[发明专利]一种控制装置及系统的安全隔离网关

说明书

本发明针对控制系统连接管理信息系统或广域网络系统的安全性难题，提供了一种控制装置及系统的安全隔离网关，其包括：用于连接内网节点的内网通信处理单元，用于连接外网节点的外网通信处理单元，以及用于连接配置节点的独立功能单元，所述内网通信处理单元、外网通信处理单元和独立功能单元三部分两两之间电气隔离，通过光通信方式进行数据交换；所述内网通信处理单元和外网通信处理单元各自至少包括用于数据提取与数据包重建的通信数据提取模块和通信数据包重建模块；所述独立功能单元包括日志模块、审计模块和规则配置模块，用于实现独立的日志记录、数据审计和规则配置。

技术领域

本发明涉及工业控制装置及系统功能安全与信息安全领域，特别涉及一种控制装置及系统的安全隔离网关。

背景技术

随着工业网络技术的不断应用和完善，Internet与社会各方面的结合越来越紧密，工业企业各单位信息化建设等一系列网络应用蓬勃发展。人们在享受互联网丰富、便捷的同时，也日益感受到各类安全威胁正在飞速增长，频繁的网络攻击、病毒泛滥、非授权访问、信息泄密等问题极大地困扰着用户，给信息网络和核心业务造成严重的破坏。

工业测控系统网络集成架构，包括可编程控制产品、数控产品、过程仪表产品、网络通信产品和编程组态软件等，通过以太网形成从现场级到控制级、从执行级再到工厂管理级的自动化解决方案。在此架构下，控制系统与其他设备通过交换技术共享同一物理通道，为消除信息孤岛，实现智慧工厂创造了条件。但同时，由于物理通道共享使控制系统更容易遭到内部和外部的攻击，使系统存在安全隐患。

目前已经公开的隔离网关技术由于隔离层级较低、不具备远程跨公网通信能力、威胁防御能力不足等原因，实际应用中有较大的限制。

发明内容

本发明针对控制系统连接管理信息系统或广域网络系统的安全性难题，提供了一种控制装置及系统的安全隔离网关。

本发明通过如下技术方案实现其技术目的：

一种控制装置及系统的安全隔离网关，包括用于连接内网节点的内网通信处理单元，用于连接外网节点的外网通信处理单元，以及用于连接配置节点的独立功能单元，所述内网通信处理单元、外网通信处理单元和独立功能单元三部分两两之间电气隔离，通过光通信方式进行数据交换；

所述内网通信处理单元和外网通信处理单元各自至少包括用于数据提取与数据包重建的通信数据提取模块和通信数据包重建模块；

所述独立功能单元包括日志模块、审计模块和规则配置模块，用于实现独立的日志记录、数据审计和规则配置。

进一步的，所述内网通信处理单元和外网通信处理单元各自还包括访问控制模块，其包括用于将网络节点划分成多个不同等级不同权限的层次区域的区域划分子模块，和限制目标节点和原节点之间的跨区域通信，以及被允许的跨区域通信的通信频率的通信限制子模块。

进一步的，所述内网通信处理单元和外网通信处理单元各自还包括防协议攻击模块，其包括协议数据剥离子模块、协议数据摆渡子模块和协议数据包重建子模块，用于阻断协议通信链路以避免协议攻击。

进一步的，所述内网通信处理单元和外网通信处理单元各自还包括白名单过滤模块，其包括用于集中配置、解析、查询白名单规则的规则配置子模块和用于进行数据包节点过滤、通信端口过滤、通信协议过滤及通信内容过滤的通信过滤子模块。

进一步的，所述内网通信处理单元和外网通信处理单元各自还包括基于会话的异常检测模块，其用于记录一段时间内的通信历史，并以会话为维度进行上下文关联分析，发现隐蔽攻击。

进一步的，所述内网通信处理单元和外网通信处理单元各自还包括深度包解析模块，其包括协议检测子模块、细粒度行为检测子模块和行为安全度评估子模块；

所述协议检测子模块用于进行协议的正确性和完整性检测；