隨著物聯(lián)網(wǎng)技術(shù)的不斷發(fā)展以及生產(chǎn)運(yùn)營(yíng)精細(xì)化管理的需要,信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的互聯(lián)互通已是大勢(shì)所趨,但是網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)。本文介紹了一種基于物聯(lián)網(wǎng)的智能網(wǎng)閘設(shè)備,詳細(xì)闡述了智能網(wǎng)閘的原理、架構(gòu)、技術(shù)特點(diǎn)。該設(shè)備不但具備智能網(wǎng)關(guān)的功能,而且具備網(wǎng)絡(luò)物理隔離的功能,在物聯(lián)網(wǎng)領(lǐng)域中得到了廣泛的應(yīng)用。
1 引言
工業(yè)物聯(lián)網(wǎng)依托自動(dòng)化、信息化和業(yè)務(wù)智能化技術(shù),它的建立使經(jīng)營(yíng)管理層與車(chē)間執(zhí)行層實(shí)現(xiàn)了雙向信息流交互,消除了信息孤島與斷層現(xiàn)象[1]。但信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)時(shí),如何保證過(guò)程控制網(wǎng)絡(luò)的安全就成了一個(gè)嚴(yán)峻的問(wèn)題。特別是對(duì)于石油、電力、鋼鐵等行業(yè),對(duì)連續(xù)生產(chǎn)的安全性和可靠性有著極高的要求。控制網(wǎng)絡(luò)一旦受到了惡意攻擊,感染了病毒、蠕蟲(chóng),很可能導(dǎo)致整個(gè)控制網(wǎng)絡(luò)癱瘓。因此,在網(wǎng)絡(luò)互聯(lián)的同時(shí)必須采取有效的手段保護(hù)控制網(wǎng)絡(luò),防止來(lái)自外網(wǎng)的各種威脅。
傳統(tǒng)的方式是選擇網(wǎng)絡(luò)防火墻等設(shè)備來(lái)解決網(wǎng)絡(luò)安全問(wèn)題。網(wǎng)絡(luò)防火墻雖然具有較強(qiáng)的抗攻擊能力,但它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的.一種基礎(chǔ)設(shè)施,用于滿足各種通用的網(wǎng)絡(luò)應(yīng)用。防火墻只能做網(wǎng)絡(luò)四層以下的控制,對(duì)于應(yīng)用層內(nèi)的病毒、蠕蟲(chóng)都沒(méi)有辦法,不能滿足工業(yè)網(wǎng)絡(luò)較高的防護(hù)要求[2]。
2 智能網(wǎng)閘的原理
智能網(wǎng)閘是專為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的安全設(shè)備,用于解決工業(yè)控制系統(tǒng)的數(shù)據(jù)如何快捷、安全傳輸?shù)叫畔⒕W(wǎng)絡(luò)的問(wèn)題。它與防火墻等網(wǎng)絡(luò)安全設(shè)備本質(zhì)不同的地方是它阻斷網(wǎng)絡(luò)的直接連接,只完成特定工業(yè)應(yīng)用數(shù)據(jù)的交換。由于沒(méi)有了網(wǎng)絡(luò)的連接,攻擊就沒(méi)有了載體,如同網(wǎng)絡(luò)的“物理隔離”。由于目前的安全技術(shù),無(wú)論防火墻、UTM等防護(hù)系統(tǒng)都不能保證攻擊的強(qiáng)制阻斷,入侵檢測(cè)等監(jiān)控系統(tǒng)也不能保證入侵行為完全捕獲,所以最安全的方式就是物理的分開(kāi)。智能網(wǎng)閘可以實(shí)現(xiàn)在物理層、鏈路層和應(yīng)用層不同級(jí)別的隔離。根據(jù)不同的網(wǎng)絡(luò)隔離,即保證數(shù)據(jù)傳輸?shù)男剩脖WC足夠的安全等級(jí)。物理層隔離是通過(guò)專門(mén)電路,在物理層實(shí)現(xiàn)電信號(hào)的單向傳輸,確保被保護(hù)一方的絕對(duì)安全。
