本发明涉及网络安全技术领域,尤其涉及一种应用于工业控制系统中的网络安全防护系统及其防护方法。
背景技术
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。工业控制系统已经广泛遍布于工业、能源、交通、水利等领域,用于控制生产设备的运行。
随着计算机技术、通信技术和控制技术的发展,传统的控制领域正经历着一场前所未有的变革,开始向网络化方向发展。控制系统的结构从最初的ccs(计算机集中控制系统),到第二代的dcs(分散控制系统),发展到现在流行的fcs(现场总线控制系统)。
随着信息化和工业化的融合,工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞,则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大,进而使得工业生成控制过程面临安全性威胁。目前,工业控制系统中所采取的安全防护措施一般是在工业控制系统的局域网络和外部网络之间部署防火墙。由于防护措施较少且比较单一,一旦该工业控制系统的局域网络与外部网络之间的防火墙被攻击者攻破,则工业控制系统的内部网络便很容易被控制,从而使得工业控制系统中的生产资料等数据被窃取,或者现场设备被恶意操控,影响到正常的工业控制。鉴于此,如何提供一种应用于工业控制系统中的网络安全防护系统及其防护方法是本领域技术人员需要解决的技术难题。
技术实现要素:
针对现有技术中的上述不足之处,本发明提供了一种应用于工业控制系统中的网络安全防护系统及其防护方法。
本发明为解决上述技术问题,采用以下技术方案来实现:
设计一种应用于工业控制系统中的网络安全防护系统,包括工业终端信息采集系统、与所述工业终端信息采集系统相连接的网络安全防护系统以及与网络安全防护系统相连接的企业管理系统;
所述的工业终端信息采集系统用于在线采集工业信息并经网络安全防护系统传递至企业管理系统中,其包括信息采集终端和信息传输服务器;
所述的网络安全防护系统用于在工业终端信息采集系统与企业管理系统之间传递信息的基础上对传输的信息、设备进行安全检测、扫描、防护和预警,其包括硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块、判断模块、硬件阻断模块、软件滤除模块、软件阻断模块以及报警模块;
所述的企业管理系统用于对工业终端信息采集系统采集的信号进行集中控制,包括上位机和储存系统;
所述信息采集终端设置在工业设备终端上,其与信息传输服务器连接,用于将采集的信号传递至信息传输服务器中;所述的信息传输服务器分别与网络安全防护系统中的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块相连接;所述的硬件检测模块用于对接入系统上的所有硬件设备是否属于本系统部分进行在线辨别;所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析,对接入设备的状态进行在线检测,并对接入设备中存储的所有数据进行检测;所述的漏洞扫描模块,用于对传输的数据以及控制程序代码进行漏洞扫描分析;所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测;所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接,所述的判断模块用于对接收的信号进行辨别分析,并将具体操作动作发送至硬件阻断模块、软件滤除模块、软件阻断模块或报警模块中;所述的判断模块均与硬件阻断模块、软件滤除模块、软件阻断模块或报警模块连接;所述的硬件阻断模块用于当硬件不属于本系统部分时,阻断硬件数据报文的传输;所述的软件滤除模块用于滤除软件代码中的漏洞、木马部分;所述的软件阻断模块用于阻断软件代码数据的传输;所述报警模块用于当出现异常时发送信号至上位机;所述的硬件阻断模块、软件滤除模块、软件阻断模块和报警模块均与企业管理系统中的上位机和储存系统连接,所述的上位机用于对采集的信息进行分析、对出现的异常进行辨别;所述的储存系统用于存储信息采集终端采集的信息。
优选的,所述工业终端信息采集系统、网络安全防护系统以及企业管理系统均设有防火墙。
优选的,所述的信息传输服务器设有监控防护模块,用于监控所述信息采集终端采集信息中存在的可执行的恶意程序,并阻止所述恶意程序的运行。
设计一种应用于工业控制系统中的网络安全防护方法,包括如下步骤:
步骤一:工业终端信息采集系统上的信息采集终端用于实时采集工业设备的信号并将信号传递至信息传输服务器中;
步骤二:设置在信息传输服务器上的监控防护模块,监控所述信息采集终端采集信息中是否存在的可执行的恶意程序,并阻止所述恶意程序的运行;
步骤三:首先,网络安全防护系统截获所述信息传输服务器向上位机之间传输的数据信息,并将信息分别传递至硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块中,由所述硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块对信息进行分析甄别;然后,经分析甄别以后的信息传递至判断模块中,对其问题类型进行分类,并按照问题的解决方法传递至硬件阻断模块、软件滤除模块、软件阻断模块中的某一个模块;接着,判断模块判断是否需要引起报警讯息,若需要引起报警讯息,则将报警讯息传递至报警模块中;最后,经硬件阻断模块、软件滤除模块、软件阻断模块以及报警模块以后的信息传递至上位机和储存系统中。
本发明提出的一种应用于工业控制系统中的网络安全防护系统及其防护方法,有益效果在于:
(1)本发明的网络安全防护系统通过网络安全防护系统对外接入硬件以及系统中传输信息中的数据信息进行检测、扫描、感知,查找出其中的漏洞,并经硬件阻断、软件滤除以及软件阻断等方式,处理硬件和软件上的问题,避免工业控制系统受到外界的攻击,有效提高了工业控制系统的安全性;
(2)本发明的网络安全防护系统实时对外接入的硬件设备以及传输的数据信息进行扫描,能在极短时间内查找出问题并通过硬件阻断模块、软件滤除模块、软件阻断模块进行处理,避免工业控制系统的瘫痪,有效提高了工业控制系统的可靠性和工作连续性。
附图说明
下面结合附图中的实施例对本发明作进一步的详细说明,但并不构成对本发明的任何限制。
图1为本发明网络安全防护系统的结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
参阅附图1所示,本发明的一种应用于工业控制系统中的网络安全防护系统,包括工业终端信息采集系统、与所述工业终端信息采集系统相连接的网络安全防护系统以及与网络安全防护系统相连接的企业管理系统;
所述的工业终端信息采集系统用于在线采集工业信息并经网络安全防护系统传递至企业管理系统中,其包括信息采集终端和信息传输服务器;
所述的网络安全防护系统用于在工业终端信息采集系统与企业管理系统之间传递信息的基础上对传输的信息、设备进行安全检测、扫描、防护和预警,其包括硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块、判断模块、硬件阻断模块、软件滤除模块、软件阻断模块以及报警模块;
所述的企业管理系统用于对工业终端信息采集系统采集的信号进行集中控制,包括上位机和储存系统;
所述信息采集终端设置在工业设备终端上,其与信息传输服务器连接,用于将采集的信号传递至信息传输服务器中;所述的信息传输服务器分别与网络安全防护系统中的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块相连接;所述的硬件检测模块用于对接入系统上的所有硬件设备是否属于本系统部分进行在线辨别;所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析,对接入设备的状态进行在线检测,并对接入设备中存储的所有数据进行检测;所述的漏洞扫描模块,用于对传输的数据以及控制程序代码进行漏洞扫描分析;所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测;所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接,所述的判断模块用于对接收的信号进行辨别分析,并将具体操作动作发送至硬件阻断模块、软件滤除模块、软件阻断模块或报警模块中;所述的判断模块均与硬件阻断模块、软件滤除模块、软件阻断模块或报警模块连接;所述的硬件阻断模块用于当硬件不属于本系统部分时,阻断硬件数据报文的传输;所述的软件滤除模块用于滤除软件代码中的漏洞、木马部分;所述的软件阻断模块用于阻断软件代码数据的传输;所述报警模块用于当出现异常时发送信号至上位机;所述的硬件阻断模块、软件滤除模块、软件阻断模块和报警模块均与企业管理系统中的上位机和储存系统连接,所述的上位机用于对采集的信息进行分析、对出现的异常进行辨别;所述的储存系统用于存储信息采集终端采集的信息。所述工业终端信息采集系统、网络安全防护系统以及企业管理系统均设有防火墙,所述的信息传输服务器设有监控防护模块,用于监控所述信息采集终端采集信息中存在的可执行的恶意程序,并阻止所述恶意程序的运行。
本发明的一种应用于工业控制系统中的网络安全防护方法,包括如下步骤:
步骤一:工业终端信息采集系统上的信息采集终端用于实时采集工业设备的信号并将信号传递至信息传输服务器中;
步骤二:设置在信息传输服务器上的监控防护模块,监控所述信息采集终端采集信息中是否存在的可执行的恶意程序,并阻止所述恶意程序的运行;
步骤三:首先,网络安全防护系统截获所述信息传输服务器向上位机之间传输的数据信息,并将信息分别传递至硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块中,由所述硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块对信息进行分析甄别;然后,经分析甄别以后的信息传递至判断模块中,对其问题类型进行分类,并按照问题的解决方法传递至硬件阻断模块、软件滤除模块、软件阻断模块中的某一个模块;接着,判断模块判断是否需要引起报警讯息,若需要引起报警讯息,则将报警讯息传递至报警模块中;最后,经硬件阻断模块、软件滤除模块、软件阻断模块以及报警模块以后的信息传递至上位机和储存系统中。
工作原理:本发明的网络安全防护系统将信息采集终端采集的信息经信息传输服务器接收以后传递至硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块中,首先,硬件检测模块对接入系统上的所有硬件设备是否属于本系统部分进行在线辨别,以及时查找出不属于本系统或者没有被本系统安全识别的设备,避免外界设备引入木马病毒;接着,入侵感知模块对接入系统上的所有设备进行在线安全分析,对接入设备的状态进行在线检测,并对接入设备中存储的所有数据进行检测,进一步全方位对外接入设备的检测,以避免外接入设备对工业控制系统的影响;另外,本发明系统中的漏洞扫描模块对传输的数据以及控制程序代码进行漏洞扫描分析,以查找出代码中的漏洞;最后,木马检测模块对传输的数据以及控制程序代码进行木马扫描检测,以查找出代码中的木马程序;通过硬件检测模块、入侵感知模块、漏洞扫描模块、木马检测模块将硬件和软件问题逐一检测遍历、检测和查找,然后判断模块对存在的问题进行判断,并将判断结果传递至硬件阻断模块、软件滤除模块、软件阻断模块中,通过硬件方式和软件方式对漏洞和问题进行阻断、滤除处理,以避免工业控制系统受到外界攻击。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。