一种工业网络边界防护系统的制作方法

本发明涉及数据应用领域，尤其涉及一种工业网络边界防护系统。

背景技术：

近年来，工业控制系统信息安全事件不断发生，“震网”、“火焰”、“毒区”、“havex”等恶意软件严重影响了关键工业基础设施的稳定运行，充分反映了工业控制系统信息安全面临着严峻的形势。工业控制系统信息安全风险和事件数量依然呈上升趋势，形势非常严峻。

网络安全隔离防护的首要内容就是实现网络中一些重要的子系统之间网络流量的访问控制，这是网络安全防护的基础，目前工控网络所面临的安全威胁不仅仅是常规it攻击手段或病毒感染，而针对工控通讯协议和控制设备自身安全缺陷和漏洞的攻击则会为工控系统带来更成严重的危害，所以访问控制粒度的把握成为工控网络安全建设成败的根本因素，现有的端口级访问控制策略无法做到工业协议恶意代码攻击的防护，这就需要在网络边界处设置具有工业协议深度包检查（dpi）功能的工业防火墙系统来提供更加有效的工业协议应用层防护。因此，本发明提出一种工业网络边界防护系统，以解决现有技术中的不足之处。

技术实现要素：

针对上述问题，本发明通过工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析，通过异常监测模块可完成实时监测网络中的通讯链路状态，将系统内发生的异常通讯以告警的形式汇总展示，并可溯源网络中病毒木马的传播路径，检测工控系统是否存在安全漏洞和隐患，提高工业网络边界防护系统的安全性，通过工业防火墙系统不仅可以在端口进行防护，更可以对基于应用层的数据包深度检查，提高了通信安全，在保证自动化及相关网络通讯信息传输可靠、可用的基础上，完善了智能制造网络安全性，对生产网络系统的核心资产的防攻击、防病毒、防窃密效果显著。

本发明提出一种工业网络边界防护系统，包括生产网系统、数采网系统、办公网系统和工业防火墙系统，所述生产网系统包括plc、传感器、智能仪表和dcs系统，所述plc、传感器、智能仪表和dcs系统均通过工业防火墙系统连接数采网系统，且所述plc、传感器和智能仪表均单独连接有站控服务器，所述生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输，对设备的控制及操作均可在生产网内完成，所述数采网系统包括工控安全审计平台、采集服务器、实时数据库、web数据库服务器和关系数据库，所述采集服务器、实时数据库、web数据库服务器和关系数据库均连接工控安全审计平台，且所述采集服务器和实时数据库用于采集及更新plc、传感器、智能仪表的实时数据，所述web数据库服务器和关系数据库用于处理dcs系统的数据，所述数采网系统通过工业防火墙系统连接办公网系统，所述办公网系统也包括工控安全审计平台、实时数据库、web数据库服务器和关系数据库，所述工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析，且所述办公网系统还包括工控系统信息安全监管与分析平台、生产调度系统和客户端，所述工控系统信息安全监管与分析平台包括异常监测模块、可信计算终端、移动存储介质管控系统和网络安全管理平台，所示异常监测模块连接可信计算终端，且所述异常监测模块、可信计算终端和移动存储介质管控系统均连接网络安全管理平台，所述网络安全管理平台用于接收来自工业防火墙系统和可信终端的报警及日志。

进一步改进在于：所述工业防火墙系统使用工业通讯协议白名单的技术，内置pc／modbus／dnp3／profinet／等多种专有工业通信协议。

进一步改进在于：所述工业防火墙系统内搭载有防火墙组态在线修改模块，所述防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改，而且不影响工厂实时通讯。

进一步改进在于：所述防火墙组态在线修改模块的供电模式为双电源供电，且搭载有断电报警输出单元，所述防火墙组态在线修改模块可以配置bypass功能。

进一步改进在于：所述异常监测模块包括网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元，所述网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元协同可完成实时监测网络中的通讯链路状态，将系统内发生的异常通讯以告警的形式汇总展示，并可溯源网络中病毒木马的传播路径，并检测工控系统是否存在安全漏洞和隐患。

进一步改进在于：所述可信计算终端为以密码硬件为核心的可信计算终端，且所述可实现计算环境、生产网系统、数采网系统和办公网系统之间的通信环境安全可信。

进一步改进在于：所述可信计算终端包括由授权服务器和安全客户端，所述安全客户端用于全面度量系统所有的进程，并将度量信息提交至授权服务器，所述授权服务器可对接收到的度量信息进行进行编辑后生成白名单，然后提供给安全客户端进行下载，安全客户端依据所下载的白名单对系统和应用进行防护，并将系统及应用中的异常信息和拦截日志进行上传至工控安全审计平台。

进一步改进在于：所述移动存储介质管控系统可实现主机对移动存储介质的身份认证、主机对移动存储介质的准入控制和主机对准入信息的下载更新。

进一步改进在于：所述工控安全审计平台还包括实现对移动设备的接入和使用行为进行严格审计，审计内容包括接入时间、接入的操作站、访问主体、被访问客体、访问方式、访问结果、日期及时间和用户信息。