3 智能網(wǎng)閘的架構(gòu)
3.1 智能網(wǎng)閘的硬件架構(gòu)
如圖1所示,智能網(wǎng)閘內(nèi)部?jī)啥擞蓛蓚(gè)獨(dú)立主機(jī)系統(tǒng)組成,每個(gè)主機(jī)系統(tǒng)分別具有獨(dú)立
圖1 智能網(wǎng)閘的硬件架構(gòu)圖
的運(yùn)算單元和存儲(chǔ)單元,各自運(yùn)行獨(dú)立的操作系統(tǒng)和核心程序。連接保護(hù)網(wǎng)絡(luò)的一端為控制端,負(fù)責(zé)接入到SCADA控制網(wǎng)絡(luò);另一端為信息端,負(fù)責(zé)接入到信息網(wǎng)絡(luò)。
每端主機(jī)的硬件均采用高性能嵌入式計(jì)算機(jī)芯片,底板上各有多個(gè)以太網(wǎng)接口用來(lái)連接要隔離的兩個(gè)網(wǎng)絡(luò)。每側(cè)主機(jī)的總線上各安裝一塊專用隔離通信卡實(shí)現(xiàn)雙機(jī)之間的數(shù)據(jù)傳輸,數(shù)據(jù)流向?yàn)閮?nèi)網(wǎng)數(shù)據(jù)單向流向外網(wǎng)。設(shè)計(jì)了專門(mén)的硬件看門(mén)狗時(shí)刻監(jiān)視系統(tǒng)狀態(tài),保證裝置的穩(wěn)定、可靠運(yùn)行。
3.2 智能網(wǎng)閘的軟件架構(gòu)
如圖2所示,智能網(wǎng)閘的控制端與信息端主機(jī)分別運(yùn)行嵌入式高性能工業(yè)通信軟件。智能網(wǎng)閘隔離設(shè)備中運(yùn)行獨(dú)立的通訊數(shù)采軟件,控制端提供基本的設(shè)備數(shù)據(jù)采集,如主流PLC、智能儀表、智能設(shè)備、各種標(biāo)準(zhǔn)協(xié)議(如Modbus,DNP,IEC-104,Bacnet,OPCClient),實(shí)現(xiàn)對(duì)各種設(shè)備數(shù)據(jù)的接入。
信息端主機(jī)提供數(shù)據(jù)服務(wù),支持以標(biāo)準(zhǔn)協(xié)議將數(shù)據(jù)轉(zhuǎn)發(fā)給第三方系統(tǒng)或各種數(shù)據(jù)庫(kù)。并且具有一系列高附加值的功能模塊,如報(bào)警服務(wù),存儲(chǔ)系統(tǒng),斷線緩存,腳本引擎,觸發(fā)器等。
圖1 智能網(wǎng)閘的軟件架構(gòu)圖
4 技術(shù)特點(diǎn)
4.1微內(nèi)核技術(shù)
智能網(wǎng)閘采用ARM+Linux/RT-Thread平臺(tái),內(nèi)核中除了與工業(yè)標(biāo)準(zhǔn)通信的服務(wù)與端口外,裁剪掉了其它所有無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)、系統(tǒng)功能,屏蔽了無(wú)關(guān)端口,進(jìn)一步提高了系統(tǒng)安全性和抗攻擊能力,免于hacker對(duì)操作系統(tǒng)的攻擊,并有效抵御Dos/DDos 攻擊。
4.2 網(wǎng)絡(luò)隔離技術(shù)
智能網(wǎng)閘采用截?cái)郥CP連接的方法,徹底割斷穿透性的TCP連接。智能網(wǎng)閘的控制端與信息端主機(jī)之間采用專有的網(wǎng)絡(luò)隔離傳輸技術(shù)。物理層采用專用隔離硬件,鏈路層和應(yīng)用層采用私有通信協(xié)議,數(shù)據(jù)流采用128 位以上加密方式傳輸,更加充分保障數(shù)據(jù)安全。
通過(guò)物理隔離與專有隔離傳輸技術(shù),實(shí)現(xiàn)了數(shù)據(jù)完全自我定義、自我解析、自我審查,傳輸機(jī)制具有徹底不可攻擊性,從根本上杜絕了非法數(shù)據(jù)的通過(guò),確保控制端不會(huì)受到攻擊、侵入。
4.3 數(shù)據(jù)點(diǎn)訪問(wèn)控制
智能網(wǎng)閘實(shí)現(xiàn)了對(duì)工業(yè)現(xiàn)場(chǎng)通信協(xié)議的解析,可以實(shí)現(xiàn)工業(yè)控制系統(tǒng)具體測(cè)點(diǎn)的安全控制,更可以實(shí)現(xiàn)現(xiàn)場(chǎng)設(shè)備具體寄存器地址的安全控制。
4.4 單向控制
數(shù)據(jù)的流向完全是由控制端單向傳輸?shù)叫畔⒍耍@種限制保障了控制端的數(shù)據(jù)可及時(shí)、完整的傳到信息網(wǎng),又可完全杜絕外網(wǎng)的錯(cuò)誤數(shù)據(jù)、惡意數(shù)據(jù)、病毒等傳向控制端。
4.5 可靠性技術(shù)
智能網(wǎng)閘采用基于RISK架構(gòu),采用低功耗、無(wú)飛線、無(wú)風(fēng)扇設(shè)計(jì),具備斷電保護(hù)、鏈路冗余、多層看門(mén)狗(硬件看門(mén)狗+軟件看門(mén)狗)等功能,最大限度的提高了可靠性,是一種真正的工業(yè)級(jí)設(shè)備,
4.6 平臺(tái)開(kāi)放技術(shù)
智能網(wǎng)閘是一個(gè)完全開(kāi)放的平臺(tái),任何開(kāi)發(fā)者都可使用智能網(wǎng)閘提供的開(kāi)放接口來(lái)開(kāi)發(fā)相關(guān)的應(yīng)用,如采集驅(qū)動(dòng),數(shù)據(jù)應(yīng)用等,支持C/C++、WebService等多種開(kāi)發(fā)形式。開(kāi)發(fā)者可通過(guò)這些接口快速方便的訪問(wèn)智能網(wǎng)閘中的任何信息,并可擴(kuò)展智能網(wǎng)閘的功能。
5 結(jié)語(yǔ)
智能網(wǎng)閘設(shè)備具備安全性高、穩(wěn)定性好、適用性廣等特點(diǎn),該設(shè)備可以較好的解決企業(yè)內(nèi)外網(wǎng)之間的數(shù)據(jù)安全傳輸問(wèn)題。隨著物聯(lián)網(wǎng)理念的逐步深入,智能網(wǎng)閘設(shè)備在SCADA控制網(wǎng)絡(luò)接入企業(yè)信息網(wǎng),企業(yè)各個(gè)子系統(tǒng)之間的數(shù)據(jù)通訊等領(lǐng)域的應(yīng)用將會(huì)更加廣泛。
【物聯(lián)網(wǎng)智能網(wǎng)閘的研究與應(yīng)用論文】相關(guān)文章:
基于物聯(lián)網(wǎng)的智能社區(qū)互助系統(tǒng)的設(shè)計(jì)研究論文11-02
基于移動(dòng)互聯(lián)網(wǎng)的物聯(lián)網(wǎng)應(yīng)用無(wú)線性能優(yōu)化研究論文11-04
物聯(lián)網(wǎng)論文06-12
基于物聯(lián)網(wǎng)的草莓無(wú)土栽培智能管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)研究論文10-21
物聯(lián)網(wǎng)的技術(shù)論文07-14
關(guān)于物聯(lián)網(wǎng)的論文05-13