基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道的制作方法
【專利摘要】基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道����,使用雙臺(tái)工控計(jì)算機(jī)及專用大規(guī)模集成電路芯片(ASIC)�,在內(nèi)網(wǎng)和外網(wǎng)之間建造了一個(gè)安全的網(wǎng)絡(luò)物理隔離通道。工控計(jì)算機(jī)A接受外網(wǎng)數(shù)據(jù)之后�,剝離常規(guī)網(wǎng)絡(luò)協(xié)議和附加信息,將獲得的純數(shù)據(jù)通過ASIC硬件通道發(fā)送給工控計(jì)算機(jī)B�;工控計(jì)算機(jī)B根據(jù)自定義的通訊協(xié)議將其重新打包,構(gòu)造干凈的網(wǎng)絡(luò)數(shù)據(jù)提供給內(nèi)網(wǎng)使用����。兩臺(tái)工控機(jī)都采用經(jīng)過深度優(yōu)化的Linux操作系統(tǒng),對(duì)外網(wǎng)數(shù)據(jù)進(jìn)行嚴(yán)格的篩選和過濾����,僅響應(yīng)符合內(nèi)網(wǎng)定義的合法數(shù)據(jù);完善的權(quán)限管理��、最大限度的端口封閉以及自定義的網(wǎng)絡(luò)通訊和加密協(xié)議��,保證了系統(tǒng)自身安全����。工控計(jì)算機(jī)B還提供內(nèi)容審查記錄����、用戶身份認(rèn)證和分組管理�����,以及受保護(hù)的數(shù)據(jù)庫和FTP服務(wù)���。
【專利說明】基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型涉及計(jì)算機(jī)安全領(lǐng)域,尤其有關(guān)網(wǎng)絡(luò)物理隔離的計(jì)算機(jī)技術(shù)���。
【背景技術(shù)】
[0002]計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展到今天取得了巨大成功�,給人類帶來了極大的方便�����,為人類創(chuàng)造著巨大的財(cái)富����,但網(wǎng)絡(luò)的發(fā)展也伴隨著病毒蠕蟲以及惡意的黑客攻擊等危害,它們盜取信息�����、篡改文件甚至破壞系統(tǒng),威脅著人們的日常生活和工作生產(chǎn)���。在這樣的安全威脅越來越嚴(yán)重的情況下�����,人們開始采用更先進(jìn)的工具來保護(hù)自己的網(wǎng)絡(luò)�,比如建立更嚴(yán)格的防火墻����,使用更強(qiáng)大的殺毒軟件等等。而網(wǎng)絡(luò)物理隔離技術(shù)是一種比防火墻和殺毒軟件等更高級(jí)別的安全方法�,它將兩個(gè)網(wǎng)絡(luò)分隔,形成“信息島”�,通過建立嚴(yán)格保護(hù)的物理通道,進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的解析�����、檢測(cè)�����、過濾和還原,有效維護(hù)計(jì)算機(jī)安全��。
【發(fā)明內(nèi)容】
[0003]本實(shí)用新型使用雙臺(tái)工控計(jì)算機(jī)及專用大規(guī)模集成電路芯片(ASIC)���,在內(nèi)網(wǎng)和外網(wǎng)之間建造了一個(gè)安全的網(wǎng)絡(luò)物理隔離通道��。ASIC扮演著兩個(gè)網(wǎng)絡(luò)這間“信息渡船”的功能��,它使用電子開關(guān)實(shí)現(xiàn)存儲(chǔ)介質(zhì)讀寫控制�,與雙工控計(jì)算機(jī)配合�����,實(shí)現(xiàn)兩網(wǎng)間數(shù)據(jù)緩沖區(qū)的存儲(chǔ)轉(zhuǎn)發(fā)��。本實(shí)用新型包含兩臺(tái)工控計(jì)算機(jī)和其間的網(wǎng)絡(luò)物理隔離通道�����,網(wǎng)絡(luò)物理隔離通道采用大規(guī)模ASIC芯片搭建����;外端工控計(jì)算機(jī)與外網(wǎng)通過有線網(wǎng)絡(luò)接口或無線網(wǎng)絡(luò)相連���,內(nèi)端工控計(jì)算機(jī)與內(nèi)網(wǎng)通過有線網(wǎng)絡(luò)接口或無線網(wǎng)絡(luò)相連����;外端工控計(jì)算機(jī)將網(wǎng)絡(luò)數(shù)據(jù)解析、檢測(cè)和過濾�����,剝離出數(shù)據(jù)通過網(wǎng)絡(luò)物理隔離通道發(fā)送給內(nèi)端工控計(jì)算機(jī)��,由內(nèi)端工控計(jì)算機(jī)B進(jìn)行還原���、驗(yàn)證和發(fā)送���。
