專利名稱:工業(yè)控制網絡安全防護方法
技術領域:
本發(fā)明涉及工業(yè)控制網絡安全防護方法���。
背景技術:
工業(yè)控制系統(tǒng)是由各種自控組件以及對實時數據進行采集、監(jiān)測的過程控制組件組成的系統(tǒng)����,我國超過百分之八十的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現自動化作業(yè)��,工業(yè)控制網絡已是國家安全戰(zhàn)略的重要組成部分���,一旦工業(yè)控制網絡信息安全出現漏洞,將對工業(yè)生產運行和國家經濟安全造成重大隱患��,因此�����,我國各級政府部門高度重視��,強調工業(yè)控制系統(tǒng)信息安全事關工業(yè)生產運行�、國家經濟安全和人民生命財產安全,必須切實加強工業(yè)控制網絡信息安全管理��。目前在通用工業(yè)控制系統(tǒng)網絡安全防護中����,采用的技術防護措施比較少,且沒有形成系統(tǒng)體系的方式進行總體防護��,隨著工業(yè)控制系統(tǒng)的管控一體化����,使得工業(yè)控制系統(tǒng)與傳統(tǒng)IT管理系統(tǒng)以及互聯網相連通�,內部也越來越多地采用了通用軟件�、通用硬件和通用協議,直接面對來自外界的種種威脅��,增加了工業(yè)控制網絡信息的安全隱患�����。同時工業(yè)控制行業(yè)用戶的安全意識不足�����,在系統(tǒng)設計之中未考慮系統(tǒng)整體安全設計�����,存在只重視功能實現�����,不重視安全的現象����,而且在運行維護中對安全管理也不夠重視�����,增加了工業(yè)控制系統(tǒng)遭受病毒、木馬攻擊的可能性��。公開號為102438026A的一項中國專利公開了一種工業(yè)控制網絡安全防護方法及系統(tǒng)�����,所述方法包括以下步驟針對外部網絡攻擊���,前方主機對外部網絡數據進行第一層數據過濾和訪問控制��,安全控制主機通過共用存儲區(qū)來緩存數據�,對數據進行入侵檢測�,對非法數據進行及時報警并通知兩側主機,后方主機對數據進行深層過濾和訪問控制����,合法數據進入到內部網絡;針對內部網絡攻擊����,后方主機對內部網絡數據進行第一層數據過濾和訪問控制���,安全控制主機通過共用存儲區(qū)來緩存數據,對數據進行入侵檢測�,對非法數據進行及時報警并通知兩側主機,前方主機對數據進行深層過濾和訪問控制�����,合法數據進入到外部網絡���。該專利采用3主機結構和三層防護策略�����,投資成本和管理成本高�����,而且采用的各種監(jiān)控設備比較復雜�,不能滿足工業(yè)控制網絡的大量需求��。目前�����,生產管理系統(tǒng)與控制系統(tǒng)共同處于生產控制網絡中,彼此支持信息互通�����,沒有邏輯隔離和信息檢測措施��,如圖1所示����,所述生產控制網絡與經營管理網絡通過防火墻進行邏輯隔離措施�����,并監(jiān)測彼此之間的通信數據����,但是,這種結構存在來自互聯網或其它媒介的病毒或木馬以所述經營管理網絡為基地通過所述防火墻對所述生產控制網絡發(fā)動攻擊的信息安全隱患�。
發(fā)明內容
本發(fā)明所要解決的技術問題是克服現有技術的不足,提供一種能提高工業(yè)控制網絡安全��,而且通信方便�,還能預防外部攻擊和入侵,有效保護工業(yè)控制系統(tǒng)及工業(yè)設備安全的工業(yè)控制網絡安全防護方法。
本發(fā)明所采用的技術方案是該方法包括以下步驟
(1)根據工業(yè)控制系統(tǒng)信息安全的技術要求��,對工業(yè)企業(yè)信息系統(tǒng)進行分層處理�,所述工業(yè)企業(yè)信息系統(tǒng)分為三個安全工作層次,即工業(yè)控制層�����、生產執(zhí)行層和經營管理層����,對所述工業(yè)控制層的數據交換采取安全防護策略措施;
(2)根據所述工業(yè)控制系統(tǒng)的功能特點和控制范圍����,將所述工業(yè)控制層分為多個不同的自動化單元區(qū)域并采用防火墻進行區(qū)域隔離,實現報文過濾以及訪問控制����,對工業(yè)通信協議進行檢查分析,實現對非法通信的實時報警�����、來源確認�����、歷史記錄,保證控制網絡的實時診斷�����;
