專利名稱：網(wǎng)絡(luò)安全隔離裝置的制作方法
技術(shù)領(lǐng)域：
本實(shí)用新型涉及一種網(wǎng)絡(luò)安全隔離裝置。
背景技術(shù)：
電力生產(chǎn)直接關(guān)系到國(guó)計(jì)民生，其安全問(wèn)題一直是國(guó)家有關(guān)部門關(guān)注的重點(diǎn)之一。電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力生產(chǎn)、經(jīng)營(yíng)和服務(wù)相關(guān)，而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運(yùn)行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。
隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來(lái)越多。特別是隨著電力改革的推進(jìn)和電力市場(chǎng)的建立，要求在調(diào)度中心、電廠、用戶等之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越頻繁。電力一次設(shè)備的改善使得其可控性能滿足閉環(huán)的要求。電廠、變電站減人增效，大量采用遠(yuǎn)方控制，對(duì)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。
而另一方面，Internet技術(shù)和因特網(wǎng)已得到廣泛使用，E-mail、Web和PC的應(yīng)用也日益普及，但同時(shí)病毒和黑客也日益猖獗。目前有一些電力調(diào)度中心、發(fā)電廠、變電站在規(guī)劃、設(shè)計(jì)、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題重視不夠，使得具有實(shí)時(shí)遠(yuǎn)方控制功能的監(jiān)控系統(tǒng)，在沒(méi)有進(jìn)行有效安全隔離的情況下與當(dāng)?shù)氐腗IS系統(tǒng)或其他數(shù)據(jù)網(wǎng)絡(luò)互連，構(gòu)成了對(duì)電網(wǎng)安全運(yùn)行的嚴(yán)重隱患。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用“搭接”的手段對(duì)傳輸?shù)碾娏刂菩畔⑦M(jìn)行“竊聽”和“篡改”，進(jìn)而對(duì)電力一次設(shè)備進(jìn)行非法破壞性操作的威脅。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個(gè)非常緊迫的問(wèn)題。
依據(jù)國(guó)家經(jīng)濟(jì)貿(mào)易委員會(huì)制定的《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)暫行規(guī)定》，把電力二次系統(tǒng)安全防護(hù)體系分為三層四安全區(qū)。第一層為實(shí)時(shí)監(jiān)控系統(tǒng)，第二層為生產(chǎn)管理系統(tǒng)，第三層為電力信息系統(tǒng)。在層中按安全等級(jí)的不同又區(qū)分為安全工作區(qū)，第一層被認(rèn)為是一個(gè)獨(dú)立的安全區(qū)I。第二層分為兩部分，一部分連接的外部邊界通信網(wǎng)絡(luò)為國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)(SPDnet)，另一部分不連接國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)(SPDnet)。因而前者為安全區(qū)II，后者為安全區(qū)III。第三層電力信息系統(tǒng)，為安全區(qū)IV。在各安全區(qū)之間，均需選擇適當(dāng)?shù)母綦x裝置。鑒于實(shí)時(shí)監(jiān)控系統(tǒng)的重要性和生產(chǎn)管理系統(tǒng)的次重要性，安全區(qū)I、安全區(qū)II和安全區(qū)III、安全區(qū)IV的隔離尤其顯得迫要。
目前市場(chǎng)流行的計(jì)算機(jī)防毒墻、防火墻、防毒軟硬件產(chǎn)品為保證數(shù)據(jù)連接，必須支持全數(shù)據(jù)交換方式，這種方式在病毒和服務(wù)器寄居式黑客攻擊面前是有漏洞，最近爆發(fā)的Nimda病毒現(xiàn)象就是最好的例證。WEB服務(wù)器同屬于兩個(gè)子網(wǎng)，一旦受到病毒或黑客的攻擊侵入，則內(nèi)網(wǎng)和RTU也就存在被攻擊的危害。
