CN112839031A - 一种工业控制网络安全防护系统及方法 - Google Patents
一种工业控制网络安全防护系统及方法 Download PDFInfo
- Publication number
- CN112839031A CN112839031A CN202011556815.XA CN202011556815A CN112839031A CN 112839031 A CN112839031 A CN 112839031A CN 202011556815 A CN202011556815 A CN 202011556815A CN 112839031 A CN112839031 A CN 112839031A
- Authority
- CN
- China
- Prior art keywords
- network
- module
- layer
- control
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 23
- 238000002955 isolation Methods 0.000 claims abstract description 28
- 241000700605 Viruses Species 0.000 claims abstract description 8
- 238000001514 detection method Methods 0.000 claims description 39
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 19
- 238000001914 filtration Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 4
- 230000004888 barrier function Effects 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000003745 diagnosis Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000009792 diffusion process Methods 0.000 abstract description 2
- 230000006872 improvement Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种工业控制网络安全防护系统,包括控制层、执行层及管理层,所述管理层与执行层相连,所示执行层与控制层相连,所述控制层内设置有多个自动化单元区域,并且多个区域之间采用防火墙相连,通过多个独立且不同的自动化单元区能够有效的对信息进行隔离,提前发现,防止问题的扩散,并且通过网络安全隔离模块,进一步的截获制层与执行层之间传输的数据报文,保证了报文的安全,将安全策略和接入控制相结合,能有效的控制网络接入设备及时将不符合安全策略的接入用户终端隔离到具有第三方网络服务的特殊网络隔离区域,从而使得整个网络始终运行在预设的安全策略之中,也就避免了诸如网络病毒等网络攻击的干扰。
Description
技术领域
本发明涉及工业控制系统网络安全技术领域,更具体的说是涉及一种工业控制网络安全防护方法和系统。
背景技术
工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。工业控制系统已经广泛遍布于工业、能源、交通、水利等领域,用于控制生产设备的运行。
随着信息化和工业化的融合,工业控制系统的安全问题也变得日益突出。一旦工业控制系统出现安全漏洞,则使得工业控制系统遭受病毒、木马等威胁攻击的可能性增大,进而使得工业生成控制过程面临安全性威胁。目前,工业控制系统中所采取的安全防护措施一般是在工业控制系统网络的企业管理层和外部网络之间部署防火墙。由于防护措施较少,一旦该企业管理层与外部网络之间的防火墙被攻击者攻破,则工业控制系统的内部网络便很容易被控制,从而使得工业控制系统中的生产资料等数据被窃取,或者现场设备被恶意操控,影响到正常的工业控制。
发明内容
(一)解决的技术问题
本发明公开了一种工业控制网络安全防护方法和系统,提高工业控制网络的安全性以及可靠性。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种工业控制网络安全防护系统,其特征在于:包括控制层、执行层及管理层,所述管理层与执行层相连,所示执行层与控制层相连,所述控制层内设置有多个自动化单元区域,并且多个区域之间采用防火墙相连,
所述控制层与执行层之间设置有网络安全隔离模块,所述工业控制网络内设置有控制所述子网络层间数据传输的网络安全隔离模块;
还包括信息采集模块,所述信息采集模块与防火墙相连,所述信息采集模块连接云服务器,所述云服务器连接维护人员的终端。
本发明改进有,所述控制层内还包括用户认证模块和隔离网络区域,所述隔离网络区域连接有第三方网络服务的服务器,用户认证模块连接外界终端;
所述控制层内还设置有信息认证终端机安全策略服务器,所述安全策略服务器内储存有白名单,所述信息认证终端与用户认证模块相连。
本发明改进有,所述控制层与执行层之间通过有线或无线网络连接。
本发明改进有,所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块,所述硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块相连。
本发明进一步提供一种工业控制网络安全防护方法,其特征在于,包括以下步骤:
步骤1、根据信息安全的技术要求,将系统进行分层处理,分为控制层、执行层及管理层,控制层内设置有多个自动化单元区域,并且在区域之间设置有防火墙,防火墙实现实现报文过滤以及访问控制,对工业通信协议进行检查分析,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断;所述检查分析的方式为综合使用状态检测和应用层协议检测,对报文进行多级过滤,形成全面的访问控制机制和自动化单元区域的保护屏障,杜绝非授权者使用;
