CN102694815B - 一种安全防护方法、控制单元及工业控制系统 - Google Patents
一种安全防护方法、控制单元及工业控制系统 Download PDFInfo
- Publication number
- CN102694815B CN102694815B CN201210185588.3A CN201210185588A CN102694815B CN 102694815 B CN102694815 B CN 102694815B CN 201210185588 A CN201210185588 A CN 201210185588A CN 102694815 B CN102694815 B CN 102694815B
- Authority
- CN
- China
- Prior art keywords
- packet
- default
- control module
- verification
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全防护方法,应用于工业控制系统的控制单元中,该方法包括:接收预设模式下传输的第一数据包;按照预设校验检查规则对第一数据包进行校验检查,将过滤校验出错数据后的第一数据包作为第二数据包输出;按照预设的合理数据包长度对第二数据包的长度进行检测,将符合预设的合理数据包长度的第二数据包作为第三数据包输出;按照预设安全规则对第三数据包进行安全检查,对符合安全规则的第三数据包做冗余取舍,获取第四数据包并传递给控制中央处理器CPU。本安全防护方法最后只将与现场控制直接相关的数据包传给控制中央处理器CPU,保证了控制单元的实时性和工作效率。
Description
技术领域
本发明涉及防火墙技术,尤其涉及一种安全防护方法、控制单元及工业控制系统。
背景技术
在当前的工业控制系统中,控制网除了要求具有快速实时的响应能力、高可靠性和强容错能力之外,对工业控制系统安全的要求也越来越高,尤其是对工业控制系统中的控制单元的安全要求越来越紧迫。尤其是,控制单元肩负着现场信号的运算及控制的重任,其安全与否直接影响到运行效率,甚至生产以及人身安全。因此,控制单元的安全问题成为工业控制系统安全至关重要的环节,并且,其安全等级需求在整个工业控制系统中也是最高的。
在现有技术中,工业控制系统的安全防护一般采取逐层防护的方式部署,即在攻击路径上的任意位置如企业网入口、监控层网络入口、现场层网络入口设置防护措施,阻断攻击,实现对安全等级最高的现场层的保护。
参见图1,控制单元处于工业控制系统的底层,即现场层104,通常做法是在监控层101和现场层104之间配置第三方防火墙103,实现工业控制系统内部控制单元之前的安全防护。
其中,第三方防火墙包括商用防火墙或者工业防火墙。虽然采用上述利用第三方防火墙的方法能够实现对控制单元的安全防护,但是不管是商用防火墙还是工业防火墙,都不是针对特定的控制系统而设,所适用的功能有限,且在进行防护的过程中还需要操作人员根据应用的系统经过一系列配置才能如期工作,若配置不当反而可能导致通讯故障,使得控制单元安全性受到威胁,进而降低控制单元的实时性和工作效率;而在进行数据传输的过程中,控制层(控制单元)与监控层之间的交互数据都需要经过第三方防火墙进行转发,若第三方防火墙的性能达不到指标或出现故障,将影响监控层和控制层的通信效率,进而影响到控制单元的实时性和工作效率。
发明内容
有鉴于此,本发明提供了一种安全防护方法、控制单元及工业控制系统,以克服现有技术在工业控制系统中,采用第三方防火墙进行安全防护,无法满足控制单元所需的防护需求,从而影响控制单元的实时性和工作效率的问题。
为实现上述目的,本发明提供以下技术方案:
一种安全防护方法,该方法包括:
接收预设模式下传输的第一数据包;
按照预设校验检查规则对所述第一数据包进行校验检查,将过滤校验出错数据后的第一数据包作为第二数据包输出;
按照预设的合理数据包长度对所述第二数据包的长度进行检测,将符合预设的合理数据长度的第二数据包作为第三数据包输出;
按照预设安全规则对所述第三数据包进行安全检查,对符合所述安全规则的所述第三数据包做冗余取舍,获取第四数据包并传递给控制中央处理器CPU。
优选地,当预设模式为广播模式时,所述第一数据包包括广播数据包;
当预设模式为直接模式时,所述第一数据包包括发送给控制单元的点播、组播数据包。
优选地,所述预设校验规则包括循环冗余校验码CRC、因特网互联协议IP、用户数据包协议UDP和传输控制协议TCP中的一种或任意组合。
优选地,所述预设安全规则包括根据系统特性而确定的合法数据包协议、数据包源IP地址范围、数据包头部长度限制、传输层端口标致检验符校验和应用层标致检验符校验中的一种或任意组合。