(3)采用網絡隔離模塊實現所述工業(yè)控制層與所述生產執(zhí)行層之間的非網絡方式的安全的數據交換��,并且保證安全隔離模塊內外兩個處理系統(tǒng)不同時連通�,結合防穿透性TCP聯接與訪問控制技術,阻斷所述生產執(zhí)行層對所述工業(yè)控制層的潛在通信途徑�,從而實現所述工業(yè)控制層與所述生產執(zhí)行層之間的單向隔離�����;
(4)采用工業(yè)安全管理平臺模塊建立所述工業(yè)控制層網絡的配置����、管理、分析�、告警及審計中心,對防火墻及網絡隔離裝置進行配置和管理����,采集網絡事件報警信息并存儲��、檢索及劃分等級進行報警���,對定義在白名單范圍內的終端應用允許通信,對工業(yè)控制協議的深度分析并捕獲網絡異常行為�����,分析潛在風險��,準確捕獲現場所的病毒��、蠕蟲及非法入侵�,為工業(yè)控制系統(tǒng)網絡故障的排查、分析及安全審計提供可靠依據����。在所述步驟(I)中,所述工業(yè)控制層與所述生產執(zhí)行層之間的兩端通信網絡系統(tǒng)通過有線或無線網絡方式連接�����。在所述步驟(2)中����,所述檢查分析的方式為綜合使用狀態(tài)檢測和應用層協議檢測�,對報文進行多級過濾�����,形成全面的訪問控制機制和自動化單元區(qū)域的保護屏障���,杜絕非授權者使用����。在所述步驟(2 )中��,對通信的報文過濾是基于工業(yè)控制網絡的流量收集識別���,對通信進行的所述訪問控制是基于白名單的終端應用控制。在所述步驟(3)中�����,所述網絡隔離模塊采用安全隔離技術將數據通信的反向控制協議取消����,反向既沒有數據通道也沒有控制通道,正向完全處于盲狀態(tài)���,實現信息流單向傳輸�。本發(fā)明的有益效果是由于本發(fā)明采用系統(tǒng)分層、層內分域��、單向隔離及安全管控的方法����,所述系統(tǒng)分層有效降低了威脅的嚴重程度和破壞范圍,所述層內分域對數據區(qū)域隔離��,實現對非法通信的實時報警�、來源確認、歷史記錄���,保證控制網絡的實時診斷��,所述單向隔離實現了所述工業(yè)控制層與所述生產執(zhí)行層之間的單向隔離��,所述安全管控為所述工業(yè)控制系統(tǒng)網絡故障的排查����、分析及安全審計提供可靠依據�����,其為電力系統(tǒng)提供一種通信方便,使用安全�,不易遭受攻擊的公網通信方法,并對電力系統(tǒng)的傳輸協議進行分析及權限控制����,也為電網調度自動化公網通信提供安全可靠的傳輸通道,從而實現隨時隨地使用公網通信并保證信息安全的前提進行數據通信�����,抵御黑客�����、病毒��、蠕蟲等通過各種形式對工業(yè)控制系統(tǒng)發(fā)起的惡意破壞和攻擊�,防止未授權用戶訪問系統(tǒng)或非法獲取信息和侵入及重大的非法操作及通過外部發(fā)起的攻擊和入侵,因此���,本發(fā)明能提高工業(yè)控制網絡安全,而且通信方便���,還能預防外部攻擊和入侵����,有效保護工業(yè)控制系統(tǒng)及工業(yè)設備安全。
圖1是本發(fā)明應用前的環(huán)境示意 圖2是本發(fā)明應用后的環(huán)境示意 圖3是本發(fā)明的工作流程圖�。
具體實施例方式如圖2和圖3所示�,本發(fā)明所采用的技術方案是該方法包括以下步驟
(1)根據工業(yè)控制系統(tǒng)信息安全的技術要求,對工業(yè)企業(yè)信息系統(tǒng)進行分層處理����,通過分析工廠的風險分析,將所述工業(yè)企業(yè)信息系統(tǒng)分為三個安全工作層次��,即工業(yè)控制層���、生產執(zhí)行層和經營管理層�����,所述工業(yè)控制層是工業(yè)企業(yè)的安全保護重點與核心�,對所述工業(yè)控制層的數據交換采取安全防護策略措施���;