步骤2、所述控制层与执行层之间设置有网络安全隔离模块,所述网络安全隔离模块截获制层与执行层之间传输的数据报文;所述网络安全隔离模块判断所述数据报文所请求的操作是否满足预设条件;当所述网络安全隔离模块判断出所述操作不满足预设条件时,阻断所述数据报文的传输;当所述网络安全隔离模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对执行层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文;
所述方法还包括:
通过信息采集模块采集所有防火墙上的信息数据,并传输至云服务器中,并对信息数据进行筛选与整理,并回馈其风险,并形成日志文件,日志文件及风险信息发送至维护人员的终端设备上。
本发明改进有,还包括用户接入步骤:
步骤1、维护人员的终端请求接入网络时先进行用户认证,用户认证通过则被隔离到隔离网络区域,未通过将被拒绝接入到隔离网络区域;所述隔离网络区域中还提供具有第三方网络服务的服务器,为接入所述隔离网络区域的用户终端提供第三方网络服务,所述第三方网络服务为病毒库升级或系统补丁升级服务;
步骤2、信息认证终端收集维护人员的终端上自身安全状态的安全信息上报给所述安全策略服务器,所述安全策略服务器对信息认证终端自身进行安全认证,以确定所述用户终端的安全状态是否合格;
步骤3、安全认证通过则所述安全策略服务器通知网络接入设备将所述用户终端接入到的所述隔离网络区域以外的网络区域。
本发明改进有,所述步骤3后还包括:
步骤4、用户终端发现不符合网络安全策略的事件时,向安全策略服务器发送通知请求处理;
步骤5、所述安全策略服务器通过网络接入设备将相应用户终端隔离,并通知所述用户终端进行升级或提示用户终端进行处理。
本发明改进有,所述控制层与执行层之间通过有线或无线网络连接。
本发明改进有,所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块,所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析,对接入设备的状态进行在线检测,并对接入设备中存储的所有数据进行检测;所述的漏洞扫描模块,用于对传输的数据以及控制程序代码进行漏洞扫描分析;所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测;所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接,所述的判断模块用于对接收的信号进行辨别分析。
(三)有益效果
与现有技术相比,本发明提供了一种工业控制网络安全防护方法和系统,具备以下有益效果:
通过多个独立且不同的自动化单元区能够有效的对信息进行隔离,提前发现,防止问题的扩散,并且通过网络安全隔离模块,进一步的截获制层与执行层之间传输的数据报文,保证了报文的安全,将安全策略和接入控制相结合,能有效的控制网络接入设备及时将不符合安全策略的接入用户终端隔离到具有第三方网络服务的特殊网络隔离区域,从而使得整个网络始终运行在预设的安全策略之中,也就避免了诸如网络病毒等网络攻击的干扰。
附图说明
图1为本发明图的系统示意图;
图2为本发明图的流程示意图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明提供一种工业控制网络安全防护系统,包括控制层、执行层及管理层,所述管理层与执行层相连,所示执行层与控制层相连,所述控制层内设置有多个自动化单元区域,并且多个区域之间采用防火墙相连,
所述控制层与执行层之间设置有网络安全隔离模块,所述工业控制网络内设置有控制所述子网络层间数据传输的网络安全隔离模块;
还包括信息采集模块,所述信息采集模块与防火墙相连,所述信息采集模块连接云服务器,所述云服务器连接维护人员的终端。
本实施例中,所述控制层内还包括用户认证模块和隔离网络区域,所述隔离网络区域连接有第三方网络服务的服务器,用户认证模块连接外界终端;
所述控制层内还设置有信息认证终端机安全策略服务器,所述安全策略服务器内储存有白名单,所述信息认证终端与用户认证模块相连。
本实施例中,所述控制层与执行层之间通过有线或无线网络连接。
本实施例中,所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块,所述硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块相连。
本发明进一步的提供一种工业控制网络安全防护方法,包括以下步骤:
步骤1、根据信息安全的技术要求,将系统进行分层处理,分为控制层、执行层及管理层,控制层内设置有多个自动化单元区域,并且在区域之间设置有防火墙,防火墙实现实现报文过滤以及访问控制,对工业通信协议进行检查分析,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断;所述检查分析的方式为综合使用状态检测和应用层协议检测,对报文进行多级过滤,形成全面的访问控制机制和自动化单元区域的保护屏障,杜绝非授权者使用;
通过多个独立且不同的自动化单元区能够有效的对信息进行隔离,提前发现,防止问题的扩散。
步骤2、所述控制层与执行层之间设置有网络安全隔离模块,所述网络安全隔离模块截获制层与执行层之间传输的数据报文;所述网络安全隔离模块判断所述数据报文所请求的操作是否满足预设条件;当所述网络安全隔离模块判断出所述操作不满足预设条件时,阻断所述数据报文的传输;当所述网络安全隔离模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对执行层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文,具体的:
