CN103491108B - 一种工业控制网络安全防护方法和系统 - Google Patents
一种工业控制网络安全防护方法和系统 Download PDFInfo
- Publication number
- CN103491108B CN103491108B CN201310483291.XA CN201310483291A CN103491108B CN 103491108 B CN103491108 B CN 103491108B CN 201310483291 A CN201310483291 A CN 201310483291A CN 103491108 B CN103491108 B CN 103491108B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- data message
- message
- protection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种工业控制网络安全防护方法和系统,该工业控制网络被划分为至少两个子网络层;其中,该工业控制网络与外部网络之间设置有防火墙,工业控制网络内设置有控制子网络层间数据传输的安全防护模块,该方法包括:安全防护模块截获所述子网络层之间传输的数据报文;安全防护模块判断所述数据报文所请求的操作是否满足预设条件;当所述安全防护模块判断出所述操作不满足预设条件时,阻断所述数据报文的传输;当所述安全防护模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对应的目的子网络层传输。通过该方法可以提高工业控制网络的安全性以及可靠性。
Description
技术领域
本发明涉及工业控制系统网络安全技术领域,更具体的说是涉及一种工业控制网络安全防护方法和系统。
背景技术
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。工业控制系统已经广泛遍布于工业、能源、交通、水利等领域,用于控制生产设备的运行。
随着信息化和工业化的融合,工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞,则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大,进而使得工业生成控制过程面临安全性威胁。目前,工业控制系统中所采取的安全防护措施一般是在工业控制系统网络的企业管理层和外部网络之间部署防火墙。由于防护措施较少,一旦该企业管理层与外部网络之间的防火墙被攻击者攻破,则工业控制系统的内部网络便很容易被控制,从而使得工业控制系统中的生产资料等数据被窃取,或者现场设备被恶意操控,影响到正常的工业控制。
发明内容
有鉴于此,本发明提供一种工业控制网络安全防护方法和系统,以提高工业控制网络的安全性以及可靠性。
为实现上述目的,本发明提供如下技术方案:一种工业控制网络安全防护方法,所述工业控制网络被划分为至少两个子网络层;其中,所述工业控制网络与外部网络之间设置有防火墙,所述工业控制网络内设置有控制所述子网络层间数据传输的安全防护模块,所述方法包括:
所述安全防护模块截获所述子网络层之间传输的数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件;
当所述安全防护模块判断出所述操作不满足预设条件时,阻断所述数据报文的传输;
当所述安全防护模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对应的目的子网络层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文。
优选的,所述工业控制网络被划分为至少两个子网络层,包括:
所述工业控制网络至少被划分为企业管理网络层、制造执行系统网络层、过程监控网络层、现场控制网络层,其中,所述企业管理网络层通过网络与所述制造执行系统网络层连接,所述制造执行系统网络层通过网络与所述过程监控网络层连接,所述过程监控网络层与所述现场控制网络层连接。
优选的,所述工业控制网络内设置有控制所述企业管理网络层与所述制造执行系统网络层间数据传输的安全防护模块;
所述安全防护模块所述截获所述子网络层之间传输的数据报文,包括:
所述安全防护模块截获所述企业管理网络层向所述制造执行系统网络层传输的第一数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件,包括:
所述安全防护模块对所述第一数据报文的发起方进行身份认证,并分析所述第一数据报文针对所述制造执行系统网络层中存储的生产资料信息的第一处理请求;
所述安全防护模块根据所述身份认证结果以及所述第一处理请求,判断是否所述第一数据报文对所述生产资料信息的访问请求不属于非授权访问,以及所述第一处理请求所请求的处理操作不属于预设的违规操作;
相应的,当所述安全防护模块确定出所述第一数据报文对所述生产资料数据的访问请求不属于非授权访问,且所述第一处理请求所请求的处理操作不属于所述违规操作时,则确定所述第一数据报文所请求的操作满足预设条件。
优选的,所述工业控制网络内设置有控制所述制造执行系统网络层与所述过程监控网络层间数据传输的安全防护模块;
其中,所述安全防护模块截获所述子网络层之间传输的数据报文,包括:
所述安全防护模块截获所述制造执行系统网络层向所述过程监控网络层传输的第二数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件,包括:
所述安全防护模块判断所述第二数据报文所请求访问的数据库地址是否为所述过程监控网络层中指定数据库的地址;
相应的,当所述安全防护模块判断出所述第二数据报文所请求访问的数据库地址为所述指定数据库的地址时,则确定所述第二数据报文所请求的操作满足预设条件。
优选的,所述工业控制网络内设置有控制所述过程监控网络层与现场控制网络层间数据传输的安全防护模块;
所述安全防护模块截获所述子网络层之间传输的数据报文,包括:
所述安全防护模块截获所述过程监控网络层向所述现场控制网络层传输的第三数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件,包括:
所述安全防护模块确定所述第三数据报文所包含的控制指令,其中,所述控制指令为下发到所述现场控制网络层中的控制器内的运行指令;
所述安全防护模块判断所述控制器执行所述运行指令是否会导致现场设备的运行异常、非法访问现场设备的数据或者非法修改现场设备的数据;
相应的,当所述安全防护模块判断出所述控制器执行所述运行指令会导致所述现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,则确定所述第三数据报文所请求的操作不满足预设条件。
优选的,所述过程监控网络层包括:通过网络连接的客户端网络区和服务器网络区,其中,所述客户端网络区至少包括通过网络连接的操作员站以及实时数据库服务器,所述服务器网络区至少包括操作站服务器、工程师站以及OPC服务器;
所述客户端网络区设置有第一加解密模块,所述服务器网络区设置有第二加解密模块;
所述方法还包括:
所述第一加解密模块获取所述客户端网络区输出至所述服务器网络区的指令数据包,根据第一私钥对所述指令数据包进行加密,并将加密后的指令数据包传输至所述服务器网络区;
所述第二加解密模块截获传输至所述服务器网络区的所述指令数据包,根据所述第一私钥对应的第一公钥对所述指令数据包进行解密,并当检测所述指令数据包中包含的控制指令属于指定类型的控制指令时,将所述指令数据包对应的目的终端,所述目的终端为所述服务器网络区中的操作站服务器、工程师站或者OPC服务器。
优选的,所述现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连,在所述现场总线上连接有控制网络层与所述现场设备网络层之间设置有现场入侵感知模块;
所述方法还包括:
所述现场入侵感知模块对接入现场总线上所有设备进行安全分析,对现场设备的状态进行在线检测,并对现场设备的数据资源、操作系统或者应用平台进行检测,同时,对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,当检测到异常时,输出提示信息。
另一方面,本发明还提供了一种工业控制网络安全防护系统,所述工业控制网络被划分为至少两个子网络层,所述系统包括:
设置于所述工业控制网络与外部网络之间的防火墙;
以及对能够进行数据传输的子网络层之间的数据传输进行控制的安全防护模块;
其中,所述安全防护模块包括:
报文截获单元,用于截获所述子网络层之间传输的数据报文;
判断单元,用于判断所述数据报文所请求的操作是否满足预设条件;
报文阻断单元,用于当所述操作不满足预设条件时,阻断所述数据报文的传输;
报文滤除单元,用于当所述安全防护模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对应的目的子网络层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文。
优选的,所述工业控制网络至少被划分为企业管理网络层、制造执行系统网络层、过程监控网络层、现场控制网络层,其中,所述企业管理网络层通过网络与所述制造执行系统网络层连接,所述制造执行系统网络层通过网络与所述过程监控网络层连接,所述过程监控网络层与所述现场控制网络层连接。
优选的,所述安全防护模块包括控制所述企业管理网络层与所述制造执行系统网络层之间数据传输的第一安全防护模块;
相应的,所述报文截获单元包括:第一报文截获单元,用于截获所述企业管理网络层向所述制造执行系统网络层传输的第一数据报文;
所述判断单元,包括:
