一种适用于工业现场可移动的分布式管理平台的制作方法

1.本实用新型涉及一种可移动的分布式管理平台，具体涉及一种适用于工业现场可移动的分布式管理平台。


背景技术：

2.现有管理平台，大都是通过一台服务器集中管理，包括策略配置和日志收集，策略配置与日志审计有2种主流方案：1)管理平台通过telnet或ssh管理设备，安全设备通过syslog上报日志；2)管理平台和安全设备使用私有协议进行管理和日志传输。管理平台一般是机架式服务器固定部署在机柜中，通过web访问方式进行访问，只要网络可达都可以访问管理平台。对于分区隔离的场景，一般都需要部署多台管理平台分别管理各区的设备。对于分区隔离的场景，无法做到集中管理，各个区域之间网络不能双向通讯，需要分散在各个区域的管理平台进行管理，这样每个区域的管理平台都是独立的，各区的策略配置无法复用，无法对比参考。对于分区隔离的场景，出口数据的源ip都被做了转换，日志审计分析时无法准确还原真实的ip地址。对于集中管理的服务器，作为管理平台成为攻击者的重点目标，渗透控制了管理平台，就可以实现对所有设备的管控，风险极大。在很多工业场景中，网络要求分区隔离，无法集中配置管控，现有集中管理产品都要求网络可达，无法满足这种工业场景需求。另外工业现场网络一般很稳定，策略一旦配置好一般不会更改，有些关键信息基础设施中的策略配置一旦形成基线，严禁私自改动，任何策略变化都需要提出申请，经过审批后才能修改配置。区域隔离的边界一般部署单向隔离网闸，所有对外发送的日志数据都会被转换日志源ip，导致日志审计产品无法准确识别真实日志源进行安全分析。
3.本实用新型提出的可移动的分布式管理平台，能够满足多种工业场景下对安全管理的特殊技术需求，主要包括：集中配置，在一套系统内，通过分时接入不同的区域网络解决对于分区隔离的场景，可以集中管理所有分区网络的安全设备，多个隔离区域配置集中在一台管理平台可以对策略进行对比参考。反向管理，安全设备作为客户端连接策略笔记本，自身不对外开放端口监听，避免暴露自身安全风险，除了使用策略笔记本，没有其他方式可以修改安全设备的策略。单向审计，安全设备单向上报日志数据给日志服务器，绝对避免外部流量进入生产区，同时日志服务器支持自动还原原始日志信息包含ip还原。轻便易携，可随身携带在各个厂区之间灵活移动，进行配置。任意关机，配置管理人员配置完成即可关机，规避管理平台带来的安全风险点。自身安全，支持密码与指纹双验证，另外自带防盗锁，可以保证自身的安全。