当一个子网络层内的设备向另一子网络层的设备传输数据报文时,该安全防护模块则可以截获该数据报文,并通过后续的操作对该数据报文进行分析,以便当该数据报文能够威胁到工业控制网络安全的情况下,组织该数据报文的传输。
截获的数据报文所请求的操作是否满足预设条件可以根据不同子网络层的功能以及性质的不同,设置不同的条件。一般以该数据报文所请求的操作对该数据报文对应的目的子网络层不会造成破坏为准。
当该网络安全隔离模块判断出该数据报文所请求的操作不满足预设条件时,阻断该数据报文的传输。
当该网络安全隔离模块判断出该数据报文所请求的操作满足预设条件时,滤除该数据报文中存在安全隐患的数据,并将滤除后的数据报文向该数据报文对应的目的子网络层传输。
为了防止数据报文中携带威胁工业控制网络安全的数据,当该数据报文所请求的操作满足预设条件时,还需要滤除该数据报文中所携带的存在安全隐患的数据,然后将滤除后的数据报文向相应的目的子网络传输。
其中,滤除的存在安全隐患的数据可以包括滤除该数据报文中包含的恶意代码以及不满足预设的访问控制规则的数据报文。
其中,恶意代码可以包括病毒、木马、蠕虫中的一种或者几种。
该不满足预设的访问控制规则的数据报文至少可以包括:报文长度超过预设长度的数据报文,即能够引起缓冲区溢出的超长报文;以及能够引起DOS攻击,进而造成通讯链路阻断的报文。比如,常见的能够引起DOS攻击的报文,包括LAND攻击、TCPsynflood攻击、RST攻击等。
通过滤除数据报文中的恶意代码以及能够引起DOS攻击的报文,提高了传输至目的子网络层的数据的安全性,进而提高了工业控制网络的安全性。
所述方法还包括:
通过信息采集模块采集所有防火墙上的信息数据,并传输至云服务器中,并对信息数据进行筛选与整理,并回馈其风险,并形成日志文件,日志文件及风险信息发送至维护人员的终端设备上。
实现了工业控制网络安全数据从采集、存储到显示的全过程,根据有效的输入,可计算出系统的整体风险等级,减少了风险评估过程的大量的人工计算,提高了评估的效率,对风险评价过程中出现的各种不确定因素、指标进行分析;通过对工业控制网络安全进行风险评估,确定工业控制网络安全的风险级别,从而在工业控制网络安全的风险级别较高时,通过告警维护设备发出告警信息,进而根据告警信息和危险源的相关信息对工业控制网络安全进行对应维护,从而实现了工业控制网络的安全防护。
本实施例中,还包括用户接入步骤:
步骤1、维护人员的终端请求接入网络时先进行用户认证,用户认证通过则被隔离到隔离网络区域,未通过将被拒绝接入到隔离网络区域;所述隔离网络区域中还提供具有第三方网络服务的服务器,为接入所述隔离网络区域的用户终端提供第三方网络服务,所述第三方网络服务为病毒库升级或系统补丁升级服务;
步骤2、信息认证终端收集维护人员的终端上自身安全状态的安全信息上报给所述安全策略服务器,所述安全策略服务器对信息认证终端自身进行安全认证,以确定所述用户终端的安全状态是否合格;
步骤3、安全认证通过则所述安全策略服务器通知网络接入设备将所述用户终端接入到的所述隔离网络区域以外的网络区域。
本实施例中,所述步骤3后还包括:
步骤4、用户终端发现不符合网络安全策略的事件时,向安全策略服务器发送通知请求处理;
步骤5、所述安全策略服务器通过网络接入设备将相应用户终端隔离,并通知所述用户终端进行升级或提示用户终端进行处理。
用户终端的接入方式是多种多样的,这一般主要取决于网络的安全控制、用户终端以及网络接入设备的物理及逻辑属性。
用户终端接入网络时将首先需要进行用户认证,这将使得本发明网络中的安全策略实施、控制变得更加有效和完善。但在本发明中,必须说明的是,该用户认证是可选而不是必需的。
本实施例中,所述控制层与执行层之间通过有线或无线网络连接。
本实施例中,所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块,所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析,对接入设备的状态进行在线检测,并对接入设备中存储的所有数据进行检测;所述的漏洞扫描模块,用于对传输的数据以及控制程序代码进行漏洞扫描分析;所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测;所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接,所述的判断模块用于对接收的信号进行辨别分析。
将安全策略和接入控制相结合,能有效的控制网络接入设备及时将不符合安全策略的接入用户终端隔离到具有第三方网络服务的特殊网络隔离区域,从而使得整个网络始终运行在预设的安全策略之中,也就避免了诸如网络病毒等网络攻击的干扰。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种工业控制网络安全防护系统,其特征在于:包括控制层、执行层及管理层,所述管理层与执行层相连,所示执行层与控制层相连,所述控制层内设置有多个自动化单元区域,并且多个区域之间采用防火墙相连,
所述控制层与执行层之间设置有网络安全隔离模块,所述工业控制网络内设置有控制所述子网络层间数据传输的网络安全隔离模块;
还包括信息采集模块,所述信息采集模块与防火墙相连,所述信息采集模块连接云服务器,所述云服务器连接维护人员的终端。
2.根据权利要求1所述的工业控制网络安全防护系统,其特征在于,所述管理层内还包括用户认证模块和隔离网络区域,所述隔离网络区域连接有第三方网络服务的服务器,用户认证模块连接外界终端;
所述控制层内还设置有信息认证终端及安全策略服务器,所述安全策略服务器内储存有白名单,所述信息认证终端与用户认证模块相连。
3.根据权利要求2所述的工业控制网络安全防护系统,其特征在于,所述控制层与执行层之间通过有线或无线网络连接。
4.根据权利要求1所述的工业控制网络安全防护系统,其特征在于,所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块,所述硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块相连。
