【技术实现步骤摘要】
本申请涉及船舶网络安全,具体涉及一种网络安全架构设计方法。
技术介绍
1、当前大多数船舶的动力监控系统通常是独立的、分散的系统。每个系统通常专注于特定的监控任务,例如发动机状态监控、阀门遥控系统、主推进遥控系统、电力系统监控等。这些系统之间通常缺乏互联互通。因此,操作人员需要在多个系统之间切换,由此增加了操作的复杂性和出错的风险。此外,由于各个系统是独立运行的,无法形成一个统一的、全面的动力监控和管理平台,这不仅影响了监控的全面性和准确性,也制约了自动化和智能化水平的提升。
2、由此,船舶综合自动化系统应运而生,融合推进装置遥控、阀门遥控、液位测量、机舱监测报警、辅助设备控制、功率管理等系统功能,形成分布式、模块化、集成化的自动化系统,具有网络化、多冗余,可扩展、易维护,可追溯、可视化等特点。
3、然而,该系统由于网络拓扑结构复杂,对外交互的系统较多,容易受到网络攻击和恶意软件的侵扰,增加了数据泄露和系统瘫痪的风险。
技术实现思路
1、专利技术目的:本申请实施例提供一种网络安全架构设计方法,旨在克服现有技术存在船舶动力系统网络安全存在隐患的技术问题。
2、技术方案:本申请实施例所述的一种网络安全架构设计方法,应用于船舶动力综合自动化系统,所述方法包括:
3、通过构建冗余通讯链路、设置主备节点切换机制、构建局域数据传输链路以及设置通讯加密方式,以建立满足预设通讯效率的船舶动力系统的局域网络;
4、通过建立安全边界、设置网络信
5、通过设置隔离方式、建立身份认证体系以及建立统一信任管理平台,以检验通讯对象。
6、在一些实施例中,所述构建冗余通讯链路,包括:
7、在所述船舶动力综合自动化系统中设置多网冗余架构。
8、在一些实施例中,所述设置主备节点切换机制,包括:
9、综合自动化应用中设定主节点和多个备用节点;所述备用节点监控从所述主节点接收到的广播包;
10、如果在第一预设时间内,所述备用节点未接收到所述主节点发出的广播包,则所述备用节点认为所述主节点失效,并将综合自动化应用中的操作员站控制权限由所述主节点切换为所述备用节点。
11、在一些实施例中,每个节点对应有一个优先级;且所述主节点的优先级最高;所述备用节点只有在自身优先级高于或者等于所述主节点的优先级时才会进行切换。
12、在一些实施例中,所述备用节点的优先级在所述主节点宕机的情况下高于所述主节点,且在所述主节点恢复后,依旧成为备用节点。
13、在一些实施例中,所述构建局域数据传输链路,包括:
14、构建包括实时以太网络、i/o总线以及串口线在内的局域数据传输链路。
15、在一些实施例中,所述设置通讯加密方式,包括:
16、在船岸通讯情况下,建立船端与岸端指挥中心之间的ssl加密链路;
17、在船端局域网通信情况下,采用非对称加密算法建立公钥私钥加密链路。
18、在一些实施例中,所述建立安全边界,包括:
19、根据船舶与一般it行业的应用差异,通过建立安全边界;
20、根据设备的不同功能划分不同的安全区域,将控制设备层和数据传感器层以及业务网络的网络区域区分开;
21、根据船舶特点,在卫星通讯和功能网之间架设安全边界,在内部的业务网和娱乐网之间,以及内部的业务网和ot网之间架设安全边界。
22、在一些实施例中,所述设置网络信息监控机制,包括:
23、通过边界防护设备对网络中传输的数据包中的信息进行监测、筛选和控制。
24、在一些实施例中,所述通过边界防护设备对网络中传输的数据包中的信息进行监测、筛选和控制,包括:
25、防火墙会首先捕获经过其网络接口的数据包并解析;
26、通过特征匹配的方式识别异常或恶意流量;
27、识别应用层协议流量,并根据应用层协议进行流量管理。
28、在一些实施例中,所述建立远程访问的dmz区域,包括:
29、通过防火墙上的vlan分区划分,建立远程访问的dmz区域;同时通过不同区域之间的交互策略,将所述dmz区域与内网区域打通,而外网只能够联通所述dmz区域。
30、在一些实施例中,所述通过设置隔离方式、建立身份认证体系以及建立统一信任管理平台,以检验通讯对象,包括:
31、通过设置物理隔离或逻辑隔离的方式将网络进行隔离,并对每个网络区域边界进行界定;
