本發明公開了一種隔離保護系統及其執行雙向數據包過濾檢查的方法，該隔離保護系統設置在通信線路中對通信雙方的通信設施進行隔離保護，它包括：第一保護裝置和第二保護裝置，用于分別與所述通信方之一的通信設施連接；雙向數據傳輸模塊，設置在所述第一保護裝置和所述第二保護裝置之間，用于連接所述第一保護裝置和所述第二保護裝置，而且根據專有通信協議將所述第一保護裝置輸出的數據傳送到所述第二保護裝置，以及將所述第二保護裝置輸出的數據傳送到所述第一保護裝置；其特征在于：所述第一保護裝置和所述第二保護裝置具有完全獨立的硬件結構并分別運行于獨立的中央處理器。

技術領域

本發明涉使用在通信線路上的隔離保護系統及其執行雙向數據包過濾檢查的方法，設置在通信路徑中（例如通信網絡之間、網關路徑中以及不同的通信終端之間），實現網絡安全保障、通信雙方的設施的隔離保護、及其雙向數據包過濾檢查。尤其適用于工業現場的信息網絡和控制網絡。

背景技術

現有工業現場的信息網絡和控制網絡之間部署的安全性產品多采用防火墻或者網關產品。

現有防火墻技術存在的不足是對工業通信協議支持不夠充分。例如工業現場應用OPC工業協議時，需要使用1024到65535的動態端口，所以防火墻必須開放上述范圍內的所有端口，這樣做顯著增加了網絡的安全性風險。另外，防火墻實現了IP層的讀取控制，但是不支持對數據的讀取控制。防火墻支持對一般網絡的數據鏈路層、網絡層、傳輸層進行檢查，但是對應用層的檢查功能存在一定的不足，尤其是對工業協議的檢查功能有所欠缺。

網關技術首先從控制系統網絡的服務器采集數據，網關代理了控制系統網絡的服務器的功能，MES/ERP層的客戶端再通過網關采集數據，以此達到防護控制系統網絡的服務器的目的。網關技術存在的不足在于網關產品有自己的IP地址，即使已經配置好的控制系統網絡，其MES/ERP層的客戶端仍然需要重新設定（更改服務器的IP以及服務器名等、注冊網關服務器）。另外，網關的防火墻功能不足，由于網關產品有IP地址，可能會被攻擊。當網關產品被入侵時，控制系統中設備的風險增加了。

作為保護網絡安全、尤其是保護工業現場應用網絡的現有技術可以參見例如中國專利公開CN101014048（申請日2007年02月12、申請號200710063822.4、發明名稱：分布式防火墻系統及實現防火墻內容檢測的方法），以及多芬諾（TOFINO）工業網絡安全保護技術（可通過鏈接http://www.doc88.com/p-649582721525.html來查看）。上述已有技術作為背景技術結合在本申請中作為參考。

可以將上述的已有技術用圖1的框圖來概括：在通信的雙方（N1，N2）的通信線路中設置有安全防護裝置100，其中的過濾模塊F0對于“來往”的數據包進行過濾。上述已有技術的缺陷在于，現有技術中的防火墻安全過濾檢查模塊都運行于單個中央處理器（CPU）上。在這種情況下，當防火墻在從一通信方向另一通信方傳輸數據時被攻擊，則由于整個防火墻運行于單個中央處理器上，則整個安全防火墻將被損壞而無法使用。而且，上述已有技術中的安全防火墻技術并不對于數據包進行深度檢查，例如對包體內容的深度檢查，從而使得深入隱藏在包體內的病毒數據有可能破壞通信設施（N1，N2）的操作。

發明內容

本發明所要解決的技術問題是提供一種設置在通信線路中對通信雙方的通信設施進行隔離保護的隔離保護系統及其執行雙向數據包過濾檢查的方法，該隔離保護系統集成有分別針對通信雙方的運行于獨立的中央處理器上的兩個保護裝置以及按照專有通信協議在兩個保護裝置之間進行雙向數據通信的一個雙向數據傳輸模塊，以在確保在通信雙方之間的數據包傳輸的安全性的同時避免由于針對一通信方的中央處理器受到攻擊而被破壞時整個隔離保護系統都受到損壞而無法使用。

為此，本發明提供了一種隔離保護系統，設置在通信線路中對通信雙方的通信設施進行隔離保護，它包括：

第一保護裝置和第二保護裝置，用于分別與所述通信方之一的通信設施連接；