一种网络安全装置的制作方法

1.本实用新型涉及网络安全领域，具体涉及一种网络安全装置。


背景技术：

2.随着信息化的不断推广，信息传输越来越多地通过网络进行，这使得工业领域面临越来越严重的网络安全问题。网络安全是指通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。从企业的角度来说，最重要的就是要防止外部病毒通过网络通信进入企业内部的控制系统，为数据处理系统建立和采用技术和管理方面的安全保护措施，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露，而造成系统被攻击，出现系统崩溃或信息泄露事故。
3.随着电子政务在我国的蓬勃发展，政府部门的高安全网络和其他低安全网络之间进行数据交换的需求日益明显。出于国家安全考虑，政府部门一般倾向于使用国内安全厂商的安全产品，种种因素促使了安全隔离网闸在我国的产生和运用。安全隔离网闸是用于实现两个相互业务隔离的网络之间数据交换的专用设备，其介于两个网络之间，使两个网络之间不存在通信的物理连接、逻辑连接及信息传输协议，不存在依据协议进行的信息交换，而只有以数据文件形式进行的无协议摆渡。例如应急管理部在工业企业安全生产监控领域就推荐使用安全隔离网闸。
4.但是，安全隔离网闸的成本较高，单件设备的价格动辄数万元。尤其是当监控网络的主要任务是采集监控现场实时数据，例如生产现场的温度、湿度、气体浓度等实时数据(并不包括数据量大的视频数据)时，需要隔离的数据量很少，而且主要是从现场单向发往上位机的现场实时数据，而不包括上位机对现场设备的控制指令，此时，不需要使用网闸这样复杂且昂贵的设备，而应当采用更简单有效且更经济的方法实现网络安全。而且，往往当采用的方法越简单时，其可靠性越高。
5.可见，本领域中需要一种更简单有效且更低成本的网络安全解决方案。


