技術領域

本發明涉及電工技術領域，具體是涉及一種基于網絡總線跨安全區傳輸數據的方法。

背景技術

全國電力二次系統安全防護總體方案是將電力二次系統分為4個安全區，分別為包括實時控制區（安全I?區）、非控制生產區（安全II區）、生產管理區（安全III?區）和管理信息區（安全IV區），其中，安全I/II?區統稱為生產控制大區（內網），安全III/IV區統稱為管理信息大區（外網）。

為了強化安全區之間的隔離，應采用不同強度的網絡安全設備使各安全區中的業務系統得到有效的保護。安全I區與安全II區之間采用硬件防火墻進行隔離，安全III區與安全IV區之間采用硬件防火墻進行隔離，生產控制大區（內網）與管理信息大區（外網）之間不直接聯系，必須采用專用物理隔離裝置，專用物理隔離裝置分為正向隔離裝置和反向隔離裝置，從內網到外網采用正向隔離裝置，數據單向流通，從外網到內網只能采用反向隔離裝置進行通信。

從通信和數據傳輸角度看，當生產控制大區向管理信息大區單向傳送數據時，同時管理信息大區的各種管理應用系統也需要從生產控制大區獲得大量數據作為支持，由于物理隔離裝置的單向傳輸特點并不能得到滿足，同時正反向物理隔離裝置相當于通信阻塞點，使絕大多數以TCP/IP傳統通信協議為基礎的網絡應用軟件不能直接進行跨區部署，這迫使原有或新增的業務系統需要進行相應的改造以適應安全防護的要求。

為了在既有二次安防系統環境下，在管理信息大區部署新的業務系統，同時也為了實現來自不同廠家、異構、分散數據（如大量的文件數據和數據庫數據）的交互和整合，并對跨安全區數據交互進行統一集中管理，需要設計一種新的跨安全區傳輸數據的方法。

發明內容

發明目的：為了克服現有技術中存在的不足，本發明提供一種即可滿足安全防護要求又能實現數據跨區共享的基于網絡總線跨安全區傳輸數據的方法。

技術方案：為實現上述目的，本發明的一種基于網絡總線跨安全區傳輸數據的方法，所述網絡總線由部署在各個計算機節點上的網絡總線模塊構成，所述方法包括以下步驟：

（1）應用程序命令所述網絡總線模塊發送報文，所述報文為網絡節點配置信息中已配置的網絡總線報文，所述報文包括報文頭和報文數據區內容，所述報文頭包括目標主機名、目標進程名、發送類型和報文數據區的報文長度；

（2）所述網絡總線模塊接收所述報文，將所述報文存放在目標進程的報文接收隊列中；

（3）所述目標完成讀取報文工作；

（4）所述進程將所述報文傳送到安全區的代理機上，所述代理機上的網絡總線模塊將報文數據統一存儲并轉換為統一數據格式；

（5）所述代理機上的網絡總線模塊將轉換后的數據傳送給另一安全區。

有益效果：本發明的一種基于網絡總線跨安全區傳輸數據的方法，通過網絡總線模塊完成對報文發送和接收，當進程通過網絡總線模塊將報文傳送到安全區代理機時，由安全區代理機的網絡總線模塊完成將報文數據進行轉換，最后數據通過物理隔離裝置到達另一安全區，實現了數據的跨區傳送，此方法即可滿足對用戶屏蔽安全區，滿足電力二次系統安全防護方案的要求，又能實現將必要的數據跨區傳送，從而實現將數據和服務進行跨區共享。

附圖說明

圖1是本發明中使用的跨安全區傳輸數據網絡總線系統結構圖；

圖2是本發明中一個實施例使用的跨安全區傳送業務模塊圖。

具體實施方式

下面結合實施例和附圖對本發明作更進一步的說明。

參見圖1，本發明的一種基于網絡總線跨安全區傳輸數據的方法，所述網絡總線由部署在各個計算機節點上的網絡總線模塊構成，所述方法包括以下步驟：

（1）應用程序命令所述網絡總線模塊發送報文，所述報文為網絡節點配置信息中已配置的網絡總線報文，所述報文包括報文頭和報文數據區內容，所述報文頭包括目標主機名、目標進程名、發送類型和報文數據區的報文長度；

（2）所述網絡總線模塊接收所述報文，將所述報文存放在目標進程的報文接收隊列中；

（3）所述目標完成讀取報文工作；

（4）所述進程將所述報文傳送到安全區的代理機上，所述代理機上的網絡總線模塊將報文數據統一存儲并轉換為統一數據格式；

（5）所述代理機上的網絡總線模塊將轉換后的數據傳送給另一安全區。