专利名称:工业控制网络安全防护方法及系统的制作方法
技术领域:
本发明涉及一种工业控制网络安全防护方法及系统,属于工业控制网络领域。
背景技术:
工业控制系统负责对生产装置的连续控制,具有不可间断的高可靠性要求和不可延迟的高实时性要求。目前,工业控制系统中的计算机以及通讯设备多使用IT系统的反病毒技术和网络安全技术来防护。但是,许多在线查杀、云查杀技术会影响系统的稳定性,杀毒程序升级和软件补丁可能导致系统重启,不适用于连续生产过程。工业领域的通讯包含了 IP网络、公共有线或无线网络、无线传感网络、电力载波网络、现场总线等多种形式,外部入侵的途径有多种可能性。网关位置的安全防护是信息安全的基础,但传统的防火墙仅能解决非授权访问的问题,无法提供更深层的安全防护。作为对防火墙的补充,防毒墙、网络入侵防御(NIPS)、VPN等安全设备纷纷出现在网关的位置。 这种“糖葫芦串”式安全部署所带来的问题,除了投资成本、管理成本的迅速增加,能耗也呈指数性地上升。目前计算机病毒、各种网络攻击等新特点层出不穷,工业控制系统面临着安全新挑战,而国内大部分工业自动化系统的网络层采取了一些传统安全防护措施,但物理层安全防护还没有成熟的产品和解决方案,无法应对越来越严重的内部攻击。而且应用与信息领域相关的许多安全技术都需要改动现有的工业硬件系统和网络,而这将会增加系统改造成本。在工业领域,安全隔离网闸应具有高度安全性,但是目前网闸都是采用基于硬件开关控制,受限于现有技术条件;大部分采用了基于工控机的硬件架构,安全性差,可靠性差,功耗高(均在200瓦以上),噪音大,启动速度极慢(2分钟以上);并且一般都是针对特定应用的,不能方便同时支持多种应用,部分不支持工业通信标准,如Profibus、CAN等。国外已有工业自动化网络防护方面的产品面市,比如加拿大Tofino公司的硬件安全网闸和美国Industrial Defender公司的安全防护网络。国内暂无相关的产品面市。 总体上,国外的产品发展较早,国内基本空白。对于该领域的学术文献,也是国外的较多,国内的较少。加拿大Tofino公司的硬件安全网闸产品是基于串联式硬件防护的主动防御技术,但是仅仅支持标准以太网接口的通信,对于其他通信网络无法接入,而且还不能有效防御控制系统底层的内部攻击;美国Industrial Defender公司的安全防护网络产品是基于在线监控的被动防御技术,但各种监控设备比较复杂,对软件病毒数据库的要求较高。国内该领域的技术产品多是基于IT防护的技术,不能满足工业控制网络的要求。
发明内容
本发明的目的在于,提供一种工业控制网络安全防护方法及系统,在不改变工业企业的软硬件设备和网络布局的情况下,能够大大提高工业控制系统的网络安全水平,降
4低投资、改造系统及管理的成本。为解决上述技术问题,本发明采用如下的技术方案一种工业控制网络安全防护方法,采用3主机结构和三层防护策略,包括以下步骤
针对外部网络攻击,前方主机对外部网络通讯数据进行第一层数据过滤和访问控制, 过滤非法身份的访问,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,后方主机对数据进行深层过滤和访问控制,合法数据进入到内部网络;
针对内部网络攻击,后方主机对内部网络通讯数据进行第一层数据过滤和访问控制, 过滤非法身份的访问,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,前方主机对数据进行深层过滤和访问控制,合法数据进入到外部网络。所述内部网络,是在企业内等特定的组中提供服务的网络或按照不同标准分割的网络空间,是必须确保安全的网络;所述外部网络,是与内部网络相对应的网络,即安全性较低的网络,可以是企业局域网、不特定的多数所连接并利用的广域网或公众网,甚至互联网。