CN105897711A - 一种将工业控制系统与管理网络进行隔离的系统 - Google Patents
一种将工业控制系统与管理网络进行隔离的系统 Download PDFInfo
- Publication number
- CN105897711A CN105897711A CN201610213513.XA CN201610213513A CN105897711A CN 105897711 A CN105897711 A CN 105897711A CN 201610213513 A CN201610213513 A CN 201610213513A CN 105897711 A CN105897711 A CN 105897711A
- Authority
- CN
- China
- Prior art keywords
- data
- ferry
- boat
- security
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种将工业控制系统与管理网络进行隔离的系统。本发明能在通过数据摆渡模块隔离的方式,保护工业控制系统和管理网格两个模块安全的情况下,保证两个模块之间的数据摆渡的快速性及稳定性,快速性主要保证两模块数据的最小时间延迟,稳定性主要保证数据摆渡的最低误码率及丢包率。
Description
技术领域
本发明涉及工业通信安全领域,具体涉及一种将工业控制系统与管理网络进行隔离的系统。
背景技术
目前,工业控制系统企业管理网络互连,暴露于公共网络之中,面临更多的攻击。为了保证工业控制系统的安全性,必须要网络边界防护,以降低由管理网引入的威胁风险。
发明内容
针对上述问题,本发明提供了一种将工业控制系统与管理网络进行隔离的系统,包括工业控制系统安全模块、管理网络安全模块、数据摆渡模块;
工业控制系统安全模块为工业控制系统网络提供边界防护及协议安全防护;工业控制系统安全模块对工业设备进行判断,若在系统白名单内则允许通信,并对数据包进行校验,进入系统后,进行相关协议的过滤,将符合已配置协议的数据执行通过,不符合已配置协议的数据执行丢弃,形成的日志审计数据与管理网络安全模块通过数据摆渡模块进行连接。
工业控制系统安全模块主要保证工业控制网一侧不受病毒、非法操作等攻击,保护工业控制网络的边界安全。并对工业控制网络上的通信数据进行数据包畸形、数据包篡改、数据包丢失、敏感数据等协议数据包进行在网络层及应用层的检查过滤,并根据检查情况决定数据包的阻止还是转发操作,保护工业控制网络的协议安全。
管理网络安全模块为管理网络提供边界防护及协议安全防护;
数据摆渡模块包括协议转换机、摆渡监控及管理、内网摆渡机、网间摆渡机。
管理网络安全模块对接收到的数据利用安全域安全防护模块进行VPN解密,若VPN数据包被破坏则数据阻止,并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库;否则从远程密钥服务器获取密钥,并利用密钥对应用数据进行数据解密;判定密钥加密数据是否被破坏,若被破坏,则数据阻止并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库,否则判定是否为系统配置数据,进入系统配置登录鉴别系统进行鉴别,鉴别成功后设置系统参数并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果信息,形成审计日志并存储到网关数据库;鉴别不成功则进行鉴别失败处理;若判定数据为通信业务数据,通过安全策略获得工业控制协议的类型,并检查协议的格式及协议校验,协议检查合格进入协议过滤步骤,否则数据阻止并进行安全审计,记录事件时间、源地址、目的地址、检查结果信息,形成审计日志并存储到网关数据库;协议过滤功能获取安全策略得到白名单,并对协议数据进行过滤,数据合格进行数据转发,否则进行数据阻止并安全审计,记录事件时间、源地址、目的地址、过滤结果信息,形成审计日志并存储到网关数据库;进一步,所述的鉴别失败处理为鉴别失败后中止服务程序,如果同一账户短时间内超过3次登录失败则将登录地址与该账户加入黑名单禁止再次访问,并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果等信息,形成审计日志并存储到网关数据库。
数据摆渡模块进行数据摆渡的步骤如下:(1)工业控制系统与管理网络中一方设备提出摆渡申请;(2)检测该设备是否在安全域内,若是,则检测是否经过加密认证;若否,摆渡申请被驳回并生成日志信息;(3))检测该设备是否经过加密认证,若是,则摆渡申请成功转入(4);若否,摆渡申请被驳回并生成日志信息;(4)设备数据经网间摆渡机、协议转换机、内网摆渡机后到达另一方,并通过摆渡监控及管理生成日志信息。
