本發(fā)明公開一種基于切片的工業(yè)網(wǎng)絡(luò)安全實現(xiàn)方法，包括IT網(wǎng)絡(luò)與OT網(wǎng)絡(luò)互通，對于OT網(wǎng)絡(luò)于IT網(wǎng)絡(luò)使用不同協(xié)議情況，使用網(wǎng)關(guān)進行協(xié)議的轉(zhuǎn)換；利用Overlay技術(shù)對工廠的網(wǎng)絡(luò)進行虛擬化；基于虛擬化的網(wǎng)絡(luò)，將網(wǎng)絡(luò)分為生產(chǎn)制造網(wǎng)絡(luò)，本發(fā)明通過IT網(wǎng)絡(luò)與OT網(wǎng)絡(luò)互通、利用Overlay技術(shù)對工廠的網(wǎng)絡(luò)進行虛擬化、基于虛擬化的網(wǎng)絡(luò)，將網(wǎng)絡(luò)分為生產(chǎn)制造網(wǎng)絡(luò)，運營支撐網(wǎng)絡(luò)，可訪問外網(wǎng)網(wǎng)絡(luò)三個切片、網(wǎng)絡(luò)切片最終終止于工廠網(wǎng)絡(luò)控制器，三個切片間的網(wǎng)絡(luò)訪問全部經(jīng)由網(wǎng)絡(luò)控制器進行控制，不同切片中的成員默認(rèn)不可以互訪，需要互訪的成員，只需要在網(wǎng)絡(luò)控制器增加對應(yīng)的安全訪問策略即可互訪通過使能將工廠網(wǎng)絡(luò)的切片技術(shù)，工廠內(nèi)不同網(wǎng)絡(luò)可以安全互訪。

技術(shù)領(lǐng)域

本發(fā)明屬于工業(yè)網(wǎng)絡(luò)安全相關(guān)技術(shù)領(lǐng)域，具體涉及一種基于切片的工業(yè)網(wǎng)絡(luò)安全實現(xiàn)方法。

背景技術(shù)

工業(yè)網(wǎng)絡(luò)包括工廠的IT網(wǎng)絡(luò)和工廠的OT網(wǎng)絡(luò)兩部分。IT網(wǎng)絡(luò)負(fù)責(zé)工廠信息化部分，如ERP系統(tǒng)，MES系統(tǒng)等，工廠的OT網(wǎng)絡(luò)負(fù)責(zé)工廠的生產(chǎn)制造，如智能化機床，各種傳感器，信息采集系統(tǒng)等。通常情況下，IT網(wǎng)絡(luò)為OT網(wǎng)絡(luò)制定生產(chǎn)計劃，下發(fā)生產(chǎn)任務(wù)等；OT網(wǎng)絡(luò)為IT網(wǎng)絡(luò)提供生成數(shù)據(jù)，因此這兩個網(wǎng)絡(luò)需要互聯(lián)互通。

現(xiàn)有的技術(shù)存在以下問題：IT網(wǎng)絡(luò)的不安全性，一旦IT網(wǎng)絡(luò)被攻擊就會嚴(yán)重影響OT網(wǎng)絡(luò)，最終對工廠的生產(chǎn)造成影響，因此很多工廠沒有將IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)互通，對生產(chǎn)效率產(chǎn)生一定的影響。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于切片的工業(yè)網(wǎng)絡(luò)安全實現(xiàn)方法，以解決上述背景技術(shù)中提出的IT網(wǎng)絡(luò)的不安全性，一旦IT網(wǎng)絡(luò)被攻擊就會嚴(yán)重影響OT網(wǎng)絡(luò)，最終對工廠的生產(chǎn)造成影響，因此很多工廠沒有將IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)互通，對生產(chǎn)效率產(chǎn)生一定的影響的問題。