前述的工业控制网络安全防护方法中,所述主机都采用基于安全芯片TPM的动态可信度量策略,建立基于TPM的可信根及可信链,将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内,在内部完成密钥生成、数据加密和身份认证。前述的工业控制网络安全防护方法中,前方主机、后方主机与安全控制主机之间采用自定义协议进行数据传输,通过标准协议(一般指工业标准通信协议及总线,基于国际标准化机构(ISO)、IEEE、ANSI、ITU、IEC、JIS等或者行业标准化机构制定的标准通信协议, 其标准格式公开而任何人都能获得的通信协议)与自定义协议的转换实现网络协议阻断和纯数据交换,在应用层对传递的数据内容进行深度检测。前方主机、后方主机通过标准协议与连接的网络进行通信,在标准协议与非标准协议之间进行通信数据的协议转换,即将标准协议数据转换为自定义协议,标准协议与自定义协议仅在应用层进行通讯,两侧主机与安全控制主机采用非公开的自定义协议进行通信,避免了攻击者由于熟悉协议规则进行的攻击。其中,在数据转换前,需要进行端口扫描及IP过滤等安全验证,如果未通过验证,分情况进行处理,或者生成报警信息发送给前方主机、后方主机,或者响应处理等;如果未通过动态可信度量验证,则终止该次通信;如果有报警信息,需要首先对报警信息进行确认, 再进行相应处理。前述的工业控制网络安全防护方法中,安全控制主机采用基于场景(场景是用来表征系统当前状态和功能的任何信息)的混合入侵检测算法在应用层进行数据深层过滤, 如果检测到异常,就生成报警信息,上传到配置管理中心,并通知前方主机、后方主机采取相应的策略进行处理。基于场景的混合入侵检测算法能够利用与工业控制系统物理模型及非法入侵检测系统有关的现有各种技术来实现,如自适应专家系统等,同时将获得的知识抽象成与各个工业控制系统一致的控制规则,存储到本地规则库。前述的工业控制网络安全防护方法中,所述主机都采用安全访问控制策略防御外部攻击,安全访问控制策略包括用户权限控制、端口控制和源IP/目的IP过滤。实现前述方法的一种工业控制网络安全防护系统,采用3主机结构,分别为前方主机、安全控制主机和后方主机;前方主机和后方主机的结构相同,都通过LAN硬件分别与外部网络、内部网络相连;安全控制主机通过一个共用存储区缓存来自前方主机、后方主机的数据。三主机之间采用现有的高速数据传输技术来保证高速的数据吞吐率。前述的工业控制网络安全防护系统中,前方主机和后方主机都包括动态可信度量模块、响应处理模块、数据转换及通信模块、数据更新模块和报警信息处理模块。数据转换及通讯模块包括标准协议通信模块,用于通过标准协议与连接至该主机一侧的网络进行通信;自定义协议模块,用于通过非公开的自定义协议与安全控制主机进行通信;协议转换模块,在标准协议与非标准协议之间进行通信数据的协议转换,即将标准协议数据转换为自定义协议或者自定义协议转换为标准协议,标准协议与自定义协议仅在应用层进行通讯,有效屏蔽利用1至6层协议安全漏洞进行的攻击。其中,在数据转换前,需要进行端口扫描及IP过滤等安全验证,如果未通过验证,分情况进行处理,或者生成报警信息发送给报警信息处理模块,或者交给响应处理模块进行处理等;同时与响应处理模块进行信息交换,如果未通过动态可信度量验证,则终止该次通信;与报警信息处理模块进行信息交互,如果有报警信息,需要首先对报警信息进行确认,再进行相应处理。前述的工业控制网络安全防护系统中,安全控制主机包括动态可信度量模块、响应处理模块、通信处理模块、入侵检测模块和数据更新模块。入侵检测模块采用基于场景的混合入侵检测算法对数据进行深层应用层数据过滤,如果检测到异常,就生成报警信息,上传到配置管理中心,并通知前方主机、后方主机采取相应的策略进行处理。数据更新模块与前方主机、后方主机的数据更新模块进行通信,将其更新信息下发到前方主机、后方主机的更新存储器区域;该模块可以进行在线更新配置和数据,保证工业控制过程的连续性和稳定性。