一种应用于工业控制系统中的安全防护方法和系统与流程

本发明涉及工业控制安全领域技术领域，特别涉及一种应用于工业控制系统中的安全防护方法和系统。

背景技术：

随着标准网络和互联网技术在工业控制系统的广泛应用，工业控制系统的安全威胁正日益加剧，已经证实了恶意软件在工业控制设备之间传播的可能性。目前现有的安全防护技术局限于对特定控制设备的防护，对于大型的工业控制网络来说对于每个控制子网的安全防护是独立进行，各自为政。鉴于防护手段缺乏联动机制的现状，本发明提出了一个基于个别非法入侵检测的信息实现全网智能联动阻断与被入侵现场控制子网之间通信的方法以期防范个别控制子网感染恶意软件在整个工业控制系统的蔓延的问题。

技术实现要素：

为此，本发明提供了一种应用于工业控制系统中的安全防护方法和系统，用于解决在控制系统中的控制器在外界干扰或自身出现问题时发送不符合正常操作流程的操作指令，导致下位机或现场设备功能丧失所造成的危险问题等问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种应用于工业控制系统中的安全防护系统，应用于工业控制系统中的安全防护系统包括：监督管理网络100和现场控制网络200，

监督管理网络100包括：人机界面102、工程师工作站104、监控台106，人机界面102、工程师工作站104和监控台106同时与交换机110相连接；

现场控制网络200包括：下位机302、安全防护设备304和现场设备402，

下位机302同时与交换机110、安全防护设备304、现场设备402相连接，安全防护设备304还与交换机110相连接。

安全防护设备304包括：处理器640、告警处理模块606、用户界面模块608和存储模块610，

处理器604与告警处理模块606相连接，告警处理模块606与用户界面模块608和存储模块610相连接，进一步的用户界面模块608还与存储模块610相连接。

监控台106包括：网络接口702、处理器704、访问控制模块706、状态检测模块708、数据包检测模块710、阻断模块712、存储模块714和监控台接口模块716，

网络接口702与处理器704相连接，处理器704同时与访问控制模块706、状态检测模块708、数据包检测模块710、阻断模块712、存储模块714和监控台接口模块716相连接。

一种应用于工业控制系统中的安全防护方法，包括三个步骤：

a.安全防护设备接收到非法访问的信息时，首先阻断接收该非法信息的下位机与现场设备之间的通信，并同时将告警信息发送给监控台；

b.监控台接收到来自安全防护设备的告警信息后进行分析，若确定告警信息不会造成对工业控制系统中其他控制子网造成影响，则记录该信息，并显示告警信息；否则，向工业控制系统所有安全防护设备发出指令，阻断与发生非法接入信息的控制子网的通信；

c.控制子网中的安全防护设备在接收到监控台指令后，将接收非法信息的控制设备所在的控制子网列入黑名单，阻断接收非法信息的控制设备与接收非法信息的控制设备所在控制子网之间的通信。

当安全防护设备检测到来自监控台的非法访问时，安全防护设备自动阻断下位机和现场设备的通信。

安全防护设备在阻断了被防护的下位机和现场设备的通信之后，向监控总台告警。

监控台对接收到的告警信息进行分析，若分析结果确定告警信息不影响其他现场控制子网的正常运行，则显示告警记录。

监控台对接收到的告警信息进行分析，若分析结果确定告警信息影响其它的现场控制子网或不能确定告警信息的影响范围时，监控台将发出指令阻断所有与存在非法入侵的控制子网之间的通信，并显示告警。

连接在现场控制子网的安全防护设备在接收到监控台发布的阻断通信指令时将阻断通信指令中的信息，包括：接收非法信息的控制设备ID，IP地址、MAC地址、子网掩码信息，写入接入控制规则，并进一步阻断与接收非法信息的控制设备的通信。

本发明的有益效果：本发明能够使安全防护设备接收到非法访问的信息流量时，限制和阻断该非法信息或该信息引发的恶意软件在工业控制系统上的蔓延，迅速有效隔离问题控制子网或相关设备。