优选地,本发明公开的方法还包括:
在接收预设模式下传输的第一数据包之后,包括:
按照预设的限流方式和限流阈值判断所述第一数据包是否触发系统预设的诊断报警条件;
当触发时,则报警;
当未触发时,返回执行按照预设校验检查规则对所述第一数据包进行校验检查这一步骤。
优选地,本发明公开的方法还包括:
在对所述第二数据包的长度进行检测之后,包括:
丢弃超过预设的合理数据包长度的第二数据包;
和/或当超过预设的合理数据包长度的第二数据包触发系统预设的诊断报警条件时,报警。
优选地,本发明公开的方法还包括:
在对所述第三数据包进行安全检查之后,包括:
丢弃不符合安全规则的第三数据包;和/或当不符合安全规则的第三数据包触发系统预设的诊断报警条件时,报警。
一种控制单元,包括工业防火墙和控制中央处理器CPU,其中:
工业防火墙包括:
端口硬件模块,用于根据预设校验检查规则对接收到的预设模式下传输的第一数据包进行过滤,将过滤校验出错数据后的第一数据包作为第二数据包输出;
端口软件模块,用于根据预设的合理数据包长度检测所述第二数据包,将符合预设的合理数据长度的第二数据包作为第三数据包输出;
通讯中央处理器CPU软件防护模块,用于根据预设的安全规则检查第三数据包并对合法的数据包进行冗余取舍处理生成第四数据包传递给控制中央处理器CPU;
控制中央处理器CPU,用于接收经过工业防火墙得到的第四数据包并对其进行运算和控制。
优选地,本发明公开的控制单元还包括诊断报警模块,用于当按照预设的限流方式和限流阈值判断第一数据包触发系统预设的诊断报警条件时和/或超过预设的合理数据包长度的第二数据包触发系统预设的诊断报警条件时和/或当不符合安全规则的第三数据包触发系统预设的诊断报警条件时生成诊断报警信息,传送给系统诊断软件。
一种工业控制系统,包括监控层、网络层和上述控制单元。
经由上述的技术方案可知,与现有技术相比,本发明公开了一种安全防护的方法、控制单元及工业控制系统,将工业防火墙集成于控制单元内部,在硬件防护模块和软件防护模块层层过滤传给控制单元的数据包,降低后续模块需要处理的数据包数量,提高控制CPU处理效率;通讯CPU对经过硬件防护模块和软件防护模块层层过滤的数据包再一次进行安全检查和处理,最后只将与现场控制直接相关的数据包传给控制CPU,保证了控制单元的实时性和工作效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有技术中配置第三方防火墙的工业控制系统示意图;
图2为本发明公开的实施例一中对控制单元执行安全防护的方法流程图;
图3为本发明公开的实施例二中对控制单元执行安全防护的方法流程图;
图4为本发明公开的实施例三中对控制单元执行安全防护的方法流程图;
图5为本发明公开的实施例四中集成工业防火墙的控制单元结构示意图;
图6为本发明公开的实施例四中集成工业防火墙的控制单元的模块示意图;
图7为本发明公开的实施例五中集成工业防火墙的控制单元的模块示意图;
图8为本发明公开的实施例五中集成工业防火墙的控制单元的模块示意图;
图9为本发明公开的实施例六中控制单元集成工业防火墙的工业控制系统的结构示意图。
具体实施方式
为了引用和清楚起见,下文中使用的技术名词的说明、简写或缩写总结如下:
工业控制系统:工业控制领域内实现现场设备控制、监控的系统,基本元素包括操作站、控制站、采集设备等;
控制单元:工业控制系统中实现控制的关键设备,也称控制器或控制站;
广播:一个网络节点发送,子网内所有节点接收的通讯方式;
点播:一个网络节点发送,仅有另一个网络节点接收的通讯方式;
组播:一个网络节点发送,多个属于所发送数据指定的组的网络节点接收的通讯方式;
CPU:CentralProcessingUnit,中央处理器;
CRC:CyclicRedundancyCheck,循环冗余校验码;
IP:InternetProtocol,因特网互联协议;
UDP:UserDatagramProtocol,用户数据包协议;
TCP:TransmissionControlProtocol,传输控制协议。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由背景技术可知,在现有的工业控制系统中,采用第三方防火墙进行安全防护,无法满足控制单元所需的防护需求,从而影响控制单元的实时性和工作效率。由此,本发明提供了一种安全防护方法、控制单元及工业控制系统,能够对工业控制系统的控制单元做到更优的安全防护。该安全防护方法的执行过程、控制单元的结构及工业控制系统通过以下实施例进行详细说明。
