专利名称:工业控制网络安全防护方法
技术领域:
本发明涉及工业控制网络安全防护方法。
背景技术:
工业控制系统是由各种自控组件以及对实时数据进行采集、监测的过程控制组件组成的系统,我国超过百分之八十的关键基础设施依靠工业控制系统来实现自动化作业,工业控制网络已是国家安全战略的重要组成部分,一旦工业控制网络信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患,因此,我国各级政府部门高度重视,强调工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,必须切实加强工业控制网络信息安全管理。目前在通用工业控制系统网络安全防护中,采用的技术防护措施比较少,且没有形成系统体系的方式进行总体防护,随着工业控制系统的管控一体化,使得工业控制系统与传统IT管理系统以及互联网相连通,内部也越来越多地采用了通用软件、通用硬件和通用协议,直接面对来自外界的种种威胁,增加了工业控制网络信息的安全隐患。同时工业控制行业用户的安全意识不足,在系统设计之中未考虑系统整体安全设计,存在只重视功能实现,不重视安全的现象,而且在运行维护中对安全管理也不够重视,增加了工业控制系统遭受病毒、木马攻击的可能性。公开号为102438026A的一项中国专利公开了一种工业控制网络安全防护方法及系统,所述方法包括以下步骤针对外部网络攻击,前方主机对外部网络数据进行第一层数据过滤和访问控制,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,后方主机对数据进行深层过滤和访问控制,合法数据进入到内部网络;针对内部网络攻击,后方主机对内部网络数据进行第一层数据过滤和访问控制,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,前方主机对数据进行深层过滤和访问控制,合法数据进入到外部网络。该专利采用3主机结构和三层防护策略,投资成本和管理成本高,而且采用的各种监控设备比较复杂,不能满足工业控制网络的大量需求。目前,生产管理系统与控制系统共同处于生产控制网络中,彼此支持信息互通,没有逻辑隔离和信息检测措施,如图1所示,所述生产控制网络与经营管理网络通过防火墙进行逻辑隔离措施,并监测彼此之间的通信数据,但是,这种结构存在来自互联网或其它媒介的病毒或木马以所述经营管理网络为基地通过所述防火墙对所述生产控制网络发动攻击的信息安全隐患。
发明内容
本发明所要解决的技术问题是克服现有技术的不足,提供一种能提高工业控制网络安全,而且通信方便,还能预防外部攻击和入侵,有效保护工业控制系统及工业设备安全的工业控制网络安全防护方法。
本发明所采用的技术方案是该方法包括以下步骤
(1)根据工业控制系统信息安全的技术要求,对工业企业信息系统进行分层处理,所述工业企业信息系统分为三个安全工作层次,即工业控制层、生产执行层和经营管理层,对所述工业控制层的数据交换采取安全防护策略措施;
(2)根据所述工业控制系统的功能特点和控制范围,将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离,实现报文过滤以及访问控制,对工业通信协议进行检查分析,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断;
(3)采用网络隔离模块实现所述工业控制层与所述生产执行层之间的非网络方式的安全的数据交换,并且保证安全隔离模块内外两个处理系统不同时连通,结合防穿透性TCP联接与访问控制技术,阻断所述生产执行层对所述工业控制层的潜在通信途径,从而实现所述工业控制层与所述生产执行层之间的单向隔离;
(4)采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心,对防火墙及网络隔离装置进行配置和管理,采集网络事件报警信息并存储、检索及划分等级进行报警,对定义在白名单范围内的终端应用允许通信,对工业控制协议的深度分析并捕获网络异常行为,分析潜在风险,准确捕获现场所的病毒、蠕虫及非法入侵,为工业控制系统网络故障的排查、分析及安全审计提供可靠依据。在所述步骤(I)中,所述工业控制层与所述生产执行层之间的两端通信网络系统通过有线或无线网络方式连接。