[发明专利]一种内网安全接入方法及系统

说明书

本发明涉及一种内网安全接入方法及系统，方法包括：在主站采集服务器与内网业务接入服务模块之间建立点对点隧道，内网业务接入服务模块对接收的下行数据报文进行加密生成下行内存加密文件并通过物理隔离正向终端发送给外网终端接入服务模块；外网终端接入服务模块再将下行内存加密文件解析成下行数据报文发送给安全接入终端；安全接入终端做出相应上行数据报文并返回给主站采集服务器。系统包括：主站采集服务器、内网业务接入服务模块、物理隔离终端、外网终端接入服务模块、安全接入终端。本发明采用流式处理，实现数据采集上下行报文的全内存传输、数据驻留时间少、通信延时低，且在提高数据性的同时保证数据安全、通信便利、网络适应性强。

技术领域

本发明涉及内网安全接入，尤其针对电力、国防、政府等高安全要求行业内部网络的一种网络安全接入方法，具体的说是一种内网安全接入方法及系统。

背景技术

在电力、国防、政府等重要网络或信息系统中，为保护自身免受攻击通常采取了物理隔离的技术手段，来保证内网信息的安全。对于内网与外网之间存在信息交换的切实需求，物理隔离装置提供了正向与反向的文件传输信息交换方式。

对于高安全性SCADA类的系统应用，主站采集系统一般部署在内网。在外部客户或伙伴需要将数据采集终端接入系统时，通常的解决办法是在物理隔离之外的接入网络区域新增部署一套相应的主站采集系统，然后，针对业务系统要求部署物理隔离文件传输系统，实现采集数据向内网的同步。

现有的方法存在安全管控缺失、数据延迟大、管理成本高、设备投资大等问题。具体来说，一是安全管控缺失，尽管现在已经具备纵向加密传输等技术手段，但是限于设备投资、无技术接入要求等因素，大部分外部厂站仅是采用网络防火墙、无线公网APN技术等；二是数据延迟大，数据从现场终端到外网主站采集系统，存入数据库，再由同步程序以文件形式送入内网，内网同步程序转换文件入库；三是管理成本高，增加现场终端数据库配置信息，需要人工重复维护内网配置与外网配置，采集状态也需要内外网分别管理；四是投资大，在外网部署相应的主站采集系统，多套应用则需要配置多套，最小配置也必须包含数据库服务器、采集前置服务器。

因此，本发明提供了一种内网安全接入方法与系统，可以通过技术手段提高内网接入安全管控，降低数据延迟、设备投资与管理成本。

发明内容

针对现有技术中存在的上述不足之处，本发明是一种内网安全接入方法及系统，通过部署安全接入模块、外网终端接入服务模块与内网业务接入服务模块，采用流式处理实现包括连接维护、生成加密内存文件、物理隔离数据传输、解析内存文件、连接安全检查、返回报文数据到主站采集服务的数据交换功能，在屏蔽外部对内部的一切主动数据交换前提条件下，实现内网安全接入。

本发明为实现上述目的所采用的技术方案是：一种内网安全接入方法，包括以下步骤：

步骤1：在主站采集服务器与内网业务接入服务模块之间建立点对点隧道；在外网终端接入服务模块与安全接入终端之间建立点对点隧道；内网业务接入服务模块初始化内存文件目录；启动内网业务接入服务模块的网络监听；启动安全接入终端的网络监听；在内网业务接入服务模块上配置外部接入厂站IP，将外部接入厂站附加路由更新脚本传送给主站采集服务器；主站采集服务器运行路由更新脚本更新附加路由表；

步骤2：主站采集服务器发起网络会话连接信息，附加路由表将连接请求引导到内网业务接入服务模块的会话端口监听服务、将下行数据报文通过主站采集服务器与内网业务接入服务模块之间的点对点隧道发送给内网业务接入服务模块的网络监听；

步骤3：内网业务接入服务模块在接收到下行数据报文后，加密创建包含网络会话连接信息和下行数据报文的下行内存加密文件并发送给物理隔离正向终端；同时更新网络会话连接信息至连接白名单；

步骤4：物理隔离正向终端将下行内存加密文件交换到外网终端接入服务模块的指定内存文件中；