技术实现要素：

6.根据本实用新型的实施例，提供了网络安全装置，包括：数据采集装置，其包括第一网络接口和第一串口芯片，且被配置为通过所述第一网络接口接收来自内部网络数据源的数据，并通过所述第一串口芯片将数据传送到串口服务器；串口服务器，其包括第二网络接口和第二串口芯片，且被配置为通过所述第二串口芯片接收来自数据采集装置的数据，并将数据发送到外部网络中的数据处理设备；其中，所述第二串口芯片的发送门电路与所述第一串口芯片的接收门电路之间的线路是断开的。
7.根据本实用新型的网络安全解决方案以低成本的方式在物理层面确保了的数据的单向传输，实现了高度的网络安全，尤其适用于较小数据量的现场数据的传输和远程监控。
附图说明
8.图1示出了根据本实用新型的实施例的网络安装装置。
具体实施方式
9.下面参照附图详细描述本实用新型的实施例。在下面的描述中，阐述了许多具体细节以便使所属技术领域的技术人员更全面地了解本实用新型。但是，对于所属技术领域内的技术人员明显的是，本实用新型的实现可不具有这些具体细节中的一些。此外，应当理解的是，本实用新型并不限于所介绍的特定实施例。相反，可以考虑用下面的特征和要素的任意组合来实施本实用新型，而无论它们是否涉及不同的实施例。因此，下面的方面、特征、实施例和优点仅作说明之用而不应被看作是权利要求的要素或限定，除非在权利要求中明确提出。
10.现参照图1，其示出了根据本实用新型的实施例的网络安装装置100。如图1中所示，该网络安全装置100包括：
11.数据采集装置110，其包括第一网络接口111和第一串口芯片112，且被配置为通过所述第一网络接口111接收来自内部网络数据源200的数据，并通过所述第一串口芯片112将数据传送到串口服务器；
12.串口服务器120，其包括第二网络接口121和第二串口芯片122，且被配置为通过所述第二串口芯片122接收来自数据采集装置110的数据，并将数据发送到外部网络中的数据处理设备300；
13.其中，所述第二串口芯片122的发送门电路与所述第一串口芯片112的接收门电路之间的线路是断开的。
14.所述内部网络数据源200可以是一种通过内部网络(例如以太网网络)采集和输出现场监控数据的现场装置，例如化工生产设备中的集散控制系统(dcs)计算机等。
15.所述数据采集装置110与所述网络数据源200通信连接以获取数据并向上位机推送数据。所述数据采集装置110可以是通用计算机设备，如微型工控机，其操作系统平台上的软件程序可以支持网络通信协议，例如支持opc协议的windows操作系统；也可以是其他具有网络功能的专用设备，并使用支持opc协议或其他网络通信协议的其他操作系统。所述数据采集装置110包括第一网络接口111和第一串口芯片112，其通过第一网络接口111与内部网络数据源1通信连接(例如通过内部网络数据源200的第三网络接口)，并使用例如opc协议的网络通信协议接收内部网络数据源200中的数据，以及通过第一串口芯片112将数据推送至串口服务器120，以便发送到外部网络。所述第一网络接口111例如可以为以太网卡。
16.所述串口服务器120可以是一种通用的数据处理设备，例如一台包含cpu、实时操作系统和tcp/ip协议的微型电脑，其还包括第二串口芯片122和第二网络接口121，并能够将由第二串口芯片122接收的串行通信数据，例如符合rs-232(或rs485)标准的串行通信数据，转换成符合外部网络通信协议(例如tcp/ip协议)的数据，并通过第二网络接口121将数据发送给外部网络中的数据处理设备300(例如通过数据处理设备300的第四网络接口)。所述第二网络接口121可以为能够连接外部网络(例如互联网)的网络适配器，例如tcp/ip网络接口适配器。所述数据处理设备300例如可以是中心控制或监视机构中的上位机，其可位于世界上任何位置，并可通过外部网络获取来自内部网络数据源200的数据。
17.所述第一串口芯片112和第二串口芯片122可以是符合串口通信标准且具有相同功能和性能的串行通信芯片，例如max3222芯片，其是由单向门组成的逻辑电路，对外接口分别为一对发送和接收门电路，发送门电路只能单向向外发送数据，接收门电路只能单向向内接收数据。
18.如图1中所示，所述第二串口芯片122的发送门电路与所述第一串口芯片112的接收门电路之间的线路是断开的。也就是说，所述数据采集装置110的第一串口芯片112的对外连接仅通过其发送门电路连接串口服务器120的第二串口芯片122的接收门电路。而数据采集装置110的第一串口芯片的接收门电路和串口服务器120的第二串口芯片122的发送门电路之间并不连接。这样来自内部网络数据源200的数据只能单向向外发送，而不会收到任何外部网络的数据，从而保证了从现场采集到的数据只能通过单方向向外的硬件向上位机传送，杜绝了外部网络任何数据传送至内部网络，由此起到网络隔离的网络安全功能。
19.在一些实施例中，所述数据采集装置110定时地将数据传送给串口服务器120。这样，不必通过数据采集装置110和串口服务器120之间的双向协商，就可实现串口服务器120接收数据采集装置110单向发送的数据。
20.所述数据采集装置110和串口服务器120之间的通信，即数据采集装置110向串口服务器120的单向数据传输，可以采用私有协议进行，也可以采用修改后的国际标准协议进行，所述国际标准协议经过修改以便适应数据的单向传输。
21.在一些实施例中，所述数据采集装置110和串口服务器120之间的通信采用modbus rtu协议，并取消了modbus rtu协议的查询指令。这样，上位机不再向内部网络发送modbus rtu协议规定的查询指令，而代之以数据采集装置110按照modbus rtu协议规定将从内部网络数据源200采集的数据进行重新组织，并主动定时通过串口服务器120推送到上位机。
22.以上参照附图描述了根据本实用新型的实施例的一种网络安全装置100，应指出的是，以上描述和图示仅为示例，而不是对本实用新型的限制。在本实用新型的其他实施例中，该网络安全装置100可具有更多、更少或不同的部件，且各部件之间的连接、包含和功能等关系可以与所描述和图示的不同。例如，某些部件可以组合为一个更大的部件，一个部件可以分解为几个较小的部件，由某个部件执行的功能也可能由另一个部件执行。所有这些变化都处于本实用新型的精神和范围之内。
23.根据本实用新型的网络安全解决方案以低成本的方式在物理层面确保了的数据的单向传输，实现了高度的网络安全，尤其适用于较小数据量的现场数据的传输和远程监控。
24.本说明书中涉及的各术语的含义一般为本领域中的通常含义，或者为本领域技术人员在阅读本说明书之后所正常理解的含义。在此使用的术语仅出于描述特定实施例的目的，并非对本实用新型进行限制。正如在此使用的那样，单数形式“一”、“一个”和“所述”旨在同时包括复数形式，除非上下文另外明确指出。将进一步理解的是，当在本说明书中使用时，术语“包括”和/或“包含”指定存在所述特性、整数、步骤、操作、元件和/或组件，但并不排除其中存在或添加一个或多个其他特性、整数、步骤、操作、元件、组件和/或由此构成的组。本说明书中的用语“连接”、“相连”等类似术语通常包括机械连接、电连接、通信连接或其组合，且通常既可以包括直接连接，也包括经由其他部件的间接连接。本说明书中的用语“第一”、“第二”等仅用于区别不同的步骤、元件或要素，而不表示任何顺序或重要性上的意
义。此外，本说明书中的各部件、元素等的名称仅表示本领域中通常具有的含义，或本领域技术人员通过阅读本技术说明书所理解的含义，且仅用于区分和说明，而不应理解为对本实用新型的限制。
25.出于说明和描述目的给出了对本实用新型的描述，但是所述描述并非旨在是穷举的或是将本实用新型限于所公开的形式。在不偏离本实用新型的范围和精神的情况下，许多修改和变化对于本领域的技术人员来说都将是显而易见的。实施例的选择和描述是为了最佳地解释本实用新型的原理和实际应用，并且使得本领域的其他技术人员能够针对具有各种修改的适合于所构想的特定使用的各种实施例理解本实用新型。因此，尽管根据实施例对本实用新型进行了描述，但是本领域的技术人员将理解，本实用新型的实现可以具有修改并且处于所附权利要求的精神和范围中。