在所述步骤(2)中,所述检查分析的方式为综合使用状态检测和应用层协议检测,对报文进行多级过滤,形成全面的访问控制机制和自动化单元区域的保护屏障,杜绝非授权者使用。在所述步骤(2 )中,对通信的报文过滤是基于工业控制网络的流量收集识别,对通信进行的所述访问控制是基于白名单的终端应用控制。在所述步骤(3)中,所述网络隔离模块采用安全隔离技术将数据通信的反向控制协议取消,反向既没有数据通道也没有控制通道,正向完全处于盲状态,实现信息流单向传输。本发明的有益效果是由于本发明采用系统分层、层内分域、单向隔离及安全管控的方法,所述系统分层有效降低了威胁的严重程度和破坏范围,所述层内分域对数据区域隔离,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断,所述单向隔离实现了所述工业控制层与所述生产执行层之间的单向隔离,所述安全管控为所述工业控制系统网络故障的排查、分析及安全审计提供可靠依据,其为电力系统提供一种通信方便,使用安全,不易遭受攻击的公网通信方法,并对电力系统的传输协议进行分析及权限控制,也为电网调度自动化公网通信提供安全可靠的传输通道,从而实现随时随地使用公网通信并保证信息安全的前提进行数据通信,抵御黑客、病毒、蠕虫等通过各种形式对工业控制系统发起的恶意破坏和攻击,防止未授权用户访问系统或非法获取信息和侵入及重大的非法操作及通过外部发起的攻击和入侵,因此,本发明能提高工业控制网络安全,而且通信方便,还能预防外部攻击和入侵,有效保护工业控制系统及工业设备安全。
图1是本发明应用前的环境示意 图2是本发明应用后的环境示意 图3是本发明的工作流程图。
具体实施例方式如图2和图3所示,本发明所采用的技术方案是该方法包括以下步骤
(1)根据工业控制系统信息安全的技术要求,对工业企业信息系统进行分层处理,通过分析工厂的风险分析,将所述工业企业信息系统分为三个安全工作层次,即工业控制层、生产执行层和经营管理层,所述工业控制层是工业企业的安全保护重点与核心,对所述工业控制层的数据交换采取安全防护策略措施;
(2)根据所述工业控制系统的功能特点和控制范围,将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离,实现报文过滤以及访问控制,对工业通信协议进行检查分析,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断,所述工业控制系统通常是从简单独立的系统发展成复杂网络,在所述网络中的各子系统之间未经隔离且很少设计有保护措施,将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离有效解决了从一个区域的问题蔓延到整个工业控制系统网络的问题;
(3)采用网络隔离模块实现所述工业控制层与所述生产执行层之间的非网络方式的安全的数据交换,并且保证安全隔离模块内外两个处理系统不同时连通,结合防穿透性TCP联接与访问控制 技术,阻断所述生产执行层对所述工业控制层的潜在通信途径,从而实现所述工业控制层与所述生产执行层之间的单向隔离;
(4)采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心,对防火墙及网络隔离装置进行配置和管理,采集网络事件报警信息并存储、检索及划分等级进行报警,对定义在白名单范围内的终端应用允许通信,对工业控制协议的深度分析并捕获网络异常行为,分析潜在风险,准确捕获现场所的病毒、蠕虫及非法入侵等,为工业控制系统网络故障的排查、分析及安全审计提供可靠依据。在所述步骤(I)中,所述工业控制层与所述生产执行层之间的两端通信网络系统通过有线或无线网络方式连接。在所述步骤(2)中,所述检查分析的方式为综合使用状态检测和应用层协议检测,对报文进行多级过滤,形成全面的访问控制机制和自动化单元区域的保护屏障,杜绝非授权者使用。在所述步骤(2 )中,对通信的报文过滤是基于工业控制网络的流量收集识别,对通信进行的所述访问控制是基于白名单的终端应用控制。在所述步骤(3)中,所述网络隔离模块采用安全隔离技术将数据通信的反向控制协议取消,反向既没有数据通道也没有控制通道,正向完全处于盲状态,实现信息流单向传输,既可保证所述生产执行层的数据在线及实时地传输到所述生产执行层,又可以保证所述生产执行层的数据无法进入所述工业控制层。所述工业控制系统是指由各种自控组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)以及通信接口技术等。