实施例一
请参阅图2,为本发明公开的对控制单元执行安全防护的方法流程图。具体步骤为:
步骤S101:接收预设模式下传输的第一数据包。
其中,在预设接收模式下由控制单元的端口A和端口B接收的数据包包括:广播数据包,目标MAC地址为所有节点的点播数据包和目标MAC地址为不同组播地址的组播数据包。
需要说明的是,在本实施例中,控制单元的端口A和端口B的接收模式包括广播模式和直接模式在进行预先设置时,可以采用混合的方式,也可以采用单一的方式。即预先将控制单元的端口A和端口B的接收模式都预设为广播模式,或者都预设为直接模式。
其中,当预设模式为广播模式时,组成的所述第一数据包仅包括广播数据包,其他类型的数据包将被直接丢弃。
当预设模式为直接模式时,组成的所述第一数据包仅包括发送给控制单元的点播、组播数据包,其他类型的数据包将被直接丢弃。
也可以,将控制单元的端口A和端口B的接收模式一个预设为广播模式,一个预设为直接模式。但是,本实施例并不限定哪个端口为广播模式,哪个为直接模式。
在确定上述预设模式后,端口硬件模块只接收广播数据包;或者目标MAC地址匹配自身MAC地址的点播数据包和自身所加入的组播组的组播数据包;或者广播数据包、点播数据包和组播数据包的组合。将上述接收到的各类数据包组成第一数据包,而其他类型的数据包则直接丢弃。
这样,端口硬件模块在硬件层面过滤不是发给控制单元的数据包,降低后续模块需要处理的数据包数量,提高控制CPU处理效率。
步骤S102:按照预设校验检查规则对所述第一数据包进行校验检查,将过滤校验出错数据后的第一数据包作为第二数据包输出。
其中,校验检查规则包括CRC校验检查、IP校验检查、UDP校验检查和TCP校验检查。
本实施例中,预设校验检查规则为CRC校验检查。端口硬件模块对所述第一数据包进行CRC校验检查时直接丢弃校验检查出错的第一数据包,通过校验检查的第一数据包则组成第二数据包,并输出。
需要说明的是,针对不同的工业控制系统,对上述校验检查规则进行预设时,可以采用上述CRC校验检查,也可以采用IP校验检查、UDP校验检查和TCP校验检查中的任意一种,还可以采用上述CRC校验检查、IP校验检查、UDP校验检查和TCP校验检查中的任意组合。
这样,端口硬件防护模块在硬件层面过滤校验检查出错的数据包,再次降低后续模块需要处理的数据包数量,提高控制CPU处理效率。
步骤S103:按照预设的合理数据包长度对所述第二数据包的长度进行检测,并判断其长度是否满足预设合理长度。
对所述第二数据包的长度进行检测后,将符合预设的合理数据包长度的第二数据包作为第三数据包输出;若所述第二数据包长度不在预设的合理数据包长度范围之内,则直接将不在预设的合理数据包长度范围内的数据包直接丢弃。
至此,控制单元完成基于端口硬件模块和端口软件模块的数据包检查防护。
步骤S104:按照预设安全规则对所述第三数据包进行安全检查,判断所述第三数据包是否满足预设安全规则。
其中,安全规则包括根据系统特性而确定的合法数据包协议、数据包源IP地址范围、数据包头部长度限制、传输层端口标志检验符校验和应用层标志检验符校验。
本实施例中,预设安全规则为上述安全规则中的所有。若所述第三数据包不符合预设的安全规则中的任意一项,则直接将不符合预设的安全规则的第三数据包丢弃;若所述第三数据包符合预设安全规则中的每一项,则对符合上述安全规则的第三数据包做冗余取舍,获取第四数据包并传递给控制CPU。
需要说明的是,针对不同的工业控制系统,对上述安全规则进行预设时,可以采用上述安全规则中的所有,也可以采用上述合法数据包协议、数据包源IP地址范围、数据包头部长度限制、传输层端口标志检验符校验和应用层标志检验符校验中的任意一种或任意组合。
由此,承担工业控制重任的控制CPU仅接收与现场控制直接相关的数据包,即第四数据包,保证了控制CPU的效率和安全性。
基于上述实施例一所提供的安全防护方法,本发明还提供了一种更加全面的安全防护方法,具体步骤将通过以下实施例进行详细说明。
实施例二
请参阅图3,为本发明公开的对控制单元执行安全防护的另一种方法流程图。具体步骤为:
步骤S111:接收预设模式下传输的第一数据包。
需要说明的是,该步骤的具体执行过程请参阅实施例一中的步骤S101,这里不再赘述。
步骤S112:判断所述第一数据包是否满足预设的限流方式和限流阈值。
针对特定的工业控制系统,其特性已经稳定,可以预设常态下控制单元端口的限流方式。限流方式包括总体流量限制、点播风暴限制、广播风暴限制和组播风暴限制。
本实施例中,该工业控制系统主要采取组播通讯机制,只有少量的点播和广播数据包,则控制单元端口可以设置点播风暴限制、广播风暴限制,一旦点播、广播数据包超过设置的限制值,则丢弃超过限制值的点播、广播数据包,不影响重要的组播数据包通讯,对于满足预设的限流方式的第一数据包,则将接收到的第一数据包进行校验检查。