前述的工业控制网络安全防护系统中,动态可信度量模块采用基于安全芯片TPM 的动态可信度量策略,建立基于TPM的可信根及可信链,将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内,在内部完成密钥生成、数据加密和身份认证。前述的工业控制网络安全防护系统中,所述系统还包括与安全控制主机的数据更新模块进行通信的配置管理中心,用于系统配置、数据更新与维护、界面显示与数据查询及日志管理。配置管理中心是一个配置管理平台,可以布置在一个工作站上或者一台本地计算机上,它主要将配置信息下载到相应的工业控制网络安全系统,报警、操作日志的存储、 查询,专家系统知识库的维护等,采用基于XML的中间件技术以及组件化、模块化的设计思想,将各种配置管理、安全策略/规则封装成独立的组件,提供二次开发接口,提供可视化的图形化应用界面,方便用户使用和定制个性化的安全策略/规则;同时人机界面接口提供了对专家系统知识规则库的维护、对各种报警日志数据库的维护及查询、浏览功能。与现有技术相比,本发明采用三主机结构,对内、外部网络攻击进行防御,建立基于TPM的可信根及可信链,采用基于TPM的动态可信度量技术,增强装置自身抗攻击能力; 采用用户权限控制、端口控制、源IP /目的IP过滤等安全访问控制策略,防御常规端口扫描等外部攻击;由于位于开放型相互连接系统的低层的数据链路层,或网络层上实施的数据包过滤无法进行复杂的条件的设定和控制,存在着安全性低的缺点,因此采用基于自定义协议的纯数据检测技术,即通过自定义协议转换方法实现网络协议阻断和纯数据交换, 在应用层上对传递的数据内容进行深度检查,防护IP欺骗、木马后门等攻击具有更高的
6安全性;根据工业控制网络内部攻击类型和特点,将控制系统场景数据、物理模型通过专家系统抽象映射到混合入侵检测模型中,采用基于场景的混合入侵检测模型,用场景作为数据源来检测用户的动机,对控制系统来说,可通过构建物理模型来映射网络数据流量,抽象成网络行为规则,进行检测非法入侵行为,不但可以用来检测入侵和异常行为,还能够处理内部攻击、系统故障、硬件退化、异常环境条件及意外误用操作等,控制系统底层内部攻击的防御。即使来自一方的网络的非法数据入侵了两侧主机,也能够采用3层安全结构阻止该非法数据向另一方网络的入侵;即使非法数据通过了第一层一侧主机的防护,在安全控制主机进行第二层的安全防护,通过对纯数据深层检测及入侵报警,也能及时阻止非法数据;即使由于非法数据篡改了第一主机的数据过滤规则,数据通过第二层安全防护,入侵检测模块能及时对数据异常进行报警;两侧主机与安全控制主机由于采用未公开的自定义协议的数据传输,那么到了另一侧主机可以进行第三层的安全防护,即非法数据不能篡改另一侧主机的数据过滤规则,通过检测到两侧主机过滤规则的不一致也能检测出异常,可以及时阻止非法数据。采用被动检测与主动防御相结合的安全策略,对内、外部网络数据进行三层过滤,具有传统IT安全防护产品所不具有的优势,即它能有效防御内部攻击,通过检测到内部攻击,及时消除,或者将内部攻击限定在局部的内部网络,使之不能蔓延到其他局域网络或者外网,对外部网络造成破坏,进而对工业控制系统进行更好的三层安全防护,能够大大提高工业控制系统的网络安全水平。本发明公开的系统支持多种工业总线标准及协议,兼容现有的工业硬件系统和网络,在提高系统安全性能的同时,大大降低了系统的投资、改造和管理成本。本系统具有在线更新功能,根据工业控制系统负责对生产装置的连续控制功能, 满足其具有不可间断的高可靠性要求和不可延迟的高实时性要求,保证了工业控制过程的连续性和稳定性。该功能实施可以采用现有的优选技术来实现。如设置两段代码区分别存储升级前和升级后的代码,通过更改用户代码跳转指令,运行更新后的代码,而不用中断程序的执行或进行重启操作。
