CN110262420A - 一种分布式工业控制网络安全检测系统 - Google Patents
一种分布式工业控制网络安全检测系统 Download PDFInfo
- Publication number
- CN110262420A CN110262420A CN201910525672.7A CN201910525672A CN110262420A CN 110262420 A CN110262420 A CN 110262420A CN 201910525672 A CN201910525672 A CN 201910525672A CN 110262420 A CN110262420 A CN 110262420A
- Authority
- CN
- China
- Prior art keywords
- network
- module
- industrial
- tool
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 92
- 238000012360 testing method Methods 0.000 claims description 80
- 238000011156 evaluation Methods 0.000 claims description 46
- 238000000034 method Methods 0.000 claims description 20
- 230000006978 adaptation Effects 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 14
- 238000009826 distribution Methods 0.000 claims description 13
- 238000004886 process control Methods 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 5
- 238000003032 molecular docking Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 33
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 238000007726 management method Methods 0.000 description 26
- 238000013461 design Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 238000004519 manufacturing process Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 6
- 230000007257 malfunction Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012502 risk assessment Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000009776 industrial production Methods 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 239000000567 combustion gas Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 239000007789 gas Substances 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000003921 oil Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 230000000087 stabilizing effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/41845—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by system universality, reconfigurability, modularity
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33273—DCS distributed, decentralised controlsystem, multiprocessor
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种分布式工业控制网络安全检测系统,无需对现有的工业控制系统架构进行改造,包括无需修改现有的工控网络结构进行修改,无需更换工业通讯协议,无需对工控系统网络内各种设备进行改造,仅通过基于该平台设计的分布式架构,分别部署检测平台服务端、客户端,基于分布式服务通讯协议实现客户端和服务端通讯,基于特定端口实现数据传输,检测任务下发、结果归集;另外该检测系统针对传统工业控制控制网络的封闭性,创造性的提出了基于VPN的工控内网检测技术,通过VPN在检测平台服务端和内网系统客户端的简易部署,打通VPN通道,实现外网检测工具和内网之间的通讯,从而实现非互联网环境下的安全检测服务。
Description
