Opc服务器安全防护系统的制作方法

Opc服务器安全防护系统的制作方法
【技术领域】
[0001]本发明属于网络信息安全领域，特别是涉及一种OPC服务器安全防护系统。
【背景技术】
[0002]在工业控制领域中，为了实现工业控制系统的应用软件和硬件产品之间的互操作性和可集成性，需要在应用层面上解决系统集成和数据通信问题。为此，国际上成立了一个称为OPC基金会的国际组织，制定了 OPC标准，OPC是Object Linking and Embedding forProcess Control的简称。现在，OPC基金会的会员已超过220家，包括世界上所有主要的自动化控制系统、仪器仪表及过程控制系统的公司，因此OPC标准成为事实上的国际标准。
[0003]OPC标准的核心是微软公司的组件对象模型COM和分布式组件对象模型DCOM技术，它是一种基于客户/服务器模式的通信协议，定义了 OPC客户端与OPC服务器之间的通信协议和数据包格式，包括一整套相关的接口、属性和方法，在Windows应用程序和现场过程控制设备之间建立起一个桥梁，使两者很容易实现系统集成和数据通信。因此，OPC标准已成为工业控制系统集成和互连的首选方案，绝大多数的工业控制设备和应用软件都支持OPC标准，否则就会被淘汰。
[0004]随着工业和信息化的深度融合，在电力、能源、化工、水利、制药、污水处理、石油天然气、交通运输以及航空航天等工业企业中，通常建有企业信息网和工业控制网两种网络系统，通过OPC协议，实现企业信息网与工业控制网的互连互通，用户使用企业信息网中的计算机能够远程地监控工业控制网中的工业设备，并获取相应的生产数据。
[0005]另一方面，在企业信息网与工业控制网的互连中，也存在着一些安全风险，企业信息网中常见的安全威胁被引入到工业控制网中，如网络病毒、黑客攻击以及恶意操作等，给工业控制网带来严重的信息安全问题，“震网”病毒事件就是典型的例子。
[0006]由于OPC服务器在基于OPC协议的工业控制系统集成框架中起着桥梁作用，对于OPC服务器的安全防护十分重要，否则来自OPC客户端的恶意攻击就会通过OPC服务器危及工控设备及系统安全，造成严重的后果。因此，对OPC服务器的安全防护将直接关系到工业控制系统的安全。

