CN108055261A - 工业网络安全系统部署方法及安全系统 - Google Patents

工业网络安全系统部署方法及安全系统 Download PDF

Info

Publication number
CN108055261A
CN108055261A CN201711307207.3A CN201711307207A CN108055261A CN 108055261 A CN108055261 A CN 108055261A CN 201711307207 A CN201711307207 A CN 201711307207A CN 108055261 A CN108055261 A CN 108055261A
Authority
CN
China
Prior art keywords
industrial
network
level
factory
convergence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711307207.3A
Other languages
English (en)
Other versions
CN108055261B (zh
Inventor
李永妮
曲峰
李振兴
李百毅
邵泽田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRRC Qingdao Sifang Co Ltd
Original Assignee
CRRC Qingdao Sifang Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRRC Qingdao Sifang Co Ltd filed Critical CRRC Qingdao Sifang Co Ltd
Priority to CN201711307207.3A priority Critical patent/CN108055261B/zh
Publication of CN108055261A publication Critical patent/CN108055261A/zh
Application granted granted Critical
Publication of CN108055261B publication Critical patent/CN108055261B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种工业网络安全系统部署方法,该方法包括:监测工业网络中的安全风险,进行风险评估,获得风险评估结果;根据所述风险评估结果对所述工业网络中的工业控制系统的安全等级进行定级;根据所述工业控制系统的安全等级确定该工业网络的安全防护设备部署方案;所述工业网络分为现场接入层、工厂汇聚层和工业核心层,所述安全防护设备部署方案包括现场接入层、工厂汇聚层和工业核心层的安全防护设备部署方案。本发明还提供了一种工业网络安全系统。通过本发明,基于对工业网络安全防护风险的分析和网络安全等级保护的要求,分层次地确定工业网络的安全防护设备部署方案,从而可以规范、高效地建设工业网络安全防护系统,提高了工业网络中的工业控制系统的安全性。

