一种工业控制网络安全防护系统及方法

技术领域

本发明涉及工业控制系统网络安全技术领域，更具体的说是涉及一种工业控制网络安全防护方法和系统。

背景技术

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。工业控制系统已经广泛遍布于工业、能源、交通、水利等领域，用于控制生产设备的运行。

随着信息化和工业化的融合，工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞，则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大，进而使得工业生成控制过程面临安全性威胁。目前，工业控制系统中所采取的安全防护措施一般是在工业控制系统网络的企业管理层和外部网络之间部署防火墙。由于防护措施较少，一旦该企业管理层与外部网络之间的防火墙被攻击者攻破，则工业控制系统的内部网络便很容易被控制，从而使得工业控制系统中的生产资料等数据被窃取，或者现场设备被恶意操控，影响到正常的工业控制。

发明内容

(一)解决的技术问题

本发明公开了一种工业控制网络安全防护方法和系统，提高工业控制网络的安全性以及可靠性。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：一种工业控制网络安全防护系统，其特征在于：包括控制层、执行层及管理层，所述管理层与执行层相连，所示执行层与控制层相连，所述控制层内设置有多个自动化单元区域，并且多个区域之间采用防火墙相连，

所述控制层与执行层之间设置有网络安全隔离模块，所述工业控制网络内设置有控制所述子网络层间数据传输的网络安全隔离模块；

还包括信息采集模块，所述信息采集模块与防火墙相连，所述信息采集模块连接云服务器，所述云服务器连接维护人员的终端。

本发明改进有，所述控制层内还包括用户认证模块和隔离网络区域，所述隔离网络区域连接有第三方网络服务的服务器，用户认证模块连接外界终端；

所述控制层内还设置有信息认证终端机安全策略服务器，所述安全策略服务器内储存有白名单，所述信息认证终端与用户认证模块相连。

本发明改进有，所述控制层与执行层之间通过有线或无线网络连接。

本发明改进有，所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块，所述硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块相连。

本发明进一步提供一种工业控制网络安全防护方法，其特征在于，包括以下步骤：

步骤1、根据信息安全的技术要求，将系统进行分层处理，分为控制层、执行层及管理层，控制层内设置有多个自动化单元区域，并且在区域之间设置有防火墙，防火墙实现实现报文过滤以及访问控制，对工业通信协议进行检查分析，实现对非法通信的实时报警、来源确认、历史记录，保证控制网络的实时诊断；所述检查分析的方式为综合使用状态检测和应用层协议检测，对报文进行多级过滤，形成全面的访问控制机制和自动化单元区域的保护屏障，杜绝非授权者使用；

步骤2、所述控制层与执行层之间设置有网络安全隔离模块，所述网络安全隔离模块截获制层与执行层之间传输的数据报文；所述网络安全隔离模块判断所述数据报文所请求的操作是否满足预设条件；当所述网络安全隔离模块判断出所述操作不满足预设条件时，阻断所述数据报文的传输；当所述网络安全隔离模块判断出所述操作满足所述预设条件时，滤除所述数据报文中存在安全隐患的数据，并将滤除后的数据报文向所述数据报文对执行层传输；

其中，所述数据报文中存在安全隐患的数据至少包括：恶意代码以及不满足预设的访问控制规则的数据报文，其中，所述不满足预设的访问控制规则的数据报文至少包括：能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文；

所述方法还包括：

通过信息采集模块采集所有防火墙上的信息数据，并传输至云服务器中，并对信息数据进行筛选与整理，并回馈其风险，并形成日志文件，日志文件及风险信息发送至维护人员的终端设备上。

本发明改进有，还包括用户接入步骤：

步骤1、维护人员的终端请求接入网络时先进行用户认证，用户认证通过则被隔离到隔离网络区域，未通过将被拒绝接入到隔离网络区域；所述隔离网络区域中还提供具有第三方网络服务的服务器，为接入所述隔离网络区域的用户终端提供第三方网络服务，所述第三方网络服务为病毒库升级或系统补丁升级服务；

步骤2、信息认证终端收集维护人员的终端上自身安全状态的安全信息上报给所述安全策略服务器，所述安全策略服务器对信息认证终端自身进行安全认证，以确定所述用户终端的安全状态是否合格；

