CN105897571A - 一种工业通信安全网关 - Google Patents

一种工业通信安全网关 Download PDF

Info

Publication number
CN105897571A
CN105897571A CN201610213822.7A CN201610213822A CN105897571A CN 105897571 A CN105897571 A CN 105897571A CN 201610213822 A CN201610213822 A CN 201610213822A CN 105897571 A CN105897571 A CN 105897571A
Authority
CN
China
Prior art keywords
network
industrial communication
different
access
mobile device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610213822.7A
Other languages
English (en)
Inventor
周文奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610213822.7A priority Critical patent/CN105897571A/zh
Publication of CN105897571A publication Critical patent/CN105897571A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种针对工程师站、APC先控站接入第三方设备时防病毒攻击和入侵的工业通信安全网关,利用设备识别器,识别工程师站、APC先控站接入的第三方设备,根据不同设备、不同的网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略。并利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示,为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。

Description

一种工业通信安全网关
技术领域
本发明涉及通信安全领域,具体涉及一种工业通信安全网关。
背景技术
SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。系统中通信协议、操作系统、安全策略和管理流程、杀毒软件、应用软件等任何一点受到攻击都有可能导致整个系统的瘫痪。
对于网络中存在的工程师站和APC先控站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备(U盘、笔记本电脑等),而且是在整个控制系统开车的情况下实施,受到病毒攻击和入侵的概率很大,存在较高的安全隐患。
发明内容
针对上述问题,本发明提供一种针对工程师站、APC先控站接入第三方设备时防病毒攻击和入侵的工业通信安全网关。
为解决上述问题,本发明采取的技术方案为:一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,包括设备识别器、安全策略生成机、定位报警管理模块;
设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;设备识别器,可以识别工业通信网络上接入的U盘、笔记本、wifi设备等移动设备,设备识别器既可识别直接接入网络的移动设备,也可以识别通过工程师站、APC先控站间接接入网络的移动设备。
安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;安全控制策略的建立首先通过预先建立的基于属性的访问控制ABAC策略视图模板输入的ABAC策略信息,生成ABAC策略表达式;然后根据预先设置的ABAC策略视图模板与可扩展访问控制标记语言XACML模板之间的映射规则,最终将所述ABAC策略表达式转换成符合XACML模板的基于XACML的ABAC策略。信息设备和存储介质进行标识、涉密的标明密级,只有具有相应权限的用户和设备可以访问查看。针对计算机介质畸形控制,如果有必要的话进行物理保护。重点防护区域的设备一经发现立即禁止并定位到相关网络位置,并向管理人员报警。
定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位报警模块,功能包括集成系统中所有的事件和报警信息,并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能,并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁。定位功能主要是利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,具体的可以通过查看系统的ARP缓存表找出某IP所对应的MAC地址,然后从包含改MAC地址的端口找出下联交换机,再从下联交换机包含改MAC地址的端口找出下一个下联交换机;如此重复直到找到包含该MAC地址但没有下联交换机的端口,该端口就是目标端口。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示。比如对于网络异常缓慢障碍,对网络包进行采样并分析,分析出目标端口,然后按照上述查找目标端口的方法进行查找和处理。再比如IP地址冲突障碍,系统给出IP地址冲突的MAC地址,从MAC的前24位可以初步判断设备的类型,然后根据MAC地址登记查找到IP地址冲突设备进行相应处理。
所述的设备识别器具体采用下述步骤进行识别:(1)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。用户的身份认证还需要与电脑的硬件信息绑定起来,初次使用的设备首先要进行硬件登记。对客户端的系统补丁、防病毒软件及病毒库、Windows登陆口令、应用软件安装等情况进行检测和监控,通过对客户端安全状态进行全面的评估确保用户安全的接入网络。
本发明的有益效果是:利用设备识别器,识别工程师站、APC先控站接入的第三方设备,根据不同设备、不同的网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略。并利用VLAN、MPLS等技术快速定位移动接入设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。定位到相关站点后系统会在网关桌面或通过Email、短信等方式向网管人员发出告警提示,为工厂网络故障的及时排查、分析提供可靠依据从而提高工业通信系统的安全性与稳定性。
附图说明
图1为设备识别器的工作流程图。
具体实施方式
一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,包括设备识别器、安全策略生成机、定位报警管理模块;
设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;具体识别过程如图1所示,(1)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。
安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;
定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并能结合工业通信网络的网络拓扑图定位接入站点的物理地址。

Claims (2)