(2)根據所述工業(yè)控制系統(tǒng)的功能特點和控制范圍�����,將所述工業(yè)控制層分為多個不同的自動化單元區(qū)域并采用防火墻進行區(qū)域隔離�����,實現報文過濾以及訪問控制����,對工業(yè)通信協議進行檢查分析,實現對非法通信的實時報警���、來源確認���、歷史記錄,保證控制網絡的實時診斷���,所述工業(yè)控制系統(tǒng)通常是從簡單獨立的系統(tǒng)發(fā)展成復雜網絡��,在所述網絡中的各子系統(tǒng)之間未經隔離且很少設計有保護措施�����,將所述工業(yè)控制層分為多個不同的自動化單元區(qū)域并采用防火墻進行區(qū)域隔離有效解決了從一個區(qū)域的問題蔓延到整個工業(yè)控制系統(tǒng)網絡的問題;
(3)采用網絡隔離模塊實現所述工業(yè)控制層與所述生產執(zhí)行層之間的非網絡方式的安全的數據交換�����,并且保證安全隔離模塊內外兩個處理系統(tǒng)不同時連通,結合防穿透性TCP聯接與訪問控制 技術��,阻斷所述生產執(zhí)行層對所述工業(yè)控制層的潛在通信途徑���,從而實現所述工業(yè)控制層與所述生產執(zhí)行層之間的單向隔離��;
(4)采用工業(yè)安全管理平臺模塊建立所述工業(yè)控制層網絡的配置��、管理����、分析����、告警及審計中心,對防火墻及網絡隔離裝置進行配置和管理��,采集網絡事件報警信息并存儲����、檢索及劃分等級進行報警,對定義在白名單范圍內的終端應用允許通信,對工業(yè)控制協議的深度分析并捕獲網絡異常行為�,分析潛在風險,準確捕獲現場所的病毒�、蠕蟲及非法入侵等,為工業(yè)控制系統(tǒng)網絡故障的排查���、分析及安全審計提供可靠依據�����。在所述步驟(I)中�����,所述工業(yè)控制層與所述生產執(zhí)行層之間的兩端通信網絡系統(tǒng)通過有線或無線網絡方式連接���。在所述步驟(2)中,所述檢查分析的方式為綜合使用狀態(tài)檢測和應用層協議檢測�����,對報文進行多級過濾����,形成全面的訪問控制機制和自動化單元區(qū)域的保護屏障����,杜絕非授權者使用�。在所述步驟(2 )中�,對通信的報文過濾是基于工業(yè)控制網絡的流量收集識別,對通信進行的所述訪問控制是基于白名單的終端應用控制����。在所述步驟(3)中,所述網絡隔離模塊采用安全隔離技術將數據通信的反向控制協議取消���,反向既沒有數據通道也沒有控制通道����,正向完全處于盲狀態(tài)�,實現信息流單向傳輸,既可保證所述生產執(zhí)行層的數據在線及實時地傳輸到所述生產執(zhí)行層���,又可以保證所述生產執(zhí)行層的數據無法進入所述工業(yè)控制層����。所述工業(yè)控制系統(tǒng)是指由各種自控組件以及對實時數據進行采集��、監(jiān)測的過程控制組件,共同構成的確保工業(yè)基礎設施自動化運行���、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)�。其核心組件包括數據采集與監(jiān)控系統(tǒng)(SCADA)����、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)����、遠程終端(RTU)、智能電子設備(IED)以及通信接口技術等�����。本發(fā)明將所述工業(yè)企業(yè)信息系統(tǒng)進行合理分層�,為了所述工業(yè)控制層、所述生產執(zhí)行層和所述經營管理層�,以解決經營管理、生產執(zhí)行����、工業(yè)控制等系統(tǒng)處于同一網絡平面而導致來自管理信息系統(tǒng)的入侵隱患。然后在所述工業(yè)控制層中根據子系統(tǒng)的功能特點��、控制范圍及應用需要等情況來分為多個控制區(qū)域,從而防止一個控制區(qū)域的信息安全問題蔓延到整個工業(yè)控制系統(tǒng)網絡的風險�����。在不同的所述控制區(qū)域之間設立防火墻進行邏輯隔離����,對工業(yè)控制應用層通信協議進行分析過濾�����。在所述工業(yè)控制層與所述生產執(zhí)行層的網絡邊界之間部署隔離模塊進行單向隔離�����,阻斷所述生產執(zhí)行層對所述工業(yè)控制層的潛在的數據通信途徑�。在工業(yè)控制層中建立安全管理平臺對所述工業(yè)控制層網絡進行數據采集與分析處理,實現“多點監(jiān)控����、統(tǒng)一協調”。
