CN117240599B - 安全防护方法、装置、设备、网络及存储介质 - Google Patents

安全防护方法、装置、设备、网络及存储介质 Download PDF

Info

Publication number
CN117240599B
CN117240599B CN202311468309.9A CN202311468309A CN117240599B CN 117240599 B CN117240599 B CN 117240599B CN 202311468309 A CN202311468309 A CN 202311468309A CN 117240599 B CN117240599 B CN 117240599B
Authority
CN
China
Prior art keywords
protocol
network
data
protocol data
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311468309.9A
Other languages
English (en)
Other versions
CN117240599A (zh
Inventor
张格�
孙军
于盟
张勇
程曦
贾晨宇
贾梦迪
孙胤雯
李正文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Industrial Control Systems Cyber Emergency Response Team
Original Assignee
China Industrial Control Systems Cyber Emergency Response Team
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Industrial Control Systems Cyber Emergency Response Team filed Critical China Industrial Control Systems Cyber Emergency Response Team
Priority to CN202311468309.9A priority Critical patent/CN117240599B/zh
Publication of CN117240599A publication Critical patent/CN117240599A/zh
Application granted granted Critical
Publication of CN117240599B publication Critical patent/CN117240599B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种安全防护方法、装置、设备、网络及存储介质,可应用于工业控制网络,属于数据传输技术领域。该方法包括:接收从第一网络层级传入的第一协议数据;在预设的协议配置表中,查找第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据对应的传输协议;若查找到第一协议数据对应的传输协议,则基于该查找到的传输协议,将第一协议数据编码为第二协议数据;筛选第二协议数据;基于传输协议,将筛选后的第二协议数据转发至第二网络层级。本申请实施例中,相邻的两个网络层级之间的数据传输需要经过传输协议验证和筛选两重安全验证。两重安全验证可以降低数据传输安全隐患,提高工业控制网络内的数据传输安全性。