它們主要存在以下的問(wèn)題1、現(xiàn)有各種系統(tǒng)為確保網(wǎng)絡(luò)的連接，必須遵循標(biāo)準(zhǔn)的通信協(xié)議，如TCP/IP協(xié)議，只要熟悉協(xié)議，就可以傳送各種數(shù)據(jù)，也包括病毒和黑客的非法數(shù)據(jù)和指令。
2、WEB服務(wù)器同屬于兩個(gè)子網(wǎng)，數(shù)據(jù)通信也是雙向的，內(nèi)網(wǎng)外網(wǎng)沒(méi)有實(shí)現(xiàn)信道上的隔離。
3、現(xiàn)有系統(tǒng)使用的是通用的操作系統(tǒng)，如Windows，一方面它是一個(gè)開放的操作系統(tǒng)，同時(shí)本身也存在安全的后門和漏洞，再者為確保網(wǎng)絡(luò)連接不可能過(guò)多的干預(yù)數(shù)據(jù)包的處理。即網(wǎng)絡(luò)是連通了，但進(jìn)出的什么數(shù)據(jù)它無(wú)法管理。
4、為節(jié)約成本，有些網(wǎng)絡(luò)連接使用的是公共網(wǎng)絡(luò)，傳輸?shù)膬?nèi)容又沒(méi)有經(jīng)過(guò)加密，很容易被惡意監(jiān)聽、截獲、偽裝，存在嚴(yán)重的安全隱患。
網(wǎng)絡(luò)連接使用的都是通用網(wǎng)卡，沒(méi)有流量統(tǒng)計(jì)、限制、優(yōu)先通訊等功能，容易受到網(wǎng)絡(luò)風(fēng)暴的影響，造成網(wǎng)絡(luò)阻塞，通信受到干擾甚至中斷。

發(fā)明內(nèi)容
本實(shí)用新型的目的在于提供一種網(wǎng)絡(luò)安全隔離裝置。其可在標(biāo)準(zhǔn)操作系統(tǒng)和通信協(xié)議(TCP/IP)下，完成各種網(wǎng)絡(luò)的有效連接，包括INTERNET；同時(shí)確保網(wǎng)絡(luò)安全，不受病毒黑客攻擊，不發(fā)生網(wǎng)絡(luò)通信故障和阻塞。
為達(dá)到上述目的，本實(shí)用新型提供一種網(wǎng)絡(luò)安全隔離裝置，其包含電路連接的一外購(gòu)穩(wěn)壓電源，一外購(gòu)計(jì)算機(jī)工業(yè)控制模塊，一外購(gòu)面板控制模塊。
該外購(gòu)穩(wěn)壓電源一端輸入220伏特的交流電，另一端輸出5伏特的直流電分別提供外購(gòu)計(jì)算機(jī)工業(yè)控制模塊和外購(gòu)面板控制模塊的電源。該外購(gòu)計(jì)算機(jī)工業(yè)控制模塊是網(wǎng)絡(luò)安全隔離裝置的核心模塊，具有多個(gè)網(wǎng)絡(luò)接口，通過(guò)該網(wǎng)口一端連接計(jì)算機(jī)外網(wǎng)(OA(MIS)網(wǎng))，另一端連接計(jì)算機(jī)內(nèi)網(wǎng)(SCADA網(wǎng))，其功能類似一臺(tái)計(jì)算機(jī)。該外購(gòu)面板控制模塊控制整個(gè)網(wǎng)絡(luò)安全隔離裝置的輸入和顯示，包括鍵盤輸入、液晶顯示器和指示燈。
該網(wǎng)絡(luò)安全隔離裝置具有以下功能所述的各網(wǎng)絡(luò)接口是由獨(dú)立的網(wǎng)卡支持，彼此間是物理隔離的，即內(nèi)網(wǎng)和外網(wǎng)是完全物理隔離的，內(nèi)網(wǎng)不會(huì)受到外網(wǎng)影響，病毒和黑客也就不能經(jīng)由外網(wǎng)入侵和攻擊內(nèi)網(wǎng)。
實(shí)行IP地址認(rèn)證方案，即當(dāng)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)時(shí)，內(nèi)網(wǎng)實(shí)行對(duì)外網(wǎng)的IP地址認(rèn)證，若不是許可的IP地址用戶，則拒絕訪問(wèn)。通過(guò)地址IP設(shè)置，可以設(shè)定通過(guò)隔離裝置的機(jī)器列表，同時(shí)過(guò)濾掉某些計(jì)算機(jī)，這樣就能夠避免非法用戶(IP地址)的使用，提高一定的安全性，濾除一部分潛在危害。