本發(fā)明應用于工業(yè)控制網絡領域�����。需要注意的是,上述僅以優(yōu)選實施例對本發(fā)明進行了說明�����,并不能就此局限本發(fā)明的權利范圍�,因此在不脫離本發(fā)明思想的情況下,凡運用本發(fā)明說明書和附圖部分的內容所進行的等效變化�����,均理同包含在本發(fā)明的權利要求范圍內���。
權利要求
1.一種工業(yè)控制網絡安全防護方法�,其特征在于所述工業(yè)控制網絡安全防護方法包括以下步驟(1)根據工業(yè)控制系統(tǒng)信息安全的技術要求�,對工業(yè)企業(yè)信息系統(tǒng)進行分層處理,所述工業(yè)企業(yè)信息系統(tǒng)分為三個安全工作層次���,即工業(yè)控制層����、生產執(zhí)行層和經營管理層����,對所述工業(yè)控制層的數據交換采取安全防護策略措施��;(2)根據所述工業(yè)控制系統(tǒng)的功能特點和控制范圍�����,將所述工業(yè)控制層分為多個不同的自動化單元區(qū)域并采用防火墻進行區(qū)域隔離����,實現報文過濾以及訪問控制����,對工業(yè)通信協議進行檢查分析��,實現對非法通信的實時報警����、來源確認、歷史記錄����,保證控制網絡的實時診斷;(3)采用網絡隔離模塊實現所述工業(yè)控制層與所述生產執(zhí)行層之間的非網絡方式的安全的數據交換�����,并且保證安全隔離模塊內外兩個處理系統(tǒng)不同時連通,結合防穿透性TCP聯接與訪問控制技術�����,阻斷所述生產執(zhí)行層對所述工業(yè)控制層的潛在通信途徑�����,從而實現所述工業(yè)控制層與所述生產執(zhí)行層之間的單向隔離�;(4)采用工業(yè)安全管理平臺模塊建立所述工業(yè)控制層網絡的配置、管理�、分析、告警及審計中心���,對防火墻及網絡隔離裝置進行配置和管理�����,采集網絡事件報警信息并存儲���、檢索及劃分等級進行報警,對定義在白名單范圍內的終端應用允許通信����,對工業(yè)控制協議的深度分析并捕獲網絡異常行為�,分析潛在風險��,準確捕獲現場所的病毒���、蠕蟲及非法入侵�,為工業(yè)控制系統(tǒng)網絡故障的排查���、分析及安全審計提供可靠依據���。
2.根據權利要求1所述的工業(yè)控制網絡安全防護方法,其特征在于在所述步驟(I)中���,所述工業(yè)控制層與所述生產執(zhí)行層之間的兩端通信網絡系統(tǒng)通過有線或無線網絡方式連接。
3.根據權利要求1所述的工業(yè)控制網絡安全防護方法��,其特征在于在所述步驟(2)中���,所述檢查分析的方式為綜合使用狀態(tài)檢測和應用層協議檢測���,對報文進行多級過濾,形成全面的訪問控制機制和自動化單元區(qū)域的保護屏障,杜絕非授權者使用�����。
4.根據權利要求1或3所述的工業(yè)控制網絡安全防護方法�,其特征在于在所述步驟(2)中,對通信的報文過濾是基于工業(yè)控制網絡的流量收集識別���,對通信進行的訪問控制是基于白名單的終端應用控制����。
5.根據權利要求1所述的工業(yè)控制網絡安全防護方法�,其特征在于在所述步驟(3)中,所述網絡隔離模塊采用安全隔離技術將數據通信的反向控制協議取消��,反向既沒有數據通道也沒有控制通道����,正向完全處于盲狀態(tài),實現信息流單向傳輸����。
全文摘要
本發(fā)明公開并提供了一種能提高工業(yè)控制網絡安全,而且通信方便�����,還能預防外部攻擊和入侵,有效保護工業(yè)控制系統(tǒng)及工業(yè)設備安全的工業(yè)控制網絡安全防護方法��。該方法包括以下步驟對工業(yè)企業(yè)信息系統(tǒng)進行分層處理�����,對所述工業(yè)控制層的數據交換采取安全防護策略措施�;將所述工業(yè)控制層分為多個不同的自動化單元區(qū)域并采用防火墻進行區(qū)域隔離;阻斷所述生產執(zhí)行層對所述工業(yè)控制層的潛在通信途徑���;采用工業(yè)安全管理平臺模塊建立所述工業(yè)控制層網絡的配置�、管理�、分析、告警及審計中心�。本發(fā)明應用于工業(yè)控制網絡領域。
文檔編號H04L29/06GK103036886SQ20121055319
公開日2013年4月10日 申請日期2012年12月19日 優(yōu)先權日2012年12月19日
發(fā)明者劉智勇, 陳良漢 申請人:珠海市鴻瑞軟件技術有限公司