同样的,对于特定的工业控制系统,可以确定常态下控制单元接收的数据包流量,因此控制单元端口可以设置总体流量阈值,控制单元不接收超过设定阈值的数据包流量,这样就避免了意外情况下网络攻击引起的风暴。
本实施例中,预设了控制单元接收第一数据包流量的阈值,若控制单元接收的第一数据包流量在此阈值范围之内,将接收到的第一数据包进行校验检查;若控制单元接收的第一数据包的流量不在此阈值范围之内,则不接收超过预设阈值的数据包流量。
步骤S113:按照预设校验检查规则对所述第一数据包进行校验检查,将过滤校验出错数据后的第一数据包作为第二数据包输出。
需要说明的是,该步骤的具体执行过程请参阅实施例一中的步骤S102,这里不再赘述。
这样,端口硬件防护模块在硬件层面过滤校验检查出错的数据包,再次降低后续模块需要处理的数据包数量,提高控制CPU处理效率。
步骤S114:按照预设的合理数据包长度对所述第二数据包的长度进行检测,并判断其长度是否满足预设合理长度。
需要说明的是,该步骤的具体执行过程请参阅实施例一中的步骤S103,这里不再赘述。
至此,控制单元完成基于端口硬件模块和端口软件模块的数据包检查防护。
步骤S115:按照预设安全规则对所述第三数据包进行安全检查,判断所述第三数据包是否满足预设安全规则。
需要说明的是,该步骤中关于安全规则的预设以及该步骤的具体执行过程请参阅实施例一中步骤S104的相关说明,这里不再赘述。
由此,承担工业控制重任的控制CPU仅接收与现场控制直接相关的数据包,即第四数据包,保证了控制CPU的效率和安全性。
实施例三
请参阅图4,为本发明公开的对控制单元执行安全防护的另一种方法流程图。具体步骤为:
步骤S121:接收预设模式下传输的第一数据包。
需要说明的是,该步骤的具体执行过程请参阅实施例一中的步骤S101,这里不再赘述。
步骤S122:判断所述第一数据包是否满足预设的限流方式和限流阈值。
需要说明的是,该步骤中关于限流方式和限流阈值的预设请参阅实施例二中步骤S112的相关说明。如果所述第一数据包不满足预设的限流方式和限流阈值,则执行步骤S123。如果所述第一数据包满足预设的限流方式和限流阈值,则将接收到的第一数据包进行校验检查,即执行步骤S124。
步骤S123:判断不满足预设的限流方式和限流阈值的所述第一数据包是否触发了系统预设的诊断报警条件。
经过判断后,如果所述第一数据包触发了系统预设的诊断报警条件,则将该信息传递给诊断报警模块,处理生成相应的诊断报警信息,传送给系统诊断软件告知用户;如果所述第一数据包未触发统预设的诊断报警条件,则丢弃不满足预设的限流方式和限流阈值的所述第一数据包。
步骤S124:按照预设校验检查规则对所述第一数据包进行校验检查,将过滤校验出错数据后的第一数据包作为第二数据包输出。
需要说明的是,该步骤的具体执行过程请参阅实施例一中的步骤S103,这里不再赘述。
这样,端口硬件防护模块在硬件层面过滤校验检查出错的数据包,再次降低后续模块需要处理的数据包数量,提高控制CPU处理效率。
步骤S125:按照预设的合理数据包长度对所述第二数据包的长度进行检测,并判断其长度是否满足预设合理长度。
对所述第二数据包的长度进行检测后,将符合预设的合理数据包长度的第二数据包作为第三数据包输出;若所述第二数据包长度不在预设的合理数据包长度范围之内,则执行步骤S126。
步骤S126:判断不符合预设的合理数据包长度的所述第二数据包是否触发了系统预设的诊断报警条件。
经过判断后,如果所述第二数据包触发了系统预设的诊断报警条件,则将该信息传递给诊断报警模块,处理生成相应的诊断报警信息,传送给系统诊断软件告知用户;如果所述第二数据包未触发统预设的诊断报警条件,则丢弃不符合预设的合理数据包长度的所述第二数据包。
至此,控制单元完成基于端口硬件模块和端口软件模块的数据包检查防护。
步骤S127:按照预设安全规则对所述第三数据包进行安全检查,判断所述第三数据包是否满足预设安全规则。
需要说明的是,该步骤中关于安全规则的预设请参阅实施例一中步骤S104的相关说明。如果所述第三数据包不满足预设的安全规则,则执行步骤S128。如果所述第三数据包满足预设的安全规则,则对满足预设安全规则的第三数据包做冗余取舍,获取第四数据包并传递给控制CPU。
步骤S128:判断不满足预设的安全规则的所述第三数据包是否触发了系统预设的诊断报警条件。
经过判断后,如果所述第三数据包触发了系统预设的诊断报警条件,则将该信息传递给诊断报警模块,处理生成相应的诊断报警信息,传送给系统诊断软件告知用户;如果所述第三数据包未触发统预设的诊断报警条件,则丢弃不满足预设的安全规则的所述第三数据包。
