CN105897571A - 一种工业通信安全网关 - Google Patents
一种工业通信安全网关 Download PDFInfo
- Publication number
- CN105897571A CN105897571A CN201610213822.7A CN201610213822A CN105897571A CN 105897571 A CN105897571 A CN 105897571A CN 201610213822 A CN201610213822 A CN 201610213822A CN 105897571 A CN105897571 A CN 105897571A
- Authority
- CN
- China
- Prior art keywords
- network
- industrial communication
- different
- access
- mobile device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对工程师站、APC先控站接入第三方设备时防病毒攻击和入侵的工业通信安全网关,利用设备识别器,识别工程师站、APC先控站接入的第三方设备,根据不同设备、不同的网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略。并利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示,为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。
Description
技术领域
本发明涉及通信安全领域,具体涉及一种工业通信安全网关。
背景技术
SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。系统中通信协议、操作系统、安全策略和管理流程、杀毒软件、应用软件等任何一点受到攻击都有可能导致整个系统的瘫痪。
对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。
发明内容
针对上述问题,本发明提供一种针对工程师站、APC先控站接入第三方设备时防病毒攻击和入侵的工业通信安全网关。
为解决上述问题,本发明采取的技术方案为:一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,包括设备识别器、安全策略生成机、定位报警管理模块;
设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;设备识别器,可以识别工业通信网络上接入的U盘、笔记本、wifi设备等移动设备,设备识别器既可识别直接接入网络的移动设备,也可以识别通过工程师站、APC先控站间接接入网络的移动设备。
安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;安全控制策略的建立首先通过预先建立的基于属性的访问控制ABAC策略视图模板输入的ABAC策略信息,生成ABAC策略表达式;然后根据预先设置的ABAC策略视图模板与可扩展访问控制标记语言XACML模板之间的映射规则,最终将所述ABAC策略表达式转换成符合XACML模板的基于XACML的ABAC策略。信息设备和存储介质进行标识、涉密的标明密级,只有具有相应权限的用户和设备可以访问查看。针对计算机介质畸形控制,如果有必要的话进行物理保护。重点防护区域的设备一经发现立即禁止并定位到相关网络位置,并向管理人员报警。
定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位报警模块,功能包括集成系统中所有的事件和报警信息,并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁。定位功能主要是利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,具体的可以通过查看系统的ARP缓存表找出某IP所对应的MAC地址,然后从包含改MAC地址的端口找出下联交换机,再从下联交换机包含改MAC地址的端口找出下一个下联交换机;如此重复直到找到包含该MAC地址但没有下联交换机的端口,该端口就是目标端口。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示。比如对于网络异常缓慢障碍,对网络包进行采样并分析,分析出目标端口,然后按照上述查找目标端口的方法进行查找和处理。再比如IP地址冲突障碍,系统给出IP地址冲突的MAC地址,从MAC的前24位可以初步判断设备的类型,然后根据MAC地址登记查找到IP地址冲突设备进行相应处理。
所述的设备识别器具体采用下述步骤进行识别:(1)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。用户的身份认证还需要与电脑的硬件信息绑定起来,初次使用的设备首先要进行硬件登记。对客户端的系统补丁、防病毒软件及病毒库、Windows登陆口令、应用软件安装等情况进行检测和监控,通过对客户端安全状态进行全面的评估确保用户安全的接入网络。
本发明的有益效果是:利用设备识别器,识别工程师站、APC先控站接入的第三方设备,根据不同设备、不同的网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略。并利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示,为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。
附图说明
图1为设备识别器的工作流程图。
具体实施方式
一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,包括设备识别器、安全策略生成机、定位报警管理模块;
设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;具体识别过程如图1所示,(1)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。
安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;
定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。
Claims (2)
1.一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,其特征为:包括设备识别器、安全策略生成机、定位报警管理模块;
设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;
安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;
定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并结合工业通信网络的网络拓扑图定位接入站点的物理地址。
2.根据权利要求1所述的工业通信安全网关,其特征在于:所述的设备识别器具体采用下述步骤进行识别:(1)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610213822.7A CN105897571A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信安全网关 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610213822.7A CN105897571A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信安全网关 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105897571A true CN105897571A (zh) | 2016-08-24 |
