技术领域
本发明涉及工业互联网领域网络安全防护,特别涉及一种基于实时数据传输的工业互联网网络安全防护方法和系统。
背景技术
通过对工厂大范围的信息物理系统进行实时数据采集,构建用于工业互联网应用平台的基础数据层是大部分企业生产信息化的重要基础之一。基础数据层是工业互联网第一层,是生产信息向外传递的源头。目前,数据采集及共享采用实时数据库系统作为中间桥梁,共享出口安装部署网络安全防护设备的方法,并不能有效的防范操作系统漏洞、企业内部网络泛在连接的安全问题、计算机病毒等网络安全隐患。一旦发生网络安全事件,可能直接影响生产,造成极大的经济损失。对外连接越多,网络安全隐患越大,集成共享技术难度越大。仅依靠边界防护无法满足网络内部网络安全的要求。
网络安全是一个综合性的安全问题,工业互联网第一层(基础数据层)的网络安全一般面临着采集传输网络安全、数据泄漏安全、信息防篡改、漏洞及访问控制、加密及网络隔离等安全问题及防护措施配套需求。就目前而言没有一种设备或方法能完全实现以上需求,立体化的解决工业互联网基础数据层的网络安全保护。
发明内容
本发明的目的在于,克服了现有技术中无法立体化多层面解决工业互联网基础数据层的网络安全保护的问题,基于多源异构信息采集的技术,提出了一种基于实时数据传输的工业互联网网络安全防护方法和系统。
为了实现上述发明目的,本发明提供了以下技术方案:
一种基于实时数据传输的工业互联网网络安全防护方法,包括以下步骤:
S1,将生产过程中产生的信号转换为数据信息,每条数据信息包括数值信息、数据类型标签和时间标签;
S2,将数据信息转化为满足工业通信协议的数据包信息;
S3,进行数据过滤,滤除不满足工业通信协议的数据包信息;只传输满足工业通信协议的数据包信息;
S4,根据数据映射关系将满足工业通信协议的数据包信息转换为对外发送的数据包,工业通信协议的数据包与对外发送的数据包进行了隔离,对外发送的数据包在工业互联网进行对外传输和交互。
作为本发明的优选方案,步骤S1中,生产过程中产生的信号包括生产过程信号和报警状态信号,生产过程信号包括温度信号、流量信号、压力信号、物位信号或成分信号中至少一种。
作为本发明的优选方案,步骤S2中工业通信协议包括Modbus RTU、Profibus、OPCDA或OPC UA中至少一种。
基于相同的构思,本发明还提出了一种基于实时数据传输的工业互联网网络安全防护系统,其特征在于,包括:控制器、协议过滤工业网关、协议过滤防火墙、OPC服务器和数据单向隔离网关;
控制器用于将采集到的生产过程中产生的信号转换为数据信息,每条数据信息包括数值信息、数据类型标签和时间标签;控制器还用于将数据信息进行协议转换,将数据信息转换为满足工业通信协议的数据包信息,并输出到协议过滤工业网关;
协议过滤工业网关输出满足工业通信协议的数据包信息到OPC服务器,对于网络中出现的不满足工业通信协议的数据包信息,协议过滤工业网关,则丢弃;
OPC服务器用于压缩并存储接收到的满足工业通信协议的数据包信息;
协议过滤防火墙用于滤除不满足工业通信协议的网络数据,而只允许存储在OPC服务器中满足工业通信协议的数据包信息输出到数据单向隔离网关;
数据单向隔离网关根据数据映射关系将满足工业通信协议的数据包信息转换为对外发送的数据包,满足工业通信协议的数据包信息与对外发送的数据包进行了隔离。
作为本发明的优选方案,生产过程中产生的信号包括生产过程信号和报警状态信号,生产过程信号包括温度信号、流量信号、压力信号、物位信号或成分信号。
作为本发明的优选方案,工业通信协议包括Modbus RTU、Profibus、OPC DA或OPCUA。
作为本发明的优选方案,系统还包括实时数据服务系统和工业网络防火墙;
实时数据服务系统接收并存储数据单向隔离网关输出的对外发送的数据包,并通过工业网络防火墙实现对外发送的数据包与外网之间的数据交互;
工业网络防火墙用于阻止来自外网的网络攻击。
作为本发明的优选方案,系统还包括工业杀毒服务系统,工业杀毒服务系统与OPC服务器连接,工业杀毒服务系统用于保障过程控制系统内部计算机系统的网络安全。
作为本发明的优选方案,数据单向隔离网关通过不同的网络IP地址段实现数据采集侧和数据转发侧独立的网络交互。
与现有技术相比,本发明的有益效果:
1、根据数据映射关系将所述满足工业通信协议的数据包信息转换为对外发送的数据包,转换后的对外发送的数据包可以实现数据格式的一致性,由于转换规则的一致性,实际真实数值保持与原始数据一致不变,有效的防范了数据泄漏、保护了底层数据。并且对数据的单向隔离,通过软件定义方式实现对实时单条数据读写控制方式,有效的实现了防篡改。
2、本专利采用的传输网络安全、数据权限安全、信息防篡改、漏洞检测及访问控制、网络隔离等技术防范措施,对工业互联网第一层(基础数据层)所进行的网络安全立体化、系统化、体系化的纵向防护,满足了企业数据安全采集、集中管理、共享可控的目的,保障了企业信息化建设过程中各类生产数据二次开发、利用的需求。
附图说明
图1为本发明实施例1中的工业互联网控制侧网络安全防护网络结构示意图;
图2为本发明实施例2中的工业互联网控制网络层网络安全防护网络结构示意图;
图3为本发明实施例2中信息网络层安全防护网络结构示意图;
图4为本发明实施例2中工业互联网总的安全防护网络结构示意图;
图5为本发明实施例2中垂直工业互联网网络安全防护络结构示意图;
图6为本发明实施例2中单向隔离网关网段隔离及数据服务机制示意图。
附图标记:1-协议过滤工业网关;2-数据单向隔离网关;3-协议过滤防火墙;4-工业杀毒服务系统;5-工业网络防火墙;6-基础数据系统物理接口防病毒防范及网络安全优化防护部分;7-数据服务网访问控制及拒绝访问网络安全防护部分;8-生产信息网访问真实性及单向隔离的网络安全防护部分;9-生产信息网至企业信息网的体系化网络安全防护部分;10-工业过程网内部网络风暴的网络安全防护部分。
具体实施方式
下面结合试验例及具体实施方式对本发明作进一步的详细描述。但不应将此理解为本发明上述主题的范围仅限于以下的实施例,凡基于本发明内容所实现的技术均属于本发明的范围。
实施例1
多源异构信息采集是构建工业互联网应用的数据保障基础,为了最大限度的减少基础信息物理系统在工业互联网互联、互通过程中暴露的风险。一种基于实时数据传输的工业互联网网络安全防护方法,方法的流程图如图1所述,具体包括以下步骤:
S1,将生产过程中产生的信号转换为数据信息,每条所述数据信息包括数值信息、数据类型标签和时间标签。
步骤S1具体包括:将各类传感器(如:温度、流量、压力、物位、成分等生产过程信号及越界报警状态信号)的传感器检测信号转换为具有数学意义的浮点数数据信息或布尔型逻辑信息。将具有物理意义的标签与数值信息对应再加上时间标签形成一条具有实时物理测量意义的数据信息。
S2,将所述数据信息转化为满足工业通信协议的数据包信息。
步骤S2具体包括:将步骤S1中得到的数据信息实时更新并统一转化为可通过工业通信协议传输的数据包信息,工业通信协议包括Modbus RTU、Profibus、OPC DA、OPC UA等。
S3,进行数据过滤,滤除不满足工业通信协议的数据包信息;只传输所述满足工业通信协议的数据包信息。首先按照数据类型对获取的数据信息进行一对一的数据过滤,因此,有多个协议过滤工业网关,每一种数据类型对应一个子协议过滤工业网关,每个协议过滤工业网关使相应数据类型的数据包信息通过,而不属于该类型的数据不通过,被丢弃。其次,按照同步时序,总的协议过滤工业网关接收子协议过滤工业网关的数据包信息,而不属于子协议过滤工业网关预设数据类型的数据不通过,被丢弃。总的协议过滤工业网关将满足工业通信协议的数据包信息存储到OPC服务器中。具体做法是在底层信息物理系统与上层信息物理系统的控制器通信链路中独立且一对一的部署协议过滤工业网关,形成数据供给端与数据接收端的端口规约、通讯地址、通讯协议的过滤,阻止一切异常、非规约内的数据连接。协议过滤工业网关的可编程接口通过RS-485接口的数据采集频率、通信端口、故障数据处理机制、拒绝未知连接等实现过程控制级数据采集与传输的通信接口安全防护。
S4,根据数据映射关系将所述满足工业通信协议的数据包信息转换为对外发送的数据包,所述工业通信协议相应的数据包与所述对外发送的数据包进行了隔离,所述对外发送的数据包在工业互联网进行对外传输和交互。
具体做法是在底层信息物理系统与上层信息物理系统的Ethernet通信链路中部署单向隔离网关,单向隔离网关通过控制侧控制信息侧对外输出转换后的对外发送的数据包。控制端的数据来源于自定义的且满足协议过滤工业网关的数据包,信息侧的数据根据数据映射关系转换为对外传递的对外发送的数据包,并且信息侧的数据包进行二次定义,除了转换后的对外发送的数据包,还可以加入其它信息。
数据映射关系包括将已知数据包信息的IP字段(例如IP地址为192.X.X.X),转换为虚拟的IP字段(例如IP地址为10.X.X.X),还可以预设转换规则,将数据包中的时间字段、标识字段、验证码等进行转换,得到对外发送的数据包,可以认为对外发送的数据包是虚拟信息,外网并不能根据对外发送的数据包直接解析到真实信息,而必须根据数据映射关系才能获取,以此保护原始数据不被网络攻击。
二次定义加工后的数据包信息可以实现数据格式的一致性,同时真实数值保持与原始数据一致不变,有效的防范了数据泄漏、保护了底层数据。通过单向隔离网关对数据的单向隔离,通过软件定义方式实现对实时单条数据读写控制方式,有效的实现了防篡改。未经建立数据映射关系的数据包无法通过单向隔离网关直接读取,而底层通过数据被采集的物理接口的灵活配置及划分,实现不同数据从同一物理接口送出至不同的数据采集器的访问控制,未经定义的数据无法被上层采集器采集到。数据单向隔离网关采用不同的网络IP地址段实现控制侧和信息侧独立的网络交互,单向隔离网关自身采用数据映射及虚拟化的方式实现不同网段信息之间的传输。相当于不用路由器通过实现了不同网段NAT的通信,实现了网络攻击从信息侧入侵但是控制侧网络地址不是同一个网段,有效的阻止网络攻击向底层继续,用异构网段实现了网络的安全隔离。
实施例2
一种基于实时数据传输的工业互联网网络安全防护系统总的安全防护网络结构示意图如图3所示,分为控制网络层和信息网络层两部分,信息网络层安全防护网络结构示意图如图1所示,控制网络层网络安全防护网络结构示意图如图2所示。基于实时数据传输的工业互联网网络安全防护系统简化后的垂直工业互联网网络安全防护络结构示意图如图4所示。系统包括:各类传感器、控制器、子协议过滤工业网关、总的协议过滤工业网关、OPC服务器、协议过滤防火墙和数据单向隔离网关。
首先各类传感器(如:温度、流量、压力、物位、成分等生产过程信号及越界报警状态信号)采集传感器检测信号,将各类传感器信号汇总,输入到控制器中。在高速运行的控制器内部,将采集到的各类传感器信号转换为具有数学意义的浮点数数据信息或布尔型逻辑信息,这些浮点数数据信息或布尔型逻辑信息具有一定的物理测量意义,进一步的,将具有物理意义的标签与浮点数数据信息或布尔型逻辑信息对应再加上时间标签形成一条具有实时物理测量意义的数据信息。
控制器还将具有实时物理测量意义的数据信息实时更新并统一转化为可通过工业通信协议Modbus RTU、Profibus、OPC DA、OPC UA等传输的数据包信息。
协议过滤工业网关用于滤除不满足预设的网络通信协议的数据包,具体的协议过滤工业网关分为两层,多个子协议过滤工业网关和一个总的协议过滤工业网关。首先按照数据类型对获取的数据信息进行一对一的数据过滤,因此,有多个协议过滤工业网关,每一种数据类型对应一个子协议过滤工业网关,每个协议过滤工业网关使相应数据类型的数据包信息通过,而不属于该类型的数据不通过,被丢弃。其次,按照同步时序,总的协议过滤工业网关接收子协议过滤工业网关的数据包信息,而不属于子协议过滤工业网关预设数据类型的数据不通过,被丢弃。总的协议过滤工业网关将满足工业通信协议的数据包信息存储到OPC服务器中。由于增加了协议过滤工业网关,当控制器因通信卡自身故障导致的网络风暴时,由于协议过滤工业网关的过滤作用,可以将网络风暴阻隔,确保主、从设备数据采集网络的安全及控制器运行安全。
作为具体的实施例,通过控制器后端部署的子协议过滤工业网关的可编程接口,过滤输出满足Modbus RTU、Profibus等工业通信协议的数据包,还可以通过RS-485接口的数据采集频率、通信端口、故障数据处理机制、拒绝未知连接等实现过程控制级数据采集与传输的通信接口安全防护。然后采用一个总的协议过滤工业网关,将满足工业通信协议的数据包信息对外发送,实现垂直层次的实时数据信息传输网。
OPC服务器用于压缩并存储接收到的所述工业通信协议的数据包信息;
协议过滤防火墙用于滤除不满足工业通信协议的网络数据,而只允许存储在所述OPC服务器中满足工业通信协议的数据包信息输出到数据单向隔离网关。
数据单向隔离网关根据数据映射关系将所述满足工业通信协议的数据包信息转换为对外发送的数据包,满足工业通信协议的数据包信息与所述对外发送的数据包进行了隔离。单向隔离网关网段隔离及数据服务机制示意图如图6所示,根据预设的数据映射关系,将控制侧的数据虚拟为信息侧的数据,将信息侧的数据进行对外交互,不用路由器通过实现了不同网段NAT的通信,实现了网络攻击从信息侧入侵但是控制侧网络地址不是同一个网段,有效的阻止网络攻击向底层继续,从异构网段实现了网络的安全隔离。
作为优选方案,系统还包括实时数据服务系统和工业网络防火墙;实时数据服务系统接收并存储所述数据单向隔离网关输出的对外发送的数据包,并通过所述工业网络防火墙实现所述对外发送的数据包与外网之间的数据交互;工业网络防火墙用于阻止来自外网的网络攻击。
作为优选方案,系统还包括工业杀毒服务系统,所述工业杀毒服务系统与所述OPC服务器连接,所述工业杀毒服务系统用于保障过程控制系统内部计算机系统的网络安全。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
机译: 基于工业互联网操作系统的多操作系统操作系统和方法
机译: 基于工业互联网操作系统的多操作系统操作方法和装置
机译: 基于人体通讯的实时数据传输系统及方法