Description

安全防护方法、装置、设备、网络及存储介质
技术领域
本申请属于数据传输技术领域,尤其涉及一种安全防护方法、装置、设备、网络及存储介质。
背景技术
在智能制造的趋势下,利用计算机自动化采集及展示现场数据在工业控制行业中越来越受欢迎。通过集成化智能I/O(input/output,输入输出端口)单元进行数据采样,产生的实时数据可以被操作站监控和调配。同时还能向工厂管理者提供数据对比,方便其决策分析。这种模式便于集中处理分散的现场数据,但依赖于稳定的工业控制网络。
随着科学技术水平的不断提高,工业控制网络逐渐从原始的封闭独立发展到积极开放,从单机发展到联网,从自动化发展到智能化。工业控制网络有着实时通信与高可用性的特点,结构纵向高度集成,能够很好地适配其专用的场景和领域。但是,工业控制网络内的数据传输存在较大的安全隐患。例如,随着以太网技术的发展,早期串行链路的现场总线协议大都出现了基于以太网的演化版本。然而在更多设备联网的同时,工业控制网络内还停留在仅有物理隔离的状态。这导致了攻击者能有效地对工业控制网络及相关设备进行攻击。
发明内容
有鉴于此,本申请实施例提供了安全防护方法、装置、设备、网络及存储介质,可以提高工业控制网络内的数据传输安全性。
本申请实施例的第一方面提供了安全防护方法,应用于工业控制网络,工业控制网络包含多个网络层级,安全防护方法包括:
接收从第一网络层级传入的第一协议数据。
在预设的协议配置表中,查找第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据对应的传输协议。
若查找到第一协议数据对应的传输协议,则基于该查找到的传输协议,将第一协议数据编码为第二协议数据。
筛选第二协议数据。
基于传输协议,将筛选后的第二协议数据转发至第二网络层级,第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
在第一方面的第一种可能的实现方式中,筛选第二协议数据,包括:
分析第二协议数据的数据来源风险、数据访问风险和数据写入风险中的至少一种数据风险。
基于分析的结果,筛选第二协议数据。
在第一方面的第二种可能的实现方式中,筛选第二协议数据,包括:
若第一网络层级是第二网络层级的下游网络层级,且检测到第二协议数据中存在控制指令,则中断第二协议数据的传输。
在第一方面的第三种可能的实现方式中,第一网络层级为生产管理层,第二网络层级为过程监控层。或者,第一网络层级为过程监控层,第二网络层级为现场控制层。
传输协议为私有协议。
在第一方面的第四种可能的实现方式中,将筛选后的第二协议数据转发至第二网络层级,包括:
在筛选后的第二协议数据的数据包头中添加安全验证标识。
将添加有安全验证标识的第二协议数据转发至第二网络层级。安全验证标识用于第二网络层级在第二协议数据中未识别出安全验证标识时,中断第二协议数据的传输。
本申请实施例的第二方面提供了安全防护方法,应用于工业控制网络,工业控制网络包含多个网络层级,安全防护方法包括:
接收从第一网络层级传入的第一协议数据。
筛选第一协议数据。
在预设的协议配置表中,查找筛选后的第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据对应的传输协议。
若查找到筛选后的第一协议数据对应的传输协议,则基于该查找到的传输协议,将筛选后的第一协议数据编码为第二协议数据。
基于传输协议,将第二协议数据转发至第二网络层级,第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
本申请实施例的第三方面提供了安全防护装置,应用于工业控制网络,工业控制网络包含多个网络层级,安全防护装置包括:
接收模块,用于接收从第一网络层级传入的第一协议数据。
查找模块,用于在预设的协议配置表中,查找第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据对应的传输协议。
编码模块,用于若查找到第一协议数据对应的传输协议,则基于该查找到的传输协议,将第一协议数据编码为第二协议数据。
筛选模块,用于筛选第二协议数据。
转发模块,用于基于传输协议,将筛选后的第二协议数据转发至第二网络层级,第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
本申请实施例的第四方面提供了安全防护设备,安全防护设备包括存储器、处理器,存储器上存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述第一方面所述安全防护方法的步骤,或者实现上述第二方面所述安全防护方法的步骤。
本申请实施例的第五方面提供了工业控制网络,工业控制网络包含多个网络层级,且相邻的网络层级之间均设置有上述第四方面所述的安全防护设备。
在第五方面的第一种可能的实现方式中,工业控制网络还连接有外网,外网和工业控制网络之间也设置有上述第四方面所述的安全防护设备。
本申请实施例的第六方面提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述第一方面所述安全防护方法的步骤,或者实现上述第二方面所述安全防护方法的步骤。
本申请实施例的第七方面提供了一种计算机程序产品,当计算机程序产品在安全防护设备上运行时,使得安全防护设备执行上述第一方面所述安全防护方法的步骤,或者执行上述第二方面所述安全防护方法的步骤。
可以理解的是,上述第二方面至第七方面的有益效果可以参见对上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:
由第一网络层级传入的第一协议数据,需要先经过协议配置表的传输协议验证,再经过筛选之后,才能被转发至第二网络层级。传输协议验证和筛选可以组成双重安全验证。该双重安全验证可以降低相邻的两个网络层级之间的数据传输安全隐患。因此,本申请实施例可以提高工业控制网络内的数据传输安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的安全防护方法的流程示意图;