图1是本发明的一种实施例的系统结构示意图2是本发明的一种实施例的前方主机的数据转换及通信模块的结构示意图; 图3是本发明的一种实施例的通信处理模块的结构示意图; 图4是本发明的一种实施例的前后方主机的工作流程图; 图5是本发明的一种实施例的安全控制主机的工作流程图。下面结合附图和具体实施方式
对本发明作进一步的说明。
具体实施例方式
具体实施例方式一种工业控制网络安全防护方法,采用3主机结构和三层防护策略,包括以下步骤
针对外部网络攻击,前方主机对外部网络通讯数据进行第一层数据过滤和访问控制, 过滤非法身份的访问,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,后方主机对数据进行深层过滤和访问控制,合法数据进入到内部网络;
针对内部网络攻击,后方主机对内部网络通讯数据进行第一层数据过滤和访问控制, 过滤非法身份的访问,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,前方主机对数据进行深层过滤和访问控制,合法数据进入到外部网络。所述内部网络,是在企业内等特定的组中提供服务的网络或按照不同标准分割的网络空间,是必须确保安全的网络;所述外部网络,是与内部网络相对应的网络,即安全性较低的网络,可以是企业局域网、不特定的多数所连接并利用的广域网或公众网,甚至互联网。所述主机都采用基于安全芯片TPM的动态可信度量策略,建立基于TPM的可信根及可信链,将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内,在内部完成密钥生成、数据加密和身份认证。前方主机、后方主机与安全控制主机之间采用自定义协议进行数据传输,通过标准协议与自定义协议的转换实现网络协议阻断和纯数据交换,在应用层对传递的数据内容进行深度检测。前方主机、后方主机通过标准协议与连接的网络进行通信,在标准协议与非标准协议之间进行通信数据的协议转换,即将标准协议数据转换为自定义协议,标准协议与自定义仅在应用层进行通信。其中,在数据转换前,需要进行端口扫描及IP过滤等安全验证,如果未通过验证,分情况进行处理,或者生成报警信息发送给前方主机、后方主机,或者响应处理等;如果未通过动态可信度量验证,则终止该次通信;如果有报警信息,需要首先对报警信息进行确认,再进行相应处理。安全控制主机采用基于场景的混合入侵检测算法对数据进行深层应用层数据过滤,如果检测到异常,就生成报警信息,上传到配置管理中心,并通知前方主机、后方主机采取相应的策略进行处理。基于场景的混合入侵检测算法能够利用与工业控制系统物理模型及非法入侵检测系统有关的现有各种技术来实现,如自适应专家系统等,同时将获得的知识抽象成与各个工业控制系统一致的控制规则,存储到本地规则库。所述主机都采用安全访问控制策略防御外部攻击,安全访问控制策略包括用户权限控制、端口控制和源IP/目的IP过滤。实现前述方法的一种工业控制网络安全防护系统,如图1所示,采用3主机结构, 分别为前方主机、安全控制主机和后方主机;前方主机和后方主机的结构相同,都通过LAN 硬件分别与外部网络、内部网络相连;安全控制主机通过一个共用存储区缓存来自前方主机、后方主机的数据。三主机之间采用现有的高速数据传输技术来保证高速的数据吞吐率。 所述系统还包括与安全控制主机的数据更新模块进行通信的配置管理中心,用于系统配置、数据更新及数据上传。、前方主机和后方主机是由嵌入式主机的嵌入式硬件、嵌入的TPM安全芯片的独立硬件以及位于嵌入式硬件上的嵌入式实时操作系统构成,这里采用的操作系统是经过裁剪定制的Iinux实时操作系统。其中,在嵌入式硬件中,附加了由网络端口构成的LAN硬件。LAN硬件与外部网络进行基于标准(工业)协议进行通信。LAN硬件构成标准协议通信的硬件层,嵌入式硬件的一部分构成自定义协议通信的硬件层。前方主机和后方主机都包括动态可信度量模块、响应处理模块、数据转换及通信模块、数据更新模块和报警信息处理模块。动态可信度量模块采用基于安全芯片TPM的动态可信度量策略,通过TPM安全芯片与传统硬件重新设计可信BIOS,通过ARM的APB总线集成到主板上,使得安全芯片在系统启动过程中进行信任度量;将可信度量从静态度量扩展到进程及模块的度量,将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内,在内部完成密钥生成、数据加密和身份认证,利用TPM进行硬件级别的保护。该安全策略实现了数据物理隔离及网络安全认证,可以完成一些实时攻击方法的检测,可以防止内部攻击,保证了操作系统内核级别的安全访问和操作。如图2所示,前方主机的数据转换与通信模块由标准协议通信、协议转换、自定义协议、端口控制、IP过滤等模块组成,标准协议通信模块与外部网络进行通信,用于接收数据;协议转换模块,用于将标准协议转换为自定义协议或将自定义协议转换为标准协议,标准协议与自定义协议的收发仅在第7层应用层进行,有效屏蔽利用1至6层协议安全漏洞进行的攻击,但是必须在端口控制、IP过滤模块的数据过滤满足要求的条件下才能进行协议转换,否则该数据包进行相应的处理,如丢弃或拒绝等;自定义协议通信模块,用于与安全控制主机进行通信,将数据转发到安全控制主机进行深层过滤及处理。后方主机的数据转换与通信模块与前方的数据转换与通信模块的工作原理是相同的,不再赘述。、安全控制主机包括动态可信度量模块、响应处理模块、通信处理模块、入侵检测模块和数据更新模块。动态可信度量模块与前后方主机的动态可信度量模块的结构和功能是相同的。如图3所示,安全控制主机上的通信处理模块由两端的自定义协议通信模块分别与前方主机和后方主机进行通信,将接收的数据分别缓存在共用存储区,数据处理模块负责对数据进行可信验证及调度,如果通过验证,则通知两端自定义协议通信模块其中之一可以进行下一步通信传输,若未通过验证,则将数据丢弃或进行相应处理。其中,上述验证方法是基于响应处理模块得到的动态可信度量结果及入侵检测结果进行的。数据处理模块还与数据更新模块通信,将报警信息等结果通过数据更新模块上传到配置管理中心或前后方主机。入侵检测模块采用基于场景的混合入侵检测算法对数据进行深层应用层数据过滤,如果检测到异常,就生成报警信息,上传到配置管理中心,并通知前方主机、后方主机采取相应的策略进行处理。数据更新模块与前方主机、后方主机的数据更新模块进行通信,将其更新信息下发到前方主机、后方主机的更新存储器区域;该模块可以进行在线更新配置和数据,保证工业控制过程的连续性和稳定性。报警信息处理模块,主要收集所有的报警信息,及时通知数据转换与通信模块,使其根据报警级别和分类进行相应的处理,同时与数据更新模块通信,通过安全控制主机将报警信息上传到管理配置中心。响应处理模块,用于处理动态可信度量模块及数据转换与通信模块检测出的异常,同时将动态可信度量模块的异常信息及时通报给数据转换与通信模块。、配置管理中心是一个配置管理平台,可以布置在一个工作站上或者一台本地计算机上,它主要将配置信息下载到相应的工业控制网络安全系统,报警、操作日志的存储、查询,专家系统知识库的维护等,采用基于XML的中间件技术以及组件化、模块化的设计思想,将各种配置管理、安全策略/规则封装成独立的组件,提供二次开发接口,提供可视化的图形化应用界面,方便用户使用和定制个性化的安全策略/规则;同时人机界面接口提供了对专家系统知识规则库的维护、对各种报警日志数据库的维护及查询、浏览功能。、要实现工业控制网络安全防护系统的真正的安全可信,首先要保证系统硬件和操作系统的可信,增强系统自身的抗攻击能力;而要保证操作系统可信,就必须解决操作系统引导过程的可信及运行过程中可信链的传递。基于软硬件相结合的技术,通过在嵌入式平台内部引入可信硬件设备TPM安全芯片作为系统安全性的支撑模块,对系统引导及运行过程所需要的主要密码运算和安全存储提供支持。嵌入式平台上Boot Loader严重依赖于硬件平台,必须在考虑嵌入式平台的基础上对Boot Loader进行重新设计。对于采用ARM+ Linux开发平台来说,Boot Loader通常分为两个阶段第一个阶段通常是一段代码,包括基本硬件初始化,为第二阶段准备RAM空间,复制Boot Loader的第二阶段代码到RAM,设置堆栈,之后跳转到第二阶段的程序入口点;第二阶段通常是C程序,包括初始化本阶段要用到的硬件设备,检查系统内存映射,将内核影像和根文件映像从Flash读到RAM,为内核设置启动参数,最后调用操作系统内核。前方主机的工作流程图如图4所示,系统首先进行硬件BIOS可信引导过程,进行以下处理硬件平台和TPM同时加电,TPM初始化,首先度量第一阶段关键代码的完整性;对硬件平台上各种硬件进行初始化,并度量其组成与配置;对第二阶段程序代码进行度量,为第二阶段准备RAM空间,复制第二段代码到RAM,设置堆栈,掉转到程序入口 ;检查系统内存映射,进行完整性度量,操作系统度量应用程序完整性,生成全部完整性度量值,存入MM ; 设置内核启动参数,调用内核,TPM将完整性值报告给操作系统;操作系统将完整性序列值和已存储在TPM内部的验证码进行比较;如两者不同,则中断系统运行,进行系统恢复,重启;若两者相同,系统能够正常启动,然后进入系统正常运行状态。系统进入正常的运行状态,系统程序的调度和响应是采用线程及中断方式进行的,操作系统基于线程及中断的调度方式可以实现快速切换、多处理器的并行运行,满足系统实时性的要求。系统按照以下流程工作的首先,进行系统、线程及中断初始化,为系统工作做准备;然后通过设置状态字及优先级的方式,进行线程及中断服务程序的调用,直到接收到结束命令。对于前方主机,处理流程主要由动态可信度量线程、数据通信及处理中断服务程序和数据更新服务程序组成。其中,数据通信及处理中断服务程序,采用优先级最高的硬件中断方式,对ARM处理器来说,采用FIQ (快速中断请求)中断模式;而数据更新中断服务程序,采用优先级比较低的硬件中断方式;对于ARM处理器来说,采用IRQ (外部中断模式)。这样,FIQ中断可以打断IRQ模式,实现中断嵌套,保证数据传输的实时性。数据通信及处理中断服务程序主要功能是完整数据接收、标准协议与自定义协议的转换、数据访问控制(端口控制、IP过滤等)及数据发送。数据更新中断服务程序响应中断请求,进行数据更新服务。动态可信度量线程,采用设置状态字的方式进行控制,当有一个度量请求到来的时候,将状态字置1,通过查询状态字来进行动态可信度量线程的调用; 程序执行的过程中,如果检测到中断信号,就响应中断,转而执行中断服务程序;中断服务程序执行完毕,再重新返回到程序原来的地方继续执行。
10
后方主机的工作流程基本与前方主机相同,如图4所示,不再赘述。如图5所示,实施例所涉及的系统中安全控制主机的工作流程与前方主机类似, 不同在于系统正常启动以后,在进行线程及中断调度的过程中,多了一个入侵检测线程, 该线程与动态可信度量线程也是通过设置状态字的方式来进行线程的同步,其它流程与调度方法与前方主机相同。以上对本发明实施方式提供的技术方案进行了详细的介绍,本文中应用了具体实施例对本发明所实施的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明实施的原理;同时,对于本领域的一般技术人员,本发明实施例,在具体实施方式
以及应用范围上均有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种工业控制网络安全防护方法,其特征在于,采用3主机结构和三层防护策略,包括以下步骤针对外部网络攻击,前方主机对外部网络通讯数据进行第一层数据过滤和访问控制, 过滤非法身份的访问,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,后方主机对数据进行深层过滤和访问控制,合法数据进入到内部网络;针对内部网络攻击,后方主机对内部网络通讯数据进行第一层数据过滤和访问控制, 过滤非法身份的访问,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,前方主机对数据进行深层过滤和访问控制,合法数据进入到外部网络。
2.根据权利要求1所述的工业控制网络安全防护方法,其特征在于所述主机都采用基于安全芯片TPM的动态可信度量策略,建立基于TPM的可信根及可信链,将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内,在内部完成密钥生成、数据加密和身份认证。
3.根据权利要求1所述的工业控制网络安全防护方法,其特征在于前方主机、后方主机与安全控制主机之间采用自定义协议进行数据传输,通过标准协议与自定义协议的转换实现网络协议阻断和纯数据交换,在应用层对传递的数据内容进行深度检测。
4.根据权利要求1所述的工业控制网络安全防护方法,其特征在于安全控制主机采用基于场景的混合入侵检测算法对数据在应用层进行数据深层过滤,如果检测到异常,就生成报警信息,上传到配置管理中心,并通知前方主机、后方主机采取相应的策略进行处理。
5.根据权利要求1所述的工业控制网络安全防护方法,其特征在于所述主机都采用安全访问控制策略防御外部攻击,安全访问控制策略包括用户权限控制、端口控制和源IP/ 目的IP过滤。
6.实现权利要求1 5所述方法的一种工业控制网络安全防护系统,其特征在于采用3主机结构,分别为前方主机、安全控制主机和后方主机;前方主机和后方主机的结构相同,都通过LAN硬件分别与外部网络、内部网络相连;安全控制主机通过一个共用存储区缓存来自前方主机、后方主机的数据。
7.根据权利要求6所述的工业控制网络安全防护系统,其特征在于,前方主机和后方主机都包括动态可信度量模块、响应处理模块、数据转换及通信模块、数据更新模块和报警信息处理模块。
8.根据权利要求6所述的工业控制网络安全防护系统,其特征在于安全控制主机包括动态可信度量模块、响应处理模块、通信处理模块、入侵检测模块和数据更新模块。
9.根据权利要求7或8所述的工业控制网络安全防护系统,其特征在于动态可信度量模块采用基于安全芯片TPM,建立基于TPM的可信根及可信链,通过TPM安全芯片与传统硬件重新设计可信BIOS,将可信度量从静态度量扩展到进程及模块的动态度量,利用TPM 进行硬件级别的保护,即将敏感数据存放在TPM芯片内部和其他组件隔离的存储器内,在内部完成密钥生成、数据加密和身份认证。
10.根据权利要求8所述的工业控制网络安全防护系统,其特征在于所述系统还包括与安全控制主机的数据更新模块进行通信的配置管理中心,用于系统配置、数据更新与维护、界面显示与数据查询及日志管理。
全文摘要
本发明公开了一种工业控制网络安全防护方法及系统,所述方法包括以下步骤针对外部网络攻击,前方主机对外部网络数据进行第一层数据过滤和访问控制,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,后方主机对数据进行深层过滤和访问控制,合法数据进入到内部网络;针对内部网络攻击,后方主机对内部网络数据进行第一层数据过滤和访问控制,安全控制主机通过共用存储区来缓存数据,对数据进行入侵检测,对非法数据进行及时报警并通知两侧主机,前方主机对数据进行深层过滤和访问控制,合法数据进入到外部网络。本发明能提高工业控制系统的网络安全水平,降低投资、改造系统及管理的成本。
文档编号H04L29/06GK102438026SQ20121000850
公开日2012年5月2日 申请日期2012年1月12日 优先权日2012年1月12日
发明者于立业, 张云贵, 王丽娜, 薛向荣, 赵永丽, 车飞 申请人:冶金自动化研究设计院