本发明将所述工业企业信息系统进行合理分层,为了所述工业控制层、所述生产执行层和所述经营管理层,以解决经营管理、生产执行、工业控制等系统处于同一网络平面而导致来自管理信息系统的入侵隐患。然后在所述工业控制层中根据子系统的功能特点、控制范围及应用需要等情况来分为多个控制区域,从而防止一个控制区域的信息安全问题蔓延到整个工业控制系统网络的风险。在不同的所述控制区域之间设立防火墙进行逻辑隔离,对工业控制应用层通信协议进行分析过滤。在所述工业控制层与所述生产执行层的网络边界之间部署隔离模块进行单向隔离,阻断所述生产执行层对所述工业控制层的潜在的数据通信途径。在工业控制层中建立安全管理平台对所述工业控制层网络进行数据采集与分析处理,实现“多点监控、统一协调”。
本发明应用于工业控制网络领域。需要注意的是,上述仅以优选实施例对本发明进行了说明,并不能就此局限本发明的权利范围,因此在不脱离本发明思想的情况下,凡运用本发明说明书和附图部分的内容所进行的等效变化,均理同包含在本发明的权利要求范围内。
权利要求
1.一种工业控制网络安全防护方法,其特征在于所述工业控制网络安全防护方法包括以下步骤(1)根据工业控制系统信息安全的技术要求,对工业企业信息系统进行分层处理,所述工业企业信息系统分为三个安全工作层次,即工业控制层、生产执行层和经营管理层,对所述工业控制层的数据交换采取安全防护策略措施;(2)根据所述工业控制系统的功能特点和控制范围,将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离,实现报文过滤以及访问控制,对工业通信协议进行检查分析,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断;(3)采用网络隔离模块实现所述工业控制层与所述生产执行层之间的非网络方式的安全的数据交换,并且保证安全隔离模块内外两个处理系统不同时连通,结合防穿透性TCP联接与访问控制技术,阻断所述生产执行层对所述工业控制层的潜在通信途径,从而实现所述工业控制层与所述生产执行层之间的单向隔离;(4)采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心,对防火墙及网络隔离装置进行配置和管理,采集网络事件报警信息并存储、检索及划分等级进行报警,对定义在白名单范围内的终端应用允许通信,对工业控制协议的深度分析并捕获网络异常行为,分析潜在风险,准确捕获现场所的病毒、蠕虫及非法入侵,为工业控制系统网络故障的排查、分析及安全审计提供可靠依据。
2.根据权利要求1所述的工业控制网络安全防护方法,其特征在于在所述步骤(I)中,所述工业控制层与所述生产执行层之间的两端通信网络系统通过有线或无线网络方式连接。
3.根据权利要求1所述的工业控制网络安全防护方法,其特征在于在所述步骤(2)中,所述检查分析的方式为综合使用状态检测和应用层协议检测,对报文进行多级过滤,形成全面的访问控制机制和自动化单元区域的保护屏障,杜绝非授权者使用。
4.根据权利要求1或3所述的工业控制网络安全防护方法,其特征在于在所述步骤(2)中,对通信的报文过滤是基于工业控制网络的流量收集识别,对通信进行的访问控制是基于白名单的终端应用控制。
5.根据权利要求1所述的工业控制网络安全防护方法,其特征在于在所述步骤(3)中,所述网络隔离模块采用安全隔离技术将数据通信的反向控制协议取消,反向既没有数据通道也没有控制通道,正向完全处于盲状态,实现信息流单向传输。
全文摘要
本发明公开并提供了一种能提高工业控制网络安全,而且通信方便,还能预防外部攻击和入侵,有效保护工业控制系统及工业设备安全的工业控制网络安全防护方法。该方法包括以下步骤对工业企业信息系统进行分层处理,对所述工业控制层的数据交换采取安全防护策略措施;将所述工业控制层分为多个不同的自动化单元区域并采用防火墙进行区域隔离;阻断所述生产执行层对所述工业控制层的潜在通信途径;采用工业安全管理平台模块建立所述工业控制层网络的配置、管理、分析、告警及审计中心。本发明应用于工业控制网络领域。
文档编号H04L29/06GK103036886SQ20121055319
公开日2013年4月10日 申请日期2012年12月19日 优先权日2012年12月19日
发明者刘智勇, 陈良汉 申请人:珠海市鸿瑞软件技术有限公司