本实用新型涉及工业控制系统安全方案,尤其涉及一种旁路工控信息安全工业控制系统。
背景技术:
近年来,我国科技界付出了很多努力,提出了许多有效的和有益的工控信息安全的防御技术和解决方案,可分为主动式和被动式两类技术:一类是基于传统的信息安全技防御技术(被动式),以防火墙、入侵检测和病毒防护等为主的,可以从工控系统的外部对企图获取信息资源的非法用户和越权访问进行封堵,但无法防止来自于工控系统内部的安全威胁,如:系统内部信息的篡改和破坏。另一类是主动防御技术,如:工控协议深度解析等,这类技术虽然起步较晚,但发展很迅速,但目前有如下不足:
1)目前仅限于在工业以太网网络中的应用,现场总线无应用。
2)这种技术用于主动防御工控网络自上而下的单向攻击,先攻击工业以太网,进而通过控制器攻击现场总线及设备。
无论是何种攻击,其最终的目的都是实现对物理设施的破坏,而现场总线位于工控系统网络的底层,也是最基础的层面,因此在这个层面对攻击实施检测和主动防范最直接、也更有效。
目前国内尚无基于现场总线的工控网络信息安全成熟的解决方案,这是工控系统信息安全不可回避和必须逾越的“瓶颈”,如果不尽快解决这个瓶颈,就会造成我国工业“设备互通,信息共享”成为无源之水、无本之木的空中楼阁。
技术实现要素:
本实用新型实施例提供一种旁路工控信息安全工业控制系统,通过增加安全网关设备,对控制系统进行数据、网络和系统的三重异构,建立新的旁路安全管控系统,实现数据、网络和系统的三重安全管控。
本实用新型提供一种旁路工控信息安全工业控制系统,包括:操作层、控制层以及设备层,所述控制层和设备层之间通过现场总线进行IO信息采集和控制信息传输;
所述操作层包括控制系统和安全管控系统;所述安全管控系统与上级MES 系统或云端大数据服务器进行信息传输;所述控制层包括安全网关设备和备用网关设备;
所述安全网关设备通过标准的网络通讯协议与控制系统进行信息传输,所述安全网关设备和备用网关设备通过工业以太网与安全管控系统进行加密信息传输,所述安全网关设备和备用网关设备通过所述以太网实现上行同步数据更新。
在本实用新型的旁路工控信息安全工业控制系统中,所述以太网采用光纤交换机实现数据传输。
在本实用新型的旁路工控信息安全工业控制系统中,所述安全网关设备包括:依次连接的数据管理模块、数据审核模块、加解密模块以及报警模块。
在本实用新型的旁路工控信息安全工业控制系统中,所述报警模块为 GPRS模块,以产生和输出短信报警信息。
在本实用新型的旁路工控信息安全工业控制系统中,所述报警模块为LED 指示灯,以产生和输出灯光报警。
在本实用新型的旁路工控信息安全工业控制系统中,所述报警模块通过以太网口向所述安全管控系统输出报警信号。
在本实用新型的旁路工控信息安全工业控制系统中,安全网关设备和备用网关设备均采用具有双口RAM接口的智能现场总线模块对设备层进行IO信息采集和控制信息传输。
在本实用新型的旁路工控信息安全工业控制系统中,所述备用网关设备的现场总线模块通过帧听现场总线收发数据。
在本实用新型的旁路工控信息安全工业控制系统中,所述控制层还设有控制器,所述控制器通过标准的网络通讯协议分别与所述控制系统和所述安全网关设备实现数据传输。
本实用新型的一种旁路工控信息安全工业控制系统,不改变原工控系统所有的设备、网络和功能,对于新建或改造的大、中、小型工控系统及工控网络均适用。仅需在主控室增设“网关”机柜或分布式安装,施工便利,成本低,易维护。安全管控系统作为控制系统的备用监控系统,对控制系统的重要数据、工艺和信息进行实施监管。实现了工控信息安全体系由“堵”到“疏”的转变,从以一个一个补漏洞为主,变为从数据源头解析和疏导。实现了工控网络安全防御自“上”而“下”的转变,从以往工控网络顶层以太网布防为主,变为底层现场总线双向防御。实现了工控信息安全技术由“点”到“面”的转变,从以往局部安全技术的应用,变为三重异构的整体安全体系的转变。
附图说明
图1是本实用新型的一种旁路工控信息安全工业控制系统的结构框图。
具体实施方式
如图1所示为本实用新型的旁路工控信息安全工业控制系统结构框图,本实用新型的控制系统从网络结构上划分为三层,包括:操作层、控制层以及设备层,操作层和控制层之间通过工业以太网实现信息交换,控制层和设备层之间通过现场总线实现IO信息采集和控制。