图2是本申请一实施例提供的安全防护方法的流程示意图;
图3是本申请一实施例提供的工业控制网络的结构示意图;
图4是本申请一实施例提供的安全防护方法的流程示意图;
图5是本申请一实施例提供的安全防护方法的流程示意图;
图6是本申请一实施例提供的安全防护方法的流程示意图;
图7是本申请一实施例提供的安全防护方法的流程示意图;
图8是本申请一实施例提供的安全防护装置的结构示意图;
图9是本申请一实施例提供的安全防护装置的结构示意图;
图10是本申请一实施例提供的安全防护设备的结构示意图;
图11是本申请一实施例提供的工业控制网络的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
工业控制网络是一种服务于工业领域的专用网络系统。工业控制网络可以通过集成化智能I/O单元进行数据采样,产生的实时数据可以被操作站监控和调配,同时还能向工厂管理者提供数据对比。
因此,根据功能的不同,工业控制网络可以划分为:产生现场数据的现场控制层,监控现场控制层的过程监控层、集中管理现场数据的生产管理层和汇聚所有数据的企业资源层等多个网络层级。其中,现场数据一般是与生产相关的现场数据。作为示例而非限定,现场数据可以包括:现场设备的运行状态、运行数据。例如,现场设备可以是制冷机、电机、风机、供水管路等。
由于每个网络层级负责的功能不同,因此不同网络层级所采用的通信协议也可以不同。例如,企业资源层与生产管理层之间可以采用TCP/IP协议进行数据传输。生产管理层与过程监控层之间可以采用EPA(Ethernet for Plant Automation)或Powerlink协议进行数据传输。过程监控层与现场控制层之间可以采用Canbus(ControLLer Area Net-workBus)、Modbus或者Profibus协议进行数据传输。
虽然工业控制网络被划分为多个不同的网络层级,但是也仅是物理层面的隔离,即硬件设备上的隔离。而网络层级之间的数据传输无需进行安全验证即可自由传输。这导致攻击者能够利用此缺陷侵入网络层级,并以此攻击相邻的网络层级,从而破坏整个的工业控制网络。
有鉴于此,本申请实施例提供了一种安全防护方法,可应用于上述工业控制网络中。在网络层级之间需要进行数据传输时,该安全防护方法可以对传输数据进行安全验证。
只有通过安全验证的数据,才可以顺利地在网络层级之间进行传输。该安全验证可以包括对传输数据的数据内容验证和传输协议验证。经过这两方面的安全验证,可以降低工业控制网络内的数据传输安全隐患,提高网络层级之间的数据传输安全性。
为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
图1示出了本申请一实施例提供的安全防护方法的流程示意图,该安全防护方法应用于工业控制网络,工业控制网络包含多个网络层级,详述如下:
S101、接收从第一网络层级传入的第一协议数据。
由于网络层级之间需要传输数据,因此对于其中的一个网络层级来讲,需要接收另一个网络层级传输过来的数据,也即是接收第一网络层级传入的数据。其中,第一协议数据中的第一协议表示的是数据传入时的传输协议。
S102、在预设的协议配置表中,查找第一协议数据对应的传输协议。协议配置表包含至少一种协议数据对应的传输协议。
在协议配置表中,包含至少一种协议数据对应的传输协议。每一种协议数据均对应有传输协议。设置协议配置表的一个作用在于,对第一协议数据进行传输协议方面的安全验证。
因此,查找的过程是:首先在协议配置表中,查找该第一协议数据是否属于上述的至少一种协议数据。如果是,则再找到与之对应的传输协议。如果否,则找不到对应的传输协议,需要中断第一协议数据的传输。
在协议配置表中,可以预先设定规则,哪些协议数据属于上述的至少一种协议数据。本申请实施例对具体的规则不作限定。作为示例而非限定:可以将TCP/IP协议数据归属于上述的至少一种协议数据。当第一协议数据为TCP/IP协议数据时,可以找到对应的传输协议。对应的传输协议可以设置为Modbus协议。
应理解,该协议配置表中对应的传输协议可以根据实际需要进行设置,本申请实施例不作具体限定。
S103、若查找到第一协议数据对应的传输协议,则基于查找到的传输协议,将第一协议数据编码为第二协议数据。也即编码后的第一协议数据的传输协议变为第二协议。
换言之,在步骤S103中,在找到第一协议数据对应的传输协议后,需要将第一协议数据编码为第二协议数据,再继续进行网络层级之间的数据传输。如果没有找到第一协议数据对应的传输协议,则中断第一协议数据的继续传输。
因此,通过步骤S102和S103,可以对网络层级之间的数据传输进行传输协议方面的安全验证。一方面,该安全验证可以过滤掉不匹配协议配置表的第一协议数据,提高数据传输的安全性。另一方面,无需在网络层级内设置协议转换功能,即可将第一协议数据编码为第二协议数据,这与不同网络层级具有不同通信协议的特点相适应,从而可以简化网络层级的结构。
S104、筛选第二协议数据。
需要说明的是,技术人员可以根据实际需要,设置相应的安全策略,筛选第二协议数据。与步骤S102和S103相比,步骤S104的安全策略是对传输数据的数据内容方面的验证,而前者是对数据的传输协议方面的验证。因此,将步骤S102、S103和S104结合,可以构成对第一协议数据的双重安全验证,从而提高工业控制网络内的数据传输安全性。
作为示例而非限定,筛选可以包括如下两方面的内容:允许符合安全策略的第二协议数据的继续传输,以及中断不符合安全策略的第二协议数据的传输。
作为示例而非限定,安全策略可以包括:判断第二协议数据的内容中,数据来源、数据访问以及数据写入等是否存在风险。
例如,第二协议数据的内容可以包含数据来源信息,例如物理地址、IP(InternetProtocol,网际互连协议)地址。如果该数据来源信息不符合预设的安全策略,例如不在安全策略的白名单中,则表示第二协议数据的来源存在风险。
