一种用于DCS系统的信息安全防护系统的制作方法

本发明属于火力发电技术领域，尤其涉及一种用于dcs系统的信息安全防护系统。

背景技术：

dcs(distributedcontrolsystem)为分散控制系统的简称，以微处理器为基础，采用控制功能分散、显示操作集中、兼顾分而自治和综合协调的设计原则的新一代仪表控制系统。

随着企业现代信息化发展，dcs技术的未来发展必将走向信息化领域，不仅要提供传统的生产数据给一线员工，同时还要具备生产数据上传的各种信息平台。从这方面来说，dcs系统既要为采集和处理全厂必要的生产实时数据服务，同时还要提供良好的接口及对外开放功能以满足企业数据信息化的数据要求，这就使得dcs生产控制网络和企业信息网络有了互联，甚至还可能与internet有更广泛的连接。影响dcs系统网络的不安全因素主要有两个方面：物的不安全因素和人的不安全因素。对于dcs网络来说，物的不安全因素主要是网络物理层的不安全和数据层的不安全，人的不安全因素主要在于管理的缺位、漏洞以及人的行为的不规范、不确定以及随意性。

dcs系统逐渐向开放性转换，系统结构也更加简单化，更加方便地实现了数据获取。使得dcs系统直接、间接的与外界互联网产生联系，以至于外部不良侵入、病毒感染可能对dcs网络造成损害。

dcs系统采用的各种操作系统(如：windows)存在漏洞，入侵者利用这些漏洞进行网络攻击，但目前各个dcs网络并没有采取防病毒、木马的措施。

技术实现要素：

本发明的目的是提供一种用于dcs系统的信息安全防护系统，对生产区整体划分为3个安全域，分别为1#安全域(公用系统)、2#安全域(主控dcs系统)、3#安全域(辅控dcs系统)。从网络安全、主机安全及应用安全三方面进行设计，增加安全管理平台、安全网闸、入侵检测系统、网络审计系统、日志审计系统、工业防病毒软件、主机加固及相关硬件、附属设备，保障dcs系统信息网络安全稳定运行。

本发明提供了一种用于dcs系统的信息安全防护系统，包括：

工业安全隔离网闸，部署于dcs网络和sis系统网络边界，用于dcs系统与sis系统隔离，保护dcs系统网络边界安全；

工业网络审计系统，部署于dcs系统的主交换机旁路，用于网络全流量审计、告警和分析；

工业日志审计系统，部署于dcs系统，用于对各安全设备、网络设备、主机系统、数据库进行日志数据采集、分类和分析；

工业入侵检测系统，部署于sis三层核心交换机旁路，用于对工业网络传输数据进行即时监视，对网络数据流量进行入侵检测和告警。

进一步地，该系统还包括部署于dcs系统与辅网dcs系统边界，用于对dcs系统及辅网dcs系统进行逻辑隔离的工业防火墙。

进一步地，该系统还包括部署于各工作站主机的工业防病毒软件。

进一步地，该系统还包括部署于dcs系统，用于集中采集各被防护设备及安全设备的事件及告警信息，进行集中安全信息处理和分析的工业安全管理平台。

进一步地，该系统还包括部署于dcs系统，用于连接各安全设备，组成信息安全专网，实现业务数据与信息安全数据传输网络分离的信息安全专网交换机。

进一步地，该系统还包括部署于dcs系统，用于确保信息安全设备与dcs系统的时钟一致，以提高数据追溯准确性、可靠性的信息安全设备校时设备。

进一步地，该系统还包括dcs系统内通过关闭各种易被利用的服务端口，切断病毒渗入的入口，以进行网络加固的工控机。

进一步地，该系统还包括安装有工业白名单软件的dcs系统主机电脑。

借由上述方案，通过用于dcs系统的信息安全防护系统，具有如下技术效果：

1)通过网络审计、日志审计功能，可以实现dcs网络数据流量、设备的状态进行分析、检测，通过报文深度解析，对各种非法行为、非法设备，病毒进行阻止并进行报警。

2)通过对主机电脑安装设计工业白名单软件，将dcs系统运行在一个独立、安全的局部环境，任何想对dcs系统进行操作的服务都需要经过白名单的安全检测、允许，实现对病毒的隔离、可控。

3)通过在dcs网络边界增加入侵检测系统，可以对病毒的入侵提前检测报警，人为的采取手段切断病毒的进一步渗入。

4)通过对dcs系统的数据dcs系统现场各台工控机进行主机加固，删除无用、默认的路由配置、ip，对现场不必要的服务进行关闭，不必要的tcp、udp端口进行关闭(例如：21/23、135/137/445等)，隔离病毒入侵的入口。