本发明的有益效果为：通过工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析，通过异常监测模块可完成实时监测网络中的通讯链路状态，将系统内发生的异常通讯以告警的形式汇总展示，并可溯源网络中病毒木马的传播路径，检测工控系统是否存在安全漏洞和隐患，提高工业网络边界防护系统的安全性，通过工业防火墙系统不仅可以在端口进行防护，更可以对基于应用层的数据包深度检查，提高了通信安全，在保证自动化及相关网络通讯信息传输可靠、可用的基础上，完善了智能制造网络安全性，对生产网络系统的核心资产的防攻击、防病毒、防窃密效果显著，通过防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改，而且不影响工厂实时通讯，大大降低了项目实施风险，通过可信计算终端可以提高计算环境、生产网系统、数采网系统和办公网系统之间的通信环境安全可信，免疫未知恶意代码破坏，应对高级别的恶意攻击。

附图说明

图1是本发明系统结构示意图。

具体实施方式

为了加深对本发明的理解，下面将结合实施例对本发明做进一步详述，本实施例仅用于解释本发明，并不构成对本发明保护范围的限定。

根据图1所示，本实施例提出了一种工业网络边界防护系统，包括生产网系统、数采网系统、办公网系统和工业防火墙系统，所述生产网系统包括plc、传感器、智能仪表和dcs系统，所述plc、传感器、智能仪表和dcs系统均通过工业防火墙系统连接数采网系统，且所述plc、传感器和智能仪表均单独连接有站控服务器，所述生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输，对设备的控制及操作均可在生产网内完成，所述数采网系统包括工控安全审计平台、采集服务器、实时数据库、web数据库服务器和关系数据库，所述采集服务器、实时数据库、web数据库服务器和关系数据库均连接工控安全审计平台，且所述采集服务器和实时数据库用于采集及更新plc、传感器、智能仪表的实时数据，所述web数据库服务器和关系数据库用于处理dcs系统的数据，所述数采网系统通过工业防火墙系统连接办公网系统，所述办公网系统也包括工控安全审计平台、实时数据库、web数据库服务器和关系数据库，所述工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析，且所述办公网系统还包括工控系统信息安全监管与分析平台、生产调度系统和客户端，所述工控系统信息安全监管与分析平台包括异常监测模块、可信计算终端、移动存储介质管控系统和网络安全管理平台，所示异常监测模块连接可信计算终端，且所述异常监测模块、可信计算终端和移动存储介质管控系统均连接网络安全管理平台，所述网络安全管理平台用于接收来自工业防火墙系统和可信终端的报警及日志。

所述工业防火墙系统使用工业通讯协议白名单的技术，内置pc／modbus／dnp3／profinet／等多种专有工业通信协议。

所述工业防火墙系统内搭载有防火墙组态在线修改模块，所述防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改，而且不影响工厂实时通讯。

所述防火墙组态在线修改模块的供电模式为双电源供电，且搭载有断电报警输出单元，所述防火墙组态在线修改模块可以配置bypass功能。

所述异常监测模块包括网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元，所述网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元协同可完成实时监测网络中的通讯链路状态，将系统内发生的异常通讯以告警的形式汇总展示，并可溯源网络中病毒木马的传播路径，并检测工控系统是否存在安全漏洞和隐患。

所述可信计算终端为以密码硬件为核心的可信计算终端，且所述可实现计算环境、生产网系统、数采网系统和办公网系统之间的通信环境安全可信。

所述可信计算终端包括由授权服务器和安全客户端，所述安全客户端用于全面度量系统所有的进程，并将度量信息提交至授权服务器，所述授权服务器可对接收到的度量信息进行进行编辑后生成白名单，然后提供给安全客户端进行下载，安全客户端依据所下载的白名单对系统和应用进行防护，并将系统及应用中的异常信息和拦截日志进行上传至工控安全审计平台。

所述移动存储介质管控系统可实现主机对移动存储介质的身份认证、主机对移动存储介质的准入控制和主机对准入信息的下载更新。

所述工控安全审计平台还包括实现对移动设备的接入和使用行为进行严格审计，审计内容包括接入时间、接入的操作站、访问主体、被访问客体、访问方式、访问结果、日期及时间和用户信息。

通过工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析，通过异常监测模块可完成实时监测网络中的通讯链路状态，将系统内发生的异常通讯以告警的形式汇总展示，并可溯源网络中病毒木马的传播路径，检测工控系统是否存在安全漏洞和隐患，提高工业网络边界防护系统的安全性，通过工业防火墙系统不仅可以在端口进行防护，更可以对基于应用层的数据包深度检查，提高了通信安全，在保证自动化及相关网络通讯信息传输可靠、可用的基础上，完善了智能制造网络安全性，对生产网络系统的核心资产的防攻击、防病毒、防窃密效果显著，通过防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改，而且不影响工厂实时通讯，大大降低了项目实施风险，通过可信计算终端可以提高计算环境、生产网系统、数采网系统和办公网系统之间的通信环境安全可信，免疫未知恶意代码破坏，应对高级别的恶意攻击。

以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。