又例如,第二协议数据的内容可以包含数据访问信息,例如访问网络层级中设备存储的哪些数据。如果该数据访问不符合预设的安全策略,例如访问的数据为敏感数据,或者第二协议数据的请求方不具备访问权限,则表示第二协议数据的数据访问存在风险。
再例如,第二协议数据的内容可以包含数据写入信息,例如将数据写入网络层级中的设备。如果写入的数据不符合预设的安全策略,例如写入的数据为攻击内容,或者第二协议数据的请求方不具备写入权限,则表示第二协议数据的数据写入存在风险。
因此,当第二协议数据存在数据来源风险、数据访问风险或者数据写入风险时,则中断第二协议数据的传输。
基于上述描述,作为本实施例的一种可选实施方式,步骤S104可以包括如图2所示实施例中的如下步骤:
S201、分析第二协议数据的数据来源风险、数据访问风险和数据写入风险中的至少一种数据风险。
S202、基于分析的结果,筛选第二协议数据。
因此,通过步骤S104,或者通过步骤S201和S202,可以对网络层级之间的数据传输进行数据内容方面的安全验证。该安全验证可以过滤掉不符合安全策略的第二协议数据,而只允许符合安全策略的第二协议数据继续传输,从而降低工业控制网络内的数据传输安全隐患,提高数据传输的安全性。
基于步骤S201和S202的描述,并结合网络层级所处层级的传输数据特点,可以对不同的网络层级采用不同的安全策略,以节省通信资源。
例如,在如图3所示实施例中,工业控制网络可以包含四个网络层级,分别为:企业资源层、生产管理层、过程监控层和现场控制层。
作为一种可能的实施方式,第一网络层级为企业资源层,第二网络层级为生产管理层。由于该方向的数据传输风险主要表现为数据来源风险和数据访问风险。因此,在这种情况下,可以基于第二协议数据的数据来源风险和/或数据访问风险,筛选第二协议数据。
作为一种可能的实施方式,第一网络层级为生产管理层,第二网络层级为过程监控层。由于该方向的数据传输风险主要表现为数据来源风险。因此,在这种情况下,可以基于第二协议数据的数据来源风险,筛选第二协议数据。
作为一种可能的实施方式,第一网络层级为过程监控层,第二网络层级为现场控制层。由于该方向的数据传输风险主要表现为数据访问风险和数据写入风险。因此,在这种情况下,可以基于第二协议数据的数据访问风险和数据写入风险,筛选第二协议数据。
S105、基于传输协议,将筛选后的第二协议数据转发至第二网络层级。第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
在本申请实施例中,先接收来自第一网络层级的第一协议数据,然后依次经过传输协议和数据内容两方面的安全验证,再将第二协议数据转发至第二网络层级,可以实现第一网络层级和第二网络层级之间的安全通信。本申请实施例提供的安全防护方法,可以降低工业控制网络内的数据传输安全隐患,提高数据传输安全性。
在本申请的另一实施例中,步骤S105可以包括如图4所示实施例中的步骤S401和S402,详述如下:
S401、在筛选后的第二协议数据的数据包头中添加安全验证标识。
S402、将添加有安全验证标识的第二协议数据转发至第二网络层级。安全验证标识用于第二网络层级在第二协议数据中未识别出安全验证标识时,中断第二协议数据的传输。
该安全验证标识表示筛选后的第二协议数据经历过了上述步骤S102、S103和S104的安全验证。并且,该安全验证标识能够被第二网络层级识别。
因此,结合图1或者图2所示实施例,第一网络层级发出的第一协议数据,先是经过了步骤S102和S103的传输协议方面的安全验证,并编码为第二协议数据。然后,第二协议数据经过了步骤S104的数据内容方面的安全验证,或者经过了步骤S201和S202的数据内容方面的安全验证。最后,在转发筛选后的第二协议数据时,在第二协议数据的数据包头中添加安全验证标识。当第二网络层级收到筛选后的第二协议数据时,可以通过是否识别到安全验证标识,判断其对应的数据包是否安全,即是否经过了安全验证,从而决定是否要中断该第二协议数据的传输过程。
应理解,步骤S102、S103和S104是对传输过程中的数据进行安全验证,而步骤S401和S402是对第二网络层级接收到的数据进行安全验证。因此,通过步骤S401和S402,可以在上述双重验证的基础上,再增加一重验证,以防止第二网络层级的设备遭到破坏,提高工业控制网络内的数据传输安全。
作为本实施例的一种可选实施方式,步骤402可以包括:
基于筛选后的第二协议数据的数据包头中的目的物理地址,采用单播、多播或者广播该目的物理地址的方式,将添加有安全验证标识的第二协议数据转发至与第一网络层级相邻的第二网络层级。
单播目的物理地址时,表示进行端对端的传输,第二网络层级中只有一个网络设备的物理地址能够对应进行识别接收数据。
多播目的物理地址时,表示筛选后的第二协议数据需要转发给多个目的物理地址,因此需要分别转发。
广播目的物理地址时,表示筛选后的第二协议数据将直接进行转发,第二网络层级中的任一网络设备的物理地址都能对应进行识别接收数据。
在一些实施例,现场控制层可以包括现场设备和控制器。例如,现场设备可以包括制冷机、压缩机、压力传感器、电磁阀、流量仪表、电表和电子开关等器件。控制器可以包括DDC(Direct Digital Control,直接数字控制)控制器和PLC(Programmable LogicController,可编程逻辑控制器)控制器,用于监控现场设备。过程监控层可以包括工作站,工作站设置有组态软件。工作站通过组态软件,可以实时监控现场设备的状态和数据,并通过控制器控制现场设备。生产管理层可以包括生产资料管理工作站、生产调度管理工作站等汇聚生产信息的工作站。企业资源层可以包括生产客户端、财务客户端、行政客户端等汇聚整个企业信息的客户端。
分析上述各个网络层级中的设备特点之后,发现工业控制网络中的过程监控层和现场控制层涉及到了控制现场设备,而现场设备的运行安全尤为重要。
因此,在本申请的另一实施例中,当第一网络层级为生产资料层,第二网络层级为过程监控层时;或者,当第一网络层级为过程监控层,第二网络层级为现场控制层时,步骤S103中的将第一协议数据编码为第二协议数据,可以包括如下步骤:
