一种信息安全管理平台系统的制作方法

1.本发明涉及物联网领域技术领域，尤其涉及一种信息安全管理平台系统。
2.

背景技术：

3.如今已经进入大数据时代。除了数据的采集、分析等环节，数据的交换与共享也变得益发重要。当前，各个领域通常都建立了数据详实的数据库，但是社会各行各业甚至同一行业不同单位的数据库往往针对自身的业务需求进行定制，这使得系统环境、数据平台等存在巨大差异，建设之初通常又缺乏数据交换与共享的设计，形成了数据交换的“壁垒”。
4.在多平台的应用过程中，数据共享平台的建立能够促进技术的交流与发展，数据共享平台信息发布后不便于管理，当出现错误信息时不便于修改，造成技术方案的误导，使人产生误区，而另外发布该信息会导致信息混乱。
5.si七层协议及tcp/ip网络协议旨在构建一个可靠互联互通的大型网络，但是这些协议最初设计并没有考虑网络的安全性，虽然随着网络协议的发展及扩展，能够提供一些加密安全通信协议，但网络本身仍然容易受到攻击，如ddos攻击、端口扫描等。
6.传统的网络安全保护都是被动的，通过在安全设备上预先设置安全策略来抵御网络攻击以实现对网络的安全保护。虽然这种方式也可以在一定程度上抵御网络攻击，但是并不能将这种攻击预警扩散到更大的网络中去，因此网络自身无法动态地主动抵御某些网络攻击。
7.大型网络的安全是一个系统工程，其网络安全应该实行集中的策略管理和统一部署，而现有技术安全技术是分散式的管理，难以实现集中管理和统一部署。
8.目前在通用工业控制系统网络安全防护中，采用的技术防护措施比较少，且没有形成系统体系的方式进行总体防护，随着工业控制系统的管控一体化，使得工业控制系统与传统 it 管理系统以及互联网相连通，内部也越来越多地采用了通用软件、通用硬件和通用协议，直接面对来自外界的种种威胁，增加了工业控制网络信息的安全隐患。同时工业控制行业用户的安全意识不足，在系统设计之中未考虑系统整体安全设计，存在只重视功能实现，不重视安全的现象，而且在运行维护中对安全管理也不够重视，增加了工业控制系统遭受病毒、木马攻击的可能性。在同一层网络内，亦可能产生不稳定因素，导致网络出现故障。


技术实现要素：

9.为了克服现有技术的上述缺陷，本发明的实施例提供一种信息安全管理平台系统，通过网络安全管理中心集中管理关联的安全网关，能够有效降低网络复杂时安全网关的维护难度，网络安全管理中心能够实时监测网络中所有安全网关的运行状态，当某点受到攻击，能使网络其他点实现主动防御的目的，能有效降低企业的运维成本。
10.为实现上述目的，本发明提供如下技术方案：
一种信息安全管理平台系统，包括信息安全管理中心、广域网和多个安全网关，以及与安全网关一一对应连接的局域网，所述信息安全管理中心和广域网连接，所述广域网通过安全网关与局域网连接；其中，所述信息安全管理中心包含管理平台模块、配置服务器模块和日志服务器模块、微控制器模块、多路串行通信接口模块和数据显示模块；所述管理平台模块、配置服务器模块和日志服务器模块分别与微控制器模块连接，所述多路串行通信接口模块和数据显示模块分别与微控制器模块的对应接口连接；所述多路串行通信接口模块包含包含控制电路以及与其连接的用于实现多路串行通信的接口电路；所述控制电路包含存储器、复位电路、时钟电路、电源电路、jtag辅助电路和dsp处理器，所述存储器、复位电路、时钟电路、电源电路和jtag辅助电路分别与dsp处理器连接；所述接口电路包含协议处理器、译码器、隔离电路和电平转换电路，所述译码器与协议处理器连接，所述协议处理器通过隔离电路连接电平转换电路。