1.一种工业通信安全网关,用于隔离工程师站、APC先控站接入的第三方设备,其特征为:包括设备识别器、安全策略生成机、定位报警管理模块;
设备识别器用于识别工业通信网络上接入的多种移动设备,并可以识别直接接入和间接接入的移动设备,同时设备识别器还可以识别不同操作系统、不同的工业网络协议的移动设备接入情况;
安全策略生成机针对不同的风险和攻击类型、网络类型、不同的网络区域、不同的操作系统生成不同的安全控制策略;
定位报警管理模块利用VLAN、MPLS技术快速定位接入的移动设备的IP地址、MAC地址、端口,并结合工业通信网络的网络拓扑图定位接入站点的物理地址。
2.根据权利要求1所述的工业通信安全网关,其特征在于:所述的设备识别器具体采用下述步骤进行识别:(1)移动设备接入,设备识别器对设备类型进行判断;(2)检测是否已进行硬件登记;(3)若已登记,对移动设备的MAC地址、IP地址、所在VLAN、接入端口号进行绑定,并以正常接入的状态进行显示;(4)若未登记,则进行硬件注册,若注册成功则返回(3);若未注册成功,则以禁止接入的状态进行显示。
CN201610213822.7A 2016-04-07 2016-04-07 一种工业通信安全网关 Pending CN105897571A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610213822.7A CN105897571A (zh) 2016-04-07 2016-04-07 一种工业通信安全网关

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610213822.7A CN105897571A (zh) 2016-04-07 2016-04-07 一种工业通信安全网关

Publications (1)

Publication Number Publication Date
CN105897571A true CN105897571A (zh) 2016-08-24

Family

ID=57013457

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610213822.7A Pending CN105897571A (zh) 2016-04-07 2016-04-07 一种工业通信安全网关

Country Status (1)

Country Link
CN (1) CN105897571A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714218A (zh) * 2019-03-05 2019-05-03 佛山点度物联科技有限公司 一种物联网服务器配置信息同步方法
CN117692937A (zh) * 2024-02-04 2024-03-12 江苏未来网络集团有限公司 一种5g全连接工厂设备网络拓扑结构及其构建、使用方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060053491A1 (en) * 2004-03-01 2006-03-09 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
CN102045366A (zh) * 2011-01-05 2011-05-04 上海北塔软件股份有限公司 主动发现网络遭受病毒攻击的方法
CN103036870A (zh) * 2012-10-26 2013-04-10 青岛海天炜业自动化控制系统有限公司 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060053491A1 (en) * 2004-03-01 2006-03-09 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
CN102045366A (zh) * 2011-01-05 2011-05-04 上海北塔软件股份有限公司 主动发现网络遭受病毒攻击的方法
CN103036870A (zh) * 2012-10-26 2013-04-10 青岛海天炜业自动化控制系统有限公司 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李佳玮 等: "工业控制系统信息安全防护", 《中国电力》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109714218A (zh) * 2019-03-05 2019-05-03 佛山点度物联科技有限公司 一种物联网服务器配置信息同步方法
CN109714218B (zh) * 2019-03-05 2021-11-23 佛山点度物联科技有限公司 一种物联网服务器配置信息同步方法
CN117692937A (zh) * 2024-02-04 2024-03-12 江苏未来网络集团有限公司 一种5g全连接工厂设备网络拓扑结构及其构建、使用方法
CN117692937B (zh) * 2024-02-04 2024-05-14 江苏未来网络集团有限公司 一种5g全连接工厂设备网络拓扑结构及其构建、使用方法

Similar Documents

Publication Publication Date Title
CN110495138B (zh) 工业控制系统及其网络安全的监视方法
EP2541862B1 (en) A method of and apparatus for monitoring for security threats in computer network traffic
EP3987421B1 (en) Adaptive scanning
CN107809433B (zh) 资产管理方法及装置
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
CN110493195B (zh) 一种网络准入控制方法及系统
US9319424B2 (en) Methods and systems for complying with network security requirements
CN106850637B (zh) 一种基于流量白名单的异常流量检测方法
US11032302B2 (en) Traffic anomaly detection for IoT devices in field area network
US20180063191A1 (en) System and method for using a virtual honeypot in an industrial automation system and cloud connector
EP2366241B1 (en) Network analysis
CN110113336B (zh) 一种用于变电站网络环境的网络流量异常分析与识别方法
US9444830B2 (en) Web server/web application server security management apparatus and method
CN103888480B (zh) 基于云监测的网络信息安全性鉴定方法及云端设备
WO2015024315A1 (zh) 核电站网络入侵报警方法和系统
CN114257413B (zh) 基于应用容器引擎的反制阻断方法、装置和计算机设备
CN103378991A (zh) 一种在线服务异常监测方法及其监测系统
CN104135474A (zh) 基于主机出入度的网络异常行为检测方法
Kang et al. Cyber threats and defence approaches in SCADA systems
Ramachandruni et al. Detecting the network attack vectors on SCADA systems
CN104038488A (zh) 系统网络安全的防护方法及装置
CN105897571A (zh) 一种工业通信安全网关
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
KR20080070793A (ko) 안티 파밍 방법
US20220217172A1 (en) System and method for protection of an ics network by an hmi server therein

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160824

WD01 Invention patent application deemed withdrawn after publication