技术领域
本发明涉及一种分布式工业控制网络安全检测系统,属于工业网络安全检测技术领域。
背景技术
现代工业基础设施包括电力、石油与天然气、化工、水利、工业制造及交通控制等重点行业,构成了我国国民经济、现代社会以及国家安全的重要基础。工业基础设施中关键应用系统的故障可能导致人员伤亡、基础设施被破坏、环境灾难、以及严重的经济损失,危及公众生活及国家安全等。
工业控制系统(ICS-Industrial Control System)构成了现代工业基础设施的神经系统。传统上,工业控制系统多为采用专用技术的封闭网络,对外没有互联互通,其面临的信息安全威胁不突出。相应地,各种工业控制设备、应用、系统、通信协议都主要针对专有的封闭环境而设计。由于没有现实的信息安全威胁,工业自动化控制系统在设计、实现与部署过程中,其主要指标是可用性、功能、性能、(物理)安全性、实时性等,而无需过多考虑网络攻击、信息安全等问题。
近几十年来,各种工业控制系统正快速地从封闭、孤立的系统走向开放、互联(包括与传统IT系统互联),日益广泛地采用以太网/IP/TCP网络作为通信基础设施,将工业控制协议迁移到TCP/IP协议栈的应用层;采用包括IWLAN、GPRS等在内的各种无线网络;广泛采用标准的Windows等商用操作系统、设备、软件、中间件与各种通用技术。典型的工业自动化控制系统,包括SCADA(Supervisory Control And Data Acquisition,数据采集与监控系统)、DCS(Distributed Control System,分布式控制系统)、PLC(Programmable LogicController,可编程逻辑控制器)等,正日益变得开放、通用和标准化。
工业控制系统在享受开放、互联技术带来的进步、效率与利益的同时,也面临着日益严重的安全威胁。由于长期缺乏安全需求的推动,对(采用TCP/IP等通用技术的)网络环境下广泛存在的安全威胁缺乏充分认识,现有工业控制系统在设计、研发中几乎完全没有考虑信息安全的问题,在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑,导致许多工业控制系统中存在着这样或那样的安全问题,一旦被无意或恶意利用,就会造成各种严重的安全事件。
现有的工业控制系统在原始设计、研发、实现上都无法抵御黑客攻击、恶意软件感染、APT(Advanced Persistent Threat)入侵,具体而言体现在下列几个方面。
首先,PLC、RTU、DCS控制器等现场控制设备多为专用的嵌入式设备,其硬件、能耗、计算、存储、网络等资源都受到限制。在对物理世界执行各种控制操作过程中,现场控制设备需要优先保证其控制操作的实时性与高可靠性。因此,目前市场上的销售的PLC等工业控制设备,普遍缺乏相关的安全功能,仅靠其自身无法实现访问控制(身份识别、认证、授权)、防篡改、不可否认等安全功能。
并且,对PLC这样专门设计用于现场控制设备而言,从应用环境、成本等方面综合考虑,未来也不太可能花费很大的开销,在其内部实现非常强的访问控制等安全功能。
其次,各种工业控制通信协议(如OPC、PROFINET、EtherNet/IP、PowerLink/CC、Modbus/TCP等,还有各公司的私有协议,如西门子的S7Comm等)被广泛用于现场控制设备与其他设备(上位机或其他现场控制设备)间的通信。这些工控通信协议在设计之初就没有考虑信息安全方面的需求,因此普遍存在下列安全缺陷:
(1)缺乏唯一的标识和认证(Identity&Authentication)机制。只要通过网络能够访问现场控制设备或上位机,就可以向其任意向发送控制指令或数据;
(2)缺乏授权管理(Authorization)机制。上述工业控制协议中提供了某些关键操作,如停止CPU、设备重启、重置设备为出厂状态、升级设备的固件等操作。由于缺乏必要的授权管理机制,只要通过网络能够访问现场控制设备,都可以执行上述关键操作,即便现场控制设备可能正处于生产状态;
(3)控制通信没有或仅提供简单会话控制(Session Control),攻击者可以任意删除、重放或插入恶意的控制通信报文;
(4)缺乏完整性(Integrity)保护机制,通信报文可被篡改而不被发现;
(5)缺乏机密性(Confidentiality)保护,控制通信报文以明文方式在网络中传输,攻击者可以通过网络窃听工业控制相关数据;
然后,工业控制系统中的上位机(作为HMI、工程师站、操作员站或其他工控服务器)多为基于Windows系统的PC工作站或服务器。Windows系统和工业控制应用系统本身都可以提供一定的访问控制功能,如用户的登录认证,基于角色的访问控制等。但由于上位机与PLC等现场控制设备之间的通信为开放的工业控制通信,因此这些基于上位机的访问控制机制很容易被绕过。
在实际工业生产环境中,由于工业生产环节较多,网络复杂,往往存在不同类型的工业控制系统,不同厂商的工业控制系统,工业控制通信协议也不同,导致在实际的工业控制系统中部署访问控制措施等各种安全方式变得更加困难。
2014年,活点信息技术有限公司在其发明专利“物联网分布式动态安全检测系统”中提出一种物联网分布式动态安全检测系统,涉及信息安全技术领域,特别是属于一种涉及物联网领域的物联网分布式动态安全检测技术。其特征在于,包括显示器、主机、输入装置、电源和网络接口,其中主机包括中央处理器、内存储器与外存储器,并运行上位机软件;网络接口连接到主机上,并通过外接网络设备实现各种无线、有线物联网系统的物理接入与逻辑接入;显示器连接到主机上,通过输入装置实现对显示器的控制、监控、查看功能;具有实现了动态的、实时性、分布式的保护物联网中通信及数据交互的安全性、提高物联网中通信及数据交互的安全性、防止设备在使用过程中的逻辑丢失的积极效果。
2016年,北京科技大学在其发明专利“一种针对分布式工业控制系统的网络入侵检测系统”提出了一种针对分布式工业控制系统的网络入侵检测系统,能够提高工业控制系统的网络安全。所述系统包括:网络嗅探单元,用于捕获所述工业控制系统的网络通信数据;入侵检测单元,用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测,若有入侵行为,则发出报警信息;数据传输单元,用于将所述报警信息发送出去。
2018年,中国电力科学研究院有限公司、国家电网公司在其发明专利“一种含分布式电源的配电网运行风险评估方法和装置”中提出了一种含分布式电源的配电网运行风险评估方法和装置,先计算不同天气类型下配电线路的故障概率以及不同天气类型和运行寿命下分布式电源的故障概率;然后根据配电线路及分布式电源的故障概率,通过预先构建的分布式电源出力模型对配电网的运行状态进行仿真;最后根据仿真结果对配电网的运行风险进行评估。本发明考虑了分布式电源类型,提高了配电网的运行风险评估准确性。本发明计算不同天气类型和运行寿命下配电线路和分布式电源中光伏发电系统、风机和燃气轮机各自的故障概率,考虑全面,可以准确反应配电线路和分布式电源的故障概率,保证配电网运行风险评估的准确性。
但上述方法和系统都是运行于某种特定设备网络下,网络环境简单,设备类型单一,安全检测方式单一,而当前工业网络环境面临着多层网络,且设备类型繁杂,现有的安全检测工具无法完全适用、应对当前工业网络的检测。
发明内容
本发明所要解决的技术问题是提供一种分布式工业控制网络安全检测系统,能够实现对现有工业网络的整体安全检测,并适配多种网络,兼容多种网络通信协议,支持多种类型设备,实现现有工业网络的整体网络态势的分析。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种分布式工业控制网络安全检测系统,用于针对不同权限用户所选择其权限范围内的工业网络对象进行安全评测,获得相对应的评测报告,其特征在于:包括检测服务模块、分布式服务模块、工具部署模块、工具评测模块;
其中,检测服务模块中包括评测任务管理模块、工具驱动管理模块、评测模板管理模块;针对所选择的工业网络对象,评测任务管理模块用于配置、并创建该工业网络对象所对应的评测任务;工具驱动管理模块用于针对该工业网络对象所对应的评测任务,选择调用相对应的各个安全检测工具、以及相应驱动;评测模板管理模块用于针对该工业网络对象所对应的评测任务、以及相对应的各个安全检测工具和相应驱动,获得相对应的安全评测执行流程;
分布式服务模块包括分布式接口调用模块、分布式网络服务配置模块、模板流程控制模块;其中,分布式接口调用模块和分布式网络服务配置模块,用于根据该工业网络对象在工业控制网络中所处的网络架构,共同工作构建用于该工业网络对象所对应评测任务执行的分布式网络,作为该工业网络对象所对应的评测分布式网络;模板流程控制模块用于将该工业网络对象所对应的安全评测执行流程、加载至相对应的对应的评测分布式网络中;
工具部署模块用于向该工业网络对象所对应的评测分布式网络,加载该工业网络对象所对应的各个安全检测工具、以及相应驱动;
工具评测模块包括评测工具接口适配模块、评测工具调度模块、评测工具模板适配模块、评测工具结果ETL模块、评测工具结果整合模块;
其中,评测工具接口适配模块用于实现各安全检测工具接口、分别与该工业网络对象所对应评测分布式网络的对接,同时实现多模式联动下、各安全检测工具之间接口的适配;
评测工具调度模块用于实现该工业网络对象所对应评测分布式网络、对各安全检测工具的调度,以及实现自动化模式下的链式模式调度,同时实现虚拟化环境下、各安全检测工具自动生成模式下的调度;
评测工具模板适配模块用于实现各安全检测工具模板、对应该工业网络对象所对应评测分布式网络的自动化适配,同时实现用户自动定义模板工具、对应该工业网络对象所对应评测分布式网络的适配;
评测工具结果ETL模块用于针对各安全检测工具分别所获该工业网络对象的检测数据,依次进行抽取、格式转换、加载处理,获得对应各个检测结果;
评测工具结果整合模块用于针对该工业网络对象所对应的各个检测结果,进行结果整合,获得该工业网络对象所对应的评测报告。
作为本发明的一种优选技术方案:还包括评测结果网络存储模块,用于针对所选择工业网络对象对应的评测报告实现存储,以及实现对评测报告的网络访问、调用。
作为本发明的一种优选技术方案:所述检测服务模块中还包括工业网络资产识别模块,工业网络资产识别模块用于扫描、获得工业控制网络中的所有工业网络对象,并分别向不同权限用户、提供其权限范围内的可选工业网络对象列表,用于不同权限用户进行相应工业网络对象的选择、并进行安全评测,获得相对应的评测报告。
作为本发明的一种优选技术方案:所述分布式服务模块中的分布式网络服务配置模块,支持虚拟化网络部署,以及支持对用户内网检测的VPN配置。
本发明所述一种分布式工业控制网络安全检测系统,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计分布式工业控制网络安全检测系统,无需对现有的工业控制系统架构进行改造,包括无需修改现有的工控网络结构进行修改,无需更换工业通讯协议,无需对工控系统网络内各种设备进行改造,仅通过基于该平台设计的分布式架构,分别部署检测平台服务端、客户端,基于分布式服务通讯协议实现客户端和服务端通讯,基于特定端口实现数据传输,检测任务下发、结果归集;另外该检测系统针对传统工业控制控制网络的封闭性,创造性的提出了基于VPN的工控内网检测技术,通过VPN在检测平台服务端和内网系统客户端的简易部署,打通VPN通道,实现外网检测工具和内网之间的通讯,从而实现非互联网环境下的安全检测服务。
附图说明
图1是现有工业控制网络的分层示意图;
图2是本发明设计分布式工业控制网络安全检测系统的架构示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
在两化融合和智能制造的趋势下,利用计算机全自动化采集展示现场数据的方式在工业控制行业中越来越受欢迎——通过利用集成化智能I/O单元进行数据采样,产生的实时数据会被操作人员监控和调配,同时还能向工厂管理者提供数据对比,方便其决策分析。这种模式便于合理集中地处理分散的现场数据,但是必须依赖可靠稳定的网络结构。因此合理构建适合工业现场复杂环境的稳定网络是工控系统的重要设计内容。如图1所示,主要将工业控制网络分为现场总线控制网络、过程控制与监控网络和企业办公网络。
工业控制网络最底层的是现场总线控制网络,包含图1当中的现场控制层和现场设备层,是自动化系统与现场设备相连的唯一网络,是整个控制系统的关键环节。该层网络通常包含PLC(可编程逻辑控制器)、DCS(分布式控制系统)等现场控制站,以及各种传感器、继电器、电动机、调节阀等现场设备。
现场总线控制网络利用诸如PRIFIBUS(过程现场总线)、FF-BUS(基金会现场总线)、CAN-BUS(控制器局域网络总线)等现场总线技术将传感器、继电器等现场设备与一些PLC控制器或者RTU等现场控制设备相连,直接采集现场数据到现场控制站FCS或DCS或PLC控制系统,完成基本的数据采集,提供生产调度的重要数据源。
为保证现场总线控制网络的数据采集的可靠性,该层网络通常采用两重冗余的控制器和双网甚至四网的物理容错方式,同时控制器内置智能故障处理机制,即只要通信链路发生网络故障如数据流拥堵、网卡故障、网线故障,控制器就可智能切换到备用通信链路,确保数据采集不因网络节点故障而中断。
现场总线控制网络的上一层是过程控制与监控网络层,这一层包含图1当中的生产管理层和过程监控层。生产管理层主要实现系统管理、监视控制的功能,为上层的企业网络提供数据支持,通常包含一些应用服务器、信息数据库和冗余数据库。过程监控层负责监控、现场监测以及现场数据展示,是现场总线控制网络和企业网络之间数据交互与展示的桥梁,该网络通常内含有SCADA服务器、历史数据库、实时数据库以及人机界面等关键工业控制组件。
过程控制与监控网络层负责接收来自现场总线控制网络的数据,现场总线控制网络通过PLC控制器处理数据,由远程数据单元RTU和SCADA服务器MTU组成远程传输链路,将数据传输至过程控制与监控网络中的监控设备。系统操作员便可通过操作HMI人机界面了解控制系统的运行状态,实时监测PLC、RTU以及一些现场设备的运行,并依据进行调整或控制工艺参数,这些监控到的数据信息会传送到历史数据服务器,供以后分析使用,为上层的任务决策提供数据支持。
工业控制网络的最上面一层是企业办公网络层,即图1当中的企业资源层,负责公司日常的商业计划和物流管理、工程系统等,主要涉及企业应用资源,如企业资源配置(ERP)、生产制造执行系统(MES)和办公自动化(OA)等与企业运营息息相关的系统,通常由各种功能的计算机构成。为防止外部网络对生产工况造成不必要的外部干扰,如病毒攻击、木马侵入、人员误操作等外部不利因素,工业企业通常也具有较完备的典型安全边界防护措施,如网络层级连接设备增加的防火墙等。
该层网络根据公司所需功能配置相应的管理软件,每个软件有不同的通信协议,对应不同的物理接口。该层网络通过开放式通信协议从控制网络采集生产数据,通过管理软件自身的功能模块从人力资源、机具配置、材料仓储等角度对控制网络采集到的生产数据进行分类处理,最终形成工厂管理方法和决策数据。
随着互联网和新一代信息技术的不断渗透和蔓延,工业控制网络也不可避免地朝着“互联网+”方向发展。工业控制网络原有相对封闭的使用环境逐渐被打破,开放性和互联性越来越强,使得工业控制网络与各种业务系统的协作成为可能,工业设备、人、信息系统和数据的联系越来越紧密,系统一体化、设备智能化、业务协同化、信息共享化、决策需求全景化、全部过程网络化等成为工业控制系统的的发展趋势。据数据显示,数以亿计的工业设备已经与互联网连接。因此,安全意识的提升,也将成为工业控制网络安全的重要影响因素。
本发明通过构建对多种安全检测技术集成,实现平台化统一调度,统一配置,统一检测,实现对工业控制网络的全面检测,包括网络内资产发现,安全威胁识别,处置建议等流程,基于本方案,可实现对目标网络内资产基于互联网和VPN内网的安全威胁检测。
具体本发明设计了一种分布式工业控制网络安全检测系统,用于针对不同权限用户所选择其权限范围内的工业网络对象进行安全评测,获得相对应的评测报告;实际应用当中,对于所设计检测系统而言,不同权限用户在登录系统时,设计分为评测门户、专家门户、系统配置门户,其中,系统配置门户包括用户管理、角色管理、权限管理和评测报告展现等功能,用户管理实现对系统用户的维护管理,包括用户角色,权限的管理,用户操作行为展示。
实际应用当中,如图2所示,所设计分布式工业控制网络安全检测系统具体包括检测服务模块、分布式服务模块、工具部署模块、工具评测模块、评测结果网络存储模块。
其中,检测服务模块中包括工业网络资产识别模块、评测任务管理模块、工具驱动管理模块、评测模板管理模块;其中,工业网络资产识别模块用于扫描、获得工业控制网络中的所有工业网络对象,并分别向不同权限用户、提供其权限范围内的可选工业网络对象列表,用于不同权限用户进行相应工业网络对象的选择、并进行安全评测,获得相对应的评测报告;针对所选择的工业网络对象,评测任务管理模块用于配置、并创建该工业网络对象所对应的评测任务;工具驱动管理模块用于针对该工业网络对象所对应的评测任务,选择调用相对应的各个安全检测工具、以及相应驱动;评测模板管理模块用于针对该工业网络对象所对应的评测任务、以及相对应的各个安全检测工具和相应驱动,获得相对应的安全评测执行流程。
分布式服务模块包括分布式接口调用模块、分布式网络服务配置模块、模板流程控制模块;其中,分布式接口调用模块和分布式网络服务配置模块,用于根据该工业网络对象在工业控制网络中所处的网络架构,共同工作构建用于该工业网络对象所对应评测任务执行的分布式网络,作为该工业网络对象所对应的评测分布式网络,并且实际应用当中,分布式服务模块中的分布式网络服务配置模块,支持虚拟化网络部署,以及支持对用户内网检测的VPN配置;模板流程控制模块用于将该工业网络对象所对应的安全评测执行流程、加载至相对应的对应的评测分布式网络中。
分布式服务模块实际应用当中,设计实现服务端对客户端基于RPC接口的分布式调用,支持跨域的分布式网络部署;基于分布式接口调用模块实现分布式接口对接、调用;基于分布式网络服务配置模块实现分布式部署下的网络配置,支持虚拟化网络部署,同时支持对用户内网检测的VPN配置。
分布式服务模块根据分布式服务需求,分别设计安全检测服务端和客户端,服务端和客户端均可作为安全检测服务单独运行,实现目标对象安全检测工作;服务端一般作为控制端,可单独部署,具备网络配置管理功能,可实现安全检测任务下发,检测结果归集,结果统一处理;客户端作为安全检测主要执行客户端,实现对所在网络内目标的检测,负责具体检测任务执行,结果回传。
工具部署模块用于向该工业网络对象所对应的评测分布式网络,加载该工业网络对象所对应的各个安全检测工具、以及相应驱动。
工具评测模块包括评测工具接口适配模块、评测工具调度模块、评测工具模板适配模块、评测工具结果ETL模块、评测工具结果整合模块。
其中,评测工具接口适配模块用于实现各安全检测工具接口、分别与该工业网络对象所对应评测分布式网络的对接,同时实现多模式联动下、各安全检测工具之间接口的适配。
评测工具调度模块用于实现该工业网络对象所对应评测分布式网络、对各安全检测工具的调度,以及实现自动化模式下的链式模式调度,同时实现虚拟化环境下、各安全检测工具自动生成模式下的调度。
评测工具模板适配模块用于实现各安全检测工具模板、对应该工业网络对象所对应评测分布式网络的自动化适配,同时实现用户自动定义模板工具、对应该工业网络对象所对应评测分布式网络的适配。
评测工具结果ETL模块用于针对各安全检测工具分别所获该工业网络对象的检测数据,依次进行抽取、格式转换、加载处理,获得对应各个检测结果。
评测工具结果整合模块用于针对该工业网络对象所对应的各个检测结果,进行结果整合,获得该工业网络对象所对应的评测报告,实际应用当中,评测报告展现按照评测任务展示评测报告,报告涵盖检测过程中每个工具的测评结果及任务的统计分析结果,可导出PDF、Word、Excel格式输出。
评测结果网络存储模块用于针对所选择工业网络对象对应的评测报告实现存储,以及实现对评测报告的网络访问、调用。
上述技术方案所设计分布式工业控制网络安全检测系统,可以在不改动现有工业网络结构,不对工业控制系统自身进行修改,不对修改工业通讯协议情况下,为现有的工业控制系统提供安全检测服务,实现对工控系统下操作系统、数据库、中间件、PCL、RTU、上位机软件、HMI、DCS、Scada等现场控制系统及设备的安全威胁检测,同时可保证各组件的正常安全生产。
如此本发明所设计分布式工业控制网络安全检测系统,无需对现有的工业控制系统架构进行改造,包括无需修改现有的工控网络结构进行修改,无需更换工业通讯协议,无需对工控系统网络内各种设备进行改造,仅通过基于该平台设计的分布式架构,分别部署检测平台服务端、客户端,基于分布式服务通讯协议实现客户端和服务端通讯,基于特定端口实现数据传输,检测任务下发、结果归集;另外该检测系统针对传统工业控制控制网络的封闭性,创造性的提出了基于VPN的工控内网检测技术,通过VPN在检测平台服务端和内网系统客户端的简易部署,打通VPN通道,实现外网检测工具和内网之间的通讯,从而实现非互联网环境下的安全检测服务。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。
Claims (4)
1.一种分布式工业控制网络安全检测系统,用于针对不同权限用户所选择其权限范围内的工业网络对象进行安全评测,获得相对应的评测报告,其特征在于:包括检测服务模块、分布式服务模块、工具部署模块、工具评测模块;
其中,检测服务模块中包括评测任务管理模块、工具驱动管理模块、评测模板管理模块;针对所选择的工业网络对象,评测任务管理模块用于配置、并创建该工业网络对象所对应的评测任务;工具驱动管理模块用于针对该工业网络对象所对应的评测任务,选择调用相对应的各个安全检测工具、以及相应驱动;评测模板管理模块用于针对该工业网络对象所对应的评测任务、以及相对应的各个安全检测工具和相应驱动,获得相对应的安全评测执行流程;
分布式服务模块包括分布式接口调用模块、分布式网络服务配置模块、模板流程控制模块;其中,分布式接口调用模块和分布式网络服务配置模块,用于根据该工业网络对象在工业控制网络中所处的网络架构,共同工作构建用于该工业网络对象所对应评测任务执行的分布式网络,作为该工业网络对象所对应的评测分布式网络;模板流程控制模块用于将该工业网络对象所对应的安全评测执行流程、加载至相对应的对应的评测分布式网络中;
