还需要:
[0078]1.1预先定义传输模式:平衡传输还是非平衡传输,是否允许E5帧即单字符帧通过;
[0079]1.2预先定义链路地址白名单:建立允许访问的链路地址列表;
[0080]1.3预先建立IEClOl协议应用功能与ASDU类型、传输原因的对应关系;
[0081]1.4预先定义应用功能白名单:以应用功能为单位,预先定义允许访问的应用功會K?;;
[0082]1.5预先定义数据访问范围白名单:以信息对象地址(设备链路地址、公共地址、信息体地址)为单位,定义允许访问的信息对象地址集;
[0083]1.6预先定义控制对象白名单:以控制对象信息对象地址(设备链路地址、公共地址、信息体地址)为单位,定义允许操作的控制对象及允许的控制值的范围。
[0084]上述实施方式中,在检测到不满足白名单要求的通讯请求,并实施通讯阻断后,将产生系统日志记录和告警输出,告警输出方法包括:通过装置指示灯以及连接的后台监控软件。
[0085]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作合并,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0086]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0087]图6是本发明一实施方式的安全防护系统的结构示意图。如图6所示,本发明另一个方面,还提供了一种安全防护系统,包括:
[0088]访问请求接收端口I,用于接收外部访问请求;
[0089]组包/检测模块2,用于对所述外部访问请求进行组包并检测所述外部访问请求的帧完整性;
[0090]访问类型确定模块3,用于根据第一预设白名单确定所述外部访问请求的合法性,并确定所述外部访问请求的帧类型,所述帧类型包括可变格式帧、固定格式帧和单字符帧;
[0091]发送模块4,用于当所述外部访问请求为固定格式帧或单字符帧时,允许所述外部访问请求通过并将所述外部访问请求转发至内部通讯端口 ;
[0092]应用层确定模块5,用于当所述外部访问请求为可变格式帧时,根据第二预设白名单确定所述外部访问请求的合法性。
[0093]在一些实施方式中,第一预设白名单为链路地址白名单,本发明系统包括阻断模块6,用于在外部访问请求不是完整的帧时,阻断外部访问请求;
[0094]访问类型确定模块3包括链路层判定单元31,用于当所述外部访问请求为完整的帧时,提取所述外部访问请求包含的链路地址,根据链路地址白名单判断所述链路地址是否为允许访问的链路地址;
[0095]其中,当所述链路地址为允许访问的链路地址时,访问类型确定模块3用于确定所述外部访问请求的帧类型;
[0096]阻断模块6用于在所述链路地址不是允许访问的链路地址时,阻断所述外部访问请求。
[0097]在一些实施方式中,第二预设白名单包括应用功能白名单,应用功能白名单包括允许访问的应用功能对应的ASDU类型标识、传输原因码及信息对象地址范围,应用层确定丰吴块5包括:
[0098]应用功能判定单元51,用于当所述外部访问请求为可变格式帧时,提取所述外部访问请求的ASDU类型、传输原因码和信息对象地址,根据所述应用功能白名单确定所述外部访问请求的应用功能是否为允许访问的应用功能;当所述外部访问请求的应用功能在所述应用功能白名单定义的范围内时,判断所述外部访问请求的应用功能是否为控制功能;
[0099]其中,阻断模块6用于在所述外部访问请求的应用功能不在所述应用功能白名单定义的范围内时,阻断所述外部访问请求。
[0100]在一些实施方式中,第二预设白名单包括数据访问范围白名单和控制对象白名单,所述应用层确定模块5还包括:
[0101]控制对象单元52,用于当所述外部访问请求的ASDU所属的应用功能是控制功能时,提取所述外部访问请求的控制功能对应的信息对象地址及控制值,根据所述控制对象白名单确定所述控制值是否在允许范围内;
[0102]发送模块4用于当所述控制值在允许范围内时,将所述外部访问请求转发至到内部通讯端口;
[0103]阻断模块6用于当所述控制值不在允许范围内时,阻断所述外部访问请求;
[0104]应用层确定模块5用于当所述外部访问请求的ASDU所属的应用功能不是控制功能时,根据所述数据访问范围白名单确定所述外部访问请求的ASDU的信息对象地址是否在允许访问的范围内;
[0105]发送模块4用于当所述ASDU的信息对象地址在允许访问的范围内时,将所述外部访问请求转发至到内部通讯端口;
[0106]阻断模块6用于当所述信息对象地址不在允许访问的范围内时,阻断所述外部访问请求。
[0107]在一些实施方式中,本发明的系统还包括预警模块7,用于在所述阻断模块阻断所述外部访问请求后,生成系统日志记录和告警输出信号。
[0108]以上所描述的方法实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0109]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0110]本领域内的技术人员应明白,本发明的实施方式可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。
[0111]本发明是参照根据本发明实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0112]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流