一种保障工业控制系统信息安全的方法及系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种保障工业控制系统信息安全的方法及系统。
【背景技术】
[0002]工业控制系统是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。目前,工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业。工业控制系统中的安全防护目前主要有安全管理,IT安全防护技术和工业防火墙等。
[0003]1.安全管理:
[0004]布署纵深防御体系,保证工业控制系统的物理安全,建立安全策略与流程,适当采取隔离、漏洞检查、威胁检测等保护措施。例如,进行网络分区与边界保护,建立安全的单元间通信,系统加固与补丁管理,恶意软件的检测与防护,访问控制与账号管理,记录设备访问日志并进行必要的审计等。确保只有绝对必要的人员才能在物理层面接触到工业控制设备。
[0005]2.1T安全防护技术:
[0006]通过对控制网络的防护,大部分采用的是常规网络安全技术,主要包括防火墙、IDS、VPN、防病毒等。主要针对三级以上的网络防护。
[0007]3.工业防火墙:
[0008]防火墙产品,目前基本是以包过滤技术为基础的,它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自已的安全机制。但防火墙无法保证准许放行数据的安全性。
[0009]工业防火墙内置各种主流自动化产品制造商的私有通信协议,可实现与各主流自动化产品如 Honeywe IlDCS 系统、Yokogawa DCS 系统、INVENSYS DCS 等系统,OPC SERVER、IP21/PHD/PI等服务器或数据库无扰动接入。与常规防火墙不同的是,工业防火墙是基于内置工业通讯协议的防护模式,由于工业通讯协议通常是基于常规TCP/IP在应用层的高级开发,工业防火墙不仅是在端口上的防护,更重要的是基于应用层上数据包的深度检查、协议分析,属于新一代工业通讯协议防火墙。
[0010]目前主有的工业控制网络中的解决方案都有一定的缺点,安全管理只能减少感染病毒的机会,而不能完全杜绝从网络上恶意的攻击,IT全防护技术用于工业控制领域的三级以上的网络有一定效果,而对一二级网络无法阻止相关的安全问题,工业防火墙加入工业协议分析可以阻止一些非法的信息攻击,但不能不能阻止通过合法协议执行的非正常命令从而对系统造成损害。
【发明内容】
[0011]本发明所要解决的技术问题是,提供一种保障工业控制系统信息安全的系统及方法,以解决现有技术所采用的信息安全保障手段所存在的只能减少病毒感染机会而不能杜绝病毒攻击,以及不能阻止通过合法协议执行的非正常命令从而对系统造成损害的不足。本发明是这样实现的:
[0012]一种保障工业控制系统信息安全的方法,包括如下步骤:
[0013]步骤A:检测所述工业控制系统的输入数据及输出数据,并根据所述输入数据与输出数据的逻辑关系判断所述工业控制系统的输出数据的正确性;
[0014]步骤B:检测所述工业控制系统的输出数据,并将其与预设的安全值范围比对,并根据比对结果判断所述输出数据的合法性;
[0015]步骤C:检测所述工业控制系统的通讯协议,并据此建立通讯协议自名单,并据此判断所述工业控制系统中命令的正常性;
[0016]步骤D:对上述三个步骤检测到的错误的输出数据、非法的输出数据、非正常命令进行上报。
[0017]进一步地,所述输入数据包括:数字量输入数据及模拟量输入数据;所述输出数据包括:数字量输出数据输出模拟量输出数据,以及所述工业控制系统中各执行机构输出值;
[0018]进一步地,所述步骤A中,当所述输入数据与所述输出数据符合所述逻辑关系时,判定所述输出数据属于正确的输出数据,否则判定所述输出数据属于错误的输出数据。
[0019]进一步地,所述步骤B中,当所述输出数据处于所述安全值范围内时,判定所述输出数据为合法的输出数据,否则判定所述输出数据为非法的输出数据。
[0020]进一步地,所述步骤C中,当所述命令符合所述白名单中的通讯协议时,判定所述命令为正常命令,否则判定所述命令为非正常命令。
[0021]一种保障工业控制系统信息安全的系统,包括:
[0022]检测模块,用于检测所述工业控制系统的输入数据、输出数据以及输入数据与输出数据的逻辑关系;
[0023]一致性智能分析模块,用于根据所述输入数据与输出数据的逻辑关系判断所述工业控制系统的输出数据的正确性,将所述输出数据与预设的安全值范围比对并根据比对结果判断所述输出数据的合法性,根据预设的通讯协议白名单判断所述工业控制系统中命令的正常性;
[0024]报警模块,用于接收并分类检测到的错误的输出数据、非法的输出数据、非正常命令;
[0025]数据上传模块,用于对分类后的错误的输出数据、非法的输出数据、非正常命令进行上报。
[0026]进一步地,所述检测模块包括:
[0027]用于检测逻辑信号的逻辑接口信号检测模块;
[0028]用于检测数字开关量信号的数字量输入及输出检测模块;
[0029]用于检测模拟量信号的模拟量输入及输出接口模块。
[0030]进一步地,所述逻辑接口信号检测模块通过检测通讯端口的通讯信号,并获取其波形,然后对其波形进行逻辑分析或编程以获取该通讯端口的逻辑信号。
[0031]进一步地,所述保障工业控制系统信息安全的系统还包括参数配置模块,与所述一致性智能分析模块连接,用于设置所述一致性智能分析模块的分析依据,并将其发送到所述一致性智能分析模块。
[0032]进一步地,所述分析依据包括:各输入数据与输出数据的逻辑关系、各输出数据的安全值范围、通讯协议白名单。
[0033]与现有技术相比,本发明从拟保障信息安全的工业控制系统的最终输出数据的检测出发,预设相关安全值范围及过滤系统中的非正常命令,对被检测的工业控制系统的输出和预设进行可信的一致性对比,及时发现由信息安全引起的系统入侵和故障,从根本上解决工业控制系统的信息安全问题。
【附图说明】
[0034]图1:本发明实施例提供的保障工业控制系统信息安全的方法组成示意图;
[0035]图2:本发明实施例提供的保障工业控制系统信息安全的系统组成示意图;
[0036]图3:上述保障工业控制系统信息安全的系统中检测模块的组成示意图。
【具体实施方式】
[0037]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。
[0038]如图1所示,本发明提供了一种保障工业控制系统信息安全的方法,包括如下步骤:
[0039]步骤A:检测所述工业控制系统的输入数据及输出数据,并根据所述输入数据与输出数据的逻辑关系判断所述工业控制系统的输出数据的正确性;
[0040]步骤B:检测所述工业控制系统的输出数据,并将其与预设的安全值范围比对,并根据比对结果判断所述输出数据的合法性;
[0041]步骤C:检测所述工业控制系统的通讯协议,并据此建立通讯协议白名单,并据此判断所述工业控制系统中命令的正常性;
[0042]步骤D:对上述三个步骤检测到的错误的输出数据、非法的输出数据、非正常命令进行上报。
[0043]其中,输入数据包括:数字量输入数据及模拟量输入数据;所述输出数据包括:数字量输出数据输出模拟量输出数据,以及所述工业控制系统中各执行机构输出值;
[0044]步骤A中,当所述输入数据与所述输出数据符合所述逻辑关系时,判定所述输出数据属于正确的输出数据,否则判定所述