身份认证单元,用于对所述第一数据报文的发起方进行身份认证,并当根据身份认证结果判断出所述第一数据报文对所述生产资料信息的访问请求属于非授权访问时,确定所述第一数据报文所请求的操作不满足预设条件;
行为审计单元,用于分析所述第一数据报文针对所述制造执行系统网络层中存储的生产资料信息的第一处理请求,并当判断出第一处理请求所请求的处理操作属于预设的违规操时,确定所述第一数据报文所请求的操作不满足预设条件;
所述报文阻断单元,包括:第一报文阻断单元,用于当所述身份认证单元和/或所述行为审计单元确定出所述第一数据报文所请求的操作不满足预设条件时,阻断所述数据报文的传输;
所述报文滤除单元,包括:第一报文滤除单元,用于当所述身份单元和所述行为审计单元确定所述第一数据报文所请求的操作满足所述预设条件时,滤除所述第一数据报文中存在安全隐患的数据,将滤除后的第一数据报文向所述制造执行系统网络层传输。
优选的,所述安全防护模块包括控制所述制造执行系统网络层与所述过程监控网络层之间数据传输的第二安全防护模块;
其中,所述报文截获单元,包括:
第二报文截获单元,用于截获所述制造执行系统网络层向所述过程监控网络层传输的第二数据报文;
所述判断单元,包括:
第二判断单元,用于判断所述第二数据报文所请求访问的数据库地址是否为所述过程监控网络层中指定数据库的地址;
相应的,所述报文阻断单元包括:第二报文阻断单元,用于当所述第二判断单元判断出所述第二数据报文所请求访问的数据库地址不是所述指定数据库的地址时,阻断所述第二数据报文向所述过程监控网络层的传输。
所述报文滤除单元包括:第二报文滤除单元,用于当所述第二判断单元判断出所述第二数据报文所请求访问的数据库地址为所述指定数据库的地址时,滤除所述第二数据报文中存在安全隐患的数据,将滤除后的第二数据报文向所述过程监控网络层传输。
优选的,所述安全防护模块包括控制所述过程监控网络层与所述现场控制网络层之间数据传输的第三安全防护模块;
相应的,所述报文截获单元,包括:第三报文截获单元,用于截获所述过程监控网络层向所述现场控制网络层传输的第三数据报文;
所述判断单元,包括:指令分析单元,用于确定所述第三数据报文所包含的控制指令,其中,所述控制指令为下发到所述现场控制网络层中的控制器内的运行指令;
第三判断单元,用于判断所述控制器执行所述运行指令是否会导致现场设备的运行异常、非法访问现场设备的数据或者非法修改现场设备的数据;
所述报文阻断单元包括:第三报文阻断单元,用于当所述第三判断单元判断出所述控制器执行所述运行指令会导致所述现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,则阻断所述第三报文数据向所述现场控制网络层传输。
优选的,所述过程监控网络层包括:通过网络连接的客户端网络区和服务器网络区,其中,所述客户端网络区至少包括通过网络连接的操作员站以及实时数据库服务器,所述服务器网络区至少包括操作站服务器、工程师站以及OPC服务器;
所述系统还包括设置于客户端网络区的第一加解密模块以及设置于所述服务器网络区的第二加解密模块;
其中,所述第一加解密模块,用于获取所述客户端网络区输出至所述服务器网络区的指令数据包,根据第一私钥对所述指令数据包进行加密,并将加密后的指令数据包传输至所述服务器网络区;
所述第二加解密模块,用于截获传输至所述服务器网络区的所述指令数据包,根据所述第一私钥对应的第一公钥对所述指令数据包进行解密,并当检测所述指令数据包中包含的控制指令属于指定类型的控制指令时,将所述指令数据包对应的目的终端,所述目的终端为所述服务器网络区中的操作站服务器、工程师站或者OPC服务器。
优选的,所述系统还包括设置于所述操作员站、实时数据库服务器、操作站服务器、工程师站以及OPC服务器内的监控防护模块;
所述监控防护模块,用于监测到被控设备与可移动存储设备连接时,检测所述可移动存储设备中存在的可执行的恶意程序,并阻止所述恶意程序的运行;监控用户的登录操作,对登录用户的身份进行验证,阻止非授权的用户登录;对指定文件保护目录中的文件、程序、软件进行备份和保护,对于非授权的增加、修改、替换和删除行为进行阻止,对于已损坏的或丢失的文件进行恢复;对本地存储的用于编译程序的文件或者是生成组态的文件进行验真处理,并扫描本地存储的指定文件中的字段信息,以发掘能够引起漏洞的特征码。
优选的,所述现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连,所述系统还包括:连接在所述现场总线上的现场入侵感知模块;
所述现场入侵感知模块,用于对接入现场总线上所有设备进行安全分析,对现场设备的状态进行在线检测,并对现场设备的数据资源、操作系统或者应用平台进行检测,同时,对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,当检测到异常时,输出提示信息。
经由上述的技术方案可知,该工业控制网络被划分为至少两个子网络层,安全防护模块截获子网络层间传输的数据报文,并当判断出该数据报文所请求的操作不满足预设条件时,阻断该数据报文的传输,从而避免数据报文所请求的操作对破坏该数据报文对应的目的子网络层;同时,当该数据报文所请求操作满足预设条件时,该安全防护模块还会滤除该数据报文中存在安全隐患的数据,避免存在安全隐患的数据影响该数据报文对应的目的子网络层的安全。这样,即使工业控制系统与外部网络之间的防火墙被攻破,由于安全防护模块对子网络层间数据传输的控制,也可以避免造成整个工业控制网络瘫痪的情况出现,进而提高了工业控制网络的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明一种工业控制网络安全防护方法一个实施例的流程示意图;
图2示出了本发明部署安全防护的工业控制系统网络划分出的各个子网络层之间的结构关系示意图;
图3示出了本发明一种工业控制网络安全防护方法另一个实施例的流程示意图;
图4示出了本发明一种工业控制网络安全防护方法另一个实施例的流程示意图;
图5示出了本发明一种工业控制网络安全防护方法另一个实施例的流程示意图;
图6示出了本发明一种工业控制网络安全防护系统中安全防护模块的结构示意图;
图7示出了本发明一种工业控制网络安全防护系统的组成结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,示出了本发明一种工业控制网络安全防护方法一个实施例的流程示意图,本发明实施例中,该工业控制系统的网络包括至少两个子网络层,也就是说工业控制网络被划分为至少两个子网络层。其中不同的子网络层对该工业控制系统中的作用与功能不同。该工业控制网络与外部网络之间设置有防火墙,该防火墙对工业控制网络之外的外部网络发送至该工业控制网络的数据进行过滤,并滤除该数据中存在安全隐患的数据,如,该防火墙可以滤除外部网络发送的数据中所包含的恶意代码、可能引起缓冲区溢出的超长报文以及有可能引起服务拒绝(DOS,Denial of Service)攻击的报文。在本发明实施例中,该工业控制网络内设置有控制子网络层间数据传输的安全防护模块。本实施例的方法包括:
步骤101:安全防护模块截获子网络层之间传输的数据报文。
当一个子网络层内的设备向另一子网络层的设备传输数据报文时,该安全防护模块则可以截获该数据报文,并通过后续的操作对该数据报文进行分析,以便当该数据报文能够威胁到工业控制网络安全的情况下,组织该数据报文的传输。
步骤102:安全防护模块判断该数据报文所请求的操作是否满足预设条件。
其中,截获的数据报文所请求的操作是否满足预设条件可以根据不同子网络层的功能以及性质的不同,设置不同的条件。一般以该数据报文所请求的操作对该数据报文对应的目的子网络层不会造成破坏为准。
步骤103:当该安全防护模块判断出该数据报文所请求的操作不满足预设条件时,阻断该数据报文的传输。
步骤104:当该安全防护模块判断出该数据报文所请求的操作满足预设条件时,滤除该数据报文中存在安全隐患的数据,并将滤除后的数据报文向该数据报文对应的目的子网络层传输。
为了防止数据报文中携带威胁工业控制网络安全的数据,当该数据报文所请求的操作满足预设条件时,还需要滤除该数据报文中所携带的存在安全隐患的数据,然后将滤除后的数据报文向相应的目的子网络传输。
其中,滤除的存在安全隐患的数据可以包括滤除该数据报文中包含的恶意代码以及不满足预设的访问控制规则的数据报文。
其中,恶意代码可以包括病毒、木马、蠕虫中的一种或者几种。
该不满足预设的访问控制规则的数据报文至少可以包括:报文长度超过预设长度的数据报文,即能够引起缓冲区溢出的超长报文;以及能够引起DOS攻击,进而造成通讯链路阻断的报文。比如,常见的能够引起DOS攻击的报文,包括LAND攻击、TCP synflood攻击、RST攻击等。
通过滤除数据报文中的恶意代码以及能够引起DOS攻击的报文,提高了传输至目的子网络层的数据的安全性,进而提高了工业控制网络的安全性。
在本申请实施例中,工业控制网络被划分为至少两个子网络层,安全防护模块截获子网络层间传输的数据报文,并当判断出该数据报文所请求的操作不满足预设条件时,阻断该数据报文的传输,从而避免数据报文所请求的操作对破坏该数据报文对应的目的子网络层;同时,当该数据报文所请求操作满足预设条件时,该安全防护模块还会滤除该数据报文中存在安全隐患的数据,避免存在安全隐患的数据影响该数据报文对应的目的子网络层的安全。这样,即使工业控制系统与外部网络之间的防火墙被攻破,由于安全防护模块对子网络层间数据传输的控制,也可以避免造成整个工业控制网络瘫痪的情况出现,进而提高了工业控制网络的安全性和可靠性。
在实际应用中,为了能够对于对能够进行数据交互的任意两个子网络层的数据传输进行控制,在任意两个能够具有数据交互的子网络之间均设置一个安全防护模块。具体的,可以是在这两个子网络层之间,或者至少这两个子网络层中的一个子网络层内设置有一个安全防护模块。
