本發明涉及一種工業信息控制一體化平臺的安全架構系統，包括：工廠底層控制網絡層，及，信息應用管理網絡層；所述工廠底層控制網絡層通過接口機及隔離網閘，將工廠的生產數據單向傳輸給所述信息應用管理網絡層；將所述信息應用管理網絡層的所有硬件資源進行虛擬化，生成虛擬機；對任意虛擬機之間的信息交互，采用虛擬化安全軟件DCS來偵測、阻止來自平臺內部的非法入侵訪問。本發明提供的技術方案，結合了傳統工業信息控制系統的邊界防護措施和私有云平臺中內部虛擬機的隔離防護措施的雙重優點，完全繼承了傳統信息控制系統優秀的邊界防護功能，同時也徹底克服了傳統信息控制系統內部安全防護薄弱的缺點，系統安全性高，用戶體驗度好。

技術領域

本發明涉及網絡架構技術領域，具體涉及一種工業信息控制一體化平臺的安全架構系統。

背景技術

傳統的工業信息控制平臺的安全架構的特點如下：

首先，依靠在工廠底層控制系統與企業上層信息管理系統之間增設單向隔離網閘來保證控制底層控制系統不受信息管理系統的非法入侵。

其次，依靠各種邊界安全防護設備，例如硬件防火墻、審計系統、白名單技術，對來自信息控制系統外部的非法侵入檢查、防護。

最后，信息系統內部的安全防護主要依靠系統管理員手工建立的基于物理服務器、胖客戶端(傳統的PC機)之上的防病毒軟件來保護系統不受非法入侵訪問。

當前工廠信息控制系統的規模、應用模式日趨龐大、復雜，內部用戶的有意、無意的非法侵入大幅增加，上述傳統的安全架構雖然對信息控制系統的邊界起到較好的保護，但是對于來自系統內部的非法侵入，起不到很好的防護，已經不能完全滿足系統內部的防護需求。

發明內容

有鑒于此，本發明的目的在于克服現有技術的不足，提供一種工業信息控制一體化平臺的安全架構系統，以解決現有技術中工業信息控制一體化平臺的安全架構內部安全防護薄弱的問題。

為實現以上目的，本發明采用如下技術方案：

一種工業信息控制一體化平臺的安全架構系統，包括：

工廠底層控制網絡層，及，信息應用管理網絡層；

所述工廠底層控制網絡層通過接口機及隔離網閘，將工廠的生產數據單向傳輸給所述信息應用管理網絡層；

將所述信息應用管理網絡層的所有硬件資源進行虛擬化，生成虛擬機；

對任意虛擬機之間的信息交互，采用虛擬化安全軟件DCS來偵測、阻止來自平臺內部的非法入侵訪問。

優選地，所述虛擬機包括以下項中的至少一項：

虛擬服務器、虛擬客戶機、虛擬交換機、虛擬存儲設備。

優選地，所有客戶端均為瘦客戶端；

所述瘦客戶端本地不存儲任何數據，不部署任何所需應用軟件；

所述瘦客戶端作為最終用戶的人機交互界面，根據登錄用戶的授權來訪問系統所分配的虛擬機。

優選地，

所述信息應用管理網絡層采用預設安全策略防止外部非法用戶登錄；

所述預設安全策略，包括以下項中的至少一項：

防火墻、安全協議、單點登錄、用戶身份識別、IP地址控制。

優選地，所述信息應用管理網絡層按照組織架構的元素、功能、工作流三個層次，可依據不同控制粒度選擇，為不同人員分配不同的管理權限，以此來保障應用層數據操作權限的安全性。

優選地，所述虛擬機的配置以及動作行為受所述平臺的虛擬機管理軟件管控。