技术实现要素：

4.为了解决上述问题，本实用新型提供一种适用于工业现场可移动的分布式管理平台，能够满足多种工业场景下对安全管理的特殊技术需求。
5.本实用新型的技术方案如下：一种适用于工业现场可移动的分布式管理平台，包括管理区、第一数据区和第二数据区；所述第一数据区和第二数据区网络隔离，其中，所述
第一数据区和第二数据区建立有单向数据传输通道，单向发送数据到所述管理区，所述管理区无法对所述对第一数据区和第二数据区发送数据，数据区之间没有建立数据传输通道；
6.日志服务器部署在所述管理区；
7.所述第一数据区和第二数据区均布设有：工控系统以及网络设备、安全设备、网络边界隔离设备；其中网络设备与工控系统、安全设备、网络边界隔离设备双向连接，来自所述网络设备的数据需经过所述网络边界隔离设备向外发送，所述网络边界隔离设备物理阻隔来自外部的网络数据；
8.可移动的管理终端可移动的与第一数据区或第二数据区建立通信联系并实现控制，并可与所述管理区进行通信对接；
9.所述管理终端还具有物理锁止装置结构。
10.所述管理终端设置有安全模块，所述安全模块物理切断外部监听信道。
11.所述管理终端具备至少一物理接口，接收可插入的usb安全管理介质传输的验证信息。
12.所述usb安全管理介质，具有实物信息获取模块和密码存储模块；所述实物信息含：卡片、令牌、生物特征中的至少一种。
13.所述网络边界隔离设备包含有前置模块、隔离模块、后置模块，所述前置模块与本数据区内的网络设备通信连接，隔离模块隔离后置模块试图传输的来自外部网络设备的通信数据。
14.所述前置模块、隔离模块、后置模块焊接在同一块pcb电路板上。
15.所述工控系统通过有线传输的形式与本数据区的网络设备连接，将相关数据传输至网络设备，所述安全设备中设置有安全协议模块，将工控系统传输至网络设备的数据进行处理，处理完毕通过网络设备经网络边界隔离设备上传至所述管理区。
16.所述管理终端包含有一网络管理模块，所述网络管理模块具有数据传输的物理接口，通过设置有效的地址信息有线连接的方式与网络设备进行通信连接，还包含有网络地址存储模块，存储网络设备所属数据区的网络地址池信息。
17.当所述管理终端接入第一数据区或第二数据区的网络地址池时，该数据区的安全设备的通信模块与所述管理终端的网络管理模块通信连接。
18.所述管理终端还包含有一策略管理模块，所述策略管理模块可与所述安全设备通信连接，并由所述策略管理模块单向控制所述安全设备的执行模块。
19.本实用新型具有如下有益效果：
20.本实用新型所述的一种适用于工业现场可移动的分布式管理平台，包括管理区、第一数据区和第二数据区，管理区、第一数据区和第二数据区都属于隔离状态，数据区可以单向发送数据到管理区，管理区不能对数据区发送数据，各个数据区之间是完全隔离的，不能互相通信；日志服务器部署在管理区，工控系统以及网络设备、安全设备、网络边界隔离设备都部署在生产厂区；管理终端可以携带到每一个数据区或管理区，分别与数据区的设备或者管理区的日志服务器对接。本实用新型提出的一种适用于工业现场可移动的分布式管理平台，通过配置管理终端解决现场不同区域之间不允许通讯问题。在一套系统内，通过分时接入不同的区域网络解决对于分区隔离的场景，可以集中管理所有分区网络的安全设
备，多个隔离区域配置集中在一台管理终端，可以对策略进行对比参考。安全设备作为客户端连接管理终端，自身不对外开放端口监听，避免暴露自身安全风险，除了使用管理终端，没有其他方式可以修改安全设备的策略。安全设备单向上报日志数据给日志服务器，绝对避免外部流量进入生产区，同时日志服务器支持自动还原原始日志信息包含ip还原。轻便易携，可随身携带在各个厂区之间灵活移动，进行配置。任意关机，配置管理人员配置完成即可关机，规避管理平台带来的安全风险点。
附图说明
21.本技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
22.图1为本实用新型所述的一种适用于工业现场可移动的分布式管理平台的框架结构示意图；
23.图2为本实用新型所述的一种适用于工业现场可移动的分布式管理平台的网络边界隔离设备的框架结构示意图。
24.附图标记：1-管理区、2-日志服务器、3-网络设备、4-管理终端、6-网络边界隔离设备、7-第一数据区、8-第二数据区、10-安全设备、11-工控系统、61-前置模块、62-隔离模块、63-后置模块、611-采集端口、612-协议模块、621-丢弃模块、631-协议转换模块、632-加密模块。
具体实施方式
25.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
26.如图1所示，一种适用于工业现场可移动的分布式管理平台，包括管理区1、第一数据区7和第二数据区8；所述第一数据区7和第二数据区8网络隔离，其中，所述第一数据区7和第二数据区8建立有单向数据传输通道，单向发送数据到所述管理区1，所述管理区1无法对所述对第一数据区7和第二数据区8发送数据，数据区之间没有建立数据传输通道。图1中，第一数据区7为厂区一，第二数据区8为厂区二。
27.日志服务器2部署在所述管理区1。所述日志服务器接收所述安全设备10发送的告警信息或日志信息。
28.所述第一数据区7和第二数据区8均布设有：工控系统11以及网络设备3、安全设备10、网络边界隔离设备6；其中网络设备3与工控系统11、安全设备10、网络边界隔离设备6双向连接，来自所述网络设备3的数据需经过所述网络边界隔离设备6向外发送，所述网络边界隔离设备6物理阻隔来自外部的网络数据。