11.作为本发明一种信息安全管理平台系统的进一步优选方案，所述电平转换电路包括信号输入端、信号输出端、用于将所述信号输入端输入的高电平信号转换为低电平信号的第一电平转换模块，以及将所述第一电平转换模块输出的低电平信号转换为高电平信号的第二电平转换模块；所述第二电平转换模块转换后输出的高电平信号的电平低于所述信号输入端所输入的高电平信号；其中，所述第一电平转换模块的输入端与所述信号输入端连接，所述第一电平转换模块的输出端与所述第二电平转换模块的输入端连接，所述第二电平转换模块的输出端连接所述信号输出端；所述第一电平转换模块包括第一电源、第一n沟道mos管、第一电阻以及第一电容，所述第一n沟道mos管的栅极与第一电平转换模块的输入端连接，所述第一n沟道mos管的源极接地，所述第一n沟道mos管的漏极与所述第一电阻一端连接，所述第一电阻另一端连接所述第一电源，所述第一电容的正极与所述第一n沟道mos管的漏极以及第一电平转换模块的输出端连接，所述第一电容的负极接地；所述第二电平转换模块包括第二电源、第二n沟道mos管、第二电阻以及第二电容，所述第二n沟道mos管的栅极与第二电平转换模块的输入端连接，所述第二n沟道mos管的源极接地，所述第二n沟道mos管的漏极与所述第二电阻一端连接，所述第二电阻另一端连接第二电源，所述第二电容的正极与所述第二n沟道mos管的漏极以及第二电平转换模块的输出端连接，所述第二电容的负极接地。
12.作为本发明一种信息安全管理平台系统的进一步优选方案，所述管理平台包括管理员用户接入模块、配置编辑模块和状态显示模块；所述管理员用户接入模块负责对登录用户身份进行认证；所述配置编辑模块用于定义安全策略；所述状态显示模块，用于展示当前管理中心所管理的所有安全网关的配置数据以及运行状态，通过该模块获取网络的日志信息。
13.作为本发明一种信息安全管理平台系统的进一步优选方案，所述配置服务器模块包括配置下发模块、配置数据库模块、事件处理模块和状态监测分析模块；所述配置数据库模块用于存储管理平台下发的配置数据；所述状态监测分析模块用于周期性地通过
netconf协议的get方法去获取网络中安全网关的运行状态，实时监测网络的运行情况，动态地调整安全策略。
14.作为本发明一种信息安全管理平台系统的进一步优选方案，所述日志服务器包括日志收集模块和日志存储模块，日志收集模块负责收集安全网关上传的系统日志信息，所述日志存储模块用于存储安全网关的日志信息，按主机及日志等级分类存储作为本发明一种信息安全管理平台系统的进一步优选方案，所述dsp处理器选用ti的浮点运算低功耗芯片tms320c6748，其主频为456 mhz，具有高达3648 mips和2756mflops的运算能力。
15.作为本发明一种信息安全管理平台系统的进一步优选方案，所述电源电路采用集成电源供电方式，即内核电压和i/o电压通过同一块电源模块供电，内核电压为1.2v，i/o电压为1.8v和3.3 v，采用电源管理芯片tps650061ruk。
16.作为本发明一种信息安全管理平台系统的进一步优选方案，所述电平转换电路还包括用于滤波的第三电容，所述第三电容的负极一端接地，其正极一端连接于所述信号输入端及所述第一电平转换模块输入端的中间处，且分别与第一n沟道mos管、第一电容、第二n沟道mos管以及第二电容并联。
17.作为本发明一种信息安全管理平台系统的进一步优选方案，所述存储器包含ram存储器和flash存储器，所述ram存储器和flash存储器分别与dsp处理器连接，所述ram存储器采用ti的低功耗高速rammt47h64m16芯片，所述flash存储器采用spansion公司的s29gl128n芯片。
18.作为本发明一种信息安全管理平台系统的进一步优选方案，所述隔离电路采用adi公司的六通道数字隔离器adum7643，用于实现接口电路的数字隔离。
19.本发明的技术效果和优点：1、本发明一种信息安全管理平台系统，包括信息安全管理中心、广域网和多个安全网关，以及与安全网关一一对应连接的局域网，通过网络安全管理中心集中管理关联的安全网关，能够有效降低网络复杂时安全网关的维护难度，网络安全管理中心能够实时监测网络中所有安全网关的运行状态，当某点受到攻击，能使网络其他点实现主动防御的目的，能有效降低企业的运维成本；2、本发明为了满足小型化和集成化的要求，需要控制多个串口与外部设备通信，采用tms320c6748作为核心处理器，通过emif总线实现和异步通信协议芯片tl16c754并行通信，采用3