Family
ID=57013457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610213822.7A Pending CN105897571A (zh) | 2016-04-07 | 2016-04-07 | 一种工业通信安全网关 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105897571A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109714218A (zh) * | 2019-03-05 | 2019-05-03 | 佛山点度物联科技有限公司 | 一种物联网服务器配置信息同步方法 |
CN117692937A (zh) * | 2024-02-04 | 2024-03-12 | 江苏未来网络集团有限公司 | 一种5g全连接工厂设备网络拓扑结构及其构建、使用方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060053491A1 (en) * | 2004-03-01 | 2006-03-09 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
CN102045366A (zh) * | 2011-01-05 | 2011-05-04 | 上海北塔软件股份有限公司 | 主动发现网络遭受病毒攻击的方法 |
CN103036870A (zh) * | 2012-10-26 | 2013-04-10 | 青岛海天炜业自动化控制系统有限公司 | 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法 |
-
2016
- 2016-04-07 CN CN201610213822.7A patent/CN105897571A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060053491A1 (en) * | 2004-03-01 | 2006-03-09 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
CN102045366A (zh) * | 2011-01-05 | 2011-05-04 | 上海北塔软件股份有限公司 | 主动发现网络遭受病毒攻击的方法 |
CN103036870A (zh) * | 2012-10-26 | 2013-04-10 | 青岛海天炜业自动化控制系统有限公司 | 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法 |
Non-Patent Citations (1)
Title |
---|
李佳玮 等: "工业控制系统信息安全防护", 《中国电力》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109714218A (zh) * | 2019-03-05 | 2019-05-03 | 佛山点度物联科技有限公司 | 一种物联网服务器配置信息同步方法 |
CN109714218B (zh) * | 2019-03-05 | 2021-11-23 | 佛山点度物联科技有限公司 | 一种物联网服务器配置信息同步方法 |
CN117692937A (zh) * | 2024-02-04 | 2024-03-12 | 江苏未来网络集团有限公司 | 一种5g全连接工厂设备网络拓扑结构及其构建、使用方法 |
CN117692937B (zh) * | 2024-02-04 | 2024-05-14 | 江苏未来网络集团有限公司 | 一种5g全连接工厂设备网络拓扑结构及其构建、使用方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110495138B (zh) | 工业控制系统及其网络安全的监视方法 | |
EP2541862B1 (en) | A method of and apparatus for monitoring for security threats in computer network traffic | |
EP3987421B1 (en) | Adaptive scanning | |
CN107809433B (zh) | 资产管理方法及装置 | |
US20150341380A1 (en) | System and method for detecting abnormal behavior of control system | |
CN110493195B (zh) | 一种网络准入控制方法及系统 | |
US9319424B2 (en) | Methods and systems for complying with network security requirements | |
CN106850637B (zh) | 一种基于流量白名单的异常流量检测方法 | |
US11032302B2 (en) | Traffic anomaly detection for IoT devices in field area network | |
US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
EP2366241B1 (en) | Network analysis | |
CN110113336B (zh) | 一种用于变电站网络环境的网络流量异常分析与识别方法 | |
US9444830B2 (en) | Web server/web application server security management apparatus and method | |
CN103888480B (zh) | 基于云监测的网络信息安全性鉴定方法及云端设备 | |
WO2015024315A1 (zh) | 核电站网络入侵报警方法和系统 | |
CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
Kang et al. | Cyber threats and defence approaches in SCADA systems | |
Ramachandruni et al. | Detecting the network attack vectors on SCADA systems | |
CN104038488A (zh) | 系统网络安全的防护方法及装置 | |
CN105897571A (zh) | 一种工业通信安全网关 | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
KR20080070793A (ko) | 안티 파밍 방법 | |
US20220217172A1 (en) | System and method for protection of an ics network by an hmi server therein |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160824 |
|
WD01 | Invention patent application deemed withdrawn after publication |