本发明涉及网络安全技术领域,具体为一种汇聚层网络安全防止外侵的工业控制系统。
背景技术:
工业控制系统是指各种自动化控制组件以及对实时数据进行采集、监控的过程控制组件共同构成,实现对工
业设备自动化运行、过程控制与监控的业务流程管理系统。
工业控制系统构成单元包含人机交互界面、网络设备、控制器及其其他控制设备、现场设备,控制系统的结构从最初的ccs(计算机集中控制系统),到第二代的dcs(分散控制系统),发展到现在流行的fcs(现场总线控制系统),传统现场总线在控制领域较有影响的现场总线系统有:ff、lonworks、profibus、can、hart,以及rs485的总线网络,随着科学技术发展,工业信息化也是突发猛进发展,以太网已经进入工业控制系统中,如modbustcp/ip、profinet等总线结构,速度到100mps,目前已经发展到千兆网络,所以工业控制系统现场以太网网络对整个工业控制系统作用越来越大。工业系统网络直接影响到整个系统运行可靠、实时、使用、分析、扩展、先进、可维护等功能;
其中工业控制系统中网络分为、核心层、汇聚层、就地层网络,关乎整个工业生产命脉,工业系统安全最终目的是保证企业生产安全;目前工业系统网络安全威胁来自个人黑客、民间组织、国家政府、员工误操作,特点是攻击明确,有组织攻击;攻击手段多样,具有大量0day;攻击过程复杂,同时内外攻击
所以提前对工业控制系统网络做安全防护对整个工业生产系统至关重要,本文只讨论对系统汇聚层网络安全防护和评估;汇聚层网络结构指的是工业控制系统中监控系统中控制层到dcs、rtu、io站、hart及其其他控制设备网络,对企业或者工厂工业控制系统进行安全评防护非常重要了;对企业进行防护以后,企业方能通过安全评估,工业控制系统安全可靠系统运行,没有通过安全评估,需要加安全防护设备才能有效的防护汇聚层网络安全,防止外来入侵者攻击汇聚层网络设备,从而进一步去攻击操作控制操作站、工程师站、系统服务器、数据库、现场控制器、及其现场设备,目的是保证系统安全可靠运行,不让企业和现场设备、仪表等直接受到损害。
现有技术主要存在的问题,在于对目前企业对工业控制系统网络安全认知不够深入、对现场总线认识不够全面还停留在传统总线中;因为目前很多工厂、企业设备比较破旧,设备都是十几年前,设备尚未升级改造,所以对以太网总线认识不够全面,除此之外认为网络安全不够重要,原因在于他们企业尚未受到外来入侵带来的困扰,目前不够重视;工业控制系统安全评估体系不够健全,导致许多企业无法判断他们自身企业工业控制系统网络是否需要安全防护设备;目前工业生产企业尚未重视这块。
技术实现要素:
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种汇聚层网络安全防止外侵的工业控制系统,解决了企业工业控制系统网络安全防护较差的问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:一种汇聚层网络安全防止外侵的工业控制系统,包括工业控制系统汇聚层网络,所述工业控制系统汇聚层网络连接有中央处理器,所述中央处理器分别连接有安全评估单元、初步分析单元和结果分析单元,所述安全评估单元包括在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块,所述初步分析单元包括资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块,所述结果分析单元包括需求分析模块、安全建议模块和安全建设实施计划模块,所述在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块均与中央处理器电性连接,所述资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块均与中央处理器电性连接,所述需求分析模块、安全建议模块和安全建设实施计划模块均与中央处理器电性连接。
优选的,所述安全评估单元的在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块与初步分析单元电连接。
优选的,所述结果分析单元的需求分析模块、安全建议模块和安全建设实施计划模块与初步分析单元电连接。
优选的,所述安全评估单元的在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块与结果分析单元电连接。
优选的,所述初步分析单元的资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块与安全评估单元电连接。
优选的,所述初步分析单元的资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块与结果分析单元电连接。
