CN112532612A - 一种工业控制网络安全防护系统 - Google Patents
一种工业控制网络安全防护系统 Download PDFInfo
- Publication number
- CN112532612A CN112532612A CN202011336502.3A CN202011336502A CN112532612A CN 112532612 A CN112532612 A CN 112532612A CN 202011336502 A CN202011336502 A CN 202011336502A CN 112532612 A CN112532612 A CN 112532612A
- Authority
- CN
- China
- Prior art keywords
- layer
- production execution
- enterprise management
- data
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004519 manufacturing process Methods 0.000 claims abstract description 29
- 238000001914 filtration Methods 0.000 claims abstract description 25
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 238000004891 communication Methods 0.000 claims abstract description 15
- 238000007726 management method Methods 0.000 claims description 30
- 238000001514 detection method Methods 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 230000006399 behavior Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 claims 1
- 238000012550 audit Methods 0.000 claims 1
- 230000002452 interceptive effect Effects 0.000 abstract description 2
- 230000006872 improvement Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 241000219122 Cucurbita Species 0.000 description 1
- 235000009852 Cucurbita pepo Nutrition 0.000 description 1
- 238000010924 continuous production Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开一种工业控制网络安全防护系统,所述系统包括:生产执行层、安全防护层和企业管理层;所述生产执行层,所述生产执行层用于数据采集和传输;所述安全防护层,用于对传输的信息进行报文过滤和访问控制;所述企业管理层,用于对生产执行层采集的信息进行集中控制,所述的安全防护层用于生产执行层和企业管理层之间,对传输的信息进行报文过滤和访问控制,对通信协议进行检查分析,对非法身份的访问进行过滤控制,对非法数据进行及时预警,保证交互数据的合法性。
Description
技术领域
本发明涉及一种工业控制网络安全防护系统
背景技术
工业控制系统负责对生产装置的连续控制,具有不可间断的高可靠性要求和不可延迟的高实时性要求。目前,工业控制系统中的计算机以及通讯设备多使用IT系统的反病毒技术和网络安全技术来防护。但是,许多在线查杀、云查杀技术会影响系统的稳定性,杀毒程序升级和软件补丁可能导致系统重启,不适用于连续生产过程。
工业领域的通讯包含了IP网络、公共有线或无线网络、无线传感网络、电力载波网络、现场总线等多种形式,外部入侵的途径有多种可能性。网关位置的安全防护是信息安全的基础,但传统的防火墙仅能解决非授权访问的问题,无法提供更深层的安全防护。作为对防火墙的补充,防毒墙、网络入侵防御(NIPS)、VPN等安全设备纷纷出现在网关的位置。这种“糖葫芦串”式安全部署所带来的问题,除了投资成本、管理成本的迅速增加,能耗也呈指数性地上升。
在工业领域,安全隔离网闸应具有高度安全性,但是目前网闸都是采用基于硬件开关控制,受限于现有技术条件;大部分采用了基于工控机的硬件架构,安全性差,可靠性差,功耗高(均在200瓦以上),噪音大,启动速度极慢(2分钟以上);并且一般都是针对特定应用的,不能方便同时支持多种应用,部分不支持工业通信标准,如Profibus、CAN等。
基于此,本发明提供一种工业控制网络安全防护系统。
发明内容
本发明的目的是提供一种遇紧急情况可及时采取策略进行系统防护且可进行实时处理的系统。
为实现上述目的,本发明提供一种工业控制网络安全防护系统,所述系统包括:生产执行层、安全防护层和企业管理层;
所述生产执行层,所述生产执行层用于数据采集和传输;
所述安全防护层,用于对传输的信息进行报文过滤和访问控制;
所述企业管理层,用于对生产执行层采集的信息进行集中控制。
作为发明的进一步改进,所述安全防护层用于对通信协议进行检查分析以及对非法身份的访问进行过滤控制。
作为发明的进一步改进,所述生产执行层、安全防护层、企业管理层之间均采用防火墙进行区域隔离。
作为发明的进一步改进,所述生产执行层基于国密算法对传输数据信息进行加密和解密处理之后,传输至企业管理层。
作为发明的进一步改进,所述的安全防护层包括依次连接的访问控制模块、入侵检测模块、数据通信模块、告警及异常处置模块以及配置管理模块。
作为发明的进一步改进,所述访问控制模块对于所有主机的访问行为均采用安全访问控制策略进行深层过滤,所述过滤包括用户权限访问控制、源IP/目标IP地址过滤、端口过滤;
所述数据通信模块,用于采用国密算法提供数据传输的安全服务机制,在生产执行层和企业管理层进行密钥生成、数据加密或解密以及身份认证,安全防护层进行过程加密和响应处理;
所述入侵检测模块,用于采用基于神经网络的入侵检测算法对生产执行层和企业管理层之间的传输的数据进行主动检测过滤;
所述配置管理模块用于对防火墙和网络安全装置进行配置和管理。
有益效果
