[发明专利]一种专线物理隔离工业数据通讯方法与系统

说明书

技术领域

本发明涉及工业通信技术，更具体地说，涉及一种专线物理隔离工业数据通讯方法，以及一种专线物理隔离工业数据通讯系统。

背景技术

随着互联网技术向工业领域的不断渗透，工业界对其流程数据上传互联网，建立工业专有云平台的需求越来越迫切。然而目前的现状是，工业企业因数据安全方面的顾虑，很少将现场流程数据上传互联网，最多只是做到将有限的管理数据或环保数据上传互联网。

而产生这一现象的根本原因是，从当前技术层面上来讲，还没有一套完善的工业流程数据互联网案例上网的解决方案。

中国发明专利申请201210553196.8公开的工业控制网络安全防护方法，包括以下步骤：

(1)根据工业控制系统信息安全的技术要求，对工业企业信息系统进行分层处理，所述工业企业信息系统分为三个安全工作层次，即工业控制层、生产执行层和经营管理层，对所述工业控制层的数据交换采取安全防护策略措施；

(2)根据所述工业控制系统的功能特点和控制范围，将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离，实现报文过滤以及访问控制，对工业通信协议进行检查分析，实现对非法通信的实时报警、来源确认、历史记录，保证控制网络的实时诊断；

(3)采用网络隔离模块实现所述工业控制层与所述生产执行层之间的非网络方式的安全的数据交换，并且保证安全隔离模块内外两个处理系统不同时连通，结合防穿透性TCP联接与访问控制技术，阻断所述生产执行层对所述工业控制层的潜在通信途径，从而实现所述工业控制层与所述生产执行层之间的单向隔离；

(4)采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心，对防火墙及网络隔离装置进行配置和管理，采集网络事件报警信息并存储、检索及划分等级进行报警，对定义在白名单范围内的终端应用允许通信，对工业控制协议的深度分析并捕获网络异常行为，分析潜在风险，准确捕获现场所的病毒、蠕虫及非法入侵，为工业控制系统网络故障的排查、分析及安全审计提供可靠依据。

上述发明的技术方案中，工业控制层与生产执行层之间采用网络隔离模块实现的非网络方式的数据交换，安全隔离模块内外两个处理系统不同时连通，结合防穿透性TCP联接与访问控制技术，阻断所述生产执行层对所述工业控制层的潜在通信途径，从而实现所述工业控制层与所述生产执行层之间的单向隔离。而这种隔离方法实现手段较复杂，而且即使两个处理系统不同时连通，也不能保证攻击数据不在两个处理系统之间传播。只要是接入以太网，则必然存在风险，包括端口扫描、无效访问、网络监听、网络攻击等。

而且，当前工业领域普遍采用层级式(Hierarchy)网络拓扑构架，包括：设备层、信息层、控制优化层、管理决策层，如图1所示。这种结构并不是一蹴而就的，而是由整个工控行业和计算机的长期发展历史积淀所形成的标准化结构。尽管层级式构架实现了集散式信息化监测与控制，将原先繁杂、分散的人工管控方式升级为集中式计算机监控、人工决策的模式，但是庞大的层级系统仍面临着构建维护成本高、技术瓶颈高、性能局限、信息孤岛、扩展性差等问题。

传统的中控中心机房层级式构建，需要场地、软/硬件设备、SCADA/DCS软件系统、专业技术操作人员，这样初期投入与日常维护都需要一笔不小的开支，加之有些企业建设完中控中心后，长期使系统处于空闲状态，并未真正对企业运行起到很好的监管作用，无疑加重了企业的负担。

现有技术成本高体现在：现场控制器(PLC/DDC)构建、中控中心构建、软硬件购买、监控软件配置、冗余系统配备、专业技术团队组建、日常操作与维护等；技术瓶颈包括：不同厂家通讯协议独立、控制器计算能力有限、稳定性、可维护性较差；性能局限主要为：层与层之间通讯效率局限、可靠性局限、扩展局限等。

与此同时，层级构架是由微观底层(设备层)将信号逐层上送至宏观顶层(管理决策层)，顶层再将操作指令逐层下发至底层。信号经底层现场设备采集形成后，往顶层上送的每一层级都要进行数据管理和逻辑判断。当硬件设备越来越多，底层工作频率也会越来越高，这就意味着局部控制和逻辑处理也会越来越庞大，顶层汇聚的数据量级也将呈几何倍数增长。层级式构架的庞大与复杂的特点，对于大型企业尚有余力搭建此类系统，但对于中小微企业则往往心有余而力不足。

发明内容

本发明的目的在于克服现有技术的不足，提供一种保证工业数据安全上云，上云架构易搭建、成本低、性能高效、维护便捷的专线物理隔离工业数据通讯方法，以及专线物理隔离工业数据通讯系统。