在对工业控制网络划分子网络层时,可以根据该工业控制网络系统的各个部分的功能进行划分子网络层,如可以将该工业控制网络分为企业管理网络层、制造执行系统(MES,manufacturing execution system)网络层以及工业控制网络层。企业管理网络层是该工业控制网络系统中负责系统信息管理的部分网络,其中包含了许多子系统,如:生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等。制造执行系统网络层处于工业控制网络层与企业管理网络层之间,主要负责生产管理和调度执行。通过制造执行系统网络层,管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。工业控制层由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成,主要完成加工作业、检测和操控作业、作业管理等功能。通过本发明的方式,可以对各网络层之间的数据交互进行控制,从而保证工业控制系统的网络安全。
进一步的,该工业控制层还可以细分为过程监控网络层以及现场控制层,相应的,该工业控制网络至少被划分为企业管理网络层、制造执行系统MES网络层、过程监控网络层、现场控制网络层。如图2所示,为工业控制系统的网络划分示意图,在该图中可以看出,该各个网络层之间的关系,其中,该企业管理网络层通过网络与制造执行系统网络层连接,该制造执行系统网络层通过网络与过程监控网络层连接,该过程监控网络层与现场控制网络层连接。在图2所示的图中,任意上下相邻的两网络层的设备之间可以进行数据传输。
由图2可以看出,该企业管理网络层中设置有办公计算机、web客户端、生产管理客户端等等,该企业管理网络中部分设备可以访问制造执行系统网络层中的相关设备,以获取生产资料数据等。
该MES网络层则可以包括MES应用服务器、生产管理数据库服务器,以及负责生产调度、性能分析等的设备或服务器。
过程监控网络层可以包括操作员站、实时数据库服务器、操作站服务器、工程师站、以及内置有指定数据访问规则的服务器,如OPC(OLE for ProcessControl)服务器,将OLE(Object Linking and Embedding,对象连接与嵌入)应用于工业控制领域。其中,实时数据库中存储了来自现场设备采集的实时数据以及历史数据,如工业控制系统的调试参数以及一些告警等。例如,以水处理系统为例,在该实时数据库中则可以记录有液位、压强等数值。OPC服务器则可以从现场的控制器中获取采集到数据,并将数据存储至实时数据库服务器中。操作员站具有人机界面,可以对工业控制系统进行一些监控,同时可以向操作员站服务器下发一些指令数据等,操作站服务器接收操作员站下发的控制指令,对指令数据包进行解析、重组和封装,并以工业控制系统私有协议形式向系统中的控制进行转发。该工程师站一般是来提供组态编程的。
该现场控制网络层则包括控制器,现场控制网络层中控制器与现场设备直接或间接相连。控制器根据过程监控级下发或配置的控制指令,对现场设备进行控制。
其中,在图2所示的工业控制网络划分体系中,相邻的上下两个子网络层之间能够进行数据传输,每两个任意能够进行数据传输的子网络层之间的数据传输均通过一个安全防护模块进行控制,但是对于不同的两个子网络层所需交互的数据类型以及数据内容会有较大差异,因而对于不同的具有数据交互的两个子网络层而言,安全防护模块对数据传输的控制过程也会有所差异。
参见图3,示出了本发明一种工业控制网络安全防护方法另一个实施例的流程示意图,本实施例以控制企业管理网络层与制造执行系统网络层间数据传输的安全防护模块对这两个子网络层之间的数据传输的控制为例进行描述,本实施例的方法包括:
步骤301:截获企业管理网络层向MES网络层传输的第一数据报文。
其中,为了区分不同网络层之间传输的数据报文,将该企业管理网络层与MES网络层传输的报文称为第一数据报文。相应的,后续出现的第二数据报文、第三数据报文也仅仅是为了区分不同网络层间传输的数据报文。
在本实施例中,该安全防护模块可以截获企业管理网络层与MES网络层传输的数据,并不仅限于截获该企业管理网络层向MES网络层传输的数据。但是考虑到对工业控制网络系统的破坏的目的都是破坏现场设备的生产过程,也就是说对工业控制系统的破坏一般都是从图2所示的上层向下层网络进行破坏。因此,本申请实施例中以截获企业管理网络层向MES网络层传输的数据报文为例。当然,后续对于其他两个子网络层之间的数据传输,也是基于图2所示的结构,以对上层网络层向下层网络层传输数据为例进行介绍。
步骤302:对第一数据报文的发起方进行身份认证,并分析该第一数据报文针对该MES网络层中存储的生产资料信息的第一处理请求。
步骤303:根据身份认证结果以及该第一处理请求,判断是否第一数据报文对生产资料信息的访问请求不属于非授权访问,以及第一处理请求所请求的处理操作不属于预设的违规操作。
第一数据报文的发起方即为该企业管理网络层中发送该第一数据报文的设备信息,以及利用该企业管理网络层中的设备发送该第一数据报文的用户标识信息等信息中的一种或者几种。
安全防护模块对该第一数据报文进行分析,可以确定出该第一数据报文中所包含的第一处理请求,该第一处理请求是针对该MES网络层各个与生产资料相关的服务器的访问请求,以对相应的生产资料信息进行处理。其中,该生产资料信息包括工业控制系统中的流程工业的工序调度、生产资料分配以及过程管理等信息。
通过对第一数据报文的发起方进行身份认证,可以及时检测出非授权的访问行为。其中,非授权的访问行为,包括对企业管理网络层中,企业管理相关业务进行控制的操作人员越权访问该MES网络层中生产资料信息,以及未授权的业务操作人员访问该MES网络层中的生产资料信息。其中,生成资料信息包括流程工艺中的工序调度、生产资料分配和过程管理等信息。
其中,预设的违规操作可以包括:通过人机交互终端输入的违反设定操作规则的行为,操作人员的误操作,以及恶意的篡改数据的操作等。
步骤304:当确定出第一数据报文对生产资料数据的访问请求不属于非授权访问,且该第一处理请求所请求的处理操作不属于违规操作时,滤除该第一数据报文中存在安全隐患的数据,并将滤除后的第一数据报文向MES网络层传输。
由于MES网络层收集现场控制系统采集的相关数据,以Web形式与上层企业管理网络层各服务器和客户端等终端设备进行数据交互。若入侵者突破了企业管理网络层的防御,即获取了工业控制系统企业管理网中任意一台终端主机的控制权限,则可以利用Web服务漏洞注入恶意代码,获取MES层的Web服务器的控制权限。因此,当该第一数据报文对应的访问请求不属于非授权访问,同时,该第一数据报文对应的处理操作不属于违规操作时,还需要滤除了该第一数据报文中存在安全隐患的数据,并将滤除后的第一数据报文向MES层传输。
其中,滤除的存在安全隐患的数据可以包括滤除该数据报文中包含的恶意代码以及不满足预设的访问控制规则的数据报文。具体可以参见图1对应的实施例的相关介绍。在本实施例中,该存在安全隐患的安全隐患的数据还可以包括向工业控制系统中人一些地址的恶意脚本代码。另外,存在安全隐患的数据还可以包括一些非法操作数据,如通过终端输入的违规操作数据,或者是误操作数据,以及对过程监控子网络层的数据进行恶意篡改的控制数据等。
步骤305:当确定出第一数据报文对生产资料数据的访问请求属于非授权访问,和/或该第一处理请求所请求的处理操作属于违规操作时,阻断该第一数据报文的传输。
当确定出该第一数据报文满足:该第一数据对应的访问请求属于非授权访问;该第一数据报文中包含的第一处理请求所请求的处理操作属于违规操作,这两种情况中的任意一种或者两种时,则需要阻断该第一数据报文向MES网络层传输。
当然,如果确定出该第一处理请求所请求的处理操作属于违规操作时,还可以进行报警,如输出报警铃声或者语音提示等等。
参见图4,示出了本发明一种工业控制网络安全防护方法另一个实施例的流程示意图,本实施例以控制该制造执行系统网络层与过程监控网络层之间数据传输的安全防护模块对这两个网络层之间的数据传输的控制为例,本实施例的方法包括:
步骤401:截获MES网络层向过程监控网络层传输的第二数据报文。
步骤402:判断该第二数据报文所请求访问的数据库地址是否为该过程监控网络层中指定数据库的地址,如果是,则执行步骤403;否则,执行步骤404。
步骤403:滤除该数据报文中存在安全隐患的数据,并将滤除后的第二数据报文向过程监控网络层传输。
步骤404:阻断所述第二数据报文向过程监控网络层的传输。
一旦攻击者突破了工业控制系统的前两层防御,即企业管理网络层和MES网络层的防御,获取了MES层中某个生产管理服务器的控制权限,则该过程监控网络层中的实时数据库服务器与MES层中各生产管理服务器终端交互的数据有可能被攻击者窃取。因此,需要判断该第二数据报文所请求访问的地址是否该过程监控网络层中指定数据的地址。
其中,该指定数据库为该过程监控网络层中存储有来自现场设备采集的数据信息的实时数据库。
如果该第二数据报文所请求访问的数据库的地址不是该实时数据库的地址,则认为该第二数据报文为不合法的数据报文,并阻断该第二数据报文的传输。如果该第二数据报文为合法的数据报文,还需要对该第二数据报文进行检验,过滤该第二数据报文中包含的报文长度超过预设长度的数据报文,可能引起DOS攻击的报文,以及任意操作内存地址的恶意代码等。另外,在本申请实施例中,数据报文中存在安全隐患的数据,还可以包括:任意操作内存地址的恶意代码和异常数据等。
参见图5,示出了本发明一种工业控制网络安全防护方法另一个实施例的流程示意图,本实施例以控制过程监控网络层与现场控制层之间数据传输的安全防护模块对这两个网络层之间的数据传输的控制为例进行描述,本实施例的方法包括:
步骤501:截获该过程监控网络层向现场控制网络层传输的第三数据报文。
步骤502:确定该第三数据报文所包含的控制指令,其中,该控制指令为下发到控制现场控制网络层中的控制器内的运行指令。
步骤503:判断控制器执行该运行指令是否会导致现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,如果是,则执行步骤504;如果否,则执行步骤505。