Description

工业网络安全系统部署方法及安全系统
技术领域
本发明涉及网络安全领域,尤其涉及一种工业网络安全系统部署方法及安全系统。
背景技术
近几年,网络信息技术越来越多地被应用在工业生产制造的过程控制中,加之工业网络与信息网的深度融合,削弱了工业网络中的工业控制系统及SCADA系统(Supervisory Control And Data Acquisition系统,即数据采集与监视控制系统)等与外界的隔离,工业控制系统的脆弱性被放大,各类网络安全事件也表明黑客对工业控制系统和SCADA系统的攻击从未停止。对此,工信部已经发布了关于加强工业控制系统信息安全管理的通知,大中型企业的工业网络安全问题已经引起国家的关注。
而目前的工业网络安全系统建设还较为薄弱,往往凭借安全技术人员的个人经验部署安全防护设备或者哪里出现问题就在哪里部署安全防护设备,缺乏规范的安全系统部署方法,不能有效发挥系统的安全防护作用,无法保障工业网络的安全性。
发明内容
本发明提供一种工业网络安全系统部署方法及安全系统,用于解决现有技术中的上述问题。
根据本发明的第一方面,提供了一种工业网络安全系统部署方法,该方法包括:
将所述工业网络分为现场接入层、工厂汇聚层和工业核心层;
监测工业网络中的安全风险,进行风险评估,获得风险评估结果;
根据所述风险评估结果对所述工业网络中的工业控制系统的安全等级进行定级;
根据所述工业控制系统的安全等级确定该工业网络的安全防护设备部署方案;
其中,所述工业网络分为现场接入层、工厂汇聚层和工业核心层;所述安全防护设备部署方案包括现场接入层、工厂汇聚层和工业核心层的安全防护设备部署方案。
根据本发明的第二方面,提供了一种工业网络安全系统,所述工业网络分为现场接入层、工厂汇聚层和工业核心层,该系统包括:
工控主机防护设备,位于现场接入层中,用于对主机应用进行管控;
工控漏洞扫描系统,位于工业汇聚层中,用于挖掘所述工业网络中的设备存在的漏洞;
工控入侵检测平台,位于工业核心层中,用于检测所述工业网络中业务异常和入侵行为并报警;
工控安全管理平台,位于工业核心层中,用于实现对系统内安全防护设备的统一监控、报警查看及管理;
单向网闸,位于所述工业网络与外界网络之间,用于实现安全的数据摆渡。
本发明按照“纵向分层”的思想将整体工业网络分为现场接入层、工厂汇聚层和工业核心层,基于对工业网络安全防护风险的分析和网络安全等级保护的要求,分层次地确定工业网络的安全防护设备部署方案,从而可以规范、高效地建设工业网络安全防护系统,提高了工业网络中的工业控制系统的安全性。
附图说明
图1为根据本发明一实施例提供的工业网络安全系统部署方法的流程图;
图2为根据本发明一实施例提供的工业网络安全系统的示意图;
图3为根据本发明一实施例提供的工业网络安全系统在现场接入层中的部分示意图;
图4为根据本发明一实施例提供的工业网络安全系统在工厂汇聚层中的部分示意图;
图5为根据本发明一实施例提供的工业网络安全系统在工业核心层中的部分示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明实施例一部分实施例,而不是全部的实施例。
工业网络是指安装在工业生产环境中的一种全数字化、双向、多站的通信系统。在数字化工厂中,通过工业网络将各生产设备和控制设备连接起来,设备相当于网络中的节点,在该工业网络中运行有工业控制系统,用于对工厂内的各种设备进行统一的控制、监测和管理。工业控制系统关系到整个数字化工厂的正常运转,是工业网络安全系统的防护重心。
图1示出了根据本发明一实施例提供的工业网络安全系统部署方法的流程。该方法包括:
S11监测工业网络中的安全风险,进行风险评估,获得风险评估结果:
风险评估的目的是掌握和监测各车间、各生产系统运行过程中的安全风险,包括在线运行监控系统资产、威胁、脆弱性等各方面评估,风险评估主要方式包括网络设备的检查、测试、整体测评等。
S12根据所述风险评估结果对所述工业网络中的工业控制系统的安全等级进行定级:
工业控制系统信息安全定级是建设工业网络安全系统的基础,可由工业控制系统资产重要程度、受侵害后潜在影响程度、需抵御的信息安全威胁程度等三个定级要素决定,上述三个要素中,基于风险评估的结果确定受侵害后潜在影响程度以及需抵御的信息安全威胁程度。
作为示例,可以工业控制系统安全等级特征值函数表述如下:
NSL=F(A,I,T)
其中,NSL表示工业控制系统信息安全等级特征值,A表示工业控制系统资产重要程度特征值,以1至5的尺度来测量;I表示工业控制系统信息安全受侵害后潜在影响程度特征值,以1至5的尺度来测量;T表示工业控制系统信息安全威胁程度特征值,以1至5的尺度来测量。
计算函数F可以为多种形式,在该函数中根据工厂实际情况可为不同因素设定权重值,以最后计算得到数值区分工业控制系统的安全等级。例如计算函数F为将三个因素的特征值相加,将工业控制系统分为四个安全等级:第一级对应特征值取值范围是3-6,第二级是7-9,第三级是10-12,第四级是13-15。级别越高,对工业网络安全性的要求就越高。
S13根据所述工业控制系统的安全等级确定该工业网络的安全防护设备部署方案:其中,所述工业网络分为现场接入层、工厂汇聚层和工业核心层;所述安全防护设备部署方案包括现场接入层、工厂汇聚层和工业核心层的安全防护设备部署方案。
本发明按照“纵向分层”的主导思想,将整体工业网络参考标准的自动化模型层次及结合实际情况,分为现场接入层、工厂汇聚层和工业核心层,从而在确定安全设备部署方案时,可基于所划分的层次架构进行安全设备的部署和设置,保障对工业网络形成有效地覆盖。如图2所示的实施例中,现场接入层10为“现场级”,对应于车间内部作业现场的工业网络,车间内进行工业生产的各设备位于该层;工厂汇聚层20为“车间级”,对应于包括多个车间的工厂分厂的工业网络,各车间的数据在该层汇聚并向上转发;工业核心层30为“厂级”,全场的数据均集中到该层进行处理和控制。
根据所确定的工业控制系统的安全等级,确定在现场接入层、工厂汇聚层和工业核心层中的安全防护设备部署方案。不同的工业控制系统的安全等级对应不同的防护要求,相应地安全防护设备在各层中的部署方案也不相同。安全等级具体的防护要求可以由工厂根据实际需求和相关法规政策的规定进行预先设置。由此,通过按照“纵向分层”的思想将整体工业网络分为现场接入层、工厂汇聚层和工业核心层,基于对工业网络安全防护风险的分析和网络安全等级保护的要求,分层次地确定工业网络的安全防护设备部署方案,从而使得安全防护设备的部署与工业网络的安全等级相匹配,可以规范、高效地建设工业网络安全防护系统,提高了工业网络中的工业控制系统的安全性。
具体地,所确定的安全防护设备部署方案可以包括:
在现场接入层部署工控主机防护设备,用于对主机应用进行管控;
在工厂汇聚层部署工控漏洞扫描系统,用于挖掘设备存在的漏洞;
在工业核心层部署工控入侵检测平台和工控安全管理平台,其中工控入侵检测平台用于检测网络中业务异常和入侵行为并报警;工控安全管理平台用于实现对其它安全防护设备的统一监控、报警查看及管理;
在所述工业网络与外界网络之间部署单向网闸,用于实现安全的数据摆渡。
进一步地,所述安全防护设备部署方案还可以包括:
在现场接入层部署终端防火墙,用于控制现场接入层与工厂汇聚层之间的数据传输;
在工厂汇聚层部署工控安全监测中心,用于监测工厂内不同车间的安全情况;
在工业核心层部署工控防火墙,用于控制工业核心层与工厂汇聚层之间的数据传输。
进一步地,所述工业网络包括多个业务系统,所述根据所述工业控制系统的安全等级确定该工业网络的安全防护设备部署方案包括:根据与每个业务系统对应的工业控制系统的安全等级,为所述多个业务系统分别确定安全防护设备部署方案。
工业网络中通常分别在不同的车间运行不同的业务系统,例如车间A负责转向架焊接业务,车间B负责轴对加工业务,相应地,车间A的工业控制系统的安全等级与车间B的工业控制系统的安全等级可能不同。本发明按照“横向分区”的思想,在进行安全防护设备部署时按照业务系统的不同进行区分。从而在进行风险评估时,对每个业务的风险进行评估并获得评估结果,在对工业控制系统的安全等级进行定级时,除了对总的工业控制系统进行整体定级外,还根据各业务系统的风险评估结果对各业务系统对应的工业控制系统进行定级,进而根据与业务系统对应的工业控制系统的安全等级,对不同的业务系统进行不同的安全防护设备部署。例如:转向架车间的工控系统的安全等级是二级,轴对加工车间的工控系统的安全等级为三级,假设根据总体工业控制系统的定级结果,转向架车间与轴对加工车间均已在与上层设备之间设有防火墙,在车间内设有漏洞挖掘产品,则进一步地根据上述车间的工控系统的安全等级情况配置不同车间的安全防护设备,例如转向架车间相比轴对加工车间在防火墙的带宽、时延方面要求就会降低,漏洞挖掘产品的漏洞库和挖掘性能也不相同。
通过按照业务系统的不同进行横向分区,可以根据数字化工厂各个业务系统的工业控制系统安全等级不同,进行业务系统分级保护,避免不同业务系统间无授权的访问,降低数据泄漏和病毒、蠕虫扩散的风险。
进一步地,确定工业网络的安全防护设备部署方案包括确定安全防护设备在工业网络中的部署位置、类型、参数、数量和功能配置中的一个或多个。
部署位置例如包括部署在现场接入层、工厂汇聚层或工业核心层,或者部署在哪个车间或分厂等;
类型例如包括防火墙、网闸、漏洞扫描设备、监控中心等;
参数例如包括安全设备的带宽、端口数、时延等;
功能配置例如包括安全设备的部分功能的开启或关闭等。
通过本发明提供的工业网络安全系统部署方法,可以得到符合安全等级保护要求,能够全面、有效保障工业网络安全的防护系统,接下来结合附图2-5对一种工业网络安全系统的实施例进行介绍。
图2示出了根据本发明一实施例提供的工业网络安全系统,所述工业网络分为现场接入层10、工厂汇聚层20和工业核心层30,该系统包括:
工控主机防护设备101,位于现场接入层中,用于对主机应用进行管控;工控漏洞扫描系统201,位于工业汇聚层中,用于挖掘设备存在的漏洞;工控入侵检测平台301,位于工业核心层中,用于检测网络中业务异常和入侵行为并报警;工控安全管理平台302,位于工业核心层中,用于实现对其它安全防护设备的统一监控、报警查看及管理;单向网闸401,位于所述工业网络与外界网络之间,用于实现安全的数据摆渡。
所述现场接入层10、工厂汇聚层20和工业核心层30是按照“纵向分层”的主导思想,参考标准的自动化模型层次及结合实际情况进行划分的。在一个实施例中,现场接入层10为“现场级”,对应于车间内部作业现场的工业网络,车间内进行工业生产的各设备位于该层;工厂汇聚层20为“车间级”,对应于包括多个车间的工厂分厂的工业网络,各车间的数据在该层汇聚并向上转发;工业核心层30为“厂级”,全场的数据均集中到该层进行处理和控制。本领域技术人员可以理解的是,也可以基于工厂的实际情况,采取不同的分层方式对工业网络进行划分。通过这种分层部署不同的安全防护设备的方式,能够提升整个网络的安全性能。
所述工控主机防护设备101位于现场接入层中,设备上可包括工控卫士等软件产品,工控主机防护设备101基于白名单机制对主机应用进行管控,只允许受信任的PE(Portable Executable)文件运行,同时对主机进行加固,可有效阻止各类病毒、威胁、漏洞等在工控主机中执行和被利用,从而实现工控主机从启动、加载到持续运行过程全生命周期的安全保障。
所述工控漏洞扫描系统201位于工业汇聚层中,用于对设备的已知漏洞进行识别和检测,及时发现安全漏洞,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在漏洞全面评估的基础上实现安全自主掌控;