‑
8译码器74ls138扩展多位片选信号，实现集成扩展多路串行通信接口的功能，底层驱动基于ti的实时操作系统内核sys/bios进行开发，可减小设计的难度，并缩短了开发周期，能够实现多路数据的完整接收，数据传输完整可靠；3、本发明采用dsp的emif控制方式完成数据的传输，通过异步通信协议芯片和译码器实现接口的集成与扩展，解决了dsp内部存储器与外设之间数据传输的速度问题，减轻了dsp的运算负荷，提高了串行通行的实时性和可靠性；4、本发明在实现高功耗器件应用于低功耗电子设备工作时，对其功耗进行控制，提高低功耗电子设备工作的稳定性。
附图说明
20.图1为本发明的系统整体结构示意图；图2为本发明信息安全管理中心的结构示意图；图3为本发明多路串行通信接口模块的结构示意图；图4为本发明电平转换电路的电路图。
具体实施方式
21.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.一种信息安全管理平台系统，如图1所示，包括信息安全管理中心、广域网和多个安全网关，以及与安全网关一一对应连接的局域网，所述信息安全管理中心和广域网连接，所述广域网通过安全网关与局域网连接；其中，如图2所示，所述信息安全管理中心包含管理平台模块、配置服务器模块和日志服务器模块、微控制器模块、多路串行通信接口模块和数据显示模块；所述管理平台模块、配置服务器模块和日志服务器模块分别与微控制器模块连接，所述多路串行通信接口模块和数据显示模块分别与微控制器模块的对应接口连接；所述管理平台负责实时示出各安全网关的运行状态、被攻击情况及用户使用情况；所述配置服务器负责将管理平台配置好的安全策略下发至各安全网关或网关组；所述日志服务器用于收集所有安全网关上传的系统日志信息。
23.如图3所示，所述多路串行通信接口模块包含包含控制电路以及与其连接的用于实现多路串行通信的接口电路；所述控制电路包含存储器、复位电路、时钟电路、电源电路、jtag辅助电路和dsp处理器，所述存储器、复位电路、时钟电路、电源电路和jtag辅助电路分别与dsp处理器连接；所述接口电路包含协议处理器、译码器、隔离电路和电平转换电路，所述译码器与协议处理器连接，所述协议处理器通过隔离电路连接电平转换电路；如图4所示，所述电平转换电路包括信号输入端、信号输出端、用于将所述信号输入端输入的高电平信号转换为低电平信号的第一电平转换模块，以及将所述第一电平转换模块输出的低电平信号转换为高电平信号的第二电平转换模块；所述第二电平转换模块转换后输出的高电平信号的电平低于所述信号输入端所输入的高电平信号；其中，所述第一电平转换模块的输入端与所述信号输入端连接，所述第一电平转换模块的输出端与所述第二电平转换模块的输入端连接，所述第二电平转换模块的输出端连接所述信号输出端；所述第一电平转换模块包括第一电源、第一n沟道mos管、第一电阻以及第一电容，所述第一n沟道mos管的栅极与第一电平转换模块的输入端连接，所述第一n沟道mos管的源极接地，所述第一n沟道mos管的漏极与所述第一电阻一端连接，所述第一电阻另一端连接所述第一电源，所述第一电容的正极与所述第一n沟道mos管的漏极以及第一电平转换模块的输出端连接，所述第一电容的负极接地；
所述第二电平转换模块包括第二电源、第二n沟道mos管、第二电阻以及第二电容，所述第二n沟道mos管的栅极与第二电平转换模块的输入端连接，所述第二n沟道mos管的源极接地，所述第二n沟道mos管的漏极与所述第二电阻一端连接，所述第二电阻另一端连接第二电源，所述第二电容的正极与所述第二n沟道mos管的漏极以及第二电平转换模块的输出端连接，所述第二电容的负极接地。