(三)有益效果
本发明提供了一种汇聚层网络安全防止外侵的工业控制系统,具备以下有益效果:
该汇聚层网络安全防止外侵的工业控制系统,引起企业工业控制器网络安全重视,能够让控制系统汇聚层设备安全可靠运行,能够防止外来人员对控制设备入侵,能够优化企业信息网络,能够最大化保障企业资产安全,能够促进企业管理且能够提高企业员工知识能力,同时提高企业的技术人员能力。
附图说明
图1为本发明汇聚层网络安全防止外侵的工业控制系统的控制系统图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
请参阅图1,本发明提供一种技术方案:一种包括工业控制系统汇聚层网络,工业控制系统汇聚层网络连接有中央处理器,中央处理器分别连接有安全评估单元、初步分析单元和结果分析单元,安全评估单元包括在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块,初步分析单元包括资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块,结果分析单元包括需求分析模块、安全建议模块和安全建设实施计划模块,在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块均与中央处理器电性连接,资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块均与中央处理器电性连接,需求分析模块、安全建议模块和安全建设实施计划模块均与中央处理器电性连接。
作为本发明的一种优选技术方案:安全评估单元的在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块与初步分析单元电连接。
作为本发明的一种优选技术方案:结果分析单元的需求分析模块、安全建议模块和安全建设实施计划模块与初步分析单元电连接。
作为本发明的一种优选技术方案:安全评估单元的在线分析模块、工控系统资产评估模块、威胁评估模块、安全分区合理性评估模块、节点通信关系模块和系统安全性核查模块与结果分析单元电连接。
作为本发明的一种优选技术方案:初步分析单元的资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块与安全评估单元电连接。
作为本发明的一种优选技术方案:初步分析单元的资产调查模块、威胁分析模块、脆弱性分析模块和数据整理模块与结果分析单元电连接。
本发明设备加固在未通过安全认证工业控制系统网络中的汇聚层网络层,防止外来入侵系统;让工业控制系统汇聚层网络通过安全评估;安全评估步骤如下:对系统汇聚层网络设备进行安全评估,包含在线分析(工控系统资产评估、威胁评估、安全分区合理性评估、节点通信关系、系统安全性核查);初步分析(将资产调查、威胁分析、脆弱性分析采集到数据按照风险计算要求,进行合理和整理);结果分析(需求分析、安全建议、安全建设实施计划);对于工业控制系统安全评估都有阶段性,每个阶段可分为规划建设阶段、建设验收阶段、运行维护阶段、废弃阶段,评估主要围绕生产业务、控制系统、脆弱性、威胁、风险、安全措施等基本要素进行,评估过程充分考虑业务:复杂性、重要性、可用性、安全事件、残余风险、安全需求等与基本要素相关属性。通常加挂本设备目的就是防御外来人员侵害。
对网络进行无害操作,进行评估分析是否需要防护设备,需要工具有:工控漏扫工具、工控应用扫描工具、工控漏洞验证工具、工控配置检查脚本、工控流量分析工具、工控标准合规评估工具、自有产品评估工具、调研表,通过这些工具多工业控制系统核心层网络进行分析,从而得出评估表,再有通过加固设备以后在进行对比分析,把分析评估表上报企业,让企业能够准确判断当前工业控制系统网络状态。
该文中出现的电器元件均与外界的主控器及220v市电电连接,并且主控器可为计算机等起到控制的常规已知设备,该文中涉及到的相关模块均为硬件系统模块或者为现有技术中计算机软件程序或协议与硬件相结合的功能模块,该功能模块所涉及到的计算机软件程序或协议的本身均为本领域技术人员公知的技术,其不是本系统的改进之处;本系统的改进为各模块之间的相互作用关系或连接关系,即为对系统的整体的构造进行改进,以解决本系统所要解决的相应技术问题。
综上所述,该汇聚层网络安全防止外侵的工业控制系统,引起企业工业控制器网络安全重视,能够让控制系统汇聚层设备安全可靠运行,能够防止外来人员对控制设备入侵,能够优化企业信息网络,能够最大化保障企业资产安全,能够促进企业管理且能够提高企业员工知识能力,同时提高企业的技术人员能力。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。