所述工控入侵检测平台301位于工业核心层中,是用于依照安全策略,对工业网络、系统的运行状况进行监视,发现各种非法操作或异常行为的软硬件一体化产品。该平台能够深入分析网络上捕获的数据包,结合特征库进行相应的行为匹配,及时发现来自网络外部或内部违反安全策略的行为及被攻击的迹象。
所述工控安全管理平台302位于工业核心层中,是对工业网络中的安全产品及安全事件进行统一管理的软硬件一体化产品。通过对控制网络中的边界隔离、网络监测、主机防护等安全产品进行集中管理,实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等,实现新、老设备的统一安全防护。
所述单向网闸401位于所述工业网络与外界网络之间,用于实现安全的数据摆渡。单向网闸是在不同安全级别网络间进行信息绝对单向传输的隔离设备,由内、外网处理单元和单向传输单元组成,在保证内外网隔离的前提下,实现单向的数据安全传输,并可采用冗余算法最大限度保障数据传输的完整性。
图3示出了根据本发明一实施例提供的工业网络安全系统在现场接入层中的部分。在该实施例中,现场接入层对应于车间内部作业现场的工业网络,其中包括工控机、数控设备等生产设备和MES系统服务器、DNC服务器等工控系统设备,在该层中部署有工控主机防护设备101用于对上述设备进行防护,还部署有终端防火墙102,位于现场接入层与工厂汇聚层之间,用于控制现场接入层与工厂汇聚层之间的数据传输。
图4示出了根据本发明一实施例提供的工业网络安全系统在工厂汇聚层中的部分。在该实施例中,工厂汇聚层对应于包括多个车间的工厂分厂的工业网络,例如包括转向架焊接车间A和轴对加工车间B。除了工控漏洞扫描系统201,在该层中还部署有工控安全监测中心202,用于监测工厂内不同车间的安全情况。
图5示出了根据本发明一实施例提供的工业网络安全系统在工业核心层中的部分。工业核心层是工业网络数据处理、存储和交换的核心,所有和外部网络交互的数据也需要通过工业核心层转发。在工业核心层中包括工业云数据中心,保存了整个工业网络中的管理数据、运维数据和业务数据。在该层中部署有工控入侵检测平台301和工控安全管理平台302,并进一步部署有工控防火墙303,用于控制工业核心层与工厂汇聚层之间的数据传输。
进一步地,所述工业网络中可以包括多个业务系统,例如图4中工厂汇聚层中的转向架车间A和轴对加工车间B就属于不同的业务系统,车间A和车间B对应的工业控制系统的安全等级也可能不同,则可以为不同的业务系统部署不同的安全防护设备:例如在车间A和车间B之间部署工控防火墙203,用于隔离各个业务系统;在工厂核心层分别部署连接至转向架车间A和轴对加工车间B的工控防火墙303,二者具有不同的性能参数。
进一步地,上述安全系统中的各安全防护设备的部署位置、类型、参数、数量和功能配置中的一个或多个是根据工业网络中的工业控制系统的安全等级所确定的。部署位置例如为部署在现场接入层、工厂汇聚层或工业核心层,或者部署在哪个车间或分厂等;类型例如包括防火墙、网闸、漏洞扫描设备、监控中心等;参数例如包括安全设备的带宽、端口数、时延等;功能配置例如包括安全设备的部分功能的开启或关闭等。例如在建设安全系统时,根据工业控制系统的安全等级,确定需要在现场接入层中部署安全防护设备,该安全防护设备的类型为工控主机防护设备101,并选择该工控主机防护设备101的性能参数和功能配置,以满足安全等级的要求。本发明的上述工业网络安全系统通过在垂直方向上把工业网络化分为三层,在水平方向根据各个业务系统的安全等级不同进行分级保护,实现了对工业网络的全面防护,避免了无授权的访问,降低了数据泄漏和病毒、蠕虫扩散的风险,有效提升了整个工业网络的信息安全性。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本领域普通技术人员可以理解:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求所限定的范围。

Claims (9)

1.一种工业网络安全系统部署方法,其特征在于,该方法包括:
监测工业网络中的安全风险,进行风险评估,获得风险评估结果;
根据所述风险评估结果对所述工业网络中的工业控制系统的安全等级进行定级;
根据所述工业控制系统的安全等级确定该工业网络的安全防护设备部署方案;
其中,所述工业网络分为现场接入层、工厂汇聚层和工业核心层;所述安全防护设备部署方案包括现场接入层、工厂汇聚层和工业核心层的安全防护设备部署方案。
2.根据权利要求1所述的方法,其特征在于,所述安全防护设备部署方案包括:
在现场接入层部署工控主机防护设备,用于对主机应用进行管控;
在工厂汇聚层部署工控漏洞扫描系统,用于挖掘设备存在的漏洞;
在工业核心层部署工控入侵检测平台和工控安全管理平台,所述工控入侵检测平台用于检测网络中业务异常和入侵行为并报警;所述工控安全管理平台用于实现对其它安全防护设备的统一监控、报警查看及管理;
在所述工业网络与外界网络之间部署单向网闸,用于实现安全的数据摆渡。
3.根据权利要求2所述的方法,其特征在于,所述安全防护设备部署方案还包括:
在现场接入层部署终端防火墙,用于控制现场接入层与工厂汇聚层之间的数据传输;
在工厂汇聚层部署工控安全监测中心,用于监测工厂内不同车间的安全情况;
在工业核心层部署工控防火墙,用于控制工业核心层与工厂汇聚层之间的数据传输。
4.根据权利要求3所述的方法,其特征在于,所述工业网络中包括多个业务系统,所述根据所述工业控制系统的安全等级确定该工业网络的安全防护设备部署方案包括:
根据与每个业务系统对应的工业控制系统的安全等级,为所述多个业务系统分别确定安全防护设备部署方案。
5.根据权利要求1-4任一所述的方法,其特征在于,所述确定安全防护设备部署方案包括:
确定安全防护设备的部署位置、类型、参数、数量和功能配置中的一个或多个。
6.一种工业网络安全系统,其特征在于,所述工业网络分为现场接入层、工厂汇聚层和工业核心层,该系统包括:
工控主机防护设备,位于现场接入层中,用于对主机应用进行管控;
工控漏洞扫描系统,位于工业汇聚层中,用于挖掘所述工业网络中的设备存在的漏洞;
工控入侵检测平台,位于工业核心层中,用于检测所述工业网络中业务异常和入侵行为并报警;
工控安全管理平台,位于工业核心层中,用于实现对系统内安全防护设备的统一监控、报警查看及管理;
单向网闸,位于所述工业网络与外界网络之间,用于实现安全的数据摆渡。
7.根据权利要求6所述的系统,其特征在于,还包括:
终端防火墙,位于所述现场接入层中,用于控制现场接入层与工厂汇聚层之间的数据传输;
工控安全监测中心,位于所述工业汇聚层中,用于监测工厂内不同车间的安全情况;
工控防火墙,位于所述工业核心层中,用于控制工业核心层与工厂汇聚层之间的数据传输。
8.根据权利要求7所述的系统,其特征在于,所述工业网络中包括多个业务系统,所述安全系统包括在所述多个业务系统之间的工控防火墙,用于隔离各个业务系统。
9.根据权利要求6-8任一所述的系统,其特征在于,根据工业网络中的工业控制系统的安全等级确定所述安全系统中的各安全防护设备的部署位置、类型、参数、数量和功能配置中的一个或多个。
CN201711307207.3A 2017-12-11 2017-12-11 工业网络安全系统部署方法及安全系统 Active CN108055261B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711307207.3A CN108055261B (zh) 2017-12-11 2017-12-11 工业网络安全系统部署方法及安全系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711307207.3A CN108055261B (zh) 2017-12-11 2017-12-11 工业网络安全系统部署方法及安全系统

Publications (2)

Publication Number Publication Date
CN108055261A true CN108055261A (zh) 2018-05-18
CN108055261B CN108055261B (zh) 2020-11-06

Family

ID=62123871

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711307207.3A Active CN108055261B (zh) 2017-12-11 2017-12-11 工业网络安全系统部署方法及安全系统

Country Status (1)

Country Link
CN (1) CN108055261B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495502A (zh) * 2018-12-18 2019-03-19 北京威努特技术有限公司 一种工控网络安全健康指数评估方法和装置
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法
CN110135170A (zh) * 2019-05-24 2019-08-16 武汉华电工研科技有限公司 一种工控信息安全评测方法
CN111343169A (zh) * 2020-02-19 2020-06-26 中能融合智慧科技有限公司 一种工控环境下安全资源汇聚与情报共享的系统及方法
CN111381567A (zh) * 2018-12-27 2020-07-07 北京安控科技股份有限公司 一种用于工业控制系统的安全检测系统和方法
CN112291208A (zh) * 2020-10-16 2021-01-29 兖州煤业股份有限公司 一种不同局域网之间数据安全共享的方法
CN112543123A (zh) * 2020-12-17 2021-03-23 云南昆钢电子信息科技有限公司 工业自动控制系统安全防护及预警系统
CN112560061A (zh) * 2020-12-18 2021-03-26 国家工业信息安全发展研究中心 工业互联网数据安全防护能力评估方法及设备部署方法
CN114157493A (zh) * 2021-12-06 2022-03-08 中国船级社 一种工控系统网络安全仿真测试平台及计算机设备
CN114338080A (zh) * 2021-11-24 2022-04-12 华能核能技术研究院有限公司 核电仪控系统网络安全保护等级的确定方法、装置及设备
CN114844953A (zh) * 2022-05-12 2022-08-02 机械工业仪器仪表综合技术经济研究所 基于工业互联网的石化装置仪表自控设备安全监测系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094056A (zh) * 2007-05-30 2007-12-26 重庆邮电大学 无线工业控制网络安全系统及安全策略实现方法
CN201909992U (zh) * 2011-01-14 2011-07-27 中华人民共和国湖北出入境检验检疫局 一种基于vpn技术的远程机房环境监控设备
CN103036886A (zh) * 2012-12-19 2013-04-10 珠海市鸿瑞软件技术有限公司 工业控制网络安全防护方法
CN105915402A (zh) * 2016-07-05 2016-08-31 杨林 工业控制网络安全防护系统
CN106709613A (zh) * 2015-07-16 2017-05-24 中国科学院信息工程研究所 一种适用于工业控制系统的风险评估方法
CN106899553A (zh) * 2015-12-19 2017-06-27 北京中船信息科技有限公司 一种基于私有云的工业控制系统安全防护方法
CN107067179A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工业控制系统标准符合性评估系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094056A (zh) * 2007-05-30 2007-12-26 重庆邮电大学 无线工业控制网络安全系统及安全策略实现方法
CN201909992U (zh) * 2011-01-14 2011-07-27 中华人民共和国湖北出入境检验检疫局 一种基于vpn技术的远程机房环境监控设备
CN103036886A (zh) * 2012-12-19 2013-04-10 珠海市鸿瑞软件技术有限公司 工业控制网络安全防护方法
CN106709613A (zh) * 2015-07-16 2017-05-24 中国科学院信息工程研究所 一种适用于工业控制系统的风险评估方法
CN106899553A (zh) * 2015-12-19 2017-06-27 北京中船信息科技有限公司 一种基于私有云的工业控制系统安全防护方法
CN105915402A (zh) * 2016-07-05 2016-08-31 杨林 工业控制网络安全防护系统
CN107067179A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工业控制系统标准符合性评估系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
沈清泓: "工业控制系统三层网络的信息安全检测与认证", 《自动化博览》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法
CN109495502B (zh) * 2018-12-18 2021-06-01 北京威努特技术有限公司 一种工控网络安全健康指数评估方法和装置
CN109495502A (zh) * 2018-12-18 2019-03-19 北京威努特技术有限公司 一种工控网络安全健康指数评估方法和装置
CN111381567A (zh) * 2018-12-27 2020-07-07 北京安控科技股份有限公司 一种用于工业控制系统的安全检测系统和方法
CN111381567B (zh) * 2018-12-27 2021-11-05 北京安控科技股份有限公司 一种用于工业控制系统的安全检测系统和方法
CN110135170A (zh) * 2019-05-24 2019-08-16 武汉华电工研科技有限公司 一种工控信息安全评测方法
CN111343169A (zh) * 2020-02-19 2020-06-26 中能融合智慧科技有限公司 一种工控环境下安全资源汇聚与情报共享的系统及方法
CN112291208A (zh) * 2020-10-16 2021-01-29 兖州煤业股份有限公司 一种不同局域网之间数据安全共享的方法
CN112543123A (zh) * 2020-12-17 2021-03-23 云南昆钢电子信息科技有限公司 工业自动控制系统安全防护及预警系统
CN112560061A (zh) * 2020-12-18 2021-03-26 国家工业信息安全发展研究中心 工业互联网数据安全防护能力评估方法及设备部署方法
CN112560061B (zh) * 2020-12-18 2024-05-03 国家工业信息安全发展研究中心 工业互联网数据安全防护能力评估方法及设备部署方法
CN114338080A (zh) * 2021-11-24 2022-04-12 华能核能技术研究院有限公司 核电仪控系统网络安全保护等级的确定方法、装置及设备
CN114157493A (zh) * 2021-12-06 2022-03-08 中国船级社 一种工控系统网络安全仿真测试平台及计算机设备
CN114844953A (zh) * 2022-05-12 2022-08-02 机械工业仪器仪表综合技术经济研究所 基于工业互联网的石化装置仪表自控设备安全监测系统

Also Published As

Publication number Publication date
CN108055261B (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN108055261A (zh) 工业网络安全系统部署方法及安全系统
CN106698197B (zh) 基于大数据的集装箱起重机在线诊断和预防性维护系统
US10698378B2 (en) Industrial control system smart hardware monitoring
Ibne Hossain et al. Modeling and assessing cyber resilience of smart grid using Bayesian network-based approach: a system of systems problem
US20160330225A1 (en) Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System
Kriaa et al. Safety and security interactions modeling using the BDMP formalism: case study of a pipeline
CN107231371A (zh) 电力信息网的安全防护方法、装置和系统
EP3182669B1 (en) Integrated industrial system and control method thereof
CN105573291B (zh) 一种基于关键参数融合校验的威胁检测方法及安全装置
CN104144063A (zh) 基于日志分析和防火墙安全矩阵的网站安全监控报警系统
CN105939334A (zh) 工业通信网络中的异常检测
EP3182234B1 (en) Control device, integrated industrial system, and control method thereof
CN102546638A (zh) 一种基于场景的混合入侵检测方法及系统
CN102625312A (zh) 基于分层入侵检测的传感网安全系统
Nasr et al. Alarm based anomaly detection of insider attacks in SCADA system
CA2927826C (en) Industrial control system smart hardware monitoring
CN107547229A (zh) 一种基于大数据的安全运维管理平台智能控制的实现方法
CN112447033A (zh) 安防数据处理方法、系统、计算机设备及存储介质
CN111107108B (zh) 一种工业控制系统网络安全分析的方法
CN206962850U (zh) 电力信息网的安全防护系统及电力信息系统
EP2656322B1 (en) Intrusion detection
CN104570977A (zh) 一种火工品安全生产监管系统
EP3024192A1 (en) Analysing security risks of an industrial automation and control system
CN114374528A (zh) 一种数据安全检测方法、装置、电子设备及介质
CN103078852A (zh) 一种资产状态判别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Wang Jun

Inventor after: Li Yongni

Inventor after: Qu Feng

Inventor after: Li Zhenxing

Inventor after: Li Baiyi

Inventor after: Shao Zetian

Inventor before: Li Yongni

Inventor before: Qu Feng

Inventor before: Li Zhenxing

Inventor before: Li Baiyi

Inventor before: Shao Zetian

CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Wang Jun

Inventor after: Li Yongni

Inventor after: Qu Feng

Inventor after: Li Zhenxing

Inventor after: Li Baiyi

Inventor after: Shao Zetian

Inventor before: Li Yongni

Inventor before: Qu Feng

Inventor before: Li Zhenxing

Inventor before: Li Baiyi

Inventor before: Shao Zetian

GR01 Patent grant
GR01 Patent grant