[0004]工控外端計(jì)算機(jī)A和工控內(nèi)端計(jì)算機(jī)B采用了兩套獨(dú)立的高性能處理器,外端機(jī)A與外網(wǎng)(如接入因特網(wǎng)的辦公網(wǎng)絡(luò))相連�,內(nèi)端機(jī)B與內(nèi)網(wǎng)(如要求高安全性的工控網(wǎng)絡(luò))相連,兩套系統(tǒng)通過ASIC建立的物理隔離通道進(jìn)行通訊�。外端機(jī)A接收到外網(wǎng)數(shù)據(jù)之后,將常規(guī)協(xié)議和附加信息剝離�����,并且嚴(yán)格檢查這些數(shù)據(jù)是否存在惡意指令,將病毒蠕蟲等網(wǎng)絡(luò)攻擊阻擋在外����,確認(rèn)數(shù)據(jù)安全之后,通過自定義的硬件ASIC通訊其發(fā)送給內(nèi)端機(jī)B �;內(nèi)端機(jī)B接收到之后,對(duì)其進(jìn)行檢測(cè)和篩選�,阻擋掉對(duì)內(nèi)網(wǎng)沒有惡意但是沒有實(shí)際用途的信息,將符合內(nèi)網(wǎng)自定義的合法信息重新包裝�����,增加網(wǎng)絡(luò)協(xié)議重新構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包�����,轉(zhuǎn)發(fā)給內(nèi)網(wǎng)�����。ASIC快速的處理能力使延時(shí)在毫秒級(jí)別�,滿足實(shí)時(shí)通訊要求��。
[0005]外端機(jī)A和內(nèi)端機(jī)B安裝了深度優(yōu)化的Linux操作系統(tǒng)���,具備完善的權(quán)限管理�、最大限度的端口封閉以及自定義的網(wǎng)絡(luò)通訊和加密協(xié)議,形成堅(jiān)實(shí)壁壘����,保證自身能夠經(jīng)受公網(wǎng)的各類攻擊;即使非法用戶獲得了外端機(jī)A的控制權(quán)����,由于硬件ASIC的通訊協(xié)議不對(duì)外公開,且控制過程受口令保護(hù)���,非法用戶也無法對(duì)其進(jìn)行操作����;除此之外�����,內(nèi)端機(jī)B還形成最后一道屏障�,只回應(yīng)受限的自定義的合法信息,從而保證內(nèi)網(wǎng)的絕對(duì)安全����。
[0006]內(nèi)端機(jī)B上具備網(wǎng)絡(luò)信息記錄、內(nèi)容審查記錄、用戶身份認(rèn)證和分組管理等功能���。網(wǎng)絡(luò)信息記錄方便追蹤攻擊來源��,內(nèi)容審查記錄方便查看非法信息構(gòu)成���,而用戶身份認(rèn)證和分組管理帶有強(qiáng)身份認(rèn)證的指紋識(shí)別,配合Linux自身完善的權(quán)限管理�,保證了責(zé)任人分級(jí)管理的需求。內(nèi)端機(jī)B還提供了受保護(hù)的數(shù)據(jù)庫和FTP服務(wù)�����,為內(nèi)網(wǎng)的功能擴(kuò)展提供資源��。
【專利附圖】
【附圖說明】
[0007]圖1是設(shè)備硬件結(jié)構(gòu)示意圖���;
[0008]圖2是設(shè)備應(yīng)用數(shù)據(jù)示意圖����;
【具體實(shí)施方式】
[0009]根據(jù)圖1所示���,對(duì)本實(shí)用新型進(jìn)行說明:
[0010]本實(shí)用新型包括隔離硬件(ASIC隔離硬件)、外部處理單元(內(nèi)端工控計(jì)算機(jī)A)、內(nèi)部處理單元(內(nèi)端工控計(jì)算機(jī)B)以及必要的電源�。外部處理單元與外網(wǎng)“Inf0.21APC系統(tǒng)”通過有線網(wǎng)絡(luò)接口或者無線網(wǎng)絡(luò)相連,外部處理單元與隔離硬件通過ASIC芯片協(xié)議相連����,內(nèi)部處理單元與隔離硬件通過ASIC芯片協(xié)議相連,內(nèi)部處理單元與內(nèi)網(wǎng)“DCS/PLC系統(tǒng)”通過有線網(wǎng)絡(luò)接口或者無線網(wǎng)絡(luò)相連�����。
[0011]內(nèi)部處理單元和外部處理單元可采用共地的獨(dú)立電源供電�,也可使用同一電源,隔離硬件從內(nèi)部或者外部處理單元的任意一處取電�。內(nèi)部處理單元搭載強(qiáng)身份認(rèn)證的指紋識(shí)別。
【權(quán)利要求】
1.一種基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道���,其特征是:包含兩臺(tái)工控計(jì)算機(jī)和其間的網(wǎng)絡(luò)物理隔離通道�����。
2.根據(jù)權(quán)利要求1所述的基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道��,其特征是:網(wǎng)絡(luò)物理隔離通道采用大規(guī)模ASIC芯片搭建���。
3.根據(jù)權(quán)利要求1所述的基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道����,其特征是:外端工控計(jì)算機(jī)與外網(wǎng)通過有線網(wǎng)絡(luò)接口或無線網(wǎng)絡(luò)相連�����,內(nèi)端工控計(jì)算機(jī)與內(nèi)網(wǎng)通過有線網(wǎng)絡(luò)接口或無線網(wǎng)絡(luò)相連�����。
4.根據(jù)權(quán)利要求1所述的基于雙臺(tái)工控計(jì)算機(jī)的網(wǎng)絡(luò)物理隔離通道����,其特征是:外端工控計(jì)算機(jī)將網(wǎng)絡(luò)數(shù)據(jù)解析、檢測(cè)和過濾��,剝離出數(shù)據(jù)通過網(wǎng)絡(luò)物理隔離通道發(fā)送給內(nèi)端工控計(jì)算機(jī)��,由內(nèi)端工控計(jì)算機(jī)B進(jìn)行還原��、驗(yàn)證和發(fā)送����。
【文檔編號(hào)】G06F21/55GK203930838SQ201420327078
【公開日】2014年11月5日 申請(qǐng)日期:2014年6月19日 優(yōu)先權(quán)日:2014年6月19日
【發(fā)明者】胡建新 申請(qǐng)人:北京淇朗科技有限公司