步骤3、安全认证通过则所述安全策略服务器通知网络接入设备将所述用户终端接入到的所述隔离网络区域以外的网络区域。

本发明改进有，所述步骤3后还包括：

步骤4、用户终端发现不符合网络安全策略的事件时，向安全策略服务器发送通知请求处理；

步骤5、所述安全策略服务器通过网络接入设备将相应用户终端隔离，并通知所述用户终端进行升级或提示用户终端进行处理。

本发明改进有，所述控制层与执行层之间通过有线或无线网络连接。

本发明改进有，所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块，所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析，对接入设备的状态进行在线检测，并对接入设备中存储的所有数据进行检测；所述的漏洞扫描模块，用于对传输的数据以及控制程序代码进行漏洞扫描分析；所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测；所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接，所述的判断模块用于对接收的信号进行辨别分析。

(三)有益效果

与现有技术相比，本发明提供了一种工业控制网络安全防护方法和系统，具备以下有益效果：

通过多个独立且不同的自动化单元区能够有效的对信息进行隔离，提前发现，防止问题的扩散，并且通过网络安全隔离模块，进一步的截获制层与执行层之间传输的数据报文，保证了报文的安全，将安全策略和接入控制相结合，能有效的控制网络接入设备及时将不符合安全策略的接入用户终端隔离到具有第三方网络服务的特殊网络隔离区域，从而使得整个网络始终运行在预设的安全策略之中，也就避免了诸如网络病毒等网络攻击的干扰。

附图说明

图1为本发明图的系统示意图；

图2为本发明图的流程示意图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-2，本发明提供一种工业控制网络安全防护系统，包括控制层、执行层及管理层，所述管理层与执行层相连，所示执行层与控制层相连，所述控制层内设置有多个自动化单元区域，并且多个区域之间采用防火墙相连，

所述控制层与执行层之间设置有网络安全隔离模块，所述工业控制网络内设置有控制所述子网络层间数据传输的网络安全隔离模块；

还包括信息采集模块，所述信息采集模块与防火墙相连，所述信息采集模块连接云服务器，所述云服务器连接维护人员的终端。

本实施例中，所述控制层内还包括用户认证模块和隔离网络区域，所述隔离网络区域连接有第三方网络服务的服务器，用户认证模块连接外界终端；

所述控制层内还设置有信息认证终端机安全策略服务器，所述安全策略服务器内储存有白名单，所述信息认证终端与用户认证模块相连。

本实施例中，所述控制层与执行层之间通过有线或无线网络连接。

本实施例中，所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块，所述硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块相连。

本发明进一步的提供一种工业控制网络安全防护方法，包括以下步骤：

步骤1、根据信息安全的技术要求，将系统进行分层处理，分为控制层、执行层及管理层，控制层内设置有多个自动化单元区域，并且在区域之间设置有防火墙，防火墙实现实现报文过滤以及访问控制，对工业通信协议进行检查分析，实现对非法通信的实时报警、来源确认、历史记录，保证控制网络的实时诊断；所述检查分析的方式为综合使用状态检测和应用层协议检测，对报文进行多级过滤，形成全面的访问控制机制和自动化单元区域的保护屏障，杜绝非授权者使用；

通过多个独立且不同的自动化单元区能够有效的对信息进行隔离，提前发现，防止问题的扩散。

步骤2、所述控制层与执行层之间设置有网络安全隔离模块，所述网络安全隔离模块截获制层与执行层之间传输的数据报文；所述网络安全隔离模块判断所述数据报文所请求的操作是否满足预设条件；当所述网络安全隔离模块判断出所述操作不满足预设条件时，阻断所述数据报文的传输；当所述网络安全隔离模块判断出所述操作满足所述预设条件时，滤除所述数据报文中存在安全隐患的数据，并将滤除后的数据报文向所述数据报文对执行层传输；

其中，所述数据报文中存在安全隐患的数据至少包括：恶意代码以及不满足预设的访问控制规则的数据报文，其中，所述不满足预设的访问控制规则的数据报文至少包括：能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文，具体的：

当一个子网络层内的设备向另一子网络层的设备传输数据报文时，该安全防护模块则可以截获该数据报文，并通过后续的操作对该数据报文进行分析，以便当该数据报文能够威胁到工业控制网络安全的情况下，组织该数据报文的传输。

截获的数据报文所请求的操作是否满足预设条件可以根据不同子网络层的功能以及性质的不同，设置不同的条件。一般以该数据报文所请求的操作对该数据报文对应的目的子网络层不会造成破坏为准。

