[发明专利]一种工业控制网络与信息化网络安全连接方法

说明书

本发明涉及一种工业控制网络与信息化网络安全连接方法，属于网络安全管理与信息方法技术领域。本发明的技术方案是：在工业控制L1网络和L2网络中按照工序进行VLAN的划分,并将各个VLAN的网关和根节点设置在L1级核心交换机上，在防火墙上为需要通信的信息化网络节点与工业控制网络节点建立基于应用端口的白名单，其余网络通信请求均拒绝；在工业控制L1和L2核心交换机上与信息化接入交换机上写入需要的静态路由。本发明的有益效果是：在不增加网络设备的情况下，利用现有网络设备，结合工业控制网络与信息化网络的技术特点，在保障工业控制网络与信息化网络安全的同时，实现两网络之间的安全、有效的数据交换。

技术领域

本发明涉及一种工业控制网络与信息化网络安全连接方法，属于网络安全管理与信息方法技术领域。

背景技术

随着智能制造建设的不断深入，工业控制网络与信息化网络的连接越来越多，如何安全的连接工业控制网络与信息化网络成为进行智能制造建设中必须要求解决的问题。

发明内容

本发明目的是提供一种工业控制网络与信息化网络安全连接方法，在不增加网络设备的情况下，利用现有网络设备，结合工业控制网络与信息化网络的技术特点，在保障工业控制网络与信息化网络安全的同时，综合运用VLAN,STP根节点指定、静态路由和基于白名单的防火墙技术，实现两网络之间的安全、有效的数据交换，有效地解决了背景技术中存在的上述问题。

本发明的技术方案是：一种工业控制网络与信息化网络安全连接方法，包含以下步骤：

步骤S1，在工业控制L1网络和L2网络中按照工序进行VLAN的划分，同时在L1级和L2级核心交换机给每个VLAN建立网关，这样既可以有效的阻挡不同工序间网络通信的相互影响，又可以对各区域间的网络通信进行有效控制；

步骤S2，将网络和L2网络级核心交换机指定为各工序VLAN的根桥，这个可以有效的避免工控控制环网由于根节点不稳定产生的网络震荡；

步骤S3，在工业控制网络与信息化网络连接的线路上接入基于白名单的防火墙，在防火墙上根据网络通信需要将需要通信的信息化节点和工业控制网络节点建立基于应用端口的白名单访问策略，其他通信全部拒绝；

步骤S4，在信息化网络与工业控制网络连接的三次网络交换机或路由器上将需要通信的网段写入静态路由表中；

步骤S5：重复上述步骤直至将所有需要与信息化网络通信的工业控制网络全部连接，从而实现从工业控制网络到信息化网络的安全连接。

所述步骤S1中，VLAN的划分可以按照工序也可以按照工业控制网上可以完成某一特定功能的设备组合，VLAN划分的设备数量一般不超过50个为宜。

所述步骤S2中，工业控制网络为保障网络的可靠性多采用环形连接，网络中为避免产生广播风暴运行的STP协议需要在每个二层网络中选举产生根节点，自然选举产生的根节点有可能不稳定，造成网络震荡，通过指定核心交换机作为根节点可以有效的避免网络震荡。

所述步骤S3中，在信息化网络和工业控制网络之间设置基于白名单的防火墙，只允许需要通信的信息化网络节点和工业控制网络节点进行点对点的基于应用端口的网络通信，可以有效的阻截非法访问，已知和未知的网络攻击和病毒木马攻击。

所述步骤S4中，通过静态路由技术实现信息化网络与工业控制网络的连接，可以避免信息化网络设备与工业控制网络设备由于设备品牌型号不同产生的诸多不兼容性问题，提高网络连接的稳定性。

信息化网络与工业控制网络的连接设备是路由器和具备路由功能的交换机中的一种

本发明的有益效果是：在不增加网络设备的情况下，利用现有网络设备，结合工业控制网络与信息化网络的技术特点，在保障工业控制网络与信息化网络安全的同时，综合运用VLAN,STP根节点指定、静态路由和基于白名单的防火墙技术，实现两网络之间的安全、有效的数据交换。

附图说明