如图1所示,操作层包括控制系统1和安全管控系统2。所述安全管控系统2用于为上级MES系统或云端大数据服务器提供安全可靠的信息交互通道,建立了数据顶层到底层的信息安全桥梁。控制层包括用于指令分析和IO 多维解析的安全网关设备3和备用网关设备4以实现双向主动安全防御。所述安全网关设备3通过标准的网络通讯协议与控制系统1进行信息交换,所述安全网关设备3和备用网关设备4通过工业以太网与安全管控系统2进行信息交换,以太网采用具有物理安全受控技术的光纤交换机5实现数据传输,数据传输均采用国密可信算法进行加解密处理。所述安全网关设备3和备用网关设备4通过所述以太网实现上行同步数据更新。设备层包括多个设备7。
本实用新型系统在保持系统原有技术完整性和设备独立性的前提下,通过增加安全网关设备3和备用网关设备4对原系统进行数据异构、网络异构,进而实现旁路系统的异构,在异构过程中将多种可控自主的创新安全技术融入其中,建立数据、网络和系统的三重信息安全管控体系。安全网关设备3 包括:数据管理模块、数据审核模块、加解密模块和报警模块。
数据管理模块,用于进行数据分类、数据分级和数据分区以实现IO多维度定义和解析。
(1)数据分类具体为:
a.上行数据:模拟量输入(遥测)、状态量输入(遥信)、脉冲量输入(遥脉);
b.下行数据:模拟量输出(遥调)、状态量输出(遥控)。
(2)数据分级,具体将数据分为:
a.重要:立即报警,设置上、下限阈值;
b.次要:延迟预警,设置上、下限阈值;
c.常规:不报警,无阈值。
其中,下行数据均为重要数据;上行数据分级(提高实时性)。
(3)数据分区具体为:
将重要和次要的分类数据,按重要设施的地理位置划分区域属性,如果同一区域的多个分类数据如果同时异常(m选n策略),可以立即报警。
数据审核模块,用于进行双向指令审核、地址审核和双向数据阈值审核。
(1)双向指令审核:
a.上行端口:信息帧格式、完整性审核,异常控制帧;
b.下行端口:重复的控制帧、总线噪声攻击、数据异常帧。
(2)地址审核:子站地址范围、子站的在线/离线。
(3)双向数据阈值审核:
a.上行数据:遥测、遥脉、遥信值是否正常;
b.下行数据:遥调的、遥控操作值及点号是否正常。
通过安全审核可以实现对APT攻击、异常控制和非法数据的深度分析、过滤、告警、阻断和追踪。
加解密模块,用于对与安全管控系统2进行交换的信息进行加解密处理,采用国密可信算法进行加解密处理。
报警模块,用于根据安全审核结果生成和输出报警信号。具体实施时,报警模块可采用GPRS模块,安全网关设备3的RS-232端口与GPRS模块相连接,以产生和输出短信报警信息。报警模块可采用LED指示灯,以产生和输出灯光报警。报警模块可通过以太网口向安全管控系统2输出报警信号。
安全网关设备3对于安全异常,采用的防御技术如下:报警、阻断和联动保护的形式。其中,双向指令审核采用报警+阻断的形式;地址审核采用报警的形式;双向数据阈值审核采用报警+阻断+联动保护的形式。
安全网关设备3和备用网关设备4均采用具有双口RAM接口的智能现场总线模块以实现对设备层的IO信息采集和控制。其双口RAM的读写格式及现场总线数据区均是相同的,因此,对于不同的H2类现场总线(如: Profibus-DP、DeviceNet、LonWorks等),可选择对应的智能现场总线模块;软件驱动是完全相同的,仅需要修改装置的配置文件中现场总线类型既可。
本实用新型的安全网关设备3采用工作模式,所述备用网关设备4采用帧听模式,备用网关设备4的现场总线模块通过帧听现场总线收发数据,实现了备用网关设备4与安全网关设备3的上行同步数据更新。
具体实施时,控制层还可设有控制器6,所述控制器6通过标准的网络通讯协议分别与所述控制系统1和所述安全网关设备3实现数据传输。
本实用新型通过增加安全网关设备3和备用网关设备4,异构信息旁路,可配置冗余双网,对于控制器6以及安全网关设备3同时出现异常的极端情况,备用网关设备4,仍然可以保障对工业控制系统底层设备的安全管控。
以上所述仅为本实用新型的较佳实施例,并不用以限制本实用新型的思想,凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的保护范围之内。