由此,承担工业控制重任的控制CPU仅接收与现场控制直接相关的数据包,即第四数据包,保证了控制CPU的效率和安全性。同时本实施例提供的方法更加全面,不仅提高了控制单元的防护效果还方便了用户。
需要说明的是,在本实施例中步骤S123、步骤S126和步骤S128是同时存在的,即在本实施例执行安全防护的方法时,有三次判断是否触发诊断报警的过程。在实际应用的过程中,在执行安全防护的方法时,步骤S123、步骤S126和步骤S128可以单独存在,也可以只存在其中任意两步,即在执行安全防护的方法时,只判断一次或两次是否触发诊断报警。
实施例四
针对本发明公开的上述实施例一和二中详细描述的安全防护方法,本发明实施例还公开了对应执行上述方法的控制单元,下面给出具体的实施例进行详细说明。
请参阅附图5,该控制单元包括工业防火墙200和控制中央处理器CPU204。
所述工业防火墙200由端口A、端口B和通讯CPU203组成,位于控制CPU204之前,实现控制单元的安全防护。
请参阅附图6,为集成工业防火墙的控制单元模块示意图。
端口A包括依次连接的端口硬件模块201和端口软件模块202,连接于端口软件模块202之后的通讯CPU203即为通讯CPU软件防护模块203。
基于上述连接关系,所述端口A按照预设模式接收与其对应的网络A中的第一数据包到所述端口硬件防护模块201,端口硬件防护模块201根据预设校验检查规则对接收到的预设模式下传输的第一数据包进行过滤,将过滤校验出错数据后的第一数据包作为第二数据包输出给端口软件防护模块202。
所述端口软件防护模块202根据预设的合理数据包长度检测所述第二数据包,将符合预设的合理数据长度的第二数据包作为第三数据包输出给通讯中央处理器CPU软件防护模块203。
通讯中央处理器CPU软件防护模块203根据预设的安全规则检查第三数据包并对合法的数据包进行冗余取舍处理生成第四数据包传递给所述控制中央处理器CPU204。
控制中央处理器CPU204接收经过所述工业防火墙200层层过滤得到的所述第四数据包并对其进行相关运算和控制。
需要说明的是,端口B的模块构成与端口A相同,相应的各模块的执行过程也相同,只是端口A对应网络A端口B对应网络B,这里不再赘述。
进一步需要说明的是,本实施例中上述各个模块中的具体执行过程可参见上述实施例一和实施例二中对应部分记载的内容,这里不再赘述。
本实施例中,硬件防护模块和软件防护模块层层过滤传给控制单元的数据包,降低后续模块需要处理的数据包数量,提高控制CPU处理效率;通讯CPU对经过硬件防护模块和软件防护模块层层过滤的数据包再一次进行安全检查和处理,最后只将与现场控制直接相关的数据包传给控制CPU,保证了控制单元的实时性和工作效率。
实施例五
请参阅附图7,为在上述本发明公开的实施例三的基础上集成工业防火墙的控制单元模块示意图。
本实施例中,工业防火墙200可以进一步增加一个诊断报警模块205。该模块分别与端口硬件防护模块201、端口软件防护模块202以及通讯CPU软件防护模块203相连,然后整个工业防火墙再和控制中央处理器CPU相连。
基于上述各模块的连接关系,当按照预设的限流方式和限流阈值判断第一数据包触发系统预设的诊断报警条件时和/或超过预设的合理数据包长度的第二数据包触发系统预设的诊断报警条件时和/或当不符合安全规则的第三数据包触发系统预设的诊断报警条件时,所述诊断报警模块205报警生成诊断报警信息,传送给系统诊断软件。
需要说明的是,上述各个模块的具体执行过程可参见上述实施例三中对应部分记载的内容,这里不再赘述。
进一步需要说明的是,为了保证集成在控制单元中的工业防火墙的防护功能,上述诊断报警模块205可以单独集成于控制单元上,具体示意图请参阅附图8。
本实施例中增加的诊断报警模块使得所述控制单元更加方便用户使用,进一步保证了控制单元的实时性和工作效率。
实施例六
请参阅附图9,为采用上述实施例四或五中所述集成工业防火墙的控制单元105的工业控制系统。该工业控制系统包括监控层101、网络层102以及现场层104。
所述现场层104中包括所述集成工业防火墙的控制单元105。所述集成工业防火墙的控制单元105中的工业防火墙对所述控制单元进行安全防护。该控制单元的构成可以参阅上述实施例四或实施例五中的具体描述,相应的,具体防护过程可以参阅实施例一、实施例二或实施例三中的相关描述,这里不再赘述。
基于实施例四或实施例五中的控制单元构成以及实施例一、实施例二和实施例三中的安全防护方法,在工业控制系统的控制单元上集成工业防火墙实现安全防护方法,使得本工业控制系统提供的安全防护足以满足控制单元的防护需求,保障了控制单元的实时性及工作效率。
