工業控制網絡安全隔離與信息交換系統描述

工業控制網絡安全隔離與信息交換系統通常部署在工業控制網絡邊界，保護的資產為工業控制網絡；或者部署在生產管理層與過程監控層之間，保護的資產為過程監控層網絡及現場控制層網絡。此外，工業控制網絡安全隔離與信息交換系統本身及其內部的重要數據也是受保護的資產。

如圖1所示，工業控制網絡安全隔離與信息交換系統一般以二主機加專用隔離部件的方式組成，即由內部處理單元、外部處理單元和專用隔離部件組成。其中，專用隔離部件既可以是采用包含電子開關并固化信息擺渡控制邏輯的專用隔離芯片構成的隔離交換板卡，也可以是經過安全強化的運行專用信息傳輸邏輯控制程序的主機。工業控制網絡安全隔離與信息交換系統用于連接兩個不同的安全域，實現兩個安全域之間訪問控制、協議轉換、內容過濾和信息交換等功能。工業控制網絡安全隔離與信息交換系統中的內、外部處理單元通過專用隔離部件相連，專用隔離部件是兩個安全域之間唯一的可信物理信道。該內部信道裁剪了TCP/IP等公共網絡協議棧，采用私有協議實現公共協議隔離。專用隔離部件通常有兩種實現方式：一是采用私有協議以邏輯方式實現協議隔離和信息傳輸；二是采用一組互斥的分時切換電子開關實現內部物理信道的通斷控制，以分時切換連接方式完成信息擺渡，從而在兩個安全域之間形成一個不存在實時物理連接的隔離區。