该过程监控网络层中的设备可以向现场设备网络层控制器发送获取现场设备数据的指令,以便控制器执行相应的运行指令,将获取到的现场设备的数据发送给过程监控网络层。同时,过程监控网络层中的操作员站以及工程师站可以向该现场控制网络层中的控制器下发组态编译以及相应的运行指令。例如,通过更改下发到该控制器中组态信息,或者是对控制器中的程序进行更新等,来改变控制器对现场设备的控制过程,从而达到攻击控制器的目的。因此,在截获到第三数据报文后,需要分析该第三数据报文中包含的需要下发至控制器中的运行指令。
判断该控制器执行该运行指令是否会导致现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,可以通过仿真的方式来运行该运行指令,进而对可能造成的影响进行预估,防止控制器中运行非预期组态,以及对控制器中运行程序的恶意更新。
步骤504:阻断第三数据报文向现场控制层传输。
步骤505:滤除该第三数据报文中存在安全隐患的数据,并将滤除后的第三数据报文向现场控制网络层传输。
如果判断出该控制器执行该运行指令是否会导致现场设备运行异常,则阻断该第三数据报文的传输,从而避免控制器中运行该运行指令。如果该控制器执行该运行指令是否会导致现场设备运行异常,则还需要滤除该第三数据报文中存在安全隐患的数据。
其中,在本实施例中存在安全隐患的数据可以包括图1实施例描述的恶意代码、超长报文以及可能引起DOS攻击的报文。进一步的,在本实施例中,还可以预置基于工业控制系统私有协议的攻击特征库,例如基于S7的工业控制系统私有协议的攻击特征库,来过滤恶意代码。
进一步的,在以上任意一个实施例中,当判断出数据报文不满足预设的条件,需要阻断该数据报文向目的子网络层传输,以及检测出该数据报文中存在安全隐患数据时,可以输出提示信息,以向用户提示检测出的相关信息。例如,通过输出铃声进行报警的方式来提示用户,或者通过文字输出的方式提示用户等等。
为了能够更好的保护工业控制系统的网络安全,在本申请实施例中,还可以将过程监控网络层划分为两个子系统,并分别对这两个子系统采取相应的措施进行安全防护,以提高过程监控网络层内的安全,进而提高向该现场控制层中的控制器内下发的数据的安全性。
具体的,该过程监控网络层可以包括通过网络连接的客户端网络区和服务器网络区。如图2所示,该过程监控网络层包括位于客户端网络区,该客户端网络区至少包括通过网络连接的操作员站以及实时数据库服务器。在该客户端网络区的下方包括服务器网络区,在该服务器网络区至少包括操作站服务器,工程师站,以及内置有指定数据访问规则的服务器如图中的OPC服务器等。
在该客户端网络区设置有第一加解密模块,该服务器网络区设置有第二加解密模块。可以是该客户端网络区的每一台设备的输出端或者在每一台设备内设置一个第一加解密模块。相应的,在该服务器网络区中每台设备的输入端设置一个第二加解密模块。
相应的,本实施例的方法还包括:
该第一加解密模块获取该客户端网络区输出至服务器网络区的指令数据包,根据第一私钥对所述指令数据包进行加密,并将加密后的指令数据包传输至该服务器网络区;
该第二加解密模块截获传输至所述服务器网络区的所述指令数据包,根据所述第一私钥对应的第一公钥对该指令数据包进行解密,并当检测所述指令数据包中包含的控制指令属于指定类型的控制指令时,将所述指令数据包对应的目的终端,所述目的终端为所述服务器网络区中的操作站服务器、工程师站或者OPC服务器。
其中,检测该指令数据包中包含的控制指令是否属于指定类型的控制指令可以是:来自该指令数据包的发起端设备是否为指定类型的设备,该指令数据包的封装形式是否利用指定协议进行封装。其中,指定协议可以包括以太网的TCP/IP协议,以及工业控制系统私有协议。
例如,在操作员站的输出端可以连接第一加解密模块,并在操作站服务器的输入端连接第二加解密模块,当该操作员站向该操作站服务器下发指令数据包后,该第一加解密模块对该指令数据包进行加密,并将加密后的指令数据包传输给操作站服务器。该第二加解密模块截获该解密后的指令数据包后,按照设定的公钥对该指令数据包进行解密,如果解密不成功,则认为该指令数据包存在异常,并阻断异常的指令数据包的传输;当该第二加解密模块对该指令数据包解密成功后,该第二加解密模块还需要判断该指令数据包是否为指令类型的控制指令,以判断该指令数据包是否为合法数据。如果该指令数据包来自操作员站,且为该操作员站请求获得现场设备中控制参数值的指令,则认为该指令数据包为合法数据。相反的,如果该指令数据包解密后无法识别,或者是不属于指定类型,则认为该指令数据包为不合法的数据。
进一步的,在在该服务器网络区中每台设备的输出端设置一个第三加解密模块。而在现场控制层的控制器输入端设置有第四加解密模块;
该第三加解密模块获取服务器网络区向控制器传输的第三数据报文,根据第二私钥对所述第三数据报文进行加密,并将加密后的第三数据报文传输至现场控制网络层的控制器中;
相应的,该第四加解密模块可以截获向控制器中传输的第三数据报文,并根据与该第二私钥对应的第二公钥对该第三数据报文进行解密,并在解密出成功后将所述第三数据报文向所述控制器传输。当然,该第四加解密模块输出解密后的第三数据报文后,安全防护模块仍会截获该第三报文数据,并在安全防护模块分析出该第三报文数据不存在安全隐患的情况下,由控制器处理所述第三数据报文。
进一步的,由于过程监控网络层能够对现场控制层中的控制器下发控制指令,同时能够通过控制器获取现场设备采集到数据信息。因此,过程监控网络层一旦被攻击,将直接关系到整个工业控制系统的网络安全。为了加强安全控制,在本申请中,在该过程监控网络层中的操作员站、实时数据库服务器、操作站服务器、工程师站以及OPC服务器中均内置有监控防护模块。
相应的,本申请的方法还可以包括:监控防护模块监测到被控设备与可移动存储设备连接时,检测该可移动存储设备中可执行的恶意程序,并阻止所述恶意程序的运行;监控用户的登录操作,对登录用户的身份进行验证,阻止非授权的用户登录;对指定文件保护目录中的文件、程序、软件进行备份和保护,对于非授权的增加、修改、替换和删除行为进行阻止,对于已损坏的或丢失的文件进行恢复;对本地存储的用于编译程序的文件或者是生成组态的文件进行验真处理,并扫描本地存储的指定文件中的字段信息,以发掘能够引起漏洞的特征码。
其中,过程监控网络层中设置有监控防护模块的设备即为被控设备。例如,当操作员站中设置有监控防护模块时,该监控防护模块可以连接到该操作员站上的可移动存储设备进行检测。当有用户登录该操作员站时,该监控防护模块对用户身份进行验证,只有具有管理员权限的用户才允许登录该操作员站启动工业控制系统的上位机软件。如果该监控防护模块检测到不具有管理员权利的用户登录该操作员站,并试图启动控制系统上位机应用软件时,会进行拦截,还可以产生相应的警报,从而可以阻止非授权的用户对现场控制网络层下发恶意指令的行为。同时,该监控防护模块通过校验、签名等技术对操作员站中用户编译程序所需的库文件进行验真处理,并对该操作员站中存储的指定文件中的字段信息进行扫描,以检测出可能引起漏洞的特征码。其中,指定文件可以包括操作员站控制系统应用软件控件的库文件、操作员站控制系统应用软件功能块的库文件、操作员站用户程序二进制文件、操作员站上的项目文件等。
当然,对于设置于该过程监控网络层其他设备上的监控防护模块而言,其控制过程与操作员站上的监控防护模块的控制过程相似,不同的仅仅是需要扫描的指定文件可能会有所不同。
进一步的,在以上任意实施例中,该现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连,在所述现场总线上连接有控制网络层与所述现场设备网络层之间设置有现场入侵感知模块。其中,现场设备是指工业控制系统的网络中处于生产线上的设备,例如压力变送器、温度变送器以及液位监测器等等。
相应的,本申请的方法还可以包括:该现场入侵感知模块对接入现场总线上所有设备进行安全分析,对现场设备的状态进行在线检测,并对现场设备资源进行磁盘操作系统(DOS,Disk Operating System)检测,同时,对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,并当检测到异常时,输出提示信息。其中,输出提示信息可以是以声音信号、光信号或者是输出文字的方式来进行警报,以提示用户检测过程中所出现的异常。
其中,该现场入侵感知模块对接入大现场总线上所有设备进行安全分析,从而可以及时发现工业控制系统网络外的窃听设备,进而即时发现异常信息。
该现场入侵感知模块对现场设备的状态在线检测具体包括对现场设备采集到的现场设备层内的状态数据以及传输数据进行检测,按照通信协议对采集到的数据进行解析,并当分析出可疑数据时,输出提示信息。可疑数据是指采集到的数值与预设的正常值之间的差超出预设范围的数值。如,以采集到的数据压力或温度为例,当采集到的压力值或温度值超出预设的压力值或者温度值的范围达到预设阈值,则采集到的状态数据或传输数据中存在异常数据。
现场设备资源的DOS检测是是检测攻击或恶意破坏现场设备的情况,并统计一段时间内与该工业控制网络相连的现场设备的总数量,并当与连接在工业控制网络内的现场设备的总数量超过预设阈值时,输出提示信息,以免资源消耗过大,影响整个工业控制系统的运行。
通过对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,并分析现场设备层的数据传输方式与现场总线通信协议的一致性,如果发现网络传输异常,则输出提示信息。
