一种数据传输系统的制作方法

1.本实用新型涉及信息安全技术领域，具体涉及一种数据传输系统。


背景技术：

2.对于工矿生产企业而言，底层工业数据的安全性至关重要。一旦底层设备遭到非法的侵入造成数据的泄露或破坏，将对企业造成不可估量的损失。而随着信息技术的发展大多数的企业都会接入互联网服务器与外部系统或设备进行数据的交互，增加了病毒非法侵入的途径。因此如何提高企业过程控制层数据的安全性已经成为亟需解决的技术问题。


技术实现要素：

3.为了解决现有技术存在的安全性差的问题，本实用新型提供了一种数据传输系统，其具有传输更加安全等特点
4.根据本实用新型具体实施方式提供的一种数据传输系统，包括：依次连接的数据采集网闸、数据采集防火墙、数据交换单元、出口网闸和出口防火墙；
5.所述数据采集网闸的输入端和过程控制系统的数据输出端连接，所述出口防火墙的输出端和传输平台连接；
6.所述数据采集网闸和所述数据采集防火墙均为单向传输模式，所述单向传输模式的传输方向为由所述过程控制系统侧向所述传输平台的数据传输方向。
7.进一步地，所述数据交换单元包括：交换机和数据采集服务器，所述数据采集服务器连接在所述数据采集防火墙和所述交换机之间，所述交换机连接在所述数据采集服务器和所述出口网闸之间，所述数据采集服务器用于所述过程控制系统中数据的获取，所述交换机用于所述数据采集服务器和所述传输平台的数据交互。
8.进一步地，所述数据交换单元还包括：连接在所述数据采集服务器和所述交换机之间的存储服务器，所述存储服务器用于所述过程控制系统的数据存储。
9.进一步地，所述数据交换单元还包括：和所述交换机连接的边缘计算服务器，所述边缘计算服务器用于所述过程控制系统的数据的分析计算。
10.进一步地，所述数据采集网闸的单向传输模式设置的数据包括：一对输入输出接口所连接的设备的ip地址、设备间的通信协议以及设备间数据传输的规则。
11.进一步地，所述防火墙的单向传输模式设置的数据包括：端口名单访问权限，基于所述端口名单访问权限将数据传输方向设定为由所述过程控制系统侧向所述传输平台的数据传输方向。
12.进一步地，与所述传输平台连接的应用系统至少包括：智慧园区系统、能耗控制系统、危险源监控系统和报警系统。
13.进一步地，所述过程控制系统至少包括：集散控制子系统、可编程逻辑控制子系统和数据采集与监控子系统，其中所述集散控制子系统和所述可编程逻辑控制子系统均通过网关和所述数据采集网闸连接，所述数据采集与监控子系统通过串行接口和所述数据采集
网闸连接。
14.进一步地，所述过程控制系统还包括：手动录入子系统，用于进行数据的录入。
15.进一步地，所述网关将opc-da协议的数据转换为opc-ua协议下的数据。
16.本实用新型所提供的数据传输系统，可以包括依次连接的数据采集网闸、数据采集防火墙、数据交换单元、出口网闸和出口防火墙。其中数据采集网闸的输入端和过程控制系统的数据输出端连接，出口防火墙的输出端和传输平台连接。数据采集网闸和数据采集防火墙均为单向传输模式，且单向传输模式的传输方向为由过程控制系统侧向传输平台的数据传输方向。该数据传输系统实现了只允许底层的过程控制系统将数据向上传输数据到传输平台，不允许传输平台数据的反向传输，从而保证了底层过程控制系统的网络安全，同时避免了病毒扩散到其他底层系统。
附图说明
17.为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
18.图1是根据一示例性实施例提供的数据传输系统的整体结构图；
19.图2是根据一示例性实施例提供的数据交换单元的结构图；
20.图3是根据一示例性实施例提供的数据传输系统的另一结构图。
具体实施方式
21.下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。
22.参照图1所示，本实用新型的实施例提供了一种数据传输系统，该系统可以包括：依次连接的数据采集网闸106、数据采集防火墙105、数据交换单元104、出口网闸103和出口防火墙102。
23.其中数据采集网闸106的输入端和过程控制系统107的数据输出端连接，出口防火墙102的输出端和传输平台101连接。
24.数据采集网闸106和数据采集防火墙105均为单向传输模式，且该单向传输模式的传输方向为由过程控制系统107侧向传输平台101的数据传输方向。