当该网络安全隔离模块判断出该数据报文所请求的操作不满足预设条件时，阻断该数据报文的传输。

当该网络安全隔离模块判断出该数据报文所请求的操作满足预设条件时，滤除该数据报文中存在安全隐患的数据，并将滤除后的数据报文向该数据报文对应的目的子网络层传输。

为了防止数据报文中携带威胁工业控制网络安全的数据，当该数据报文所请求的操作满足预设条件时，还需要滤除该数据报文中所携带的存在安全隐患的数据，然后将滤除后的数据报文向相应的目的子网络传输。

其中，滤除的存在安全隐患的数据可以包括滤除该数据报文中包含的恶意代码以及不满足预设的访问控制规则的数据报文。

其中，恶意代码可以包括病毒、木马、蠕虫中的一种或者几种。

该不满足预设的访问控制规则的数据报文至少可以包括：报文长度超过预设长度的数据报文，即能够引起缓冲区溢出的超长报文；以及能够引起DOS攻击，进而造成通讯链路阻断的报文。比如，常见的能够引起DOS攻击的报文，包括LAND攻击、TCPsynflood攻击、RST攻击等。

通过滤除数据报文中的恶意代码以及能够引起DOS攻击的报文，提高了传输至目的子网络层的数据的安全性，进而提高了工业控制网络的安全性。

所述方法还包括：

通过信息采集模块采集所有防火墙上的信息数据，并传输至云服务器中，并对信息数据进行筛选与整理，并回馈其风险，并形成日志文件，日志文件及风险信息发送至维护人员的终端设备上。

实现了工业控制网络安全数据从采集、存储到显示的全过程，根据有效的输入，可计算出系统的整体风险等级，减少了风险评估过程的大量的人工计算，提高了评估的效率，对风险评价过程中出现的各种不确定因素、指标进行分析；通过对工业控制网络安全进行风险评估，确定工业控制网络安全的风险级别，从而在工业控制网络安全的风险级别较高时，通过告警维护设备发出告警信息，进而根据告警信息和危险源的相关信息对工业控制网络安全进行对应维护，从而实现了工业控制网络的安全防护。

本实施例中，还包括用户接入步骤：

步骤1、维护人员的终端请求接入网络时先进行用户认证，用户认证通过则被隔离到隔离网络区域，未通过将被拒绝接入到隔离网络区域；所述隔离网络区域中还提供具有第三方网络服务的服务器，为接入所述隔离网络区域的用户终端提供第三方网络服务，所述第三方网络服务为病毒库升级或系统补丁升级服务；

步骤2、信息认证终端收集维护人员的终端上自身安全状态的安全信息上报给所述安全策略服务器，所述安全策略服务器对信息认证终端自身进行安全认证，以确定所述用户终端的安全状态是否合格；

步骤3、安全认证通过则所述安全策略服务器通知网络接入设备将所述用户终端接入到的所述隔离网络区域以外的网络区域。

本实施例中，所述步骤3后还包括：

步骤4、用户终端发现不符合网络安全策略的事件时，向安全策略服务器发送通知请求处理；

步骤5、所述安全策略服务器通过网络接入设备将相应用户终端隔离，并通知所述用户终端进行升级或提示用户终端进行处理。

用户终端的接入方式是多种多样的，这一般主要取决于网络的安全控制、用户终端以及网络接入设备的物理及逻辑属性。

用户终端接入网络时将首先需要进行用户认证，这将使得本发明网络中的安全策略实施、控制变得更加有效和完善。但在本发明中，必须说明的是，该用户认证是可选而不是必需的。

本实施例中，所述控制层与执行层之间通过有线或无线网络连接。

本实施例中，所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块，所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析，对接入设备的状态进行在线检测，并对接入设备中存储的所有数据进行检测；所述的漏洞扫描模块，用于对传输的数据以及控制程序代码进行漏洞扫描分析；所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测；所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接，所述的判断模块用于对接收的信号进行辨别分析。

将安全策略和接入控制相结合，能有效的控制网络接入设备及时将不符合安全策略的接入用户终端隔离到具有第三方网络服务的特殊网络隔离区域，从而使得整个网络始终运行在预设的安全策略之中，也就避免了诸如网络病毒等网络攻击的干扰。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。