对应本发明的一种工业控制网络安全防护方法,本发明还提供了一种工业控制网络安全防护系统,该工业控制网络被划分为至少两个子网络层,在工业控制网络与所述外部网络之间设置有防火墙,该防火墙,用于对所述外部网络发送至所述企业管理网络层的第一数据进行过滤,并滤除所述第一数据中存在安全隐患的数据。本实施例的安全防护系统还包括:对能够进行数据传输的子网络层之间的数据传输进行控制的安全防护模块。如,可以在任意两个能够进行数据传输的子网络层之间设置安全防护模块,该安全防护模块可以独立于子网络层,也可以设置在这两个子网络层中的任一个子网络层内,只要是能够对向该子网络层传输数据以及该子网络层向其他子网络层传输数据进行控制即可。参见图6,示出了本发明的工业控制网络安全防护系统中安全防护模块的结构示意图,本实施例中该安全防护模块600可以包括报文截获单元601、判断单元602、报文阻断单元603和报文滤除单元604。
其中,报文截获单元601,用于截获所述子网络层之间传输的数据报文。
判断单元602,用于判断所述数据报文所请求的操作是否满足预设条件。
报文阻断单元603,用于当所述操作不满足预设条件时,阻断所述数据报文的传输。
报文滤除单元604,用于当所述安全防护模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对应的目的子网络层传输;其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文。
可选的,该工业控制网络至少被划分为企业管理网络层、制造执行系统MES网络层、过程监控网络层、现场控制网络层。每个网络层均可以认为是该工业控制网络的一个子网络。其中,所述企业管理网络层通过网络与所述制造执行系统网络层连接,所述制造执行系统网络层通过网络与所述过程监控网络层连接,所述过程监控网络层与所述现场控制网络层连接。
相应的,在以上工业控制网络划分的子网络层的基础上,在各个子网络之间均对应有一个安全防护模块。
相应的,该系统的安全防护模块可以包括:控制所述企业管理网络层与所述制造执行系统网络层之间数据传输的第一安全防护模块;
控制所述制造执行系统网络层与所述过程监控网络层之间数据传输的第二安全防护模块;
控制所述过程监控网络层与所述现场控制网络层之间数据传输的第三安全防护模块。
其中,该第一安全防护模块可以设置在企业管理网络层与该制造执行系统网络层之间;也可以在设置在该企业管理网络层或制造执行系统网络层中任意一个网络层中,例如,设置在制造执行系统网络层中或者该制造执行系统网络层中数据交换设备内,且该企业管理网络层向该制造执行系统网络层内传输的数据均经过该第一安全防护模块。
与此类似,该第二安全防护模块也可以是设置在制造执行系统网络层与过程监控网络层之间,或者是设置在制造执行系统网络层或过程监控网络层的任意一个网络层中。而该第三安全防护模块可以设置在过程监控网络层与现场控制网络层之间,或者这两个网络层中的任意一个网络层内。
为了便于理解,参见图7,该图7为在图2所示的工业控制系统网络划分的各个子网络层基础上,该工业控制网络的安全防护系统的一种结构示意图。
由图7可见,工业控制网络中与外部Internet网络之间连接的子网络为该企业管理网络层,在申请实施例的安全防护系统中,在该外部网络与该企业管理网络层之间设置有防火墙700,以过滤外部Internet网络向该企业管理网络层传输的数据中所存在的恶意代码或者是超长报文等。
在该企业管理网络层与该制造执行系统网络层之间设置有第一安全防护模块701。
该第一安全防护模块701中的报文截获单元包括:第一报文截获单元,用于截获所述企业管理网络层向所述MES网络层传输的第一数据报文;
该第一安全防护模块701中的判断单元,具体包括:
身份认证单元,用于对所述第一数据报文的发起方进行身份认证,并当根据身份认证结果判断出所述第一数据报文对所述生产资料信息的访问请求属于非授权访问时,确定所述第一数据报文所请求的操作不满足预设条件;
行为审计单元,用于分析所述第一数据报文针对所述制造执行系统网络层中存储的生产资料信息的第一处理请求,并当判断出第一处理请求所请求的处理操作属于预设的违规操时,确定所述第一数据报文所请求的操作不满足预设条件;
相应的该第一安全防护模块701的报文阻断单元,包括:第一报文阻断单元,用于当所述身份认证单元和/或所述行为审计单元确定出所述第一数据报文所请求的操作不满足预设条件时,阻断所述数据报文的传输;
相应的,该第一安全防护模块701的报文滤除单元,包括:第一报文滤除单元,用于当所述身份单元和所述行为审计单元确定所述第一数据报文所请求的操作满足所述预设条件时,滤除所述第一数据报文中存在安全隐患的数据,将滤除后的第一数据报文向所述制造执行系统网络层传输。
本实施例中的安全防护模块还包括控制所述制造执行系统网络层与所述过程监控网络层之间数据传输的第二安全防护模块。如图7,设置在该过程监控网络层的实时数据库前端的第二安全防护模块702,这样,MES网络层中所有服务器或者终端与该实时数据库交互的数据均需要通过该第二安全防护模块702。
其中,该第二安全防护模块702中的报文截获单元,包括:
第二报文截获单元,用于截获所述制造执行系统网络层向所述过程监控网络层传输的第二数据报文;
该第二安全防护模块内的判断单元,包括:
第二判断单元,用于判断所述第二数据报文所请求访问的数据库地址是否为所述过程监控网络层中指定数据库的地址;
相应的,该第二安全防护模块中的报文阻断单元包括:第二报文阻断单元,用于当所述第二判断单元判断出所述第二数据报文所请求访问的数据库地址不是所述指定数据库的地址时,阻断所述第二数据报文向所述过程监控网络层的传输。
该第二安全防护模块中的报文滤除单元包括:第二报文滤除单元,用于当所述第二判断单元判断出所述第二数据报文所请求访问的数据库地址为所述指定数据库的地址时,滤除所述第二数据报文中存在安全隐患的数据,将滤除后的第二数据报文向所述过程监控网络层传输。
本实施例系统中的安全防护模块还包括控制所述过程监控网络层与所述现场控制网络层之间数据传输的第三安全防护模块。如图7,设置在该过程监控网络与该现场控制层的控制器之间的第三安全防护模块703。该第三安全防护模块可以设置在连接该控制器与该过程监控网络的控制行为管理器(图中未画出)内。当然,第三安全防护模块过程监控网络层与现场控制层的关系并不限于图7所示,如该第三安全防护模块也可以内置在控制器中。
相应的,该第三安全防护模块的报文截获单元,包括:第三报文截获单元,用于截获所述过程监控网络层向所述现场控制网络层传输的第三数据报文;
该第三安全防护模块的判断单元,包括:指令分析单元,用于确定所述第三数据报文所包含的控制指令,其中,所述控制指令为下发到所述现场控制网络层中的控制器内的运行指令;
第三判断单元,用于判断所述控制器执行所述运行指令是否会导致现场设备的运行异常、非法访问现场设备的数据或者非法修改现场设备的数据;
该第三安全防护模块的报文阻断单元包括:第三报文阻断单元,用于当所述第三判断单元判断出所述控制器执行所述运行指令会导致所述现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,阻断所述第三报文数据向所述现场控制网络层传输。
进一步的,现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连。相应的,本实施例的系统还包括:连接在所述现场总线上的现场入侵感知模块704。
该现场入侵感知模块704,用于对接入现场总线上所有设备进行安全分析,对现场设备的状态进行在线检测,并对现场设备资源进行磁盘操作系统DOS检测,同时,对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,当检测到异常时,输出提示信息。
其中,该入侵感知模块可以具体为一个感知器。
进一步的,如图7所示,该过程监控网络层可以包括:通过网络连接的客户端网络区和服务器网络区,其中,所述客户端网络区至少包括通过网络连接的操作员站以及实时数据库服务器,所述服务器网络区至少包括操作站服务器、工程师站以及OPC服务器。
相应的,该系统还包括:设置于客户端网络区的第一加解密模块705,以及设置于所述服务器网络区的第二加解密模块706。
其中,所述第一加解密模块,用于获取所述客户端网络区输出至所述服务器网络区的指令数据包,根据第一私钥对所述指令数据包进行加密,并将加密后的指令数据包传输至所述服务器网络区;
所述第二加解密模块,用于截获传输至所述服务器网络区的所述指令数据包,根据所述第一私钥对应的第一公钥对所述指令数据包进行解密,并当检测所述指令数据包中包含的控制指令属于指定类型的控制指令时,将所述指令数据包对应的目的终端,所述目的终端为所述服务器网络区中的操作站服务器、工程师站或者OPC服务器。
如图7所示,在客户端网络区中任意一台设备与服务器网络区的数据输出端均连接有第一加解密模块,相应的,在该服务器网络区的任意一台设备与该客户端网络区之间设置有该第二加解密模块,该第二加解密模块可以截获由该客户端网络区的某台设备向该服务器网络区中某个服务器或工程师站传输的数据。当然。该第一加解密模块也可以内置在该客户端网络区的各个设备,相应的,该第二加解密模块也可以内置在该服务器网络区的各个设备内。
进一步的,该系统还包括设置于操作员站、实时数据库服务器、操作站服务器、工程师站以及OPC服务器内的监控防护模块;
该监控防护模块,用于监测到被控设备与可移动存储设备连接时,检测所述可移动存储设备中存在的可执行的恶意程序,并阻止所述恶意程序的运行;监控用户的登录操作,对登录用户的身份进行验证,阻止非授权的用户登录;对指定文件保护目录中的文件、程序、软件进行备份和保护,对于非授权的增加、修改、替换和删除行为进行阻止,对于已损坏的或丢失的文件进行恢复;对本地存储的用于编译程序的文件或者是生成组态的文件进行验真处理,并扫描本地存储的指定文件中的字段信息,以发掘能够引起漏洞的特征码。
进一步的,在该服务器网络区中每台设备的输出端或者每台设备内部还设置有第三加解密模块707。而在现场控制层的控制器输入端设置有第四加解密模块(图中未画出);
该第三加解密模块获取服务器网络区向控制器传输的第三数据报文,根据第二私钥对所述第三数据报文进行加密,并将加密后的第三数据报文传输至现场控制网络层的控制器中;