综上所述:
本发明实施例公开的安全防护方法、控制单元及工业控制系统,将工业防火墙集成于控制单元内部,在硬件防护模块和软件防护模块层层过滤传给控制单元的数据包,降低后续模块需要处理的数据包数量,提高控制CPU处理效率;通讯CPU对经过硬件防护模块和软件防护模块层层过滤的数据包再一次进行安全检查和处理,最后只将与现场控制直接相关的数据包传给控制CPU,保证了控制单元的实时性和工作效率。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种安全防护方法,其特征在于,应用于工业控制系统的控制单元中,该方法包括:
接收由网络层发送的预设模式下传输的第一数据包,在硬件层面过滤不是发给所述控制单元的数据包,当预设模式为广播模式时,所述第一数据包包括广播数据包;当预设模式为直接模式时,所述第一数据包包括发送给控制单元的点播、组播数据包;
按照预设校验检查规则对所述第一数据包进行校验检查,将过滤校验出错数据后的第一数据包作为第二数据包输出,所述预设校验检查规则为针对所述工业控制系统预设的校验检查规则,所述预设校验检查规则包括:循环冗余校验码CRC、因特网互联协议IP、用户数据报协议UDP和传输控制协议TCP中的一种或任意组合;
按照预设的合理数据包长度对所述第二数据包的长度进行检测,将符合预设的合理数据包长度的第二数据包作为第三数据包输出;
按照预设安全规则对所述第三数据包进行安全检查,对符合所述安全规则的所述第三数据包做冗余取舍,获取与现场控制直接相关的第四数据包并传递给所述控制单元中的控制中央处理器CPU,所述预设安全规则包括:根据所述工业控制系统的系统特性而确定的合法数据包协议、数据包源IP地址范围、数据包头部长度限制、传输层端口标致检验符校验和应用层标致检验符校验中的一种或任意组合。
2.根据权利要求1所述的方法,其特征在于,在接收预设模式下传输的第一数据包之后,还包括:
按照预设的限流方式和限流阈值判断所述第一数据包是否触发系统预设的诊断报警条件;
当触发时,则报警;
当未触发时,返回执行按照预设校验检查规则对所述第一数据包进行校验检查这一步骤。
3.根据权利要求1所述的方法,其特征在于,在对所述第二数据包的长度进行检测之后,还包括:
丢弃超过预设的合理数据包长度的第二数据包;
和/或,当超过预设的合理数据包长度的第二数据包触发系统预设的诊断报警条件时,报警。
4.根据权利要求1所述的方法,其特征在于,在对所述第三数据包进行安全检查之后,还包括:
丢弃不符合安全规则的第三数据包;
和/或,当不符合安全规则的第三数据包触发系统预设的诊断报警条件时,报警。
5.一种控制单元,其特征在于,应用于工业控制系统,所述控制单元包括工业防火墙和控制中央处理器CPU,其中:
工业防火墙包括:
端口硬件防护模块,用于根据预设校验检查规则对接收到由网络层发送的预设模式下传输的第一数据包进行过滤,将过滤校验出错数据后的第一数据包作为第二数据包输出,其中,所述预设校验检查规则为针对所述工业控制系统预设的校验检查规则,接收到的预设模式下传输的第一数据包为在硬件层面过滤不是发给所述控制单元的数据包,当预设模式为广播模式时,所述第一数据包包括广播数据包;当预设模式为直接模式时,所述第一数据包包括发送给控制单元的点播、组播数据包,所述预设校验检查规则包括:循环冗余校验码CRC、因特网互联协议IP、用户数据报协议UDP和传输控制协议TCP中的一种或任意组合;
端口软件防护模块,用于根据预设的合理数据包长度检测所述第二数据包,将符合预设的合理数据包长度的第二数据包作为第三数据包输出;
通讯中央处理器CPU软件防护模块,用于根据预设安全规则检查第三数据包,并对符合预设的安全规则的数据包进行冗余取舍处理,生成与现场控制直接相关的第四数据包传递给所述控制单元中的控制中央处理器CPU,所述预设安全规则包括:根据所述工业控制系统的系统特性而确定的合法数据包协议、数据包源IP地址范围、数据包头部长度限制、传输层端口标致检验符校验和应用层标致检验符校验中的一种或任意组合;
控制中央处理器CPU,用于接收经过所述工业防火墙得到的第四数据包并对其进行运算和控制。
6.根据权利要求5所述的控制单元,其特征在于,还包括:
诊断报警模块,用于当按照预设的限流方式和限流阈值判断第一数据包触发系统预设的诊断报警条件时,和/或,超过预设的合理数据包长度的第二数据包触发系统预设的诊断报警条件时,和/或,当不符合安全规则的第三数据包触发系统预设的诊断报警条件时,生成诊断报警信息,并报警。
