[发明专利]一种用于工业网络的安全防护系统

说明书

技术领域

本发明涉及一种工业领域的网络隔离产品，具体说是一种用于工业网络的SO系列OPC防护网关。

背景技术

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与MIS网络、因特网等公共网络连接，造成病毒、木马等威胁向工业控制系统扩散，工业控制系统安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临严峻的形势。工业控制系统信息安全防护是一个刻不容缓的课题，我们要从技术层面和管理层面着手，建设工业控制系统网络安全。

目前对控制网络的防护，大部分采用的是防火墙、IDS、VPN等常规网络安全技术，这些常规安全防护方案都有很强的针对性，只能管辖属于自己管辖的事情，出了这个边界就不再能发挥作用。

传统网关产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统，因此它提供的应用也以通用的互联网功能为主。例如，目前大多数网关都支持：文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

在工业领域，网关也开始得到应用和推广。但除了用于办公系统外，当用于隔离控制网络时，由于网关一般都不支持工业通信标准如OPC、Modbus，用户只能使用其TCP/UDP定制功能。这种方式需要在连接网关的上、下游增加接口计算机或代理服务器，并定制通信协议转换接口软件才能实现通信。

发明内容

本发明目的是为了克服上述现有技术所存在的缺陷而提供的一款专门为企业过程控制系统和管理信息系统之间进行单向物理隔离并传输过程数据而开发的一款网络安全隔离网关SO系列OPC网关，其特征在于，该防护网关采用“2+1”的三模块构架，内置双主机系统和一个用于建立安全通道可交换数据的隔离单元，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。该防护网关只提供控制网络常用通信功能如OPC、Modbus等，而不提供通用互联网功能。该OPC服务器与DCS、PLC、SCADA等系统连接采集实时数据，通过安全隧道、校验后封装成OPC Server工业标准通讯接口，提供给上层应用系统。OPC网关为上层系统提供实时数据时，采用了内置安全数据传输隧道和校验技术，可以实现自动化控制系统和上层系统之间的有效安全隔离。该产品操作系统、数据采集程序等均固化，不可修改，一旦被修改，重新启动后，自动恢复到初始状态，可以防止病毒以及黑客软件攻击。

与现有技术相比，本发明从物理上彻底切断工业控制网络与信息网络的连接通道，切断入侵路径。对于工业网络信息与信息网络之间要交换的信息一般只有过程数据，对不必要的信息不予摆渡，彻底切断病毒、木马等网络传播路径，且只允许授权的OPC客户端连接。

附图说明

图1为本发明的防护技术示意图。

图2为本发明的防护结构原理图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。

实施例1

如图1所示，OPC网闸采用“2+1”的三模块构架，内置双主机系统和一个用于建立安全通道可交换数据的隔离单元，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。如图2所示，OPC网闸与DCS、PLC、SCADA等系统连接采集实时数据，通过安全隧道、校验后封装成OPC Server工业标准通讯接口，提供给上层应用系统，如实时数据库系统、MIS、MES系统。当OPC网关为上层系统提供实时数据时，它一般位于自动化控制系统和上层系统之间，由于OPC网关采用了内置安全数据传输隧道、校验技术，可实现自动化控制系统和上层系统之间的有效安全隔离。