件、嵌入式基础软件和业务场景应用软件三部分；其中，嵌入式硬件包括数据隔离交换模块、内网控制器M287、外网控制器M287；数据隔离交换模块包括控制单元FPGA、存储单元双口RAM，数据通道；处于两端的内网控制器M287、外网控制器M287是两个独立高性能的嵌入式硬件，都具有独立的运算单元、存储单元和交换单元，其中，内网控制器M287负责接入到现场端控制网络；另一端外网控制器M287负责接入到信息端网络；内网控制器M287、外网控制器M287分别通过8位IO并行总线连接到由存储单元双口RAM和控制单元FPGA组成的数据隔离交换模块，在物理层次隔断了TCP/IP通信；内网控制器M287、外网控制器M287各有两个千兆冗余的以太网接口用来连接要隔离的两个网络；存储单元双口RAM为冗余配置，是内、外网数据的缓存空间，数据存储时采用基于一对一内存镜像的内部数据冗余方式，并对重点数据采用标签级别标注进行容错处理；数据通道是IO并行总线的数据传输通道和逻辑传输通道共同作用，用于缓存数据到内网控制器M287和外网控制器M287的传输；控制单元FPGA用于实现对内网控制器M287和外网控制器M287的数据收发逻辑控制，用控制单元FPGA的两个标准RS232作为心跳控制信号来判断是否执行内、外网数据交换任务；软件包括嵌入式基础软件和业务场景应用软件；嵌入式基础软件运行在内网控制器M287和外网控制器M287，属于第二层的数据通信防护措施，包括内嵌的自剪裁Linux操作系统和OPC、MODBUS通信驱动软件；嵌入式基础软件包括数据处理模块、数据恢复模块、协议封装模块、会话建立模块、端口认证模块、会话审查模块、内容过滤模块、数据格式化模块；对Linux操作系统进行剪裁实现对端口、IP以及OPC、MODBUS协议的安全检查；其一是在端口认证时增加内核端口安全认证算法PSK加EAP，对端口经过安全算法认证，正确后方认为有效；其二是在会话建立时设置IP最大连接数N，在检测到某个节点超过预设的限制N时，这些IP就会被屏蔽，IP在禁用时间600秒内根据情况调整杀掉连接数大于最大连接数N的连接；其三是修改Linux操作系内核提供的若干SYN相关配置，加大SYN队列长度能容纳更多等待连接的网络连接数，打开SYN Cookie功能阻止部分SYN攻击，降低重试次数来阻止网络队列被占满；其四通讯驱动组件部分有数据处理、数据恢复、数据格式化模块，做了8组数据优先级队列处理，数据按序传输，所有传输的数据都经过了128位数据加密算法进行安全检验；当异常情况时，清空队列数据格式化操作，重新建立数据区；通信驱动软件在初始化的过程需要将对应管脚配置成GPIO模式7，然后进行会话审查和内容过滤，检测通过的安全数据进行私有通信数据格式的协议封装后传输到数据通道，安全数据经过标准通信数据格式的协议封装后发送到内网网络以太网口；业务场景应用软件在内网控制器M287、外网控制器M287和控制单元FPGA内运行，业务场景应用软件包括RS232数据交互逻辑控制模块、数据交换模块、私有通信协议模块、数据加密算法模块、标准通信协议的协议安全引擎模块、特定的应用场景数据规则检查和安全特征检测模块以及信息点级的数据访问控制模块；控制单元FPGA内运行数据交互逻辑控制模块，其他模块分别运行在内网控制器M287和外网控制器M287内；数据隔离交换模块由两个标准RS232作为心跳控制信号分别触发内网控制器M287和外网控制器M287的数据交互模块，通过看门狗定时器设定，定时监测数据缓存空间数据标识，根据更新标识进行开闭时限判定，时限到则数据通道打开或关闭，当有新的标识产生则时限归零；数据交换模块是由互为冗余的两个处理器分别模拟出两块数据交换块总大小2*1024*1536字节＝3M字节数据，守护进程通过USB_Host和Device交换数据，并存储在存储单元双口RAM中，读写存储单元双口RAM来交换数据；数据交换模块也称之为守护单元进程数据交换模块，采用FIFO顺序调度和优先调度两种算法；私有通讯协议模块是获取数据交换模块下的数据流，根据所选定的标准协议解析后获取纯数据格式的信息，纯数据格式的信息经过私有协议封装成专有格式转发到数据加密算法模块；私有协议具有起始标识、数据、结束标识和CRC校验码，以此格式进行封装构造；数据加密算法模块是128位分组对成加密算法，所有来自数据交换模块的数据流经该数据加密算法后以私有协议发送到数据通道传输；OPC、MODBUS通信协议的业务场景数据的安全检测，业务场景数据的安全检测是在OPC、MODBUS通信协议安全引擎基础上进行初步检测通过后实现，同时被检测的业务场景数据需要满足数据访问控制权限；首先协议数据根据应用场景规则进行规则检查，符合场景规则则有效通过，不符合则视为无效丢弃；根据应用场景对所有数据建立物理模型，模型经非参数CUSUM算法运算后生成安全特征引擎，然后再对有效后的数据进行安全特征引擎自适应检测，有效时间范围内能够检测出的符合安全特征的数据则通过，超过时间上限则阻止通过。