7.一种工业控制系统,包括监控层、网络层、现场层,其特征在于,现场层包括权利要求5~6中的任意一项所述的控制单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210185588.3A CN102694815B (zh) | 2012-06-04 | 2012-06-04 | 一种安全防护方法、控制单元及工业控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210185588.3A CN102694815B (zh) | 2012-06-04 | 2012-06-04 | 一种安全防护方法、控制单元及工业控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102694815A CN102694815A (zh) | 2012-09-26 |
| CN102694815B true CN102694815B (zh) | 2016-05-11 |
Family
ID=46860101
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210185588.3A Active CN102694815B (zh) | 2012-06-04 | 2012-06-04 | 一种安全防护方法、控制单元及工业控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102694815B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103001958B (zh) * | 2012-11-27 | 2016-03-16 | 北京百度网讯科技有限公司 | 异常tcp报文处理方法及装置 |
| CN104734903B (zh) * | 2013-12-23 | 2018-02-06 | 中国科学院沈阳自动化研究所 | 基于动态跟踪技术的opc协议的安全防护方法 |
| CN110839043B (zh) * | 2019-11-27 | 2020-09-15 | 中国石油化工股份有限公司胜利油田分公司胜利采油厂 | 一种工控网络最小化单元隔离管控方法及其系统 |
| CN111181984B (zh) * | 2019-12-31 | 2022-04-01 | 北京力控华康科技有限公司 | 一种基于环保212协议的安全防护方法、装置、系统、终端及存储介质 |
| CN112001693A (zh) * | 2020-07-23 | 2020-11-27 | 无锡安真通科技有限公司 | 一种采用ai智能稽核的无纸化业务受理方法 |
| CN111935146B (zh) * | 2020-08-11 | 2022-08-26 | 北华航天工业学院 | 一种网络通讯安全防护系统及其防护方法 |
| CN115001851B (zh) * | 2022-07-15 | 2023-04-25 | 深圳市信润富联数字科技有限公司 | 数据采集对接方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1536497A (zh) * | 2003-04-04 | 2004-10-13 | 上海广电应确信有限公司 | 一种实现包过滤的防火墙及其实现包过滤的方法 |
| CN1773953A (zh) * | 2004-11-09 | 2006-05-17 | 罗春 | 一次性单向非法数据包识别方法 |
| CN101355567A (zh) * | 2008-09-03 | 2009-01-28 | 中兴通讯股份有限公司 | 一种对交换路由设备中央处理器进行安全保护的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6925572B1 (en) * | 2000-02-28 | 2005-08-02 | Microsoft Corporation | Firewall with two-phase filtering |
| CN101951323A (zh) * | 2010-08-12 | 2011-01-19 | 上海市共进通信技术有限公司 | 吉比特无源光网络中实现上行组播的装置及方法 |
-
2012
- 2012-06-04 CN CN201210185588.3A patent/CN102694815B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1536497A (zh) * | 2003-04-04 | 2004-10-13 | 上海广电应确信有限公司 | 一种实现包过滤的防火墙及其实现包过滤的方法 |
