[发明专利]一种适用于工控网络的单向传输内外网安全隔离网闸

说明书

技术领域

本发明属于工业控制网络技术领域，特别是提供了一种适用于工控网络的单向传 输内外网安全隔离网闸。

背景技术

物联网、云计算、移动应用技术是当今信息领域重点发展的三大信息技术。其中， 物联网作为一种正在高速发展的先进技术，其信息安全问题正在越来越受到国家的 重视。完善的工业物联网系统网络包括数据、物理、网络在内的多方面信息安全问 题，要维持整体系统的稳定运行，保证生产过程不受影响，就需要制定行使有效的 安全解决方案。

分析国内外，水电讯、石油化各个行业出现的工业控制系统的安全危机可以发现 有如下共同点：

(1)作为控制系统操作站、上位机的电脑，很少或根本没有机会安装全天候病 毒防护或更新版本。

(2)目前常用的DCS、PLC等控制器的设计都以优化过程控制功能为主，基本 没有提供网络安全防护功能。

(3)不同的控制系统之间的网络都没有有效的分隔开，尤其是基于OPC、MODBUS 等通讯的工业控制网络。

(4)安全事件中，大部分采用的商业防火墙、VPN、IPS等，但因为工业控制成 产网络有一定的特殊性和普通的商用网络有一定的区别，导致商用防火墙无法从根 本上解决生产控制网络的安全问题。

目前的行业应用中，绝大多数都采用防火墙作为内外网之间的屏障。但是，工业 控制网络与上层信息网络之间，并不能依靠防火墙来保障安全。原因如下：

一、防火墙由于自身运行原理问题，存在着很多的先天问题，主要有一下几点：

(1)防火墙基于TCP/IP协议，针对该协议本身的漏洞，防火墙并没有办法安 全防御。

(2)防火墙基于包过滤原理，不能阻止病毒、蠕虫以及各种新型攻击。

(3)防火墙对用户并不完全透明，非专业用户难以管理和配置，容易造成安全 漏洞。

(4)防火墙的防护原理基于策略，它并不区分执行策略的正确与否。存在被控 制和篡改的危险。

(5)防火墙的防护策略过多会影响其本身运行速度，过少又会造成安全隐患。

二、在工业控制领域中，防火墙较为明显的局限性存在与以下几点：

(1)工控领域的通信大多基于OPC、MODBUS等工业协议，但是大多数防火墙并 不基于OPC、MODBUS等工业通信协议。

(2)防火墙基于黑名单，并不能防范最新的威胁。

(3)防火墙自身可能出现安全漏洞。

(4)用户管理不方便。

(5)被黑客攻破的概率已达50％。

(6)防火墙不能在内外网之间提供一致的安全策略，不能很好的防御来自标准 网络协议的攻击，针对服务器漏洞的攻击也无能为力。

(7)防火墙在提供安全服务的同时，也会增加网络延时。

网络隔离技术的核心是物理隔离，并通过专用硬件和安全协议来确保两个链路层 断开的网络能够实现数据信息在可信网络环境中进行交互、共享。一般情况下，网 络隔离技术主要包括内网处理单元、外网处理单元和专用隔离交换单元三部分内容， 其中，内网处理单元和外网处理单元都具备一个独立的网络接口和网络地址来分别 对应连接内网和外网，而专用隔离交换单元则是通过硬件电路控制高速切换连接内 网或外网。网络隔离技术的基本原理通过专用物理硬件和安全协议在内网和外网的 之间架构起安全隔离网墙，使两个系统在空间上物理隔离，同时又能过滤数据交换 过程中的病毒、恶意代码等信息，以保证数据信息在可信的网络环境中进行交换、 共享，同时还要通过严格的身份认证机制来确保用户获取所需数据信息。

传统的隔离产品大多应用于各行业中安全性较高的涉密业务，如银行系统、办公 系统等。大多数网关获网闸都支持访问互联网功能，支持文件交换、HTTP协议、TCP/IP 协议、电子邮件、web访问、数据库、FTP访问等，并不支持诸如OPC、MODBUS、Profibus 等工业协议。

目前，市场上已经存在部分针对工业通讯的网闸，用于数据隔离交换，但其防护 能力较为单一，不能进行防护拓展，也不支持远程管理，且防护手段单一，给使用 带来安全隐患。

发明内容