数据摆渡模块对工业控制系统和管理网络模块进行隔离。数据摆渡模块还要保证两个模块之间的数据摆渡的快速性及稳定性,快速性主要保证两模块数据的最小时间延迟,稳定性主要保证数据摆渡的最低误码率及丢包率。本系统的数据摆渡包括两个网络经过协议安全检查后的合格数据,根据其目的地址可以决定是在内网摆渡还是在网间摆渡,所谓内网摆渡就是数据在控制网络或管理网络内部摆渡,所谓网间摆渡就是将数据通过私有协议将数据在控制网络与管理网络之间进行跨网摆渡。协议转换机主要职能一方面将本地网络的安全数据转换成摆渡私有协议,并对数据进行加密。另一方面对接收数据进行接收、解析、校验,将校验合格的数据封包成本网络标准协议。摆渡监控及管理一是监控数据摆渡模块的软硬件性能,比如隔离总线带宽占比、系统CPU的占用率、系统内存的占比、协议转换机及摆渡机的数据栈占有情况等。二是集中调度内网摆渡机及网间摆渡机的摆渡工作,决定数据包的摆渡方向,安排摆渡数据的优先级,确定数据包的摆渡顺序以及数据摆渡故障的应急处理等。三是集中管理数据摆渡中的心跳、握手、应答、重发等机制的通信,使数据摆渡形成闭环收发机制,防止数据的丢包及出现误码。内网摆渡机主要管理内网摆渡数据包出入栈操作、摆渡数据的接收,外网摆渡机主要承担网间摆渡数据包的出入栈操作、摆渡数据包的接收以及提供隔离总线时序时钟。
本发明能在通过数据摆渡模块隔离的方式,保护工业控制系统和管理网格两个模块安全的情况下,保证两个模块之间的数据摆渡的快速性及稳定性,快速性主要保证两模块数据的最小时间延迟,稳定性主要保证数据摆渡的最低误码率及丢包率。
附图说明
附图1系统模块图;
附图2系统工业控制安全模块流程图;
附图3系统管理网络安全模块流程图;
附图4系统摆渡模块流程图。
具体实施方式
一种将工业控制系统与管理网络进行隔离的系统,如图1所示,包括工业控制系统安全模块、管理网络安全模块、数据摆渡模块;
工业控制系统安全模块为工业控制系统网络提供边界防护及协议安全防护;
管理网络安全模块为管理网络提供边界防护及协议安全防护;
数据摆渡模块包括协议转换机、摆渡监控及管理、内网摆渡机、网间摆渡机。
所述的边界防护采用身份认证、访问控制、审计与核查、系统与通信保护;所述的协议安全防护包括协议的解析、检查、阻止、转发。
系统对工业控制系统进行保护。如图2,对工业设备进行判断,若在系统白名单内则允许通信,并对数据包进行校验,进入系统后,进行相关协议的过滤,将符合已配置协议的数据执行通过,不符合已配置协议的数据执行丢弃,形成的日志审计数据与管理网络安全模块通过数据摆渡模块进行连接。
系统对管理网络进行保护。如图3,对接收到的数据利用安全域安全防护模块进行VPN解密,若VPN数据包被破坏则数据阻止,并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库;否则从远程密钥服务器获取密钥,并利用密钥对应用数据进行数据解密;判定密钥加密数据是否被破坏,若被破坏,则数据阻止并进行安全审计,记录数据被阻止的时间、源地址、目标地址、阻止原因信息,形成审计日志并存储到网关数据库,否则判定是否为系统配置数据,进入系统配置登录鉴别系统进行鉴别,鉴别成功后设置系统参数并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果信息,形成审计日志并存储到网关数据库;鉴别不成功则进行鉴别失败处理;若判定数据为通信业务数据,通过安全策略获得工业控制协议的类型,并检查协议的格式及协议校验,协议检查合格进入协议过滤步骤,否则数据阻止并进行安全审计,记录事件时间、源地址、目的地址、检查结果信息,形成审计日志并存储到网关数据库;协议过滤功能获取安全策略得到白名单,并对协议数据进行过滤,数据合格进行数据转发,否则进行数据阻止并安全审计,记录事件时间、源地址、目的地址、过滤结果信息,形成审计日志并存储到网关数据库。进一步,所述的鉴别失败处理为鉴别失败后中止服务程序,如果同一账户短时间内超过3次登录失败则将登录地址与该账户加入黑名单禁止再次访问,并进行安全审计,记录鉴别时间、源地址、鉴别用户、鉴别结果等信息,形成审计日志并存储到网关数据库。
同时,为了保证安全,如图4,数据摆渡模块进行数据摆渡的步骤如下:(1)工业控制系统与管理网络中一方设备提出摆渡申请;(2)检测该设备是否在安全域内,若是,则检测是否经过加密认证;若否,摆渡申请被驳回并生成日志信息;(3))检测该设备是否经过加密认证,若是,则摆渡申请成功转入(4);若否,摆渡申请被驳回并生成日志信息;(4)设备数据经网间摆渡机、协议转换机、内网摆渡机后到达另一方,并通过摆渡监控及管理生成日志信息。
Claims (3)
1.一种将工业控制系统与管理网络进行隔离的系统,其特征在于:包括工业控制系统安全模块、管理网络安全模块、数据摆渡模块;
工业控制系统安全模块为工业控制系统网络提供边界防护及协议安全防护;工业控制系统安全模块对工业设备进行判断,若在系统白名单内则允许通信,并对数据包进行校验,进入系统后,进行相关协议的过滤,将符合已配置协议的数据执行通过,不符合已配置协议的数据执行丢弃,形成的日志审计数据与管理网络安全模块通过数据摆渡模块进行连接;