将第一协议数据编码为传输协议为私有协议的第二协议数据。也即是,在步骤S102中,第一协议数据对应的传输协议为私有协议。
需要说明的是,基于协议是否开源,可以将传输协议分为公有协议和私有协议。公有协议是开源协议,可以是指协议格式公开的协议,例如Modbus协议,TCP/IP协议。与之相对的,私有协议不是开源协议,其协议格式不公开或者不完全公开。
基于上述描述,可以获得如图5所示实施例的方法流程图。图5所示实施例不仅可以通过上述双重验证提高数据传输安全性,而且采用了私有协议对第二协议数据进行了加密,可以防止数据被篡改和截取。
在分析工业控制网络的特点时发现,当过程监控层向现场控制层传输数据时,涉及到了控制现场控制层的设备动作。当现场控制层向过程监控层传输数据时,仅涉及设备的数据反馈,并不涉及控制过程监控层的设备动作。因此,现场控制层作为过程监控层的下游网络层级,其向过程监控层传输的数据不应存在控制指令。
基于上述分析,步骤S104可以包括如图6所示实施例中的如下步骤:
S601、若第一网络层级是第二网络层级的下游网络层级,且检测到第二协议数据中存在控制指令,则中断第二协议数据的传输。
本实施例中,当执行了步骤S601的中断流程,则后续的数据传输流程不再执行,例如不执行步骤S105的转发流程。
因此,当检测到第二协议数据中存在控制指令时,表示可能存在安全隐患,需要中断第二协议数据的传输,以降低工业控制网络内的数据传输安全隐患。
在本申请的另一实施例,提供了一种安全防护方法,应用于工业控制网络,工业控制网络包含多个网络层级。该安全防护方法的流程示意图如图7所示,包括:
S701、接收从第一网络层级传入的第一协议数据。
S702、筛选第一协议数据。
S703、在预设的协议配置表中,查找筛选后的第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据对应的传输协议。
S704、若查找到筛选后的第一协议数据对应的传输协议,则基于该查找到的传输协议,将筛选后的第一协议数据编码为第二协议数据。
S705、基于传输协议,将第二协议数据转发至第二网络层级,第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
与图1所示实施例的步骤S101至S105相比,本申请的实施例的区别在于:先经过预设的安全策略,从数据内容方面筛选第一协议数据,后经过传输协议方面的验证。
由于只是步骤的执行顺序发生了变化,而如何设置安全策略及协议配置表与图1所示实施例相同,因此此处不再赘述步骤S701至S705的具体内容。
在本实施例中,第一网络层级发出的第一协议数据,需要先经过安全策略的数据内容验证,再经过协议配置表的传输协议验证。因此,第一协议数据在经过上述双重验证后,才能将验证后的第二协议数据转发给第二网络层级。该双重验证可以降低工业控制网络内的数据传输安全隐患,提高数据传输安全性。
需要说明的是,在上述实施例中,网络层级之间的数据传输还可能存在双向传输的情况。因此,作为示例而非限定,在如图3所示的工业控制网络中,当数据传输的方向为从上至下传输时(即从上游网络层级向下游网络层级传输,例如从企业资源层传输至生产管理层),则应用如图1所示实施例的方法流程进行安全防护。当数据传输的方向为从下至上传输时(即从下游网络层级向上游网络层级传输,例如从现场控制层至过程监控层),则应用如图7所示实施例的方法流程进行安全防护。该设置的一个目的在于,从上至下传输时,先经过传输协议方面的安全验证;而从下至上传输时,先经过数据内容方面的安全验证。该设置的作用可以节省通信资源。
应当理解地,在无逻辑冲突的前提下,上述各个申请实施例之间可以相互组合实施,以适应实际的应用需求。这些组合后得到的具体实施例或实施方案,仍属于本申请的保护范围内。
对应于上述图1所示实施例所述的安全防护方法,图8示出了本申请一实施例提供的安全防护装置的结构示意图,为了便于说明,仅示出了与本申请实施例相关的部分。
请参阅图8所示,该安全防护装置应用于工业控制网络,工业控制网络包含多个网络层级。安全防护装置包括:
第一接收模块81,用于接收从第一网络层级传入的第一协议数据。
第一查找模块82,用于在预设的协议配置表中,查找第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据的传输协议。
第一编码模块83,用于若查找到第一协议数据对应的传输协议,则基于该查找到的传输协议,将第一协议数据编码为第二协议数据。
第一筛选模块84,用于筛选第二协议数据。
第一转发模块85,用于基于传输协议,将筛选后的第二协议数据转发至第二网络层级。第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
在一些实施例中,第一筛选模块84包括:
第一分析单元,用于分析第二协议数据的数据来源风险、数据访问风险和数据写入风险中的至少一种数据风险。
第一筛选单元,用于基于分析的结果,筛选第二协议数据。
在一些实施例中,第一筛选模块84包括:
第一中断单元,用于若第一网络层级是第二网络层级的下游网络层级,且检测到第二协议数据中存在控制指令,则中断第二协议数据的传输。
在一些实施例中,工业控制网络包含生产管理层、过程监控层和现场控制层。第一网络层级为生产资料层,第二网络层级为过程监控层;或者,第一网络层级为过程监控层,第二网络层级为现场控制层。第一编码模块83包括:
第一编码单元,用于将第一协议数据编码为传输协议为私有协议的第二协议数据。
在一些实施例中,第一转发模块85包括:
第一添加单元,用于在筛选后的第二协议数据的数据包头中添加安全验证标识。
第一转发单元,用于将添加有安全验证标识的第二协议数据转发至第二网络层级。安全验证标识用于第二网络层级在第二协议数据中未识别出安全验证标识时,中断第二协议数据的传输。
本申请实施例提供的安全防护装置中各模块实现各自功能的过程,具体可参考前述图1所示实施例以及其他相关方法实施例的描述,此处不再赘述。
对应于上述图7所示实施例所述的安全防护方法,图9示出了本申请一实施例提供的安全防护装置的结构示意图,为了便于说明,仅示出了与本申请实施例相关的部分。