改變協(xié)議，使用非標(biāo)準(zhǔn)協(xié)議，即在外網(wǎng)訪問(wèn)內(nèi)網(wǎng)時(shí)，傳送數(shù)據(jù)報(bào)文采用非標(biāo)準(zhǔn)協(xié)議，網(wǎng)絡(luò)安全隔離裝置根據(jù)非標(biāo)準(zhǔn)協(xié)議的特殊標(biāo)記判定此數(shù)據(jù)是否有效，若有效則允許內(nèi)網(wǎng)接收帶特殊標(biāo)志的數(shù)據(jù)，若無(wú)效則不允許內(nèi)網(wǎng)接收外網(wǎng)數(shù)據(jù)，起到屏蔽作用。
進(jìn)行加密處理，即對(duì)外網(wǎng)計(jì)算機(jī)的數(shù)據(jù)進(jìn)行拆包加密，只對(duì)內(nèi)容加密，TCP/IP結(jié)構(gòu)還是遵守標(biāo)準(zhǔn)規(guī)范，然后打包發(fā)送至網(wǎng)絡(luò)。網(wǎng)絡(luò)安全隔離裝置對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行分析識(shí)別，接收同一加密系統(tǒng)方案的數(shù)據(jù)包(包括物理層封底握手報(bào)文)，丟棄非法數(shù)據(jù)包，并拆包解密再打包成標(biāo)準(zhǔn)TCP/IP包發(fā)送給內(nèi)網(wǎng)。
流量統(tǒng)計(jì)與限制，記錄進(jìn)行數(shù)據(jù)交換的IP地址，再進(jìn)行數(shù)據(jù)流量統(tǒng)計(jì)，實(shí)行優(yōu)先通過(guò)的管理方法，以防止網(wǎng)絡(luò)阻塞。
本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置能在保證各種網(wǎng)絡(luò)連接的情況下，確保網(wǎng)絡(luò)安全，不受病毒和黑客的攻擊，也不發(fā)生網(wǎng)絡(luò)通信故障和阻塞。


圖1為本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置的頂部剖面示意圖；圖2為本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置的工作原理圖。
具體實(shí)施方式
以下根據(jù)圖1、圖2，說(shuō)明本實(shí)用新型的一種最佳實(shí)施方式。
如圖1所示，為本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置1的頂部剖面示意圖；其包含一外購(gòu)穩(wěn)壓電源101(如型號(hào)為GKD-50-122)，一外購(gòu)計(jì)算機(jī)工業(yè)控制模塊102(如型號(hào)為EC3-1566.VB1)，一外購(gòu)面板控制模塊103(如型號(hào)為SSB-LSQL-WWM/V1.2)。
該外購(gòu)穩(wěn)壓電源101一端輸入220伏特的交流電，另一端輸出5伏特的直流電分別提供外購(gòu)計(jì)算機(jī)工業(yè)控制模塊102和外購(gòu)面板控制模塊103的電源。該外購(gòu)計(jì)算機(jī)工業(yè)控制模塊102是網(wǎng)絡(luò)安全隔離裝置的核心模塊，具有多個(gè)網(wǎng)絡(luò)接口，通過(guò)該網(wǎng)絡(luò)接口一端連接計(jì)算機(jī)外網(wǎng)(OA(MIS)網(wǎng))，另一端連接計(jì)算機(jī)內(nèi)網(wǎng)(SCADA網(wǎng))，其功能類似一臺(tái)計(jì)算機(jī)。該外購(gòu)面板控制模塊103控制整個(gè)網(wǎng)絡(luò)安全隔離裝置的輸入和顯示，包括鍵盤輸入、液晶顯示器和指示燈。
如圖2所示，為本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置的工作原理圖。
所述的各網(wǎng)絡(luò)接口是由獨(dú)立的網(wǎng)卡支持，彼此間是物理隔離的，即內(nèi)網(wǎng)104和外網(wǎng)105是完全物理隔離的，內(nèi)網(wǎng)104不會(huì)受到外網(wǎng)105影響，病毒和黑客也就不能經(jīng)由外網(wǎng)105入侵和攻擊內(nèi)網(wǎng)104。
實(shí)行IP地址認(rèn)證方案，即當(dāng)外網(wǎng)105訪問(wèn)內(nèi)網(wǎng)104時(shí)，內(nèi)網(wǎng)104實(shí)行對(duì)外網(wǎng)105的IP地址認(rèn)證，若不是許可的IP地址用戶，則拒絕訪問(wèn)。通過(guò)地址IP設(shè)置，可以設(shè)定通過(guò)隔離裝置的機(jī)器列表，同時(shí)過(guò)濾掉某些計(jì)算機(jī)，這樣就能夠避免非法用戶(IP地址)的使用，提高一定的安全性，濾除一部分潛在危害。
