隨著工業互聯網時代的到來，實現對工業互聯網信息系統的保護的要求是確保工控網絡中設備的安全性。工業互聯網具有層級復雜、數據多樣的特點，隨著工業現場聯網程度提高，各信息系統間的調度打破了以往工業現場實行嚴格物理隔離的傳統。而現在工業互聯網的安全保障僅使用防火墻、防病毒軟件等簡單且單一的技術和設備無法滿足工業互聯網信息安全的需求。本發明基于單向安全隔離與信息交換機制，由安全網關發送端、接收端、單向通信管道及降級域四部分組成，從物理鏈路層、傳輸層保證數據的絕對單向流動，實現跨安全域數據單向傳輸，保證工業互聯網數據在不同層級信息系統間傳輸的安全性、可用性。

技術領域

一種面向工業互聯網的安全單向數據傳輸裝置主要使用在工業互聯網信息安全領域。

背景技術

不同于傳統互聯網，工業互聯網具有層級復雜、數據多樣的特點，隨著工業現場聯網程度提高，各信息系統間的調度打破了以往工業現場實行嚴格物理隔離的傳統。然而，工業互聯網信息安全的問題日益突出，針對工業環境的病毒、安全事件層出不窮，對于現在工業互聯網的安全保障僅使用防火墻、防病毒軟件等簡單且單一的技術和設備無法滿足工業互聯網信息安全的需求。

為保在工業互聯網中高密級別網絡數據不流向低密級網絡，但低密級網絡中的數據可以流向高密級網絡，滿足數據機密性要求，通常采用單向隔離機制如數據“擺渡”、物理單向通信或vpn等邏輯隔離技術。物理隔離技術增強了網絡的控制能力，但會導致可用性降低；邏輯隔離技術保證了高網絡信息交換效率，但其安全性更依賴底層的設備和系統軟件。

針對工業信息系統不同安全級網絡之間的隔離與交換需求，應當采用基于無數據信息反饋信號的單向數據傳輸通道，從物理鏈路層、傳輸層保證數據的絕對單向流動，并且應該具有一定的校驗及容錯功能。

發明內容

本發明基于單向安全隔離與信息交換機制，由安全網關發送端、接收端、單向通信管道及降級域四部分組成，從物理鏈路層、傳輸層保證數據的絕對單向流動，實現跨安全域數據單向傳輸，保證工業互聯網數據在不同層級信息系統間傳輸的安全性、可用性。

為達到上述目的，本發明解決其技術問題所采用的技術方案：

本發明硬件部分由安全網關發送端、接收端、單向通信管道及降級域四部分組成：發送端為低安全級網絡；接收端為高安全級網絡；單向通信管道處于兩個不同安全級網絡的邊界，實現低安全級網絡和高安全網絡之間安全隔離與信息交換；降級域實現數據從低安全級網絡到高安全級網傳輸的可靠性。系統軟件部分采用B/S架構，除實現工業安全隔離、信息交換外還通過多級向前糾錯和反向信息確認實現數據交換過程可審計。

所述安全隔離模塊保障不同安全級網絡安全隔離，阻擋來自低安全級網絡的各種攻擊；同時防止高安全級網絡的敏感信息流入低安全級網絡。

所述信息交換模塊，實現數據從低安全網絡到高安全網絡的“擺渡”，滿足高安全級網絡從低安全級網絡提取信息需求，同時允許高安全級網絡將必要的公開的非敏感信息發布到低安全級網絡。

所述安全審計模塊，記錄任何數據交換請求與數據交換過程為日志，并通過對日志信息的數據統計、挖掘，實現信息流監控或異常檢測以及性能改進。

所述單向隔離機制，通過單向二極管技術，實現整個傳輸過程如下：發送端從低安全級網絡接收并存儲信息，然后單向發送給接收端，接收端使用緩存池對突發數據進行緩存，然后進一步校驗存儲，校驗無誤的數據將被發送到高安全級網絡中，否則直接丟棄數據，整個過程數據通道和控制通道都是單向的，不存在反向的信息流。

所述多級前向糾錯模塊，通過以下手段實現提高傳輸可靠性：

1)、分塊編號：首先對要傳輸的原始數據進行分塊編號，分割成固定大小的數據塊，最后一個數據塊不足用零填充；