附图说明

图1是本发明用于dcs系统的信息安全防护系统部署图一；

图2是本发明用于dcs系统的信息安全防护系统部署图二。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

参图1、图2所示，本实施例提供了一种用于dcs系统的信息安全防护系统，包括：

工业安全隔离网闸，部署于dcs网络和sis系统网络边界，用于dcs系统与sis系统隔离，保护dcs系统网络边界安全。

工业网络审计系统，部署于dcs系统的主交换机旁路，用于网络全流量审计、告警和分析。网络审计是基于互联网，借助现代信息技术，运用专门的方法，通过人机结合，对被审计单位的网络会计信息系统的开发过程及本身的合规性、可靠性和有效性以及基于网络的会计信息的真实性、合法性进行远程审计。本实施例通过dcs系统现场布置工业网络审计设备，实现对各台工控机的网络状态等进行监控，并记录所有的网络通信行为，分析网络各种报文数据。

工业日志审计系统，部署于dcs系统，用于对各安全设备、网络设备、主机系统、数据库进行日志数据采集、分类和分析。通过dcs系统现场布置工业日志审计设备，采集、分类和分析dcs系统内的各个设备日志及数据。

工业入侵检测系统，部署于sis三层核心交换机旁路，用于对工业网络传输数据进行即时监视，对网络数据流量进行入侵检测和告警。

该用于dcs系统的信息安全防护系统，在电力网络i区、ii区之间采用可靠的工业安全隔离网闸，能够实现电力网络i区、ii区的物理隔离。采用专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换。切断由外部发起的连接保护内部网络，仅能够单向传输。在dcs系统现场布置工业网络审计设备，通过snmp协议实现对各台工控机的cpu、物理内存、网络状态等进行监控。并且可以对通信报文进行深度解析，实时检测工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为。在dcs系统现场布置工业日志审计设备，将dcs系统内的各个设备日志上传到日志审计系统，对安全设备、网络设备、主机系统、数据库等进行日志数据采集、分类和分析。在dcs系统布置工业入侵检测系统，收集最全的病毒清册，并对病毒库进行定期更新，对病毒的入侵进行核对，及时通知人员、设备进行必要的防护。

在本实施例中，该系统还包括部署于dcs系统与辅网dcs系统边界，用于对dcs系统及辅网dcs系统进行逻辑隔离的工业防火墙。

在本实施例中，该系统还包括部署于各工作站主机的工业防病毒软件。

在本实施例中，该系统还包括部署于dcs系统，用于集中采集各被防护设备及安全设备的事件及告警信息，进行集中安全信息处理和分析的工业安全管理平台。

在本实施例中，该系统还包括部署于dcs系统，用于连接各安全设备，组成信息安全专网，实现业务数据与信息安全数据传输网络分离的信息安全专网交换机。

在本实施例中，该系统还包括部署于dcs系统，用于确保信息安全设备与dcs系统的时钟一致，以提高数据追溯准确性、可靠性的信息安全设备校时设备。

在本实施例中，该系统还包括dcs系统内通过关闭各种易被利用的服务端口，切断病毒渗入的入口，以进行网络加固的工控机。

在本实施例中，该系统还包括安装有工业白名单软件的dcs系统主机电脑。通过dcs系统操作软件的白名单设计，将dcs系统划分一个独立、安全、隔离的区域，一切操作行为必须经过严格的检测，保障了dcs系统处于一个干净且安全的环境。

该用于dcs系统的信息安全防护系统具有如下技术效果：

1)通过网络审计、日志审计功能，可以实现dcs网络数据流量、设备的状态进行分析、检测，通过报文深度解析，对各种非法行为、非法设备，病毒进行阻止并进行报警。

2)通过对主机电脑安装设计工业白名单软件，将dcs系统运行在一个独立、安全的局部环境，任何想对dcs系统进行操作的服务都需要经过白名单的安全检测、允许，实现对病毒的隔离、可控。

3)通过在dcs网络边界增加入侵检测系统，可以对病毒的入侵提前检测报警，人为的采取手段切断病毒的进一步渗入。

4)通过对dcs系统的数据dcs系统现场各台工控机进行主机加固，删除无用、默认的路由配置、ip，对现场不必要的服务进行关闭，不必要的tcp、udp端口进行关闭(例如：21/23、135/137/445等)，隔离病毒入侵的入口。

以上所述仅是本发明的优选实施方式，并不用于限制本发明，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。