相应的,该第四加解密模块可以截获向控制器中传输的第三数据报文,并根据与该第二私钥对应的第二公钥对该第三数据报文进行解密,并在解密出成功后将所述第三数据报文向所述控制器传输。当然,该第四加解密模块输出解密后的第三数据报文后,安全防护模块仍会截获该第三报文数据,并在安全防护模块分析出该第三报文数据不存在安全隐患的情况下,由控制器处理所述第三数据报文。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种工业控制网络安全防护方法,其特征在于,所述工业控制网络被划分为至少两个子网络层,所述至少两个子网络层包括:企业管理网络层、制造执行系统网络层、过程监控网络层和现场控制网络层,其中,所述企业管理网络层通过网络与所述制造执行系统网络层连接,所述制造执行系统网络层通过网络与所述过程监控网络层连接,所述过程监控网络层与所述现场控制网络层连接;其中,所述工业控制网络与外部网络之间设置有防火墙,所述工业控制网络内设置有控制所述子网络层间数据传输的安全防护模块,所述方法包括:
所述安全防护模块截获所述子网络层之间传输的数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件;
当所述安全防护模块判断出所述操作不满足预设条件时,阻断所述数据报文的传输;
当所述安全防护模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对应的目的子网络层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文;
其中,所述现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连,在所述现场总线上连接有控制网络层与所述现场设备网络层之间设置有现场入侵感知模块;
所述方法还包括:
所述现场入侵感知模块对接入现场总线上所有设备进行安全分析,对现场设备的状态进行在线检测,并对现场设备的数据资源、操作系统或者应用平台进行检测,同时,对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,当检测到异常时,输出提示信息。
2.根据权利要求1所述的方法,其特征在于,所述工业控制网络内设置有控制所述企业管理网络层与所述制造执行系统网络层间数据传输的安全防护模块;
所述安全防护模块所述截获所述子网络层之间传输的数据报文,包括:
所述安全防护模块截获所述企业管理网络层向所述制造执行系统网络层传输的第一数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件,包括:
所述安全防护模块对所述第一数据报文的发起方进行身份认证,并分析所述第一数据报文针对所述制造执行系统网络层中存储的生产资料信息的第一处理请求;
所述安全防护模块根据所述身份认证结果以及所述第一处理请求,判断是否所述第一数据报文对所述生产资料信息的访问请求不属于非授权访问,以及所述第一处理请求所请求的处理操作不属于预设的违规操作;
相应的,当所述安全防护模块确定出所述第一数据报文对所述生产资料数据的访问请求不属于非授权访问,且所述第一处理请求所请求的处理操作不属于所述违规操作时,则确定所述第一数据报文所请求的操作满足预设条件。
3.根据权利要求1所述的方法,其特征在于,所述工业控制网络内设置有控制所述制造执行系统网络层与所述过程监控网络层间数据传输的安全防护模块;
其中,所述安全防护模块截获所述子网络层之间传输的数据报文,包括:
所述安全防护模块截获所述制造执行系统网络层向所述过程监控网络层传输的第二数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件,包括:
所述安全防护模块判断所述第二数据报文所请求访问的数据库地址是否为所述过程监控网络层中指定数据库的地址;
相应的,当所述安全防护模块判断出所述第二数据报文所请求访问的数据库地址为所述指定数据库的地址时,则确定所述第二数据报文所请求的操作满足预设条件。
4.根据权利要求1所述的方法,其特征在于,所述工业控制网络内设置有控制所述过程监控网络层与现场控制网络层间数据传输的安全防护模块;
所述安全防护模块截获所述子网络层之间传输的数据报文,包括:
所述安全防护模块截获所述过程监控网络层向所述现场控制网络层传输的第三数据报文;
所述安全防护模块判断所述数据报文所请求的操作是否满足预设条件,包括:
所述安全防护模块确定所述第三数据报文所包含的控制指令,其中,所述控制指令为下发到所述现场控制网络层中的控制器内的运行指令;
所述安全防护模块判断所述控制器执行所述运行指令是否会导致现场设备的运行异常、非法访问现场设备的数据或者非法修改现场设备的数据;
相应的,当所述安全防护模块判断出所述控制器执行所述运行指令会导致所述现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,则确定所述第三数据报文所请求的操作不满足预设条件。
5.根据权利要求4所述的方法,其特征在于,所述过程监控网络层包括:通过网络连接的客户端网络区和服务器网络区,其中,所述客户端网络区至少包括通过网络连接的操作员站以及实时数据库服务器,所述服务器网络区至少包括操作站服务器、工程师站以及OPC服务器;
所述客户端网络区设置有第一加解密模块,所述服务器网络区设置有第二加解密模块;
所述方法还包括:
所述第一加解密模块获取所述客户端网络区输出至所述服务器网络区的指令数据包,根据第一私钥对所述指令数据包进行加密,并将加密后的指令数据包传输至所述服务器网络区;
所述第二加解密模块截获传输至所述服务器网络区的所述指令数据包,根据所述第一私钥对应的第一公钥对所述指令数据包进行解密,并当检测所述指令数据包中包含的控制指令属于指定类型的控制指令时,将所述指令数据包对应的目的终端,所述目的终端为所述服务器网络区中的操作站服务器、工程师站或者OPC服务器。
6.根据权利要求5所述的方法,其特征在于,所述操作员站、实时数据库服务器、操作站服务器、工程师站以及OPC服务器中均内置有监控防护模块;
所述监控防护模块监测到被控设备与可移动存储设备连接时,检测所述可移动存储设备中存在的可执行的恶意程序,并阻止所述恶意程序的运行;监控用户的登录操作,对登录用户的身份进行验证,阻止非授权的用户登录;对指定文件保护目录中的文件、程序、软件进行备份和保护,对于非授权的增加、修改、替换和删除行为进行阻止,对于已损坏的或丢失的文件进行恢复;对本地存储的用于编译程序的文件或者是生成组态的文件进行验真处理,并扫描本地存储的指定文件中的字段信息,以发掘能够引起漏洞的特征码。
7.一种工业控制网络安全防护系统,其特征在于,所述工业控制网络被划分为至少两个子网络层,所述至少两个子网络层包括:企业管理网络层、制造执行系统网络层、过程监控网络层和现场控制网络层,其中,所述企业管理网络层通过网络与所述制造执行系统网络层连接,所述制造执行系统网络层通过网络与所述过程监控网络层连接,所述过程监控网络层与所述现场控制网络层连接,所述现场控制网络层的控制器通过现场总线与现场设备层的现场设备相连,所述系统包括:
设置于所述工业控制网络与外部网络之间的防火墙;
以及对能够进行数据传输的子网络层之间的数据传输进行控制的安全防护模块;
连接在所述现场总线上的现场入侵感知模块;
其中,所述安全防护模块包括:
报文截获单元,用于截获所述子网络层之间传输的数据报文;
判断单元,用于判断所述数据报文所请求的操作是否满足预设条件;
报文阻断单元,用于当所述操作不满足预设条件时,阻断所述数据报文的传输;
报文滤除单元,用于当所述安全防护模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对应的目的子网络层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文;
所述现场入侵感知模块,用于对接入现场总线上所有设备进行安全分析,对现场设备的状态进行在线检测,并对现场设备的数据资源、操作系统或者应用平台进行检测,同时,对基于工业控制系统现场设备层通信协议传输的所有数据进行检测,当检测到异常时,输出提示信息。
8.根据权利要求7所述的系统,其特征在于,所述安全防护模块包括控制所述企业管理网络层与所述制造执行系统网络层之间数据传输的第一安全防护模块;
相应的,所述报文截获单元包括:第一报文截获单元,用于截获所述企业管理网络层向所述制造执行系统网络层传输的第一数据报文;
所述判断单元,包括:
身份认证单元,用于对所述第一数据报文的发起方进行身份认证,并当根据身份认证结果判断出所述第一数据报文对生产资料信息的访问请求属于非授权访问时,确定所述第一数据报文所请求的操作不满足预设条件;
行为审计单元,用于分析所述第一数据报文针对所述制造执行系统网络层中存储的生产资料信息的第一处理请求,并当判断出第一处理请求所请求的处理操作属于预设的违规操时,确定所述第一数据报文所请求的操作不满足预设条件;
所述报文阻断单元,包括:第一报文阻断单元,用于当所述身份认证单元和/或所述行为审计单元确定出所述第一数据报文所请求的操作不满足预设条件时,阻断所述数据报文的传输;
所述报文滤除单元,包括:第一报文滤除单元,用于当所述身份单元和所述行为审计单元确定所述第一数据报文所请求的操作满足所述预设条件时,滤除所述第一数据报文中存在安全隐患的数据,将滤除后的第一数据报文向所述制造执行系统网络层传输。
9.根据权利要求7所述的系统,其特征在于,所述安全防护模块包括控制所述制造执行系统网络层与所述过程监控网络层之间数据传输的第二安全防护模块;
其中,所述报文截获单元,包括:
第二报文截获单元,用于截获所述制造执行系统网络层向所述过程监控网络层传输的第二数据报文;
所述判断单元,包括:
第二判断单元,用于判断所述第二数据报文所请求访问的数据库地址是否为所述过程监控网络层中指定数据库的地址;
