一种内外网隔离低速率数据交换装置的制作方法

1.本发明涉及网络安全技术领域，具体涉及一种内外网隔离低速率数据交换装置。


背景技术：

2.网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变的越来越重要。网络攻击中，例如网络入侵、病毒和有害代码的攻击，使得联网设备收到黑客、病毒的侵害，进而发生机密信息泄露，对社会产生危害，对国家造成巨大损失。


技术实现要素：

3.针对上述背景技术中存在的问题，提出一种内外网隔离低速率数据交换装置，包括机箱和设置在机箱中的双主机系统以及机器视觉硬件隔离控制器。
4.所述交换装置包括机箱和设置在机箱中的双主机系统、机器视觉硬件隔离控制器和电源，电源为双主机系统、机器视觉硬件隔离控制器进行供电；
5.双主机系统包括外网主机和内网主机，分别对应连接并收发外网和内网的数据；外网主机和内网主机之间通过机器视觉硬件隔离控制器连接；
6.所述外网主机和内网主机均包括cpu、加密芯片和主板，主板设有输入端口和输出端口；端口连接主板上的cpu，cpu连接加密芯片，加密芯片连接器视觉硬件隔离控制器，实现外网主机和内网主机之间的数据交换。
7.进一步地，所述交换装置采用非intel指令集的网络处理器。
8.进一步地，所述硬件隔离控制器通过机器视觉，使生产控制大区与管理信息大区之间的隔离强度为完全物理隔离。
9.进一步地，所述双主机系统采用嵌入式linux系统内核，内外网关取消网络功能。
10.进一步地，所述交换装置的应用层数据单向传输，tcp应答包禁止携带应用层数据。
11.进一步地，所述交换装置包含6个rj45网络接口，其中包括2 个内网接口、2个外网接口、1个热备接口、1个管理接口。
12.进一步地，所述网络接口速率为10mbase/100mbase。
13.进一步地，所述交换装置包含2个rs-232的串行通信接口。
14.进一步地，所述交换装置支持dl/t634.5104电力协议，支持 mqtt、http应用层协议。
15.进一步地，所述交换装置采用19寸标准机箱。
16.本发明达到的有益效果为：
17.1)提出一款双向电力系统安全隔离装置，内外网采用机器视觉进行信息交换，完全物理隔离；
18.2)应用在实际生成场景中是，可以将实时控制区(i区、或者dcs 网)、非控制生产
区(ii区)与生产管理区(iii、iv区、或mis网) 完全网络物理隔离，并保证i、ii区可向iii、iv有效实时地传输数据，反过来，任何网络入侵、病毒和有害代码的攻击均被有效地阻隔，这样就可在最大的限度上防止黑客、病毒的侵害，避免信息泄露；
19.3)结构简单便于实现，控制制造成本。
附图说明
20.图1为本发明实施例中一种内外网隔离低速率数据交换装置的实物图。
21.图2为本发明实施例中一种内外网隔离低速率数据交换装置的背面图。
22.图3为本发明实施例中一种内外网隔离低速率数据交换装置的原理图。
23.图4为本发明实施例中电网企业安全隔离典型应用示意图。
24.图5为本发明实施例中变电站安全隔离典型应用示意图。
25.图6为本发明实施例中配电安全隔离典型应用示意图。
具体实施方式
26.下面结合说明书附图对本发明的技术方案做进一步的详细说明。
27.一种内外网隔离低速率数据交换装置，包括机箱和设置在机箱中的双主机系统以及机器视觉硬件隔离控制器。实现两个安全区之间的机器视觉方式的安全的数据交换，并且保证安全隔离装置内外两个处理系统不同时连通；表示层与应用层数据完全双向传输；支持路由、透明两种工作模式，虚拟主机ip地址、隐藏mac地址，支持nat 功能；基于mac、ip、传输协议、传输端口以及通信方向的综合报文过滤与访问控制；防止穿透性tcp联接：禁止内网、外网的两个应用网关之间直接建立tcp/ip联接；具有可定制的应用层解析功能，支持应用层特殊标记识别；安全、方便的维护管理方式，支持集中管理，支持远程监控；强大的日志审计功能，除记录管理日志外还可以记录实时通讯日志及非授权访问日志，支持日志导出；支持配置信息导入、导出；支持身份认证。
28.一种内外网隔离低速率数据交换装置采用2+1结构设计，双主机系统+机器视觉硬件隔离控制器；采用非intel指令集的网络处理器；硬件隔离控制器采用机器视觉，无硬件连接和操作系统，延时小于 10毫秒；中间硬件隔离控制器通过机器视觉，使生产控制大区与管理信息大区之间的隔离强度为完全物理隔离；安全、固化的操作系统，采用嵌入式linux系统内核，内、外网关取消所有网络功能；应用层数据完全单向传输，tcp应答包禁止携带应用层数据；高可用性：支持双机容错，支持冗余电源，支持双链路。
29.一种内外网隔离低速率数据交换装置的技术参数具体为：网络接口：6个rj45(内网
×
2、外网
×
2、热备
×
1、管理
×
1)；网络接口速率：10mbase/100mbase；串行通信接口：2个rs-232(rj45接口)；通信协议：支持dl/t634.5104电力协议，支持mqtt、http等应用层协议；贮存温度：-20℃～+55℃；工作温度：-5℃～+45℃；供电电源：220v
±
15％，50hz，连续工作；功耗：≤50w；体积：19 寸标准机箱，可上机柜；带宽：80mbps；平均无故障时间(mtbf)：≥50000小时(100％负荷)；延时：小于10毫秒。
30.参照图3，本交换装置的工作原理可以总结为，首先接收外网或者内网的数据输入，通过软总线传输并进行系统编码和加密的数据处理，然后进行数据的图形识别，再利用机器视觉识别，并进行解密和系统解码，最终通过软总线传输实现内网或外网数据的输出。
可以看出，其中在图形显示以及机器视觉识别部分实现了内外网之间的相对隔离以及数据安全的交换。
31.具体的，加密芯片可采用atsha204a-sshda-b ic authentication chip 8soic，机器视觉硬件隔离控制器可采用机器视觉视工业自动化工控机bpx-7520，将数据转换为图像，并进行图像识别再转换为数据，即实现了内外网之间数据交换的相对隔离。
32.本交换装置可部署在电网企业的生产控制大区与管理信息大区之间，电网企业的安全防护重点是确保生产控制大区内的 scada/ems系统网络的安全，抵御集团式攻击，防止调度中心电力二次系统瘫痪，并由此导致电力系统事故，特别是大面积停电事故，安全防护拓扑图如图4。
33.本交换装置可部署在变电站的生产控制大区与管理信息大区之间，重点是强化变电站边界防护，保障变电站安全稳定运行，防止变电站二次系统瘫痪和失控，并由此导致的变电站一次系统事故，安全防护拓扑图如图5。
34.本交换装置可部署在配电的生产控制大区与管理信息大区之间，重点是强化配电自动化、负荷管理等具有控制功能业务的安全防护，防止配电二次系统瘫痪和失控，并由此导致的配电网一次系统事故，安全防护拓扑图如图6。
35.以上所述仅为本发明的较佳实施方式，本发明的保护范围并不以上述实施方式为限，但凡本领域普通技术人员根据本发明所揭示内容所作的等效修饰或变化，皆应纳入权利要求书中记载的保护范围内。