请参阅图9所示,该安全防护装置包括:
第二接收模块91,用于接收从第一网络层级传入的第一协议数据。
第二筛选模块92,用于筛选第一协议数据。
第二查找模块93,用于在预设的协议配置表中,查找筛选后的第一协议数据对应的传输协议,协议配置表中包含至少一种协议数据的传输协议。
第二编码模块94,用于若查找到第一协议数据对应的传输协议,则基于该查找到的传输协议,将筛选后的第一协议数据编码为第二协议数据。
第二转发模块95,用于基于传输协议,将第二协议数据转发至第二网络层级,第一网络层级和第二网络层级是多个网络层级中相邻的两个网络层级。
在一些实施例中,第二筛选模块92包括:
第二分析单元,用于分析第一协议数据的数据来源风险、数据访问风险和数据写入风险中的至少一种数据风险。
第二筛选单元,用于基于分析的结果,筛选第一协议数据。
在一些实施例中,第二筛选模块92包括:
第二中断单元,用于若第一网络层级是第二网络层级的下游网络层级,且检测到第二协议数据中存在控制指令,则中断第二协议数据的传输。
在一些实施例中,工业控制网络包含生产管理层、过程监控层和现场控制层。第一网络层级为生产资料层,第二网络层级为过程监控层;或者,第一网络层级为过程监控层,第二网络层级为现场控制层。第二编码模块94包括:
第二编码单元,用于将筛选后的第一协议数据编码为传输协议为私有协议的第二协议数据。
在一些实施例中,第二转发模块95包括:
第二添加单元,用于在第二协议数据的数据包头中添加安全验证标识。
第二转发单元,用于将添加有安全验证标识的第二协议数据转发至第二网络层级。安全验证标识用于第二网络层级在第二协议数据中未识别出安全验证标识时,中断第二协议数据的传输。
本申请实施例提供的安全防护装置中各模块实现各自功能的过程,具体可参考前述图7所示实施例以及其他相关方法实施例的描述,此处不再赘述。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”、“包含”等指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。还应理解的是,虽然术语“第一”、“第二”等在一些本申请实施例中用来描述各种元素,但是这些元素不应该受到这些术语的限制。这些术语只是用来将一个元素与另一元素区分开。例如,第一表格可以被命名为第二表格,并且类似地,第二表格可以被命名为第一表格,而不背离各种所描述的实施例的范围。第一表格和第二表格都是表格,但是它们不是同一表格。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
图10是本申请一实施例提供的安全防护设备的结构示意图。如图10所示,该实施例的安全防护设备10包括:至少一个处理器100(图10中仅示出一个)、存储器101,存储器101中存储有可在处理器100上运行的计算机程序102。处理器100执行计算机程序102时实现上述安全防护方法实施例中的步骤,例如图1所示实施例的步骤S101至S105;或者图7所示实施例的步骤S701至S705。或者,处理器100执行计算机程序102时实现上述各装置实施例中各模块/单元的功能,例如图8所示模块81至模块85的功能;或者图9所示模块91至模块95的功能。
安全防护设备10可包括但不仅限于:处理器100、存储器101。本领域技术人员可以理解,图10仅仅是安全防护设备10的示例,并不构成对安全防护设备10的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如安全防护设备10还可以包括输入发送设备、网络接入设备、总线等。
处理器100可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器101在一些实施例中可以是安全防护设备10的内部存储单元,例如安全防护设备10的硬盘或内存。存储器101也可以是安全防护设备10的外部存储设备,例如安全防护设备10上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。存储器101还可以既包括安全防护设备10的内部存储单元,也包括外部存储设备。存储器101用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如计算机程序102的程序代码等。存储器101还可以用于暂时地存储已经发送或者将要发送的数据。
图11是本申请一实施例提供的工业控制网络的结构示意图。工业控制网络11还可以连接外网12。需要说明的是,外网12是相对于工业控制网络11而言,其具体网络结构和网络类型可以根据实际需要选择,本申请实施例不作具体限定。作为示例而非限定,外网12可以是互联网或其他的工业控制网络。工业控制网络11包含多个网络层级,例如包含第一网络层级111、第二网络层级112和第三网络层级113。相邻的网络层级之间均设置图10所示实施例提供的安全防护设备10。工业控制网络11和外网12之间设置图10所示实施例提供的安全防护设备10。
本实施例实施例中,由于设置了安全防护设备10,因此不管是工业控制网络11和外网12之间的数据传输,还是工业控制网络11的内部各个网络层级之间的数据传输,均需要经过数据内容方面和传输协议方面的双重安全验证。该双重安全验证可以降低工业控制网络11和外网12之间的数据传输隐患,以及降低工业控制网络11内的数据传输安全隐患,从而提高数据传输安全性。
另外,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