32、建立面向ot场景的身份认证体系,结合传统it的边界安全防护,把访问控制从粗颗粒度的传统网络边界层面,迁移至细颗粒度的所有设备主体、客体和业务层面,对所有船上操作的个人、设备、数据通讯进行身份识别验证和权限管控;
33、建立统一信任管理平台,管理每台设备进行自身身份识别获取的证书申请以及后续管理。
34、有益效果:与现有技术相比,本申请实施例的网络安全架构设计方法,该网络安全架构设计方法包括:通过构建冗余通讯链路、设置主备节点切换机制、构建局域数据传输链路以及设置通讯加密方式,以建立满足预设通讯效率的船舶动力系统的局域网络;通过建立安全边界、设置网络信息监控机制、建立远程访问的dmz区域以及建立设备日志审计管理系统,以建立满足预设远程控制网络安全需求的实时监控措施;通过设置隔离方式、建立身份认证体系以及建立统一信任管理平台,以检验通讯对象。该方法通过建立船舶动力系统的局域网络、实时监控措施以及检验通讯对象可以搭建合理可靠的船舶综合自动化系统的网络安全架构,从而提高船舶动力系统网络的可用性、安全性和稳定性,保护机密信息,防止未经授权的访问和入侵,提高网络的响应能力和管理效率,保障船舶系统的网络安全。
本文档来自技高网...【技术保护点】
1.一种网络安全架构设计方法,其特征在于,应用于船舶动力综合自动化系统,所述方法包括:
2.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述构建冗余通讯链路,包括:
3.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述设置主备节点切换机制,包括:
4.根据权利要求3所述的网络安全架构设计方法,其特征在于,每个节点对应有一个优先级;且所述主节点的优先级最高;所述备用节点只有在自身优先级高于或者等于所述主节点的优先级时才会进行切换。
5.根据权利要求4所述的网络安全架构设计方法,其特征在于,所述备用节点的优先级在所述主节点宕机的情况下高于所述主节点,且在所述主节点恢复后,依旧成为备用节点。
6.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述构建局域数据传输链路,包括:
7.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述设置通讯加密方式,包括:
8.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述建立安全边界,包括:
9.根据权利要求1所
10.根据权利要求9所述的网络安全架构设计方法,其特征在于,所述通过边界防护设备对网络中传输的数据包中的信息进行监测、筛选和控制,包括:
11.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述建立远程访问的DMZ区域,包括:
12.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述通过设置隔离方式、建立身份认证体系以及建立统一信任管理平台,以检验通讯对象,包括:
...【技术特征摘要】
1.一种网络安全架构设计方法,其特征在于,应用于船舶动力综合自动化系统,所述方法包括:
2.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述构建冗余通讯链路,包括:
3.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述设置主备节点切换机制,包括:
4.根据权利要求3所述的网络安全架构设计方法,其特征在于,每个节点对应有一个优先级;且所述主节点的优先级最高;所述备用节点只有在自身优先级高于或者等于所述主节点的优先级时才会进行切换。
5.根据权利要求4所述的网络安全架构设计方法,其特征在于,所述备用节点的优先级在所述主节点宕机的情况下高于所述主节点,且在所述主节点恢复后,依旧成为备用节点。
6.根据权利要求1所述的网络安全架构设计方法,其特征在于,所述构建局...
【专利技术属性】
技术研发人员:董舟,郭巍,聂大干,
申请(专利权)人:中国船舶集团有限公司第七一一研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。