本申請(qǐng)?zhí)岢鲆环N工業(yè)網(wǎng)絡(luò)數(shù)據(jù)隔離方法、裝置及存儲(chǔ)介質(zhì)。方法包括：接收外部管理網(wǎng)絡(luò)側(cè)主機(jī)發(fā)送的報(bào)文，在所述報(bào)文的源IP地址屬于所述可信任源IP地址范圍的情況下，確定所述報(bào)文的類型；在所述報(bào)文的類型為指令報(bào)文的情況下，確定所述指令報(bào)文的危險(xiǎn)等級(jí)；在所述指令報(bào)文的危險(xiǎn)等級(jí)低于預(yù)設(shè)危險(xiǎn)等級(jí)的情況下，將所述指令報(bào)文發(fā)送到工業(yè)系統(tǒng)網(wǎng)絡(luò)側(cè)主機(jī)；接收所述工業(yè)系統(tǒng)網(wǎng)絡(luò)側(cè)主機(jī)發(fā)送的工業(yè)數(shù)據(jù)，對(duì)所述工業(yè)數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，并將所述加密后的密文以及密鑰發(fā)送到所述外部管理網(wǎng)絡(luò)側(cè)主機(jī)以使所述外部管理網(wǎng)絡(luò)側(cè)主機(jī)對(duì)所述密文進(jìn)行解密；所述外部管理網(wǎng)絡(luò)的安全等級(jí)低于所述工業(yè)系統(tǒng)網(wǎng)絡(luò)。本申請(qǐng)?zhí)岣吡斯I(yè)系統(tǒng)的數(shù)據(jù)隔離的隔離效果。

技術(shù)領(lǐng)域

本申請(qǐng)涉及工業(yè)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種工業(yè)網(wǎng)絡(luò)數(shù)據(jù)隔離方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)

在工業(yè)生產(chǎn)過(guò)程中，隨著自動(dòng)化控制和物聯(lián)網(wǎng)的發(fā)展，將生產(chǎn)設(shè)備或智能設(shè)備互聯(lián)在一起形成工業(yè)系統(tǒng)網(wǎng)絡(luò)成為工業(yè)生產(chǎn)的趨勢(shì)。由于企業(yè)工業(yè)系統(tǒng)網(wǎng)絡(luò)的安全等級(jí)要求極高，而外部的管理網(wǎng)絡(luò)往往需要連接互聯(lián)網(wǎng)，安全級(jí)別很低，時(shí)刻遭受來(lái)自互聯(lián)網(wǎng)側(cè)的病毒和惡意攻擊性軟件的威脅，將工業(yè)系統(tǒng)網(wǎng)絡(luò)與外部管理網(wǎng)絡(luò)互聯(lián)并通信，極有可能造成工業(yè)系統(tǒng)網(wǎng)絡(luò)內(nèi)的重要數(shù)據(jù)被竊取，對(duì)企業(yè)造成重大的損失。因此，需要在工業(yè)系統(tǒng)網(wǎng)絡(luò)與外部管理網(wǎng)絡(luò)之間實(shí)行有效的隔離措施。

通過(guò)物理隔離方法可以有效隔離工業(yè)系統(tǒng)網(wǎng)絡(luò)與外部管理網(wǎng)絡(luò)的數(shù)據(jù)交換，但是該方式需要切斷兩個(gè)網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接，以靜態(tài)的方式進(jìn)行數(shù)據(jù)交換，不存在兩個(gè)網(wǎng)絡(luò)之間的通信過(guò)程，數(shù)據(jù)傳輸效率低。現(xiàn)有的支持網(wǎng)絡(luò)之間通信的數(shù)據(jù)隔離方法，雖能在實(shí)現(xiàn)通信的同時(shí)對(duì)低安全等級(jí)網(wǎng)絡(luò)發(fā)往高安全等級(jí)網(wǎng)絡(luò)的指令進(jìn)行過(guò)濾，但其過(guò)濾效率較低，且并不能保證過(guò)濾之后的數(shù)據(jù)是否安全。而由高安全等級(jí)發(fā)往低安全等級(jí)網(wǎng)絡(luò)的重要數(shù)據(jù)，也缺乏必要的保護(hù)機(jī)制，工業(yè)數(shù)據(jù)的安全得不到保證。