本申请实施例还提供了一种安全防护设备,所述安全防护设备包括至少一个存储器、至少一个处理器以及存储在所述至少一个存储器中并可在所述至少一个处理器上运行的计算机程序,所述处理器执行所述计算机程序时,使所述安全防护设备实现上述各个方法实施例中的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在安全防护设备上运行时,使得安全防护设备执行时可实现上述各个方法实施例中的步骤。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一个计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读存储介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电载波信号、电信信号以及软件分发介质等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使对应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.安全防护方法,其特征在于,应用于工业控制网络,所述工业控制网络包含多个网络层级,所述安全防护方法包括:
接收从第一网络层级传入的第一协议数据;
在预设的协议配置表中,查找所述第一协议数据对应的传输协议,所述协议配置表中包含至少一种协议数据对应的传输协议,包括:查找第一协议数据是否属于协议配置表中的至少一种传输协议对应的协议数据;所述协议配置表用于对第一协议数据进行传输协议方面的安全验证;
若查找到所述第一协议数据对应的传输协议,则基于该查找到的传输协议,将所述第一协议数据编码为第二协议数据;
筛选所述第二协议数据;
基于所述传输协议,将所述筛选后的所述第二协议数据转发至第二网络层级,所述第一网络层级和所述第二网络层级是所述多个网络层级中相邻的两个网络层级;
若所述第一协议数据不属于协议配置表中的至少一种传输协议对应的协议数据,则中断第一协议数据的传输。
2.根据权利要求1所述的安全防护方法,其特征在于,所述筛选所述第二协议数据,包括:
分析所述第二协议数据的数据来源风险、数据访问风险和数据写入风险中的至少一种数据风险;
基于所述分析的结果,筛选所述第二协议数据。
3.根据权利要求1所述的安全防护方法,其特征在于,所述筛选所述第二协议数据,包括:
若所述第一网络层级是所述第二网络层级的下游网络层级,且检测到所述第二协议数据中存在控制指令,则中断所述第二协议数据的传输。
4.根据权利要求1所述的安全防护方法,其特征在于,所述第一网络层级为生产管理层,所述第二网络层级为过程监控层;或者,所述第一网络层级为过程监控层,所述第二网络层级为现场控制层;
所述传输协议为私有协议。
5.根据权利要求1所述的安全防护方法,其特征在于,所述将所述筛选后的所述第二协议数据转发至第二网络层级,包括:
在所述筛选后的所述第二协议数据的数据包头中添加安全验证标识;
将添加有所述安全验证标识的所述第二协议数据转发至所述第二网络层级;所述安全验证标识用于所述第二网络层级在所述第二协议数据中未识别出所述安全验证标识时,中断所述第二协议数据的传输。
6.安全防护方法,其特征在于,应用于工业控制网络,所述工业控制网络包含多个网络层级,所述安全防护方法包括:
接收从第一网络层级传入的第一协议数据;
筛选所述第一协议数据;
在预设的协议配置表中,查找所述筛选后的所述第一协议数据对应的传输协议,所述协议配置表中包含至少一种协议数据对应的传输协议,包括:查找第一协议数据是否属于协议配置表中的至少一种传输协议对应的协议数据;所述协议配置表用于对第一协议数据进行传输协议方面的安全验证;
若查找到所述筛选后的所述第一协议数据对应的传输协议,则基于该查找到的传输协议,将所述筛选后的所述第一协议数据编码为第二协议数据;
基于所述传输协议,将所述第二协议数据转发至第二网络层级,所述第一网络层级和所述第二网络层级是所述多个网络层级中相邻的两个网络层级;
若所述第一协议数据不属于协议配置表中的至少一种传输协议对应的协议数据,则中断第一协议数据的传输。
7.安全防护装置,其特征在于,应用于工业控制网络,所述工业控制网络包含多个网络层级,所述安全防护装置包括:
接收模块,用于接收从第一网络层级传入的第一协议数据;
查找模块,用于在预设的协议配置表中,查找所述第一协议数据对应的传输协议,所述协议配置表中包含至少一种协议数据对应的传输协议,包括:查找第一协议数据是否属于协议配置表中的至少一种传输协议对应的协议数据;所述协议配置表用于对第一协议数据进行传输协议方面的安全验证;
编码模块,用于若查找到所述第一协议数据对应的传输协议,则基于该查找到的传输协议,将所述第一协议数据编码为第二协议数据;
筛选模块,用于筛选所述第二协议数据;
转发模块,用于基于所述传输协议,将所述筛选后的所述第二协议数据转发至第二网络层级,所述第一网络层级和所述第二网络层级是所述多个网络层级中相邻的两个网络层级;
若所述第一协议数据不属于协议配置表中的至少一种传输协议对应的协议数据,则中断第一协议数据的传输。
8.安全防护设备,其特征在于,所述安全防护设备包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述方法的步骤,或者实现权利要求6所述方法的步骤。
9.工业控制网络,其特征在于,所述工业控制网络包含多个网络层级,且相邻的网络层级之间均设置有权利要求8所述的安全防护设备。
10.计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述方法的步骤,或者实现权利要求6所述方法的步骤。
CN202311468309.9A 2023-11-07 2023-11-07 安全防护方法、装置、设备、网络及存储介质 Active CN117240599B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311468309.9A CN117240599B (zh) 2023-11-07 2023-11-07 安全防护方法、装置、设备、网络及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311468309.9A CN117240599B (zh) 2023-11-07 2023-11-07 安全防护方法、装置、设备、网络及存储介质