| CN1773953A (zh) * | 2004-11-09 | 2006-05-17 | 罗春 | 一次性单向非法数据包识别方法 |
| CN101355567A (zh) * | 2008-09-03 | 2009-01-28 | 中兴通讯股份有限公司 | 一种对交换路由设备中央处理器进行安全保护的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于EPA的分布式控制系统网络通信模块;冯冬芹,等;《中国建筑业协会2004工业以太网与智能建筑高峰论坛论文集》;20090515;第48-53页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102694815A (zh) | 2012-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102694815B (zh) | 一种安全防护方法、控制单元及工业控制系统 | |
| US8782771B2 (en) | Real-time industrial firewall | |
| US10147307B2 (en) | False alarm avoidance in security systems filtering low in network | |
| US10703309B2 (en) | Method and device for connecting a diagnostic unit to a control unit in a motor vehicle | |
| CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| JP3968724B2 (ja) | ネットワーク保安システム及びその動作方法 | |
| JP7121737B2 (ja) | 異常検知装置、異常検知方法およびプログラム | |
| CN109922085B (zh) | 一种基于plc中cip协议的安全防护系统及方法 | |
| WO2021243900A1 (zh) | 一种信息安全防护方法及装置 | |
| RU2517164C2 (ru) | СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ | |
| CN104956626A (zh) | 网络装置以及数据收发系统 | |
| US20150254950A1 (en) | False Alarm Avoidance In Security Systems | |
| CN101582900A (zh) | 防火墙安全策略配置方法及管理装置 | |
| US9686316B2 (en) | Layer-2 security for industrial automation by snooping discovery and configuration messages | |
| CN102255910B (zh) | 一种测试入侵防御产品性能的方法和装置 | |
| CN113119124B (zh) | 一种机器人控制系统的安全防护系统 | |
| CN109104352A (zh) | 车辆网络操作协议和方法 | |
| CN103200129A (zh) | 一种异常报文的镜像方法和装置 | |
| RU2668722C2 (ru) | Сeть передачи данных устройства, в частности транспортного средства | |
| JP2020501420A (ja) | 通信ネットワーク用の方法及び電子監視ユニット | |
| CN102739641B (zh) | 用于自动化网络的入口保护器 | |
| WO2021144859A1 (ja) | 侵入経路分析装置および侵入経路分析方法 | |
| CN108769016A (zh) | 一种业务报文的处理方法及装置 | |
| CN102045309A (zh) | 一种用于防止计算机病毒攻击的方法和装置 | |
| US20140297004A1 (en) | Method for detecting abnormal traffic on control system protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |