面向电厂物联新安全分区的网络安全架构制造技术

本实用新型专利技术提供一种面向电厂物联新安全分区的网络安全架构，它包括数据传输系统等，数据传输系统包括业务接入安全终端和业务接入安全装置，业务接入安全终端和业务接入安全装置通讯互联，业务接入安全终端用于接收业务数据明文并进行加密处理后输出业务数据密文，并将业务数据密文传输至业务接入安全装置，业务接入安全装置解密处理后输出业务数据明文；安全服务系统包括密钥管理服务器和加密卡，密钥管理服务器与加密卡通讯互联；设备管理系统包括交换机以及与交换机连接的设备管理服务器、设备管理数据库服务器和工程师站，设备管理服务器分别与密钥管理服务器、业务接入安全终端和业务接入安全装置通讯互联。终端和业务接入安全装置通讯互联。终端和业务接入安全装置通讯互联。

【技术实现步骤摘要】
面向电厂物联新安全分区的网络安全架构


[0001]本技术涉及网络设备
，具体的说，涉及了一种面向电厂物联新安全分区的网络安全架构。

技术介绍

[0002]已有关键工业信息基础设施作为经济社会运行的神经中枢，正成为网络攻击的重点目标；而工业自动化和信息化系统深入能源、交通、电力等国计民生领域，一旦遭受攻击破坏，将带来不可估量的经济损失。例如，芯片生产过程中的短时间电力中断，就可导致芯片生产全部废片，造成千万计的直接经济损失；而勒索病毒对各接入工业互联网企业的威胁至今仍未完全消除。随着工业互联网的快速发展，越来越多的工业生产设备和系统联网，制造环境走向开放、跨域、互联，工业信息安全问题日益突出。工业互联网平台直接或间接连接了海量的工业控制系统、业务系统和网络基础设施，承载了大量数据和工业APP，也面临网络攻击范围不断扩大，工业全产业链遭受网络攻击的风险；而从防护水平看，可辨识的工业自动化控制系统及设备多数缺乏安全防护。
[0003]工业信息系统与互联网系统的安全边界正在日益交互，互相渗透，面临着新型的安全问题，互联网和工业的深度融合打破了传统工业领域相对封闭可信的环境，将互联网的安全威胁渗透到了工业领域，网络攻击可以直达生产一线。因此，如何保证工业互联网体系安全，是关乎国计民生，社会经济秩序的重大命题。
[0004]为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