【发明内容】

[0007]为了克服现有服务器以及工业控制系统安全性差的不足，本发明提供一种OPC服务器安全防护系统。该系统包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构，在OPC服务器的网络层、传输层和应用层上设置安全规则，对OPC服务器进入和外出的数据包进行深度安全检查和审计，识别和滤除恶意的访问行为及数据包，可以提高OPC服务器以及工业控制系统的安全防护能力。
[0008]本发明解决其技术问题所采用的技术方案是:一种OPC服务器安全防护系统，其特点是包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。
[0009]一、根据OPC服务器的安全策略设置网络层、传输层和应用层的安全规则。
[0010](I)网络层:设置IP协议和ICMP协议的安全规则:
[0011]①将ICMP协议列入黑名单，表示禁止OPC服务器发送和接收ICMP数据包；ICMP协议未列入黑名单，表示允许OPC服务器使用ICMP协议进行通信。
[0012]②将特定的IP地址列入黑名单，表示禁止OPC服务器发送和接收这些特定目的IP地址或源IP地址的IP数据包；未列入黑名单的IP地址，表示允许OPC服务器发送和接收这些IP地址的IP数据包。
[0013](2)传输层:设置TCP协议和UDP协议的安全规则:
[0014]①将特定的TCP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的TCP端口号或源TCP端口号的TCP数据包；未列入黑名单的TCP端口号，表示允许OPC服务器发送和接收这些TCP端口号的TCP数据包。
[0015]②将特定的UDP端口号列入黑名单，表示禁止OPC服务器发送和接收这些特定目的UDP端口号或源UDP端口号的UDP数据包；未列入黑名单的UDP端口号，表示允许OPC服务器发送和接收这些UDP端口号的UDP数据包。
[0016](3)应用层:设置OPC协议的安全规则:
[0017]①将特定的OPC客户端及认证信息列入白名单，表示允许OPC服务器与这些特定的OPC客户端及用户名建立OPC连接进行通信；未列入白名单的OPC客户端，表示禁止OPC服务器与它们建立OPC连接。
[0018]②将特定的字符串及格式列入白名单，表示允许OPC服务器接收包含这些特定字符串及格式的OPC请求包，这些特定的字符串与允许发送给工业控制设备的命令相对应；未列入白名单的字符串及格式，表示禁止OPC服务器接收这些OPC请求包。
[0019]二、数据包过滤驱动模块对各个层的数据包进行检查与过滤，利用Windows过滤平台)提供的接口函数和过滤功能实现。对于网络层和传输层数据包，通过Windows过滤平台的接口函数将安全规则传递给Windows过滤平台，由Windows过滤平台直接对数据包进行检查与过滤；对于应用层数据包，通过Windows过滤平台的接口函数来捕获数据包，由数据包过滤驱动模块对数据包进行解析和检查，根据检查结果再通过Windows过滤平台的接口函数通知Windows过滤平台是否放行该数据包。
[0020](I)对于网络层数据包，过滤平台的检查与过滤过程如下:
[0021]①检查IP数据包头中的协议类型，如果是ICMP数据包，则检查ICMP协议是否被黑名单禁止；如果被禁止，则丢弃该数据包；如果未被禁止，则将该数据包提交给ICMP协议进行处理。
[0022]②如果是IP数据包，则检查IP数据包头中的目的IP地址和源IP地址是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给IP协议进行处理。
[0023](2)对于传输层数据包，过滤平台的检查与过滤过程如下:
[0024]①如果是TCP数据包，则检查TCP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则丢弃该数据包；如果未列入，则将该数据包提交给TCP协议进行处理。
[0025]②如果是UDP数据包，则检查UDP数据包头中的目的端口号和源端口号是否被列入黑名单，如果列入，则滤除该数据包；如果未列入，则将该数据包提交给UDP协议进行处理。
[0026](3)在应用层，对数据包的解析和检查过程如下:
[0027]①首先通过过滤平台捕获OPC数据包，然后对OPC数据包进行解析和检查。
[0028]②如果OPC数据包是OPC客户端向OPC服务器发出的OPC请求包，则从请求包中提取出OPC客户端及认证信息，检查是否被列入白名单，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查。
[0029]③如果OPC数据包是OPC客户端向OPC服务器发出的命令包，则检查命令包中是否包含白名单所列入的字符串及格式，如果未列入，则丢弃该数据包；如果列入，则执行后续的检查。
[0030]④按照OPC协议规范，在OPC数据包头中是否存在不符OPC协议规范的数据格式及类型，如果存在，则丢弃该数据包；如果不存在，则允许该数据包通过。
[0031]⑤对于允许通过的OPC数据包，则通知过滤平台放行该数据包；对于需要丢弃的OPC数据包，则通知过滤平台丢弃该数据包，并向控制台发出报警信息，同时作为异常事件写入日志文件中。
[0032]三、系统管理员通过控制台进行安全规则设置、日志管理和异常报警操作:
[0033](I)在控制台上，系统管理员选择安全规则设置菜单，进行网络层、传输层和应用层安全规则的设置操作；
[0034](2)在控制台上，系统管理员选择日志管理菜单，进行日志信息查询、安全审计和数据备份等操作；
[0035](3)所有的异常报警信息均显示在控制台上，供系统管理员查看。
[0036]本发明的有益效果是:该系统包括安全防护系统和操作系统平台，安全防护系统由控制台和数据包过滤驱动模块组成。操作系统平台由Windows过滤平台和网卡组成。根据OPC服务器网络通信系统结构，在OPC服务器的网络层、传输层和应用层上设置安全规贝1J，对OPC服务器进入和外出的数据包进行深度安全检查和审计，识别和滤除恶意的访问行为及数据包，提高了 OPC服务器以及工业控制系统的安全防护能力。
[0037]下面结合附图和【具体实施方式】对本发明作详细说明。
【附图说明】
[0038]图1是OPC服务器应用部署示意图。
[0039]图2是本发明服务器安全防护系统结构图。
【具体实施方式】
[0040]参照图1-2。本发明所涉及的基