為實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種基于切片的工業(yè)網(wǎng)絡(luò)安全實現(xiàn)方法，包括IT網(wǎng)絡(luò)與OT網(wǎng)絡(luò)互通，對于OT網(wǎng)絡(luò)于IT網(wǎng)絡(luò)使用不同協(xié)議情況，使用網(wǎng)關(guān)進行協(xié)議的轉(zhuǎn)換；利用Overlay技術(shù)對工廠的網(wǎng)絡(luò)進行虛擬化；基于虛擬化的網(wǎng)絡(luò)，將網(wǎng)絡(luò)分為生產(chǎn)制造網(wǎng)絡(luò)，運營支撐網(wǎng)絡(luò)，可訪問外網(wǎng)網(wǎng)絡(luò)三個切片；網(wǎng)絡(luò)切片最終終止于工廠網(wǎng)絡(luò)控制器，三個切片間的網(wǎng)絡(luò)訪問全部經(jīng)由網(wǎng)絡(luò)控制器進行控制；工廠網(wǎng)絡(luò)控制器集成安全訪問策略對于跨切片的訪問進行安全控制和工廠網(wǎng)絡(luò)控制器可以調(diào)整三個切片的成員，使不同的成員可以靈活加入切片。

優(yōu)選的，所述IT網(wǎng)絡(luò)與OT網(wǎng)絡(luò)互通，對于OT網(wǎng)絡(luò)于IT網(wǎng)絡(luò)使用不同協(xié)議情況，使用網(wǎng)關(guān)進行協(xié)議的轉(zhuǎn)換，IT網(wǎng)絡(luò)一般情況為不封裝的IPv4/IPv6網(wǎng)絡(luò)，這樣的網(wǎng)絡(luò)可以實現(xiàn)相互之間IP互通。

優(yōu)選的，所述利用Overlay技術(shù)對工廠的網(wǎng)絡(luò)進行虛擬化，工廠的網(wǎng)絡(luò)設(shè)備使用支持Overlay技術(shù)的設(shè)備，主要是指實現(xiàn)VXLAN、MPLSoGRE、MPLSoUDP的交換機及路由器，每個交換機通過配置的方式(集中配置或單獨配置)，實現(xiàn)多個設(shè)備之間形成N*(N-1)的邏輯隧道，接入網(wǎng)絡(luò)的設(shè)備之間通信都基于邏輯隧道，由于Overlay的封裝，不在同一虛擬化網(wǎng)絡(luò)內(nèi)的設(shè)備默認(rèn)無法通信，從而形成隔離的虛擬化網(wǎng)絡(luò)，不同的設(shè)備接入交換機之后，邏輯劃分到不同的虛擬化網(wǎng)絡(luò)中。

優(yōu)選的，所述基于虛擬化的網(wǎng)絡(luò)，將網(wǎng)絡(luò)分為生產(chǎn)制造網(wǎng)絡(luò)，運營支撐網(wǎng)絡(luò)，可訪問外網(wǎng)網(wǎng)絡(luò)三個切片，基于上述中的Overlay配置，劃分出三個互相隔離的生產(chǎn)制造網(wǎng)絡(luò)，運營支撐網(wǎng)絡(luò)和訪問外網(wǎng)網(wǎng)絡(luò)，三個虛擬化網(wǎng)絡(luò)默認(rèn)相互不可通信，每個設(shè)備根據(jù)實際的需求選擇邏輯接入對應(yīng)的網(wǎng)絡(luò)，邏輯接入指的是通過配置的方式將IT設(shè)備/OT設(shè)備的MAC/IP加入對應(yīng)的虛擬化網(wǎng)絡(luò)中。

優(yōu)選的，所述網(wǎng)絡(luò)切片最終終止于工廠網(wǎng)絡(luò)控制器，三個切片間的網(wǎng)絡(luò)訪問全部經(jīng)由網(wǎng)絡(luò)控制器進行控制，同一網(wǎng)絡(luò)切片內(nèi)設(shè)備的網(wǎng)絡(luò)通信不經(jīng)過工廠網(wǎng)絡(luò)控制器，設(shè)備直接經(jīng)過上述中的邏輯隧道直接通信，不同切片間的網(wǎng)絡(luò)互訪，設(shè)備的報文首先經(jīng)過交換機和網(wǎng)絡(luò)控制器之間的隧道到達網(wǎng)絡(luò)控制器，經(jīng)過檢查后再由未來之器到達目的地交換機及目的設(shè)備。