附图说明

图1是本发明工业控制系统网络结构的示意图，

图2是本发明中监控台组成的示意图，

图3是本发明中安全防护设备组成的示意图，

图4是本发明中安全防护方法的流程示意图。

附图标记：

100-监督管理网络， 102-人机界面，

104-工程师工作站， 106-监控台，

110-交换机， 200-现场控制网络

302-下位机， 304-安全防护设备，

402-现场设备， 604-处理器，

606-告警分析模块， 608-用户界面模块，

610-存储模块， 702-网络通信接口，

704-处理器， 706-访问控制模块，

708-状态检测模块， 710-数据包检测模块，

712-访问控制， 714-存储模块，

716-监控台接口模块。

具体实施方式

下面结合附图对本发明的较佳实施例进行详细阐述，参考标号是指本发明中的组件、技术，以便本发明的优点和特征在适合的环境下实现能更易于被理解。

在图1表示工业控制系统监督管理网络100和现场控制网络200，监督管理网络100中包括但不限于人机界面102，工程师工作站104，监控台106，用于网络连接的交换机110。人机界面102和工程师工作站104通过交换机110对现场控制网络的下位机302进行管理和监督。监控台106是与部署在每个现场控制子网的安全防护设备304共同协作，进行入侵检测并指挥每个现场控制子网的各个安全防护设备304(304-1，304-2……304-k，k＝1，2，……，n)，在必要时阻断与受感染的现场控制子网或接收非法消息的控制设备之间的通信。

现场控制网络200包括n个现场控制子网，对于第k(k＝1，2，……，n)个现场控制子网包括但不限于下位机302(302-1，302-2……302-k，k＝1，2，……，n)，安全防护设备304，和若干现场设备402(402-1，402-2，……，402-m(k)，m(k))。下位机302通过网络设备，也就是交换机110-k，按照工业控制协议与监督管理层网络100中的人机界面102或工程师工作站104通信。并且下位机302输出指令到现场设备402或从现场设备402输入检测数据到下位机302。安全防护设备304从交换机110上读取所有发送给下位机302的网络流量，并进行分析判断是否为合法控制命令或数据。

监控台106的具体结构如图2所示，监控台106包括但不限于网络通信接口、处理器604、告警处理模块606、用户界面模块608和存储模块610。监控台106在本发明中的功能是协调处理来自现场控制网络200中安全防护设备304发出的告警信息，在必要时向整个现场控制网络200发出通信阻断信息。

安全防护设备304如图3所示，安全防护设备304包括但不限于网络通信接口702，处理器704，访问控制模块706，状态检测模块708，数据包检测模块710，通信阻断模块712，存储模块714和监控台接口模块716。在本发明中主要完成入侵检测的功能、告警通报功能和通信阻断的功能。其中入侵检测功能通过包括但不限于访问控制模块706，状态检测模块708，和数据包检测模块710等模块单独处理或共同处理完成，当检测到非法入侵信息存储在存储模块714中；告警通报功能是检测到非法入侵的信息时，监控台接口API模块生成监控台可接受的告警数据通过网络通信接口702发送到监控台106；通信阻断功能是当非法入侵设备被发现异常非法的数据流量时，马上阻断所有与被非法入侵设备所在现场控制子网中执行设备之间的通信；或监控台接口模块716接收到来自监控台106的通信阻断时，将阻断命令中的数据包括但不限于被阻断设备的IP地址、MAC地址、设备ID、子网掩码等等信息写入访问控制模块706中的防护规则，防护规则包括但不限于黑名单，切断被阻断设备与该安全防护设备所在控制子网之间的通信。

图4是安全防护方法的流程图，步骤S1当现场控制网络200的任意一个安全防护设备304判断是否检测到下位机异常的非法数据流量，没有检测到非法数据流量，则继续判断下一个接收到的数据，若某一安全防护设备304检测到非法数据流量，则执行步骤S2，安全防护设备304向监控台106发送告警信息，步骤S3是监控台106对接收到的告警信息进行分析，步骤S4判断是否需要阻断与下位机的通信，若确定该告警不影响其它的控制子网，则等待下一个告警信息，否则执行步骤S5向现场控制网络200中的所有安全防护模块发出阻断指令阻断所有与发出告警的现场控制子网之间的通信，智能联动通信路径阻断方法的流程如图4所示。

安全防护设备304与现场设备404之间通过网络连接，当安全防护设备304检测到来自监控台106的非法访问时，安全防护设备304自动阻断下位机302和现场设备404之间的通信。安全防护设备304在阻断了被防护的下位机302和现场设备404的通信之后，向监控总台告警并进行记录，进一步有效防止来自监督管理网络100的非法入侵，更好的提升安全防护效果。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

应该注意的是，上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。