一种工业通信安全网关的制作方法

文档序号:10538592阅读:306来源:国知局
一种工业通信安全网关的制作方法
【专利摘要】本发明提供一种针对工程师站、APC先控站接入第三方设备时防病毒攻击和入侵的工业通信安全网关,利用设备识别器,识别工程师站、APC先控站接入的第三方设备,根据不同设备、不同的网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略。并利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示,为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。
【专利说明】
一种工业通信安全网关
技术领域
[0001]本发明涉及通信安全领域,具体涉及一种工业通信安全网关。
【背景技术】
[0002]SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。系统中通信协议、操作系统、安全策略和管理流程、杀毒软件、应用软件等任何一点受到攻击都有可能导致整个系统的瘫痪。
[0003]对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。

【发明内容】

[0004]针对上述问题,本发明提供一种针对工程师站、APC先控站接入第三方设备时防病毒攻击和入侵的工业通信安全网关。
[0005]为解决上述问题,本发明采取的技术方案为:一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,包括设备识别器、安全策略生成机、定位报警管理模块;
[0006]设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;设备识别器,可以识别工业通信网络上接入的U盘、笔记本、wifi设备等移动设备,设备识别器既可识别直接接入网络的移动设备,也可以识别通过工程师站、APC先控站间接接入网络的移动设备。
[0007]安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;安全控制策略的建立首先通过预先建立的基于属性的访问控制ABAC策略视图模板输入的ABAC策略信息,生成ABAC策略表达式;然后根据预先设置的ABAC策略视图模板与可扩展访问控制标记语言XACML模板之间的映射规则,最终将所述ABAC策略表达式转换成符合XACML模板的基于XACML的ABAC策略。信息设备和存储介质进行标识、涉密的标明密级,只有具有相应权限的用户和设备可以访问查看。针对计算机介质畸形控制,如果有必要的话进行物理保护。重点防护区域的设备一经发现立即禁止并定位到相关网络位置,并向管理人员报警。
[0008]定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位报警模块,功能包括集成系统中所有的事件和报警信息,并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁。定位功能主要是利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,具体的可以通过查看系统的ARP缓存表找出某IP所对应的MAC地址,然后从包含改MAC地址的端口找出下联交换机,再从下联交换机包含改MAC地址的端口找出下一个下联交换机;如此重复直到找到包含该MAC地址但没有下联交换机的端口,该端口就是目标端口。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示。比如对于网络异常缓慢障碍,对网络包进行采样并分析,分析出目标端口,然后按照上述查找目标端口的方法进行查找和处理。再比如IP地址冲突障碍,系统给出IP地址冲突的MAC地址,从MAC的前24位可以初步判断设备的类型,然后根据MAC地址登记查找到IP地址冲突设备进行相应处理。
[0009]所述的设备识别器具体采用下述步骤进行识别:(I)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。用户的身份认证还需要与电脑的硬件信息绑定起来,初次使用的设备首先要进行硬件登记。对客户端的系统补丁、防病毒软件及病毒库、Windows登陆口令、应用软件安装等情况进行检测和监控,通过对客户端安全状态进行全面的评估确保用户安全的接入网络。
[0010]本发明的有益效果是:利用设备识别器,识别工程师站、APC先控站接入的第三方设备,根据不同设备、不同的网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略。并利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示,为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。
【附图说明】
[0011 ]图1为设备识别器的工作流程图。
【具体实施方式】
[0012]一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,包括设备识别器、安全策略生成机、定位报警管理模块;
[0013]设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;具体识别过程如图1所示,(I)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。
[0014]安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;
[0015]定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。
【主权项】
1.一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,其特征为:包括设备识别器、安全策略生成机、定位报警管理模块; 设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况; 安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略; 定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并结合工业通信网络的网络拓扑图定位接入站点的物理地址。2.根据权利要求1所述的工业通信安全网关,其特征在于:所述的设备识别器具体采用下述步骤进行识别:(I)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。
【文档编号】H04L12/66GK105897571SQ201610213822
【公开日】2016年8月24日
【申请日】2016年4月7日
【发明人】周文奇
【申请人】周文奇
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1