管理网络安全模块为管理网络提供边界防护及协议安全防护;
数据摆渡模块包括协议转换机、摆渡监控及管理、内网摆渡机、网间摆渡机。
2.根据权利要求1所述的将工业控制系统与管理网络进行隔离的系统,其特征在于:管理网络安全模块对接收到的数据利用安全域安全防护模块进行VPN解密,若VPN数据包被破坏则数据阻止,并进行安全审计;否则从远程密钥服务器获取密钥,并利用密钥对应用数据进行数据解密;判定密钥加密数据是否被破坏,若被破坏,则数据阻止并进行安全审计,否则判定是否为系统配置数据,进入系统配置登录鉴别系统进行鉴别,鉴别成功后设置系统参数并进行安全审计;鉴别不成功则进行鉴别失败处理;若判定数据为通信业务数据,通过安全策略获得工业控制协议的类型,并检查协议的格式及协议校验,协议检查合格进入协议过滤步骤,否则数据阻止并进行安全审计;协议过滤功能获取安全策略得到白名单,并对协议数据进行过滤,数据合格进行数据转发,否则进行数据阻止并安全审计。
3.根据权利要求1所述的将工业控制系统与管理网络进行隔离的系统,其特征在于:数据摆渡模块进行数据摆渡的步骤如下:(1)工业控制系统与管理网络中一方设备提出摆渡申请;(2)检测该设备是否在安全域内,若是,则检测是否经过加密认证;若否,摆渡申请被驳回并生成日志信息;(3)检测该设备是否经过加密认证,若是,则摆渡申请成功转入(4);若否,摆渡申请被驳回并生成日志信息;(4)设备数据经网间摆渡机、协议转换机、内网摆渡机后到达另一方,并通过摆渡监控及管理生成日志信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610213513.XA CN105897711A (zh) | 2016-04-07 | 2016-04-07 | 一种将工业控制系统与管理网络进行隔离的系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610213513.XA CN105897711A (zh) | 2016-04-07 | 2016-04-07 | 一种将工业控制系统与管理网络进行隔离的系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105897711A true CN105897711A (zh) | 2016-08-24 |
Family
ID=57012948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610213513.XA Pending CN105897711A (zh) | 2016-04-07 | 2016-04-07 | 一种将工业控制系统与管理网络进行隔离的系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105897711A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521398A (zh) * | 2018-02-24 | 2018-09-11 | 浙江远望通信技术有限公司 | 一种基于设备特征识别、白名单和约束集流控的视频监控安全接入方法 |
| CN108600232A (zh) * | 2018-04-27 | 2018-09-28 | 北京网藤科技有限公司 | 一种工控安全审计系统及其审计方法 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030126466A1 (en) * | 2001-12-28 | 2003-07-03 | So-Hee Park | Method for controlling an internet information security system in an IP packet level |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN104683332A (zh) * | 2015-02-10 | 2015-06-03 | 杭州优稳自动化系统有限公司 | 一种工业控制网络中的安全隔离网关及其安全隔离方法 |
-
2016
- 2016-04-07 CN CN201610213513.XA patent/CN105897711A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030126466A1 (en) * | 2001-12-28 | 2003-07-03 | So-Hee Park | Method for controlling an internet information security system in an IP packet level |
| CN104320332A (zh) * | 2014-11-13 | 2015-01-28 | 济南华汉电气科技有限公司 | 多协议工业通信安全网关及应用该网关的通信方法 |