技术特征：
1.一种网络安全装置，其特征在于，包括：数据采集装置，其包括第一网络接口和第一串口芯片，且被配置为通过所述第一网络接口接收来自内部网络数据源的数据，并通过所述第一串口芯片将数据传送到串口服务器；串口服务器，其包括第二网络接口和第二串口芯片，且被配置为通过所述第二串口芯片接收来自数据采集装置的数据，并将数据发送到外部网络中的数据处理设备；其中，所述第二串口芯片的发送门电路与所述第一串口芯片的接收门电路之间的线路是断开的。

技术总结
公开了一种网络安全装置，包括：数据采集装置，其包括第一网络接口和第一串口芯片，且被配置为通过所述第一网络接口接收来自内部网络数据源的数据，并通过所述第一串口芯片将数据传送到串口服务器；串口服务器，其包括第二网络接口和第二串口芯片，且被配置为通过所述第二串口芯片接收来自数据采集装置的数据，并将数据发送到外部网络中的数据处理设备；其中，所述第二串口芯片的发送门电路与所述第一串口芯片的接收门电路之间的线路是断开的。串口芯片的接收门电路之间的线路是断开的。串口芯片的接收门电路之间的线路是断开的。


技术研发人员：陈仲璀
受保护的技术使用者：陈仲璀
技术研发日：2023.03.14
技术公布日：2023/8/19