相应的,所述报文阻断单元包括:第二报文阻断单元,用于当所述第二判断单元判断出所述第二数据报文所请求访问的数据库地址不是所述指定数据库的地址时,阻断所述第二数据报文向所述过程监控网络层的传输;
所述报文滤除单元包括:第二报文滤除单元,用于当所述第二判断单元判断出所述第二数据报文所请求访问的数据库地址为所述指定数据库的地址时,滤除所述第二数据报文中存在安全隐患的数据,将滤除后的第二数据报文向所述过程监控网络层传输。
10.根据权利要求7所述的系统,其特征在于,所述安全防护模块包括控制所述过程监控网络层与所述现场控制网络层之间数据传输的第三安全防护模块;
相应的,所述报文截获单元,包括:第三报文截获单元,用于截获所述过程监控网络层向所述现场控制网络层传输的第三数据报文;
所述判断单元,包括:指令分析单元,用于确定所述第三数据报文所包含的控制指令,其中,所述控制指令为下发到所述现场控制网络层中的控制器内的运行指令;
第三判断单元,用于判断所述控制器执行所述运行指令是否会导致现场设备的运行异常、非法访问现场设备的数据或者非法修改现场设备的数据;
所述报文阻断单元包括:第三报文阻断单元,用于当所述第三判断单元判断出所述控制器执行所述运行指令会导致所述现场设备运行异常、非法访问现场设备的数据或者非法修改现场设备的数据,则阻断所述第三报文数据向所述现场控制网络层传输。
11.根据权利要求10所述的系统,其特征在于,所述过程监控网络层包括:通过网络连接的客户端网络区和服务器网络区,其中,所述客户端网络区至少包括通过网络连接的操作员站以及实时数据库服务器,所述服务器网络区至少包括操作站服务器、工程师站以及OPC服务器;
所述系统还包括设置于客户端网络区的第一加解密模块以及设置于所述服务器网络区的第二加解密模块;
其中,所述第一加解密模块,用于获取所述客户端网络区输出至所述服务器网络区的指令数据包,根据第一私钥对所述指令数据包进行加密,并将加密后的指令数据包传输至所述服务器网络区;
所述第二加解密模块,用于截获传输至所述服务器网络区的所述指令数据包,根据所述第一私钥对应的第一公钥对所述指令数据包进行解密,并当检测所述指令数据包中包含的控制指令属于指定类型的控制指令时,将所述指令数据包对应的目的终端,所述目的终端为所述服务器网络区中的操作站服务器、工程师站或者OPC服务器。
12.根据权利要求11所述的系统,其特征在于,所述系统还包括设置于所述操作员站、实时数据库服务器、操作站服务器、工程师站以及OPC服务器内的监控防护模块;
所述监控防护模块,用于监测到被控设备与可移动存储设备连接时,检测所述可移动存储设备中存在的可执行的恶意程序,并阻止所述恶意程序的运行;监控用户的登录操作,对登录用户的身份进行验证,阻止非授权的用户登录;对指定文件保护目录中的文件、程序、软件进行备份和保护,对于非授权的增加、修改、替换和删除行为进行阻止,对于已损坏的或丢失的文件进行恢复;对本地存储的用于编译程序的文件或者是生成组态的文件进行验真处理,并扫描本地存储的指定文件中的字段信息,以发掘能够引起漏洞的特征码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310483291.XA CN103491108B (zh) | 2013-10-15 | 2013-10-15 | 一种工业控制网络安全防护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310483291.XA CN103491108B (zh) | 2013-10-15 | 2013-10-15 | 一种工业控制网络安全防护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103491108A CN103491108A (zh) | 2014-01-01 |
| CN103491108B true CN103491108B (zh) | 2016-08-24 |
Family
ID=49831067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310483291.XA Active CN103491108B (zh) | 2013-10-15 | 2013-10-15 | 一种工业控制网络安全防护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103491108B (zh) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103944915B (zh) * | 2014-04-29 | 2017-11-14 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
| CN105656865B (zh) * | 2014-11-30 | 2019-02-26 | 沈阳高精数控智能技术股份有限公司 | 一种用于车间监控与管理系统的加密通信方法 |
| CN104580182A (zh) * | 2014-12-26 | 2015-04-29 | 北京数码大方科技股份有限公司 | 用于数控系统的网络安全防护方法、装置及系统 |
| CN106161330A (zh) * | 2015-03-16 | 2016-11-23 | 机械工业仪器仪表综合技术经济研究所 | 一种应用于profinet工业以太网的安全隔离系统 |
| CN104767748B (zh) * | 2015-03-30 | 2017-10-10 | 西北工业大学 | Opc服务器安全防护系统 |
| CN104991528B (zh) * | 2015-05-14 | 2018-02-13 | 福州福大自动化科技有限公司 | Dcs信息安全控制方法及控制站 |
| CN106411816B (zh) * | 2015-07-29 | 2021-02-05 | 研祥智能科技股份有限公司 | 一种工业控制系统、安全互联系统及其处理方法 |
| US9967274B2 (en) * | 2015-11-25 | 2018-05-08 | Symantec Corporation | Systems and methods for identifying compromised devices within industrial control systems |
| CN105573291B (zh) * | 2015-12-24 | 2018-05-18 | 中国信息安全测评中心 | 一种基于关键参数融合校验的威胁检测方法及安全装置 |
| CN105471901A (zh) * | 2015-12-30 | 2016-04-06 | 北京华大智宝电子系统有限公司 | 一种工业信息安全认证系统 |
| CN105959144B (zh) * | 2016-06-02 | 2019-08-06 | 中国科学院信息工程研究所 | 面向工业控制网络的安全数据采集与异常检测方法与系统 |
| CN105978745B (zh) * | 2016-07-27 | 2019-08-13 | 福州福大自动化科技有限公司 | 一种面向工业控制系统的异常状态监测方法 |
| CN106254231A (zh) * | 2016-08-18 | 2016-12-21 | 中京天裕科技(北京)有限公司 | 一种基于状态的工业安全加密网关及其实现方法 |
| CN106559432A (zh) * | 2016-12-06 | 2017-04-05 | 山东省电子信息产品检验院 | 一种工业控制系统及其安全装置 |
| CN106789982B (zh) * | 2016-12-08 | 2020-06-16 | 北京立思辰新技术有限公司 | 一种应用于工业控制系统中的安全防护方法和系统 |
| CN106774248B (zh) * | 2016-12-08 | 2019-10-22 | 北京立思辰新技术有限公司 | 一种基于下位机的行为模式安全防护方法 |
| CN106850601A (zh) * | 2017-01-20 | 2017-06-13 | 北京立思辰新技术有限公司 | 一种工业控制系统中工业控制协议的安全防护方法 |
| CN107360134B (zh) * | 2017-06-08 | 2020-04-17 | 杭州谷逸网络科技有限公司 | 安全远程控制终端的实现方法及其安全系统 |
| CN107612907A (zh) * | 2017-09-15 | 2018-01-19 | 北京外通电子技术公司 | 虚拟专用网络vpn安全防护方法及fpga |
| CN108170105A (zh) * | 2017-11-22 | 2018-06-15 | 东莞理工学院 | 一种工业控制网络防护系统及方法 |
| CN107995035A (zh) * | 2017-11-30 | 2018-05-04 | 成都航天科工大数据研究院有限公司 | 一种基于复杂装备远程运维的安全管理系统 |
| CN108173700A (zh) * | 2018-01-29 | 2018-06-15 | 云南昆船设计研究院有限公司 | 一种工业控制系统安全服务平台及实施方法 |
| CN110661761B (zh) * | 2018-06-29 | 2021-12-14 | 西门子股份公司 | 一种访问控制设备、方法、计算机程序产品和计算机可读介质 |
| CN108931968B (zh) * | 2018-07-25 | 2021-07-20 | 安徽三实信息技术服务有限公司 | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息资产的安全防护方法 |