采用本发明提供的系统将所述工业控制系统进行分层处理,分为生产执行层、安全防护层和企业管理层三个安全工作层次,对所述工业控制系统的数据传输进行安全防护措施,所述的安全防护层用于生产执行层和企业管理层之间,对传输的信息进行报文过滤和访问控制,对通信协议进行检查分析,对非法身份的访问进行过滤控制,对非法数据进行及时预警,保证交互数据的合法性。
附图说明
图1是本发明一种工业控制网络安全防护系统的架构图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
如图1,本发明提供一种工业控制网络安全防护系统,包括生产执行层、安全防护层和企业管理层;
所述生产执行层,所述生产执行层用于数据采集和传输,将在线采集的工业信息经过安全防护层与所述企业管理层之间进行数据交换,所述数据的采集通过多个数据采集终端1、数据采集终端2等N个数据采集终端进行数据采集,并通过数据传输服务器将数据传输至安全防护层;
所述安全防护层,用于对传输的信息进行报文过滤和访问控制;
所述的安全防护层包括依次连接的访问控制模块、入侵检测模块、数据通信模块、告警及异常处置模块以及配置管理模块。
所述访问控制模块对于所有主机的访问行为均采用安全访问控制策略进行深层过滤,所述过滤包括用户权限访问控制、源IP/目标IP地址过滤、端口过滤;
所述数据通信模块,用于采用国密算法提供数据传输的安全服务机制,在生产执行层和企业管理层进行密钥生成、数据加密或解密以及身份认证,安全防护层进行过程加密和响应处理;
所述入侵检测模块,用于采用基于神经网络的入侵检测算法对生产执行层和企业管理层之间的传输的数据进行主动检测过滤,如若发现异常或非法入侵,生成报警信息,交由告警及异常处置模块,通知生产执行层和企业管理层采取相应的策略进行处理;
所述配置管理模块用于对防火墙和网络安全装置进行配置和管理,以及系统配置、数据更新、日志管理。
本发明中所述数据的传输均通过数据通信模块进行传输。
所述企业管理层,用于对生产执行层采集的信息进行集中控制,包括上位机和存储系统。
所述安全防护层用于对通信协议进行检查分析以及对非法身份的访问进行过滤控制。
所述生产执行层、安全防护层、企业管理层之间均采用防火墙进行区域隔离。
所述生产执行层基于国密算法对传输数据信息进行加密和解密处理之后,传输至企业管理层。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种工业控制网络安全防护系统,其特征在于,所述系统包括:生产执行层、安全防护层和企业管理层;
所述生产执行层,所述生产执行层用于数据采集和传输;
所述安全防护层,用于对传输的信息进行报文过滤和访问控制;
所述企业管理层,用于对生产执行层采集的信息进行集中控制。
2.根据权利要求1所述的系统,其特征在于,所述安全防护层用于对通信协议进行检查分析以及对非法身份的访问进行过滤控制。
3.根据权利要求2所述的系统,其特征在于,所述生产执行层、安全防护层、企业管理层之间均采用防火墙进行区域隔离。
4.根据权利要求3所述的系统,其特征在于,所述生产执行层基于国密算法对传输数据信息进行加密和解密处理之后,传输至企业管理层。
5.根据权利要求4所述的系统,其特征在于,所述的安全防护层包括依次连接的访问控制模块、入侵检测模块、数据通信模块、告警及异常处置模块以及配置管理模块。
6.根据权利要求5所述的系统,其特征在于,所述访问控制模块对于所有主机的访问行为均采用安全访问控制策略进行深层过滤,所述过滤包括用户权限访问控制、源IP/目标IP地址过滤、端口过滤;
所述数据通信模块,用于采用国密算法提供数据传输的安全服务机制,在生产执行层和企业管理层进行密钥生成、数据加密或解密以及身份认证,安全防护层进行过程加密和响应处理;
所述入侵检测模块,用于采用基于神经网络的入侵检测算法对生产执行层和企业管理层之间的传输的数据进行主动检测过滤;
所述配置管理模块用于对防火墙和网络安全装置进行配置和管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011336502.3A CN112532612A (zh) | 2020-11-25 | 2020-11-25 | 一种工业控制网络安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011336502.3A CN112532612A (zh) | 2020-11-25 | 2020-11-25 | 一种工业控制网络安全防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112532612A true CN112532612A (zh) | 2021-03-19 |
Family
ID=74993275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011336502.3A Pending CN112532612A (zh) | 2020-11-25 | 2020-11-25 | 一种工业控制网络安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112532612A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023123530A1 (zh) * | 2021-12-31 | 2023-07-06 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
| CN117240599A (zh) * | 2023-11-07 | 2023-12-15 | 国家工业信息安全发展研究中心 | 安全防护方法、装置、设备、网络及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN205584238U (zh) * | 2015-12-30 | 2016-09-14 | 北京华大智宝电子系统有限公司 | 一种网络数据加密器 |
| CN106209916A (zh) * | 2016-08-31 | 2016-12-07 | 南京普瑶电子科技有限公司 | 工业自动化生产业务数据传输加解密方法及系统 |
| CN108931968A (zh) * | 2018-07-25 | 2018-12-04 | 安徽三实信息技术服务有限公司 | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 |
| CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
-
2020