工具部署模块用于向该工业网络对象所对应的评测分布式网络,加载该工业网络对象所对应的各个安全检测工具、以及相应驱动;
工具评测模块包括评测工具接口适配模块、评测工具调度模块、评测工具模板适配模块、评测工具结果ETL模块、评测工具结果整合模块;
其中,评测工具接口适配模块用于实现各安全检测工具接口、分别与该工业网络对象所对应评测分布式网络的对接,同时实现多模式联动下、各安全检测工具之间接口的适配;
评测工具调度模块用于实现该工业网络对象所对应评测分布式网络、对各安全检测工具的调度,以及实现自动化模式下的链式模式调度,同时实现虚拟化环境下、各安全检测工具自动生成模式下的调度;
评测工具模板适配模块用于实现各安全检测工具模板、对应该工业网络对象所对应评测分布式网络的自动化适配,同时实现用户自动定义模板工具、对应该工业网络对象所对应评测分布式网络的适配;
评测工具结果ETL模块用于针对各安全检测工具分别所获该工业网络对象的检测数据,依次进行抽取、格式转换、加载处理,获得对应各个检测结果;
评测工具结果整合模块用于针对该工业网络对象所对应的各个检测结果,进行结果整合,获得该工业网络对象所对应的评测报告。
2.根据权利要求1所述一种分布式工业控制网络安全检测系统,其特征在于:还包括评测结果网络存储模块,用于针对所选择工业网络对象对应的评测报告实现存储,以及实现对评测报告的网络访问、调用。
3.根据权利要求1或2所述一种分布式工业控制网络安全检测系统,其特征在于:所述检测服务模块中还包括工业网络资产识别模块,工业网络资产识别模块用于扫描、获得工业控制网络中的所有工业网络对象,并分别向不同权限用户、提供其权限范围内的可选工业网络对象列表,用于不同权限用户进行相应工业网络对象的选择、并进行安全评测,获得相对应的评测报告。
4.根据权利要求1所述一种分布式工业控制网络安全检测系统,其特征在于:所述分布式服务模块中的分布式网络服务配置模块,支持虚拟化网络部署,以及支持对用户内网检测的VPN配置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910525672.7A CN110262420A (zh) | 2019-06-18 | 2019-06-18 | 一种分布式工业控制网络安全检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910525672.7A CN110262420A (zh) | 2019-06-18 | 2019-06-18 | 一种分布式工业控制网络安全检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110262420A true CN110262420A (zh) | 2019-09-20 |
Family
ID=67919103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910525672.7A Pending CN110262420A (zh) | 2019-06-18 | 2019-06-18 | 一种分布式工业控制网络安全检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110262420A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187769A (zh) * | 2020-09-23 | 2021-01-05 | 中国核动力研究设计院 | 一种用于核电厂安全级dcs的权限管理系统 |
CN112817855A (zh) * | 2021-02-03 | 2021-05-18 | 鹏城实验室 | 系统的众测方法、设备及计算机存储介质 |
CN114553734A (zh) * | 2022-01-05 | 2022-05-27 | 重庆东电通信技术有限公司 | 开放式物联网终端测评系统 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1556611A (zh) * | 2003-12-30 | 2004-12-22 | 上海交通大学 | 基于安全应用服务器的网络信息安全综合管理方法 |
CN1852209A (zh) * | 2006-05-31 | 2006-10-25 | 北京和利时系统工程股份有限公司 | 一种分布式控制系统中的远程过程调用方法及系统 |
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN103227797A (zh) * | 2013-05-08 | 2013-07-31 | 上海电机学院 | 分布式电力企业信息网络安全管理系统 |
CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
CN105335273A (zh) * | 2015-09-25 | 2016-02-17 | 浪潮(北京)电子信息产业有限公司 | 一种面向私有云的云管理平台 |
CN106603659A (zh) * | 2016-12-13 | 2017-04-26 | 南京邮电大学 | 一种智能制造专网数据采集调度系统 |
CN206181087U (zh) * | 2016-08-30 | 2017-05-17 | 上海新华控制技术(集团)有限公司 | 一种面向工控系统的主动式漏洞检测系统 |
CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