24.所述管理平台包括管理员用户接入模块、配置编辑模块和状态显示模块；所述管理员用户接入模块负责对登录用户身份进行认证；所述配置编辑模块用于定义安全策略；所述状态显示模块，用于展示当前管理中心所管理的所有安全网关的配置数据以及运行状态，通过该模块获取网络的日志信息。
25.所述配置服务器模块包括配置下发模块、配置数据库模块、事件处理模块和状态监测分析模块；所述配置数据库模块用于存储管理平台下发的配置数据；所述状态监测分析模块用于周期性地通过netconf协议的get方法去获取网络中安全网关的运行状态，实时监测网络的运行情况，动态地调整安全策略。
26.所述日志服务器包括日志收集模块和日志存储模块，日志收集模块负责收集安全网关上传的系统日志信息，所述日志存储模块用于存储安全网关的日志信息，按主机及日志等级分类存储。
27.管理员通过web登录到网络安全管理中心的管理平台定义一系列的安全策略规则，不同的安全网关或网关组可以关联不同的安全策略，这些策略保存后会下发到配置服务器的数据库中。
28.安全网关上线，通过netconf协议连接到策略管理中心的配置服务器，配置服务器根据管理员预先配置好的安全策略下发到上线的安全网关。
29.当某个安全网关检测到某种攻击时，安全网关会把此次攻击作为一个事件上报到网络安全管理中心的配置服务器，配置服务器中的事件处理模块，根据事件类型从配置数据库中查找相关联的安全策略，并调用配置下发模块，下发安全策略到报告该事件的安全网关，同时将应对该事件的安全策略下发到该安全网关及该安全网关组的所有其他网关，这样其他安全网关则可以提前做好防御策略，达到主动防御的目的。最后保存本次攻击事件到数据库中，供管理员审计。
30.安全网关实时地将系统日志上传到日志服务器，管理则可以在控制平台查看网络中所有关联的安全网关的系统运行情况。
31.管理员登录网络安全管理中心，通过web管理平台调用配置服务器获取所有网关的运行状态及数据流量统计，管理员可以根据这些统计数据实时地监测整个网络的运行状态，进而动态地制定出更有效的安全策略以达到网络应用控制的目的。
32.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
33.所述dsp处理器选用ti的浮点运算低功耗芯片tms320c6748，其主频为456 mhz，具有高达3648 mips和2756mflops的运算能力。
34.所述电源电路采用集成电源供电方式，即内核电压和i/o电压通过同一块电源模块供电，内核电压为1.2v，i/o电压为1.8v和3.3 v，采用电源管理芯片tps650061ruk。
35.所述复位电路采用基于ipm811复位芯片。
36.所述电平转换电路还包括用于滤波的第三电容，所述第三电容的负极一端接地，其正极一端连接于所述信号输入端及所述第一电平转换模块输入端的中间处，且分别与第一n沟道mos管、第一电容、第二n沟道mos管以及第二电容并联。
37.所述存储器包含ram存储器和flash存储器，所述ram存储器和flash存储器分别与dsp处理器连接，所述ram存储器采用ti的低功耗高速rammt47h64m16芯片，所述flash存储器采用spansion公司的s29gl128n芯片。
38.所述隔离电路采用adi公司的六通道数字隔离器adum7643，用于实现接口电路的数字隔离。
39.本技术领域技术人员可以理解的是，除非另外定义，这里使用的所有术语（包括技术术语和科学术语）具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。
40.以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。上面对本发明的实施方式作了详细说明，但是本发明并不限于上述实施方式，在本领域普通技术人员所具备的知识范围内，还可以在不脱离本发明宗旨的前提下做出各种变化。