改變協(xié)議，使用非標(biāo)準(zhǔn)協(xié)議，即在外網(wǎng)105訪問(wèn)內(nèi)網(wǎng)104時(shí)，傳送數(shù)據(jù)報(bào)文采用非標(biāo)準(zhǔn)協(xié)議，網(wǎng)絡(luò)安全隔離裝置根據(jù)非標(biāo)準(zhǔn)協(xié)議的特殊標(biāo)記判定此數(shù)據(jù)是否有效，若有效則允許內(nèi)網(wǎng)104接收帶特殊標(biāo)志的數(shù)據(jù)，若無(wú)效則不允許內(nèi)網(wǎng)104接收外網(wǎng)數(shù)據(jù)，起到屏蔽作用。
進(jìn)行加密處理，即對(duì)由外網(wǎng)105的計(jì)算機(jī)傳送的數(shù)據(jù)進(jìn)行拆包加密，只對(duì)內(nèi)容加密，TCP/IP結(jié)構(gòu)還是遵守標(biāo)準(zhǔn)規(guī)范，然后打包發(fā)送至網(wǎng)絡(luò)。網(wǎng)絡(luò)安全隔離裝置對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行分析識(shí)別，接收同一加密系統(tǒng)方案的數(shù)據(jù)包(包括物理層封底握手報(bào)文)，丟棄非法數(shù)據(jù)包，并拆包解密再打包成標(biāo)準(zhǔn)TCP/IP包發(fā)送給內(nèi)網(wǎng)104。
流量統(tǒng)計(jì)與限制，記錄進(jìn)行數(shù)據(jù)交換的IP地址，再進(jìn)行數(shù)據(jù)流量統(tǒng)計(jì)，實(shí)行優(yōu)先通過(guò)的管理方法，以防止網(wǎng)絡(luò)阻塞。
本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置能在保證各種網(wǎng)絡(luò)連接的情況下，確保網(wǎng)絡(luò)安全，不受病毒和黑客的攻擊，也不發(fā)生網(wǎng)絡(luò)通信故障和阻塞。
權(quán)利要求1.一種網(wǎng)絡(luò)安全隔離裝置，其包含穩(wěn)壓電源，計(jì)算機(jī)工業(yè)控制模塊，面板控制模塊，特征在于，所述的穩(wěn)壓電源分別與計(jì)算機(jī)工業(yè)控制模塊和面板控制模塊通過(guò)電路連接，其提供該計(jì)算機(jī)工業(yè)控制模塊和面板控制模塊的工作電源；所述的計(jì)算機(jī)工業(yè)控制模塊還與面板控制模塊通過(guò)電路連接；所述的計(jì)算機(jī)工業(yè)控制模塊包含多個(gè)網(wǎng)絡(luò)接口，其通過(guò)所述的網(wǎng)絡(luò)接口一端與計(jì)算機(jī)內(nèi)網(wǎng)連接，另一端與計(jì)算機(jī)外網(wǎng)連接；所述的面板控制模塊控制網(wǎng)絡(luò)安全隔離裝置的信息輸入和顯示輸出。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)安全隔離裝置，其特征在于，所述的各網(wǎng)絡(luò)接口是由獨(dú)立的網(wǎng)卡支持，彼此間是物理隔離的。
專利摘要本實(shí)用新型涉及一種網(wǎng)絡(luò)安全隔離裝置。其包含外購(gòu)穩(wěn)壓電源，外購(gòu)計(jì)算機(jī)工業(yè)控制模塊，外購(gòu)面板控制模塊。該外購(gòu)穩(wěn)壓電提供電源；該外購(gòu)計(jì)算機(jī)工業(yè)控制模塊具有多個(gè)網(wǎng)絡(luò)接口，分別連接計(jì)算機(jī)外網(wǎng)和計(jì)算機(jī)內(nèi)網(wǎng)；該外購(gòu)面板控制模塊控制整個(gè)網(wǎng)絡(luò)安全隔離裝置的輸入和顯示，包括鍵盤輸入、液晶顯示器和指示燈。本實(shí)用新型提供的網(wǎng)絡(luò)安全隔離裝置，其可在標(biāo)準(zhǔn)操作系統(tǒng)和通信協(xié)議(TCP/IP)的有效連接；同時(shí)確保網(wǎng)絡(luò)安全，不受病毒黑客攻擊，不發(fā)生網(wǎng)絡(luò)通信故障和阻塞。
文檔編號(hào)H04L29/10GK2774023SQ200420037198
公開日2006年4月19日 申請(qǐng)日期2004年7月5日 優(yōu)先權(quán)日2004年7月5日
發(fā)明者李國(guó)慶 申請(qǐng)人:上海申貝科技發(fā)展有限公司