25.具体的，传输平台101对生产过程中的底层的过程控制系统所产生的实时数据进行采集，传输平台101采集的数据可包括生产过程中的同过程控制系统的实时数据以及采集视频监控信号，并根据实际的需求进行数据库数据的整合实现数据的跨区域融合。在进行数据采集时，底层的过程控制系统的数据经过协议的转换后将数据采集网闸106和数据采集防火墙105的双层安全防护后，再通过数据交换单元104将得到的数据经过出口网闸103和出口防火墙102的进一步的安全防护后传输至传输平台101，再由传输平台101和互联网连接，对数据进行远程的传输。其中数据采集网闸105通常采用其本身的摆渡功能，使内
外网主机与底层数据之间采用非网络物理连接，数据采集网闸106的通信通常采用私有协议，能够彻底杜绝未经授权的底层数据通过网闸进行传输，保证内外网之间的通信安全。数据采集防火墙105可设置为网络白名单模式，设置端口白名单访问权限，对于底层过程控制系统107设置为单向传输模式，从而只允许底层数据向上传输至传输平台，不允许传输平台101所得到的外部数据的反向传输，保证了底层数据的安全，同时阻断了各系统间的数据进行直接的交换，避免了一个系统在感染病毒后对扩散到其他系统，进一步的保证了数据的安全性。同时传输平台能够完成项目数据的采集汇总，完成感知数据采集的工作，所汇集的数据能够直接上传至工业园区数据管理平台、能耗双控平台、重大危险源平台等需要数据分析的平台和系统，不需用重复采集数据，可节省资金投入，缩减数据采集的周期与数据上传时间。
26.在本实用新型的另一具体实施例中，参照图2所示，数据交换单元104包括：交换机201和数据采集服务器202，数据采集服务器202连接在数据采集防火墙105和交换机201之间，交换机201连接在数据采集服务器202和出口网闸103之间，数据采集服务器202用于过程控制系统107中数据的获取，交换机201用于数据采集服务器202和传输平台101的数据交互。
27.数据交换单元104还包括：连接在数据采集服务器202和交换机201之间的存储服务器203，存储服务器203用于过程控制系统107的数据存储。
28.数据交换单元104还包括：和交换机201连接的边缘计算服务器204，边缘计算服务器204用于过程控制系统107的数据的分析计算。
29.具体的，数据采集服务器202可直接采集过程控制系统107经数据采集网闸106和数据采集防火墙105过滤后的数据，得到的数据经数据采集网闸从物理链路设置为单向传输，数据采集防火墙105从网络完全角度也设置为单向传输，确保过程控制系统的网络安全。然后数据采集服务器202将采集到的数据传输至实时时序存储服务器203的数据库，存储的数据经过边缘计算服务器204的运算后的结果数据可通过出口网闸103、出口防火墙102的保护后传输给传输平台101进行远程的数据传输，进行数据分享。
30.作为上述实施例可行的实现方式，数据采集网闸106的单向传输模式设置的数据包括：一对输入输出接口所连接的设备的ip地址、设备间的通信协议以及设备间数据传输的规则。
31.具体的，数据采集网闸106的通信配置的主要作用是让一对输入输出接口能够实现单向通信，每对接口的配置是不相同的。将内外两台设备例如dcs服务器和数据采集服务器的ip地址为一对相应的传输接口。然后根据各个系统间的通信协议，建立对应的应用或应用组。其中通过数据采集网闸进行安全防护的协议包括opc-da协议、opc-ua协议和modbustcp协议。每个链路上配置有进出规则，其中每个链路可配置两个规则，每个进出规则中都需要选择能够通过该链路的应用。
32.数据采集防火墙105的单向传输模式设置的数据包括：端口名单访问权限，基于端口名单访问权限将数据传输方向设定为由过程控制系统侧向传输平台的数据传输方向。
33.防火墙设置端口名单访问权限。在防火墙网络端口设置各流入数据相互隔离，不允许相互访问，以此设置访问权限，保证网络安全。各流入数据中dcs系统、plc系统等，通过防火墙设置将这些数据相互阻断。
34.参照图3所示，在本实用新型一些具体实施例中，传输平台101连接的应用系统至少包括：智慧园区系统301、能耗控制系统302、危险源监控系统303和报警系统304。
35.过程控制系统107至少包括：集散控制子系统305、可编程逻辑控制子系统307和数据采集与监控子系统308，其中集散控制子系统和可编程逻辑控制子系统均通过网关和数据采集网闸连接，数据采集与监控子系统通过串行接口和数据采集网闸连接。
36.以及过程控制系统还包括：手动录入子系统306，用于进行数据的录入。
37.在数据采集过程中通过网关进行协议的转换，将opc-da协议转化为opc-ua协议，然后经数据采集网闸和数据采集防火墙双层硬件防护，实现大数据平台及底层控制系统的网络安全，并结合大数据本身软件安全防护功能，构成信息网络安全体系。其中集散控制子系统305能够通过通信网络、crt显示器、键盘、打印机等设备又实现高度集中的操作、显示和报警管理。可编程逻辑控制子系统(plc系统)和数据采集与监控子系统(scada系统)等系统的数据能够统一融合至大数据平台，实现规范化管理。手工录入子系统为用户提供pc端、移动端单个指标录入、审批等功能，为实验室用户提供excel导入功能。以及指标新建、编辑、日志管理等功能。在不具备在线自动取数的装置区、操作区为用户提供手工录入、excel导入等功能，可以保证数据收集的完整性，为厂区数字化、无纸化办公提供有效、多渠道数据收集基础工具。
38.其中和传输平台连接的远程系统可包括智慧园区系统301、能耗控制系统302、危险源监控系统303和报警系统304等。智慧园区系统301可以连接企业的总部，实现对项目数据的传输和统一的管控。能耗控制系统302实现对项目能耗数据传输与监管。危险源监控系统303能够实现对不同层级的危险源的数据上传和监管。报警系统304能够实现应急、生产、危险源、能耗等数据上传与监管。其他的系统如hse安全生产作业票管理系统可将gds可燃有毒气体报警仪原始数据传送给hse系统，同时该系统需要的视频数据也从底层的过程控制系统进行采集。使得底层数据经过一次采集，就可实现多次传输与应用，各系统各取所需，实现数据平台管理模式。可将多系统之间交互的网关、网闸、防火墙共用，节省设备及其维护费用，同时网络架构清晰可靠。
39.本实用新型上述实施例所提供的数据传输系统，能够将各系统之间通过网关、网闸、防火墙进行隔离实现数据的单向传输，同时能够阻止各系统之间数据进行直接的交换，避免在一套系统感染病毒后，使病毒扩散到其他系统，保证了底层系统和数据的安全。
40.需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
41.本实用新型各实施例种装置及终端中的模块和子模块可以根据实际需要进行合并、划分和删减。
42.本实用新型所提供的几个实施例中，应该理解到，所揭露的终端，装置和方法，可以通过其它的方式实现。例如，以上所描述的终端实施例仅仅是示意性的，例如，模块或子模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个子模块或模块可以结合或者可以集成到另一个模块，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块
的间接耦合或通信连接，可以是电性，机械或其它的形式。
43.作为分离部件说明的模块或子模块可以是或者也可以不是物理上分开的，作为模块或子模块的部件可以是或者也可以不是物理模块或子模块，即可以位于一个地方，或者也可以分布到多个网络模块或子模块上。可以根据实际的需要选择其中的部分或者全部模块或子模块来实现本实施例方案的目的。
44.另外，在本实用新型各个实施例中的各功能模块或子模块可以集成在一个处理模块中，也可以是各个模块或子模块单独物理存在，也可以两个或两个以上模块或子模块集成在一个模块中。上述集成的模块或子模块既可以采用硬件的形式实现，也可以采用软件功能模块或子模块的形式实现。
45.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
46.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本实用新型。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本实用新型的精神或范围的情况下，在其它实施例中实现。因此，本实用新型将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。