發(fā)明內(nèi)容

針對(duì)上述現(xiàn)有技術(shù)中存在的問題，本申請(qǐng)實(shí)施例提出一種工業(yè)網(wǎng)絡(luò)數(shù)據(jù)隔離方法、裝置及存儲(chǔ)介質(zhì)，解決了現(xiàn)有的數(shù)據(jù)隔離方法對(duì)指令過(guò)濾效率低、不能保證過(guò)濾后的報(bào)文安全性，以及對(duì)工業(yè)數(shù)據(jù)缺乏保護(hù)機(jī)制的問題。

一方面，本申請(qǐng)實(shí)施例提供了一種工業(yè)網(wǎng)絡(luò)數(shù)據(jù)隔離方法，方法包括：接收外部管理網(wǎng)絡(luò)側(cè)主機(jī)發(fā)送的報(bào)文，并將所述報(bào)文的源IP地址與所述可信任源IP地址進(jìn)行匹配，攔截源IP地址不屬于所述可信任源IP地址的報(bào)文；在所述報(bào)文的源IP地址屬于所述可信任源IP地址范圍的情況下，確定所述報(bào)文的類型；在所述報(bào)文的類型為數(shù)據(jù)報(bào)文的情況下，攔截所述數(shù)據(jù)報(bào)文；在所述報(bào)文的類型為指令報(bào)文的情況下，確定所述指令報(bào)文的危險(xiǎn)等級(jí)；在所述指令報(bào)文的危險(xiǎn)等級(jí)低于預(yù)設(shè)危險(xiǎn)等級(jí)的情況下，將所述指令報(bào)文發(fā)送到工業(yè)系統(tǒng)網(wǎng)絡(luò)側(cè)主機(jī)；接收所述工業(yè)系統(tǒng)網(wǎng)絡(luò)側(cè)主機(jī)發(fā)送的工業(yè)數(shù)據(jù)，對(duì)所述工業(yè)數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，并將所述加密后的密文以及密鑰發(fā)送到所述外部管理網(wǎng)絡(luò)側(cè)主機(jī)以使所述外部管理網(wǎng)絡(luò)側(cè)主機(jī)對(duì)所述密文進(jìn)行解密；其中，所述外部管理網(wǎng)絡(luò)的安全等級(jí)低于所述工業(yè)系統(tǒng)網(wǎng)絡(luò)。

本申請(qǐng)實(shí)施例通過(guò)對(duì)低安全等級(jí)網(wǎng)絡(luò)向高安全等級(jí)網(wǎng)絡(luò)發(fā)送的報(bào)文的嚴(yán)格過(guò)濾，保證低安全等級(jí)網(wǎng)絡(luò)發(fā)送的報(bào)文中可能攜帶的攻擊性報(bào)文盡可能高效地被過(guò)濾掉，從而保證高安全等級(jí)網(wǎng)絡(luò)的數(shù)據(jù)安全。同時(shí)通過(guò)對(duì)高安全等級(jí)網(wǎng)絡(luò)發(fā)送給低安全等級(jí)網(wǎng)絡(luò)的工業(yè)數(shù)據(jù)進(jìn)行加密，保護(hù)工業(yè)數(shù)據(jù)不被竊取，進(jìn)一步保護(hù)了高安全等級(jí)網(wǎng)絡(luò)的安全。使用此方法可以在保持兩個(gè)網(wǎng)絡(luò)互相通信的情況下更高效地保護(hù)高安全等級(jí)網(wǎng)絡(luò)數(shù)據(jù)的安全。