WO2018004523A1 (en) * | 2016-06-28 | 2018-01-04 | Siemens Aktiengesellschaft | Plc virtual patching and automated distribution of security context |
CN108600260A (zh) * | 2018-05-09 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种工业物联网安全配置核查方法 |
CN108594769A (zh) * | 2018-03-08 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种工业控制系统核心网络安全防止外侵和安全评估装置 |
CN109459995A (zh) * | 2018-12-17 | 2019-03-12 | 国家计算机网络与信息安全管理中心 | 一种面向多种工业以太网协议的状态监测系统及监测方法 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109613899A (zh) * | 2018-12-21 | 2019-04-12 | 国家计算机网络与信息安全管理中心 | 一种基于配置表的工控系统安全风险评估的方法 |
-
2019
- 2019-06-18 CN CN201910525672.7A patent/CN110262420A/zh active Pending
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1556611A (zh) * | 2003-12-30 | 2004-12-22 | 上海交通大学 | 基于安全应用服务器的网络信息安全综合管理方法 |
CN1852209A (zh) * | 2006-05-31 | 2006-10-25 | 北京和利时系统工程股份有限公司 | 一种分布式控制系统中的远程过程调用方法及系统 |
CN102984170A (zh) * | 2012-12-11 | 2013-03-20 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
CN103227797A (zh) * | 2013-05-08 | 2013-07-31 | 上海电机学院 | 分布式电力企业信息网络安全管理系统 |
CN105119750A (zh) * | 2015-09-08 | 2015-12-02 | 南京联成科技发展有限公司 | 一种基于大数据的分布式信息安全运维管理平台 |
CN105335273A (zh) * | 2015-09-25 | 2016-02-17 | 浪潮(北京)电子信息产业有限公司 | 一种面向私有云的云管理平台 |
WO2018004523A1 (en) * | 2016-06-28 | 2018-01-04 | Siemens Aktiengesellschaft | Plc virtual patching and automated distribution of security context |
CN206181087U (zh) * | 2016-08-30 | 2017-05-17 | 上海新华控制技术(集团)有限公司 | 一种面向工控系统的主动式漏洞检测系统 |
CN106603659A (zh) * | 2016-12-13 | 2017-04-26 | 南京邮电大学 | 一种智能制造专网数据采集调度系统 |
CN107294979A (zh) * | 2017-06-29 | 2017-10-24 | 国家计算机网络与信息安全管理中心 | 基于配置核查的网络安全评估方法和装置 |
CN108594769A (zh) * | 2018-03-08 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种工业控制系统核心网络安全防止外侵和安全评估装置 |
CN108600260A (zh) * | 2018-05-09 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种工业物联网安全配置核查方法 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109459995A (zh) * | 2018-12-17 | 2019-03-12 | 国家计算机网络与信息安全管理中心 | 一种面向多种工业以太网协议的状态监测系统及监测方法 |
CN109613899A (zh) * | 2018-12-21 | 2019-04-12 | 国家计算机网络与信息安全管理中心 | 一种基于配置表的工控系统安全风险评估的方法 |
Non-Patent Citations (3)
Title |
---|
林瑜均等: "《城市轨道交通信号》", 31 July 2010 * |
贺清等: "《驼峰自动化系统技术原理及应用》", 28 February 2016 * |
郑文奇等: "工业控制系统信息安全评估和改造", 《自动化应用》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112187769A (zh) * | 2020-09-23 | 2021-01-05 | 中国核动力研究设计院 | 一种用于核电厂安全级dcs的权限管理系统 |
CN112187769B (zh) * | 2020-09-23 | 2022-06-24 | 中国核动力研究设计院 | 一种用于核电厂安全级dcs的权限管理系统 |
CN112817855A (zh) * | 2021-02-03 | 2021-05-18 | 鹏城实验室 | 系统的众测方法、设备及计算机存储介质 |
CN112817855B (zh) * | 2021-02-03 | 2024-03-08 | 鹏城实验室 | 系统的众测方法、设备及计算机存储介质 |
CN114553734A (zh) * | 2022-01-05 | 2022-05-27 | 重庆东电通信技术有限公司 | 开放式物联网终端测评系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Conti et al. | A survey on industrial control system testbeds and datasets for security research | |
US20210194932A1 (en) | Network asset characterization, classification, grouping and control | |
CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
Alcaraz et al. | Critical infrastructure protection: Requirements and challenges for the 21st century | |
RU2583703C2 (ru) | Обнаружение и анализ злоумышленной атаки | |
Suleiman et al. | Integrated smart grid systems security threat model | |
Fovino et al. | Modbus/DNP3 state-based intrusion detection system | |
Alcaraz et al. | Security aspects of SCADA and DCS environments | |
US20220300502A1 (en) | Centralized Knowledge Repository and Data Mining System | |
Jamai et al. | Security issues in Industry 4.0 | |
Flaus | Cybersecurity of industrial systems | |
CN110262420A (zh) | 一种分布式工业控制网络安全检测系统 | |
Fernandez et al. | Designing secure SCADA systems using security patterns | |
JP2021057893A (ja) | コンテキスト化されたプロセスプラント知識リポジトリを備えるエッジゲートウェイシステム | |
Stojanović et al. | SCADA systems in the cloud and fog environments: Migration scenarios and security issues | |
CN112738063A (zh) | 一种工业控制系统网络安全监测平台 | |
Annor-Asante et al. | Development of smart grid testbed with low-cost hardware and software for cybersecurity research and education | |
CN112540572A (zh) | 用于安全的、可展示过程工厂数据传送的边缘网关系统 | |
Wu et al. | Enterprise Digital Intelligent Remote Control System Based on Industrial Internet of Things | |
Singh et al. | Artificial intelligence and security of industrial control systems | |
Corradi et al. | SIRDAM4. 0: A support infrastructure for reliable data acquisition and management in industry 4.0 | |
Malathy et al. | Integrated architecture for IoTSG: internet of things (IoT) and smart grid (SG) | |
Menzel et al. | Securing SCADA networks for smart grids via a distributed evaluation of local sensor data | |
CN215071803U (zh) | 变电站在线监测系统 | |
CN114465800A (zh) | 烟草行业工控网络安全防护架构和网络安全防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190920 |
|
RJ01 | Rejection of invention patent application after publication |