| CN104683332A (zh) * | 2015-02-10 | 2015-06-03 | 杭州优稳自动化系统有限公司 | 一种工业控制网络中的安全隔离网关及其安全隔离方法 |
Non-Patent Citations (1)
| Title |
|---|
| 许艳光: "基于单向隔离网闸的数据过滤系统研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108521398A (zh) * | 2018-02-24 | 2018-09-11 | 浙江远望通信技术有限公司 | 一种基于设备特征识别、白名单和约束集流控的视频监控安全接入方法 |
| CN108600232A (zh) * | 2018-04-27 | 2018-09-28 | 北京网藤科技有限公司 | 一种工控安全审计系统及其审计方法 |
| CN108600232B (zh) * | 2018-04-27 | 2021-11-16 | 北京网藤科技有限公司 | 一种工控安全审计系统及其审计方法 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| CN107222433A (zh) | 一种基于sdn网络路径的访问控制方法及系统 | |
| CN104320332A (zh) | 多协议工业通信安全网关及应用该网关的通信方法 | |
| Rani et al. | Cyber security techniques, architectures, and design | |
| US10462103B2 (en) | High assurance security gateway interconnecting different domains | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN107276983A (zh) | 一种基于dpi和云同步的流量安全控制方法及系统 | |
| CN114629719B (zh) | 资源访问控制方法和资源访问控制系统 | |
| CN102307099A (zh) | 认证方法、系统及认证服务器 | |
| Oman et al. | Safeguarding IEDs, substations, and SCADA systems against electronic intrusions | |
| CN111314381A (zh) | 安全隔离网关 | |
| Ward et al. | Cyber security issues for protective relays; c1 working group members of power system relaying committee | |
| CN113311809A (zh) | 一种基于工业控制系统的安全运维指令阻断装置和方法 | |
| CN105897711A (zh) | 一种将工业控制系统与管理网络进行隔离的系统 | |
| CN118018333B (zh) | 一种网口锁解锁控制方法、系统、设备及存储介质 | |
| CN103618613A (zh) | 网络接入控制系统 | |
| Rashid et al. | Trust system architecture for securing GOOSE communication in IEC 61850 substation network | |
| US20110131648A1 (en) | Method and System for Digital Communication Security Using Computer Systems | |
| CN110808848A (zh) | 一种电力数据网络安全测试方法 | |
| BR102016013149A2 (pt) | Bluetooth cell phone access control system | |
| Zhou et al. | Mind the gap: Security analysis of metro platform screen door system | |
| Papa et al. | A transfer function based intrusion detection system for SCADA systems | |
| CN112491897A (zh) | 一种基于数据库安全的远程防暴力破解方法 | |
| Hareesh et al. | Passive security monitoring for IEC-60870-5-104 based SCADA systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160824 |