| CN109150888B (zh) * | 2018-09-03 | 2021-02-05 | 浙江远望信息股份有限公司 | 一种通过物理开关控制网络安全模组工作模式的方法 |
| CN109639701B (zh) * | 2018-12-25 | 2021-06-29 | 杭州迪普科技股份有限公司 | 基于opc协议的访问控制方法、装置、设备及存储介质 |
| CN109714767A (zh) * | 2019-02-25 | 2019-05-03 | 陈超 | 一种网络安全通信装置 |
| CN111314370B (zh) * | 2020-02-28 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种业务漏洞攻击行为的检测方法及装置 |
| CN111464563B (zh) * | 2020-05-08 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种工业控制网络的防护方法及对应的装置 |
| CN111586045B (zh) * | 2020-05-08 | 2022-01-04 | 武汉思普崚技术有限公司 | 一种属性加密和动态安全层的防护方法及对应的防火墙 |
| CN111586047B (zh) * | 2020-05-08 | 2022-01-04 | 武汉思普崚技术有限公司 | 一种集中网络数据的安全管理方法及系统 |
| CN111585813B (zh) * | 2020-05-08 | 2022-04-12 | 武汉思普崚技术有限公司 | 一种物联网环境下网络节点的管理方法及系统 |
| CN111913430B (zh) * | 2020-06-30 | 2022-03-18 | 物耀安全科技(杭州)有限公司 | 工业控制系统控制行为检测防护方法和系统 |
| CN112153075B (zh) * | 2020-10-12 | 2023-05-05 | 国网福建省电力有限公司漳州供电公司 | 一种用于计算机无线通信的安全监控系统 |
| CN112217819B (zh) * | 2020-10-12 | 2021-04-27 | 珠海市鸿瑞信息技术股份有限公司 | 基于双因子认证体系的工业控制报文语意解析审计方法 |
| CN112532612A (zh) * | 2020-11-25 | 2021-03-19 | 中国大唐集团科学技术研究院有限公司 | 一种工业控制网络安全防护系统 |
| CN112468489B (zh) * | 2020-11-25 | 2023-03-07 | 深圳市中龙通电子科技有限公司 | 工业现场数据物联网管理系统 |
| CN112839031A (zh) * | 2020-12-24 | 2021-05-25 | 江苏天创科技有限公司 | 一种工业控制网络安全防护系统及方法 |
| CN112866210A (zh) * | 2020-12-31 | 2021-05-28 | 北京珞安科技有限责任公司 | 一种工控设备访问控制方法、装置及电子设备 |
| CN112749405A (zh) * | 2021-01-24 | 2021-05-04 | 武汉卓尔信息科技有限公司 | 一种网络安全防护方法、系统、电子设备及存储介质 |
| CN114301705A (zh) * | 2021-12-31 | 2022-04-08 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
| CN114338259A (zh) * | 2021-12-31 | 2022-04-12 | 宁波和利时信息安全研究院有限公司 | 网络分路方法、装置、工业控制系统、设备及存储介质 |
| CN114363386B (zh) * | 2021-12-31 | 2024-04-12 | 中控创新(北京)能源技术有限公司 | 工控安全管理装置和油气管道控制系统 |
| CN114745154A (zh) * | 2022-03-14 | 2022-07-12 | 中国海洋石油集团有限公司 | 一种缆控分注井安全控制方法 |
| CN114726656A (zh) * | 2022-06-08 | 2022-07-08 | 浙江国利网安科技有限公司 | 一种网络安全防护的方法及装置 |
| WO2024020962A1 (en) * | 2022-07-28 | 2024-02-01 | Siemens Aktiengesellschaft | Method, apparatus and system for covert path discovering and computer-readable storage medium |
| CN115174274B (zh) * | 2022-09-06 | 2023-01-06 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
| CN115150209B (zh) * | 2022-09-06 | 2023-01-06 | 军工保密资格审查认证中心 | 数据处理方法、工业控制系统、电子设备及存储介质 |
| CN117149590B (zh) * | 2023-10-30 | 2024-01-30 | 北京阳光金力科技发展有限公司 | 具有数据安全监控模块的数据中心系统及监控方法 |
| CN117240599B (zh) * | 2023-11-07 | 2024-02-20 | 国家工业信息安全发展研究中心 | 安全防护方法、装置、设备、网络及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094056A (zh) * | 2007-05-30 | 2007-12-26 | 重庆邮电大学 | 无线工业控制网络安全系统及安全策略实现方法 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
-
2013
- 2013-10-15 CN CN201310483291.XA patent/CN103491108B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094056A (zh) * | 2007-05-30 | 2007-12-26 | 重庆邮电大学 | 无线工业控制网络安全系统及安全策略实现方法 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103491108A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103491108B (zh) | 一种工业控制网络安全防护方法和系统 | |
| CN104144063B (zh) | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 | |
| CN106411562B (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| Sandhu et al. | A survey of intrusion detection & prevention techniques | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| JP2004525446A (ja) | コンピュータネットワークの完全性を検証する方法および装置ならびに対策の実施 | |
| CN103944915A (zh) | 一种工业控制系统威胁检测防御装置、系统及方法 | |
| CN102413127A (zh) | 一种数据库综合安全防护方法 | |
| CN107786532A (zh) | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 | |
| CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
| CN116827675A (zh) | 一种网络信息安全分析系统 | |
| CN107122685A (zh) | 一种大数据安全存储方法和设备 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| CN115314286A (zh) | 一种安全保障系统 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN112839031A (zh) | 一种工业控制网络安全防护系统及方法 | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| CN114844676B (zh) | 一种电力监控系统网络安全威胁应急处置系统及方法 | |
| Saini et al. | Vulnerability and Attack Detection Techniques: Intrusion Detection System | |
| Park et al. | Cyber security analysis by attack trees for a reactor protection system | |
| Sui | Research on Campus Network Protection Technology | |
| Shengjian et al. | Design of network security early-warning system based on network defense in depth model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |