一种基于深度数据过滤的控制系统信息安全网关的制作方法

本发明涉及控制系统与管理系统间的数据安全交换，具体为工业流程领域一种具有深度数据过滤功能的集散控制系统与生产执行系统间的信息安全网关。
背景技术：
：工业化与信息化的发展实现了传统计算机网络与工业控制网络的紧密融合，越来越多的企业管理信息系统，如石油、化工等典型流程工业的生产执行系统(MES)，利用多种数据交互设备从集散控制系统(DCS)采集实时数据，进而完成优化控制。特别是物联网、大数据等新技术的逐步深化应用，管理网与工控网的联系日趋紧密，但同时大大增加了安全风险。现有网关大部分基于协议过滤，即根据源、目的IP地址以及源、目的端口号进行过滤，但无法深入到data段数据，因而对伪装成合法协议的非法数据无能为力。鉴于DCS与MES之间上传/下发的数据是相对固定的，因而可以采用基于数据白名单的安全网关。然而目前普通的基于数据白名单网关只能起到比对数据名称的作用，不能对数据值是否异常等问题进行甄别。如2010年，“震网(Stuxnet)”病毒袭击伊朗布舍尔核电站控制系统，导致大量离心机受损。经过分析，Stuxnet病毒通过改变离心机转速的设定值，使离心机转速超出上限，从而导致设备损毁。技术实现要素：为解决现有技术存在问题，本发明公开了一种基于深度数据过滤的控制系统信息安全网关。该网关采用基于报文data段数据名称比对、上传数据越限报警以及下发数据越限阻断等深度数据过滤技术，实现控制系统安全防护，即只允许满足规则集的data段数据通过，其数据过滤能力显著提高，大幅降低使用合法的数据标签传输非法数据的风险。该发明通过以下技术方案实现，一种基于深度数据过滤的控制系统信息安全网关，该网关包括数据上传模块、数据缓存模块、报文data段数据提取模块、数据封装模块、数据发布模块、数据接收模块、数据缓存模块、报文data段数据提取模块、数据封装模块、数据下发模块、深度数据过滤模块以及深度数据过滤规则集，所述数据上传模块、数据缓存模块、报文data段数据提取模块、深度数据过滤模块、数据封装模块以及数据发布模块顺次连接完成数据上传功能；所述数据接收模块、数据缓存模块、报文data段数据提取模块、深度数据过滤模块、数据封装模块以及数据下发模块顺次连接完成数据下发功能；所述深度数据过滤模块与深度数据过滤规则集连接并根据深度数据过滤规则集进行过滤。优选的，所述报文data段数据提取模块从数据缓存模块中读取报文，并动态根据应用层协议解析报文data段数据。优选的，所述深度数据过滤规则集包括报文data段数据名称比对、上传数据越限报警以及下发数据越限阻断，其中过滤规则集可变更。具体的，所述数据越限报警：根据具体过程数据真实值分别设置上下限，当超过上限或低于下限时，启动报警功能。具体的，所述的下发数据：作为从生产执行系统下发到集散控制系统的设定值，当下发数据不在上下限范围内时，启动阻断功能，且维持当前设定值不变。该网关的上传数据工作流程如下：(1)启动数据上传模块；(2)数据缓存模块缓存报文；(3)解析报文；(4)提取报文data段数据；(5)根据深度数据过滤规则集，过滤data段数据；(6)判断数据是否合法；(7)如果合法，则将数据重新打包；否则跳转到步骤(10)；(8)数据发布模块更新数据；(9)数据发布模块对外发布数据；(10)判断是否继续上传数据，如果是，则跳转到步骤(3)；否则程序结束。该网关的下发数据工作流程如下：(1)启动数据接收模块；(2)数据缓存模块缓存报文；(3)解析报文；(4)提取报文data段数据；(5)根据深度数据过滤规则集，过滤data段数据；(6)判断数据是否合法；(7)如果合法，则将数据重新打包；否则跳转到步骤(10)；(8)数据下发模块更新数据；(9)数据下发模块下发数据；(10)判断是否继续下发数据，如果是，则跳转到步骤(3)；否则程序结束。有益效果：本发明公开了一种基于深度数据过滤的控制系统信息安全网关，具有报文data段数据名称比对、上传数据越限报警以及下发数据越限阻断等功能，只允许满足规则集的data段数据通过，极大降低了控制系统遭受的网络攻击、入侵以及病毒等信息安全风险。附图说明图1是本发明信息安全网关数据上传结构框图；图2是本发明信息安全网关数据下发结构框图；图3是本发明信息安全网关数据上传工作流程图；图4是本发明信息安全网关数据下发工作流程图；图5是本发明深度数据过滤模块流程图。具体实施方式下面结合附图，对本发明的具体实施方式作进一步说明。本实施例以本发明技术方案为前提进行实施，但本发明的保护范围不限于下述的实施例。实施例通过本发明提供的信息安全网关，实现若干DCS系统与MES层的实时数据库IP21间的数据上传或下发。该企业DCS系统包括横河CS3000、霍尼韦尔ExperionPKS等等，本实施例以横河CS3000为例说明，总计上传775个模拟量标签，下发36个模拟量标签。上传和下发都采用国际标准OPC协议。如图1所示，本发明信息安全网关数据上传部分包括数据上传模块、数据缓存模块、报文data段数据提取模块、深度数据过滤模块、深度数据过滤规则集、数据封装模块以及数据发布模块。其中数据上传模块从DCS系统采集实时数据，如温度、压力、流量、液位以及成分等相关参数。采集到的标签首先放入数据缓存模块，调用OPC解析程序提取出data段数据。更进一步的，深度数据过滤模块根据深度数据过滤规则集，对解析出来的data段数据进行检测、比对和筛选；数据封装模块将过滤后的合法数据重新打包成OPC报文；数据发布模块把筛选出的数据以OPC协议上传到实时数据库IP21。如图2所示，本发明信息安全网关数据下发部分包括数据接收模块、数据缓存模块、报文data段数据提取模块、深度数据过滤模块、深度数据过滤规则集、数据封装模块以及数据下发模块。MES层待下发的标签通过数据接收模块进入数据缓存模块，然后报文data段数据提取模块调用OPC解析程序，提取出data段数据。更进一步的，深度数据过滤模块根据深度数据过滤规则集，对解析出来的data段数据进行下发数据检测、比对和筛选；数据封装模块将过滤后的合法数据重新打包成OPC报文；数据下发模块更新数据同时把筛选出的数据以OPC协议下发到DCS系统。如图3所示，本实施例中信息安全网关数据上传工作流程如下：(1)启动数据上传模块，当数据上传模块启动时：从启动输入参数中，获取指定采集配置文件opccollcfg.ini，预先读取初始化配置文件opcsvrcfg.ini，加载采集配置文件opccollcfg.ini。初始化完成后，读取采集配置对象中的OPC连接信息，并连接到横河CS3000DCS中的OPCServer。连接成功后,遍历采集配置文件opccollcfg.ini中的分组信息，向OPCServer对象中添加分组groupTemperature、groupPressure、groupFlowrate、groupLevel以及groupConcentration，这5个分组分别对应温度、压力、流量、液位以及成分，对应关系如表1所示。以上5组数据上传周期均设为15秒，添加分组成功后并激活分组。表1OPCServer对象分组与名称对应关系温度压力流量液位成分groupTemperaturegroupPressuregroupFlowrategroupLevelgroupConcentration在上传数据的过程中，本实施例总计上传775个模拟量，其中温度150个、压力160个、流量195个、液位185个，以及成分185个，每组对应的模拟量标签名称如表2所示。表2每组数据标签名称本实施例中深度数据过滤规则集中的数据如表3所示：表3深度数据过滤规则集中的数据温度groupTemp.TagTI-001、groupTemp.HTI-001、groupTemp.LTI-001…压力groupPre.TagPre-151、groupPre.HPre-151、groupPre.LPre-151…流量groupFlow.TagFl-311、groupFlow.HFl-311、groupFlow.LFl-311…液位groupLevel.TagLev-506、groupLevel.HLev-506、groupLevel.LLev-506…成分groupCon.TagCon-591、groupCon.HCon-591、groupCon.LCon-591…以温度数据为例，针对第一个温度标签TI-001.PV，表3中设置了groupTemp.TagTI-001、groupTemp.HTI-001和groupTemp.LTI-001，分别表示TI-001.PV的标签名称、上限和下限。其它类推。(2)报文data段数据提取模块检测报文的传输协议：提取模块从数据缓存模块中读取报文，进而判断报文应用层协议的种类，本实施例中判断出报文为OPC协议。(3)深度数据过滤规则集：本实施例中具体数据标签如表3所示；上下限报警根据具体的物理量范围分别设置，以该企业某常压加热炉出口温度为例，该炉出口温度正常值为370℃，上限为390℃，下限为350℃。其它各具体物理量上下限的设置类似。(4)深度数据过滤：根据深度数据过滤规则集，对OPC报文中的数据段，即从DCS中采集上来的数据进行过滤。根据规则集中的温度、压力、流量、液位以及成分等详具体签点，对提取出的数据段进行对比分析，如果得到的数据位于上述规则集中，则保留报文；否则丢弃；更进一步地，进行上下限越限检测并报警。以本实施例中的某次数据采集为例，在本次数据过滤中：人为从groupTemperature、groupPressure、groupFlowrate、groupLevel以及groupConcentration等分组中随机去掉若干个标签，并人为修改部分参数的上下限，然后进行数据采集，网关通过数据包data段数值比对，均能及时发现标签错误，防止了数据的非法上传。同时均能发现异常的参数值，并启动报警。经过以上步骤，数据封装模块将过滤出的合法数据重新进行打包处理，进一步传输到数据发布模块，由MES层读取并存储于IP21数据库中。如图4所示，信息安全网关数据下发工作流程如下：(1)启动数据接收模块，MES层将待下发的优化结果，即控制系统的设定值，以OPC报文的形式通过数据接收模块送入数据缓存模块。(2)后续工作流程与上传工作流程类似，直到进入深度数据过滤环节：在数据下发过程中，深度数据过滤进行下发数据检测。以本实施例中的某次测试为例，人为将常压加热炉出口温度设置在400℃，而该企业的常压加热炉出口温度设定值限定在358-380℃之间，此时网关能自动阻断该值的下发，并将出口温度维持在上次设定的正常值，即372℃，防止了因温度过高可能造成的设备损坏。经过以上步骤，数据封装模块将过滤出的合法数据重新进行打包处理，进一步传输到数据下发模块，数据下发模块进行数据更新，同时将合法数据下发到相应DCS系统中。如图5所示，深度数据过滤模块流程图如下：(1)开始；(2)接收报文；(3)解析报文，判断报文的应用层协议种类；(4)根据具体应用层协议解析报文，获取data段内容；(5)根据深度数据过滤规则集，过滤报文data段内容；(6)判断过滤是否成功：如果是，则更新标签点；否则退出程序。综上所述，本发明提供了一种基于深度数据过滤的控制系统信息安全网关，基于深度数据过滤规则集机制，只允许满足规则集的data段数据通过，大幅降低了控制系统遭受的网络攻击、入侵以及病毒等信息安全风险。本发明已通过上述实施例及其附图说明清楚，以上仅为本发明的一个具体实例，不构成对本发明的任何限制。在不背离本发明精神和实质的情况下，所属领域的技术人员可根据本发明做出相应变化和修正，这些变化和修正都属于本发明权利要求的保护范围。本发明未涉及方法均与现有技术相同或可采用现有技术加以实现。当前第1页1 2 3