5.一种工业控制网络安全防护方法,其特征在于,包括以下步骤:
步骤1、根据信息安全的技术要求,将系统进行分层处理,分为控制层、执行层及管理层,控制层内设置有多个自动化单元区域,并且在区域之间设置有防火墙,防火墙实现实现报文过滤以及访问控制,对工业通信协议进行检查分析,实现对非法通信的实时报警、来源确认、历史记录,保证控制网络的实时诊断;所述检查分析的方式为综合使用状态检测和应用层协议检测,对报文进行多级过滤,形成全面的访问控制机制和自动化单元区域的保护屏障,杜绝非授权者使用;
步骤2、所述控制层与执行层之间设置有网络安全隔离模块,所述网络安全隔离模块截获制层与执行层之间传输的数据报文;所述网络安全隔离模块判断所述数据报文所请求的操作是否满足预设条件;当所述网络安全隔离模块判断出所述操作不满足预设条件时,阻断所述数据报文的传输;当所述网络安全隔离模块判断出所述操作满足所述预设条件时,滤除所述数据报文中存在安全隐患的数据,并将滤除后的数据报文向所述数据报文对执行层传输;
其中,所述数据报文中存在安全隐患的数据至少包括:恶意代码以及不满足预设的访问控制规则的数据报文,其中,所述不满足预设的访问控制规则的数据报文至少包括:能够引起DOS攻击的数据报文和报文长度超过预设长度的数据报文;
所述方法还包括:
通过信息采集模块采集所有防火墙上的信息数据,并传输至云服务器中,并对信息数据进行筛选与整理,并回馈其风险,并形成日志文件,日志文件及风险信息发送至维护人员的终端设备上。
6.根据权利权利要求5所述的工业控制网络安全防护方法,其特征在于,还包括用户接入步骤:
步骤1、维护人员的终端请求接入网络时先进行用户认证,用户认证通过则被隔离到隔离网络区域,未通过将被拒绝接入到隔离网络区域;所述隔离网络区域中还提供具有第三方网络服务的服务器,为接入所述隔离网络区域的用户终端提供第三方网络服务,所述第三方网络服务为病毒库升级或系统补丁升级服务;
步骤2、信息认证终端收集维护人员的终端上自身安全状态的安全信息上报给所述安全策略服务器,所述安全策略服务器对信息认证终端自身进行安全认证,以确定所述用户终端的安全状态是否合格;
步骤3、安全认证通过则所述安全策略服务器通知网络接入设备将所述用户终端接入到的所述隔离网络区域以外的网络区域。
7.根据权利要求6所述的工业控制网络安全防护方法,其特征在于,所述步骤3后还包括:
步骤4、用户终端发现不符合网络安全策略的事件时,向安全策略服务器发送通知请求处理;
步骤5、所述安全策略服务器通过网络接入设备将相应用户终端隔离,并通知所述用户终端进行升级或提示用户终端进行处理。
8.根据权利要求5所述的工业控制网络安全防护方法,其特征在于,所述控制层与执行层之间通过有线或无线网络连接。
9.根据权利要求5所述的工业控制网络安全防护方法,其特征在于,所述云服务器中设置有硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块,所述的入侵感知模块用于对接入系统上的所有设备进行在线安全分析,对接入设备的状态进行在线检测,并对接入设备中存储的所有数据进行检测;所述的漏洞扫描模块,用于对传输的数据以及控制程序代码进行漏洞扫描分析;所述的木马检测模块用于对传输的数据以及控制程序代码进行木马扫描检测;所述的硬件检测模块、入侵感知模块、漏洞扫描模块以及木马检测模块均与判断模块连接,所述的判断模块用于对接收的信号进行辨别分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011556815.XA CN112839031A (zh) | 2020-12-24 | 2020-12-24 | 一种工业控制网络安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011556815.XA CN112839031A (zh) | 2020-12-24 | 2020-12-24 | 一种工业控制网络安全防护系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112839031A true CN112839031A (zh) | 2021-05-25 |
Family
ID=75924490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011556815.XA Pending CN112839031A (zh) | 2020-12-24 | 2020-12-24 | 一种工业控制网络安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112839031A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746852A (zh) * | 2021-09-08 | 2021-12-03 | 滨州学院 | 一种电力监控系统的网络安全风险监控系统及方法 |
| CN116743500A (zh) * | 2023-08-10 | 2023-09-12 | 北京天融信网络安全技术有限公司 | 工业防火墙系统、报文处理方法和工控系统 |
| CN117240550A (zh) * | 2023-09-18 | 2023-12-15 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
| CN117240550B (zh) * | 2023-09-18 | 2024-06-04 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| US20160050225A1 (en) * | 2014-08-13 | 2016-02-18 | Honeywell International Inc. | Analyzing cyber-security risks in an industrial control environment |