技术实现思路

[0005]本技术的目的是针对现有技术的不足，从而提供一种面向电厂物联新安全分区的网络安全架构。
[0006]为了实现上述目的，本技术所采用的技术方案是：一种面向电厂物联新安全分区的网络安全架构，它包括数据传输系统、安全服务系统和设备管理系统，其中，
[0007]所述数据传输系统包括业务接入安全终端和业务接入安全装置，所述业务接入安全终端和所述业务接入安全装置通讯互联，所述业务接入安全终端用于接收业务数据明文进行加密处理以输出业务数据密文，并将所述业务数据密文传输至所述业务接入安全装置，所述业务接入安全装置用于对业务数据密文进行解密处理以输出业务数据明文；
[0008]所述安全服务系统包括密钥管理服务器和加密卡，所述密钥管理服务器与所述加密卡通讯互联；
[0009]所述设备管理系统包括交换机以及与所述交换机连接的设备管理服务器、设备管理数据库服务器和工程师站，所述设备管理服务器分别与所述密钥管理服务器、所述业务接入安全终端和所述业务接入安全装置通讯互联。
[0010]本技术的有益效果为：
[0011]1）该面向电厂物联新安全分区的网络安全架构以密码定义与密钥管理为核心，在
传统网络安全架构基础上，提供全新防护体系保护，大大降低病毒，木马感染几率，保证机密文件安全不泄露，从架构机制层面防御恶意入侵渗透，提供一种安全、可靠、可控的传输控制管理平台，跨多个安全区域，可大大提升电厂的资源配置能力，以及电厂安全运行保障能力；
[0012]2）所述业务接入安全终端或所述业务接入安全装置作为一个节点，对电厂业务数据和设备数据等进行加解密处理，保证电厂业务数据和设备数据等在传输过程中不会被截获、篡改和伪造，进而确保一个区域内的物联网设备数据传输的安全可靠性。
附图说明
[0013]图1是本技术的结构示意图。
[0014]图2至图6是本技术的业务接入安全终端或者业务接入安全装置的结构示意图。
具体实施方式
[0015]下面通过具体实施方式，对本技术的技术方案做进一步的详细描述。
[0016]实施例1
[0017]如附图1所示，一种面向电厂物联新安全分区的网络安全架构，它包括数据传输系统、安全服务系统和设备管理系统，其中，
[0018]所述数据传输系统包括业务接入安全终端和业务接入安全装置，所述业务接入安全终端和所述业务接入安全装置通讯互联，所述业务接入安全终端用于接收业务数据明文进行加密处理以输出业务数据密文，并将所述业务数据密文传输至所述业务接入安全装置，所述业务接入安全装置用于对业务数据密文进行解密处理以输出业务数据明文；
[0019]所述安全服务系统包括密钥管理服务器和加密卡，所述密钥管理服务器与所述加密卡通讯互联；
[0020]所述设备管理系统包括交换机以及与所述交换机连接的设备管理服务器、设备管理数据库服务器和工程师站，所述设备管理服务器分别与所述密钥管理服务器、所述业务接入安全终端和所述业务接入安全装置通讯互联。
[0021]进一步的，所述安全服务系统还包括前置服务器和密钥管理数据库服务器，所述前置服务器与所述密钥管理服务器通讯互联，所述密钥管理数据库服务器与所述前置服务器通讯互联。
[0022]需要说明的是，所述加密卡为安全服务系统内置的国密加密卡，所述密钥管理服务器15和国密加密卡16组成加密机，提供密钥生成、密钥恢复、密钥更新、密钥注销、证书生成等功能；所述前置服务器19连接密钥管理服务器15，提供外部调用接口，满足安全业务需要，向设备管理服务器2、业务接入安全终端7和业务接入安全装置8提供密钥管理服务，对设备管理服务器2、业务接入安全终端7和业务接入安全装置8的接入权限认证，响应设备管理服务器2、业务接入安全终端7和业务接入安全装置8的密钥申请，返回符合条件的密钥，如密钥生命周期、签名算法、签名值、授权凭证、接收方公钥加密密钥算法、数据加密密钥密文等。
[0023]可以理解，在验签成功后，所述设备管理服务器2、业务接入安全终端7和所述业务
接入安全装置8，用非对称算法密钥对的私钥解密数据加密密钥密文得到数据加密密钥明文，并保存密钥生命周期等信息，当设备的密钥丢失时，连接前置服务器19进行密钥恢复，当设备应用无法保证其密钥的安全性或其他需要更新密钥需求时，需要根据原密钥的密钥ID连接前置服务器19，获取新密钥，当设备应用不再使用密钥时，前置服务器19可根据密钥ID将密钥注销，密钥将归档，上述操作都将在密钥管理数据库服务器18中保存数据。
[0024]进一步的，所述设备管理系统还包括移动监控终端，所述移动监控终端与所述设备管理服务器通讯互联；所述移动监控终端可以为定制化移动设备6，定制化移动设备6通过4G网络VPN通道连接设备管理服务器2，实时查看设备状态及告警信息。
[0025]可以理解，所述工程师站为一台电脑，通过定制化的界面管理设备，用于访问设备管理服务器2，对业务接入安全终端7和业务接入安全装置8需要的业务功能进行配置，对业务接入安全终端7和业务接入安全装置8上报的状态信息进行查看。所述设备管理服务器提供用户分级管理功能，用于管理工程师站5和定制化移动设备6的访问控制，提供业务接入安全终端7和业务接入安全装置8的注册、修改、删除、运行和健康状态显示服务，下发安全控制策略给业务接入安全终端7和业务接入安全装置8，下发网络通信配置给业务接入安全终端7和业务接入安全装置8，并对业务接入安全终端7和业务接入安全装本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向电厂物联新安全分区的网络安全架构，其特征在于：包括数据传输系统、安全服务系统和设备管理系统，其中，所述数据传输系统包括业务接入安全终端和业务接入安全装置，所述业务接入安全终端和所述业务接入安全装置通讯互联，所述业务接入安全终端用于接收业务数据明文进行加密处理以输出业务数据密文，并将所述业务数据密文传输至所述业务接入安全装置，所述业务接入安全装置用于对业务数据密文进行解密处理以输出业务数据明文；所述安全服务系统包括密钥管理服务器和加密卡，所述密钥管理服务器与所述加密卡通讯互联；所述设备管理系统包括交换机以及与所述交换机连接的设备管理服务器、设备管理数据库服务器和工程师站，所述设备管理服务器分别与所述密钥管理服务器、所述业务接入安全终端和所述业务接入安全装置通讯互联。2.根据权利要求1所述的面向电厂物联新安全分区的网络安全架构，其特征在于：还包括与所述设备管理系统通讯互联的信息监控系统，所述信息监控系统包括信息发布服务器和信息展示屏，所述信息展示屏与所述信息发布服务器通讯互联，所述信息发布服务器与所述设备管理服务器通讯互联。3.根据权利要求1所述的面向电厂物联新安全分区的网络安全架构，其特征在于：所述安全服务系统还包括前置服务器和密钥管理数据库服务器，所述前置服务器与所述密钥管理服务器通讯互联，所述密钥管理数据库服务器与所述前置服务器通讯互联。4.根据权利要求1所述的面向电厂物联新安全分区的网络安全架构，其特征在于：所述设备管理系统还包括移动监控终端，所述移动监控终端与所述设备管理服务器通讯互联。5.根据权利要求4所述的面向电厂物联新安全分区的网络安全架构，其特征在于：所述安全服务系统还包括VPN服务器，所述VPN服...

【专利技术属性】
技术研发人员：蒋斌，刘建峰，荆晓亮，
申请(专利权)人：华能浙江能源开发有限公司玉环分公司，
类型：新型
国别省市：