29.可移动的管理终端4可移动的与第一数据区7或第二数据区8建立通信联系并实现控制，并可与所述管理区1进行通信对接。管理终端4可以是笔记本电脑。一个数据区对应一个厂区或管理区，区域之间资产可以使用相同ip或者相同配置。所述管理终端4可配置数据区的区域信息、网卡信息，所述笔记本配置各个厂区/数据区所连接的网卡ip环境，到不同的厂区，通过网线接入不同的网络，选择不同区域，自动切换该区域的ip配置。例如，厂区一
作为第一数据区，通过配置厂区一的安全设备策略，携带所述笔记本到厂区一，通过网线接入厂区一内部网络，在笔记本电脑端操作界面选择第一数据区，笔记本电脑自动接入厂区一的网络，厂区一中所有需要被管理的安全设备主动发起通讯连接注册到笔记本电脑，笔记本电脑接收到安全设备后自动划分归属到对应的第一数据区。配置厂区一安全设备信息上报源端口，通过笔记本电脑对厂区一内的安全设备进行配置，配置支持拷贝，模版共享，厂区一中的策略也可以应用到厂区二中，配置策略后需要配置日志发送配置，通知安全设备10产生告警或日志时发送给指定的日志服务器，配置厂区一内所有安全设备发送告警与日志信息到管理区1的日志服务器2，配置厂区一内每个安全设备发送告警与日志信息的源端口。管理终端4进入所述管理区1与所述日志服务器2建立通信连接，同步各个数据区的安全设备配置信息，和ip、端口映射信息给日志服务器。所述管理终端4需要继续判断各数据区是否产生信息，如果没有，则继续与所述日志服务器2建立通信连接，同步各个数据区的安全设备配置信息和ip、端口映射信息给日志服务器。如果有，则上报信息到日志服务器2，然后判断信息是否需要加入规则，如果否，则与所述日志服务器2建立通信连接，同步各个数据区的安全设备配置信息，和ip、端口映射信息给日志服务器。如果是则使管理终端4连接日志服务器2同步信息，所述管理终端4连接需要修改策略的安全设备更新策略，完成同步信息后，关闭。厂区二作为第二数据区，其步骤与厂区一相同，厂区一配置完成后，携带笔记本电脑接入到厂区二的网络环境，同样操作配置厂区二安全设备策略，并配置厂区二安全设备发送告警与日志信息到管理区的日志服务器，配置厂区二内每个安全设备发送告警与日志信息的源端口。如果第三数据区，和第一数据区、第二数据区一样处理，设备构造也相同。
30.所述管理终端4还具有物理锁止装置结构。优选地，是在开关区域具有机械锁止机构。
31.优选地，所述管理终端4设置有安全模块，所述安全模块物理切断外部监听信道。
32.优选地，所述管理终端4具备至少一物理接口，接收可插入的usb安全管理介质传输的验证信息。
33.优选地，所述usb安全管理介质，具有实物信息获取模块和密码存储模块；所述实物信息含：卡片、令牌、生物特征中的至少一种。通常是可以是双因子ukey，一个因子是密码，另一个因子可以是指纹或者rfid卡信息。
34.优选地，如图2所示，所述网络边界隔离设备6包含有前置模块61、隔离模块62、后置模块63，所述前置模块61与本数据区内的网络设备3通信连接，隔离模块62隔离后置模块试图传输的来自外部网络设备的通信数据。所述前置模块61具有一采集端口611，采集端口611与所述网络设备3的网络端口通信连接，接收来自网络设备3的信号，并经协议模块612进行网络协议解析，将解析的信号发送到所述隔离模块62，所述隔离模块62的接收来自所述采前置模块61的信号，并转发至所述后置模块63，所述后置模块63将接收到信号通过协议转换模块631和加密模块632进行协议转换和加密后传输至所述管理区1的网络设备3最终发送至所述日志服务器2。数据区以外的外部传输至所述网络边界隔离设备6的信号，隔离模块62的丢弃模块621，直接将信号进行丢弃释放。所述隔离模块62为fpga芯片。
35.优选地，所述前置模块61、隔离模块62、后置模块63焊接在同一块pcb电路板上。
36.优选地，所述工控系统11通过有线传输的形式与本数据区的网络设备3连接，将相
关数据传输至网络设备3，所述安全设备10中设置有安全协议模块，将工控系统11传输至网络设备3的数据进行处理，处理完毕通过网络设备3经网络边界隔离设备上传至所述管理区1。
37.优选地，所述管理终端4包含有一网络管理模块，所述网络管理模块具有数据传输的物理接口，通过设置有效的地址信息有线连接的方式与网络设备3进行通信连接，还包含有网络地址存储模块，存储网络设备3所属数据区的网络地址池信息。
38.优选地，当所述管理终端4接入第一数据区或第二数据区的网络地址池时，该数据区的安全设备的通信模块与所述管理终端4的网络管理模块通信连接。
39.优选地，所述管理终端4还包含有一策略管理模块，所述策略管理模块可与所述安全设备10通信连接，并由所述策略管理模块单向控制所述安全设备的执行模块。
40.应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施方式中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。上文所列出的一系列的详细说明仅仅是针对本实用新型的可行性实施方式的具体说明，它们并非用以限制本实用新型的保护范围，凡未脱离本实用新型技艺精神所作的等效实施方式或变更均应包含在本实用新型的保护范围之内。