| CN108931968A (zh) * | 2018-07-25 | 2018-12-04 | 安徽三实信息技术服务有限公司 | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN111131273A (zh) * | 2019-12-27 | 2020-05-08 | 杭州网搜科技有限公司 | 一种网络工程用互联网接入控制系统 |
-
2020
- 2020-12-24 CN CN202011556815.XA patent/CN112839031A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1885788A (zh) * | 2005-06-22 | 2006-12-27 | 杭州华为三康技术有限公司 | 网络安全防护方法及系统 |
| CN103036886A (zh) * | 2012-12-19 | 2013-04-10 | 珠海市鸿瑞软件技术有限公司 | 工业控制网络安全防护方法 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| US20160050225A1 (en) * | 2014-08-13 | 2016-02-18 | Honeywell International Inc. | Analyzing cyber-security risks in an industrial control environment |
| CN108931968A (zh) * | 2018-07-25 | 2018-12-04 | 安徽三实信息技术服务有限公司 | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN111131273A (zh) * | 2019-12-27 | 2020-05-08 | 杭州网搜科技有限公司 | 一种网络工程用互联网接入控制系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746852A (zh) * | 2021-09-08 | 2021-12-03 | 滨州学院 | 一种电力监控系统的网络安全风险监控系统及方法 |
| CN116743500A (zh) * | 2023-08-10 | 2023-09-12 | 北京天融信网络安全技术有限公司 | 工业防火墙系统、报文处理方法和工控系统 |
| CN117240550A (zh) * | 2023-09-18 | 2023-12-15 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
| CN117240550B (zh) * | 2023-09-18 | 2024-06-04 | 国网宁夏电力有限公司建设分公司 | 变电站生产控制ⅰ区和ⅱ区间的隔离控制方法和防火墙 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103491108B (zh) | 一种工业控制网络安全防护方法和系统 | |
| CN108931968B (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| US7228564B2 (en) | Method for configuring a network intrusion detection system | |
| KR100838799B1 (ko) | 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 | |
| CN111770108A (zh) | 基于人工智能的网络安全系统 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| CN112839031A (zh) | 一种工业控制网络安全防护系统及方法 | |
| KR102433928B1 (ko) | 자율 운항 선박의 사이버 보안 관리 시스템 | |
| CN116708210A (zh) | 一种运维处理方法和终端设备 | |
| CN116827675A (zh) | 一种网络信息安全分析系统 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
| CN106559399A (zh) | 一种互联网移动终端综合管控系统 | |
| CN111212035A (zh) | 一种主机失陷确认及自动修复方法及基于此的系统 | |
| CN113382076A (zh) | 物联网终端安全威胁分析方法及防护方法 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| Basholli et al. | Possibility of protection against unauthorized interference in telecommunication systems | |
| CN112671781A (zh) | 基于rasp的防火墙系统 | |
| CN110049015B (zh) | 网络安全态势感知系统 | |
| KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
| CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控系统 | |
| CN116781380A (zh) | 一种校园网安全风险终端拦截溯源系统 | |
| CN205510295U (zh) | 多区段视频监控管理系统 | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210525 |