- 2020-11-25 CN CN202011336502.3A patent/CN112532612A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN205584238U (zh) * | 2015-12-30 | 2016-09-14 | 北京华大智宝电子系统有限公司 | 一种网络数据加密器 |
| CN106209916A (zh) * | 2016-08-31 | 2016-12-07 | 南京普瑶电子科技有限公司 | 工业自动化生产业务数据传输加解密方法及系统 |
| CN108931968A (zh) * | 2018-07-25 | 2018-12-04 | 安徽三实信息技术服务有限公司 | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 |
| CN110691064A (zh) * | 2018-09-27 | 2020-01-14 | 国家电网有限公司 | 一种现场作业终端安全接入防护和检测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 许光泞: "工业控制系统安全防护体系研究", 《石油化工自动化》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023123530A1 (zh) * | 2021-12-31 | 2023-07-06 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
| CN117240599A (zh) * | 2023-11-07 | 2023-12-15 | 国家工业信息安全发展研究中心 | 安全防护方法、装置、设备、网络及存储介质 |
| CN117240599B (zh) * | 2023-11-07 | 2024-02-20 | 国家工业信息安全发展研究中心 | 安全防护方法、装置、设备、网络及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| HaddadPajouh et al. | A survey on internet of things security: Requirements, challenges, and solutions | |
| Panchal et al. | Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures | |
| Alves et al. | Embedding encryption and machine learning intrusion prevention systems on programmable logic controllers | |
| US8990923B1 (en) | Protection against unauthorized access to automated system for control of technological processes | |
| Gao et al. | SCADA communication and security issues | |
| CN109739203B (zh) | 一种工业网络边界防护系统 | |
| CN104580233B (zh) | 一种物联网智能家居安全网关系统 | |
| CN103490895B (zh) | 一种应用国密算法的工业控制身份认证方法及装置 | |
| Moustafa | A systemic IoT–fog–cloud architecture for big-data analytics and cyber security systems: A review of fog computing | |
| CN109995796B (zh) | 工控系统终端安全防护方法 | |
| Sandaruwan et al. | PLC security and critical infrastructure protection | |
| CN110958262A (zh) | 电力行业泛在物联网安全防护网关系统、方法及部署架构 | |
| CN109976239B (zh) | 工控系统终端安全防护系统 | |
| Portugal et al. | The role of security in human-robot shared environments: A case study in ROS-based surveillance robots | |
| CN104683332A (zh) | 一种工业控制网络中的安全隔离网关及其安全隔离方法 | |
| CN204392296U (zh) | 一种工业控制网络中的安全隔离网关 | |
| WO2023123530A1 (zh) | 一种基于可信计算的工控防御方法与系统 | |
| CN112532612A (zh) | 一种工业控制网络安全防护系统 | |
| Jingran et al. | Research and implementation of secure industrial communication protocols | |
| Dondossola et al. | Effects of intentional threats to power substation control systems | |
| AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
| US20190102533A1 (en) | Peripheral Cyber-Security Device | |
| Katulić et al. | Protecting Modbus/TCP-Based Industrial Automation and Control Systems Using Message Authentication Codes | |
| Xue et al. | TJIDS: an intrusion detection architecture for distributed network | |
| Rahmanović et al. | Application and Development of Embedded Systems with IoT Components: Aspect of Safety and Reliability. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210319 |