[实用新型]有限连通的安全隔离网闸

说明书

本实用新型公开了一种有限连通的安全隔离网闸，部署于管理网和生产网的边界，包括内端系统、外端系统以及硬件映射隔离系统，内端系统连接内部网络，其配置有内端机IP、内端机MASK、内端机GATEWAYWAY、内端机DNS、内端机子网系统，外端系统连接外部网络，其配置有外端机IP、外端机MASK、外端机GATEWAYWAY、外端机DNS、外端机子网系统，硬件映射隔离系统为基于HRITM技术的隔离交换卡，内端系统与外端系统之间仅通过隔离交换卡连接，隔离交换卡构造了分别连接内端系统和外端系统的安全数据传输信道，安全数据传输信道单向可控且仅传输纯数据，对工业应用层数据的深度解析控制，实现对工业网络的纵深安全防护需求。

技术领域

本实用新型涉及一种局域网信息安全技术领域，具体涉及一种有限连通的安全隔离网闸。

背景技术

工业控制系统(ICS)是对SCADA、DCS、PCS、PLC等多种控制系统的总称，广泛运用于电力、石油化工、水利、工业制造、市政等行业。工业控制系统由主站、网络和终端组成，其原理是终端采集工业过程数据，通过网络将数据送至主站，主站分析后通过网络向终端发送控制命令，终端执行命令并向主站返回结果。

随着计算机和网络技术的发展，特别是信息化工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件、通用软件，以各种方式与互联网等公共网络连接，病毒、木马、操作系统漏洞等威胁在工业控制系统扩散；另一方面，传统的工业控制系统在设计上基本没有考虑互联互通所必须的通信安全问题，几乎没有隔离功能，在互联网和企业管理网环境下的防护功能很弱。因此工业控制系统在实现系统开放性的同时，也降低了系统的安全性，而且主站与终端间的报文基本没有考虑身份认证、数据完整性、数据加密及抗重放攻击等安全内容。

而纵观现在的工业控制网络，随着“两化融合”的推进，以往“信息孤岛”似的环境已经一去不复返。企业或组织机构越来越需要在其工控网络、业务网络和企业网络之间共享信息。这也就造成了关乎企业根本的工控网络有暴露在外网的可能性，随着网络化时间信息获取的成本越来越小，黑客对工控系统的攻击难度也越来越低，进一步加剧了工控系统的网络安全风险。产生信息安全问题的威胁源不仅来自外部，内部具有一定技术能力的人员恶意或者无意的行为也可能导致严重信息安全风险。工控网络面临如此的内忧外患，单一的对整个网络进行防护力度是不够的。网络层次不同，区域不同，工艺不同对安全防护的等级也是不同的。因此，工业控制系统的安全问题急需解决。

发明内容

本实用新型要解决的技术问题是提供一种专门为工业控制系统开发的信息安全产品，实现对工业应用层数据的深度解析控制，对文件同步、数据库同步进行传输控制，实现对工业网络的纵深安全防护需求。

为了解决上述技术问题，本实用新型提供了一种有限连通的安全隔离网闸，部署于管理网和生产网的边界，其特征在于，包括内端系统、外端系统以及硬件映射隔离系统，所述内端系统连接内部网络，其配置有内端机IP、内端机MASK、内端机GATEWAYWAY、内端机DNS、内端机子网系统，所述外端系统连接外部网络，其配置有外端机IP、外端机MASK、外端机GATEWAYWAY、外端机DNS、外端机子网系统，所述硬件映射隔离系统为基于HRITM技术的隔离交换卡，所述内端系统与外端系统之间仅通过隔离交换卡连接，所述隔离交换卡构造了分别连接内端系统和外端系统的安全数据传输信道，所述安全数据传输信道单向可控且仅传输纯数据。

进一步的，所述内端系统通过内网接口、内网管理配置口和内网CONSOLE口连接内部网络，所述外端系统通过外网接口、外网管理配置口和外网CONSOLE口连接外部网络。

进一步的，隔离网闸的背板设置有电源接口。

进一步的，所述外端系统包括防火墙模块、入侵检测模块和防病毒模块，所述防火墙模块在缺省情况下不开放任何端口，所述入侵检测模块收集信息并及时响应，所述防病毒模块对病毒进行过滤。