Publications (2)

Publication Number Publication Date
CN117240599A CN117240599A (zh) 2023-12-15
CN117240599B true CN117240599B (zh) 2024-02-20

Family

ID=89091516

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311468309.9A Active CN117240599B (zh) 2023-11-07 2023-11-07 安全防护方法、装置、设备、网络及存储介质

Country Status (1)

Country Link
CN (1) CN117240599B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491108A (zh) * 2013-10-15 2014-01-01 浙江中控研究院有限公司 一种工业控制网络安全防护方法和系统
CN107249086A (zh) * 2017-06-20 2017-10-13 京信通信系统(中国)有限公司 一种专用无线网络通信方法和装置
CN112532612A (zh) * 2020-11-25 2021-03-19 中国大唐集团科学技术研究院有限公司 一种工业控制网络安全防护系统
CN113119124A (zh) * 2021-04-13 2021-07-16 北京航空航天大学 一种机器人控制系统的安全防护系统
CN113194027A (zh) * 2021-05-21 2021-07-30 上海振华重工(集团)股份有限公司 面向自动化码头工业互联网的安全通信网关系统
WO2021244449A1 (zh) * 2020-05-30 2021-12-09 华为技术有限公司 一种数据处理方法及装置
CN114826754A (zh) * 2022-05-06 2022-07-29 中国光大银行股份有限公司 一种不同网络间的通信方法及系统、存储介质、电子装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9215227B2 (en) * 2013-08-23 2015-12-15 Unisys Corporation Systems and methods for network communications
US10637841B2 (en) * 2015-12-08 2020-04-28 Honeywell International Inc. Apparatus and method for using a security appliance with IEC 61131-3

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491108A (zh) * 2013-10-15 2014-01-01 浙江中控研究院有限公司 一种工业控制网络安全防护方法和系统
CN107249086A (zh) * 2017-06-20 2017-10-13 京信通信系统(中国)有限公司 一种专用无线网络通信方法和装置
WO2021244449A1 (zh) * 2020-05-30 2021-12-09 华为技术有限公司 一种数据处理方法及装置
CN112532612A (zh) * 2020-11-25 2021-03-19 中国大唐集团科学技术研究院有限公司 一种工业控制网络安全防护系统
CN113119124A (zh) * 2021-04-13 2021-07-16 北京航空航天大学 一种机器人控制系统的安全防护系统
CN113194027A (zh) * 2021-05-21 2021-07-30 上海振华重工(集团)股份有限公司 面向自动化码头工业互联网的安全通信网关系统
CN114826754A (zh) * 2022-05-06 2022-07-29 中国光大银行股份有限公司 一种不同网络间的通信方法及系统、存储介质、电子装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Modbus/TCP多层访问控制过滤技术;蒋臣;王华忠;凌志浩;路伟;;自动化仪表(第07期) *
蒋臣 ; 王华忠 ; 凌志浩 ; 路伟 ; .Modbus/TCP多层访问控制过滤技术.自动化仪表.2016,(第07期), *

Also Published As

Publication number Publication date
CN117240599A (zh) 2023-12-15

Similar Documents

Publication Publication Date Title
JP6749106B2 (ja) 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法
US20190260781A1 (en) A cyber security appliance for an operational technology network
Robles-Durazno et al. PLC memory attack detection and response in a clean water supply system
US11223643B2 (en) Managing a segmentation policy based on attack pattern detection
CN111869189A (zh) 网络探针和处理消息的方法
Alcaraz Secure interconnection of IT-OT networks in industry 4.0
Cruz et al. Improving cyber-security awareness on industrial control systems: The cockpitci approach
Corbò et al. Smart behavioural filter for industrial internet of things: A security extension for plc
Ovaz Akpinar et al. Development of the ECAT preprocessor with the trust communication approach
Alsmadi et al. Vulnerability assessment of industrial systems using Shodan
CN102217248B (zh) 分布式分组流检查和处理
CN117240599B (zh) 安全防护方法、装置、设备、网络及存储介质
Cao et al. A security‐driven network architecture for routing in industrial Internet of Things
Ning et al. Understanding the security of traffic signal infrastructure
EP3759557B1 (en) Automation component configuration
Holik et al. Industrial network protection by SDN-based IPS with AI
CN115834218A (zh) 一种调度数据网多级阻断的安全防护方法及系统
KR102295348B1 (ko) 운영 기술 데이터의 보안 위협 분석 및 탐지 방법
WO2017052589A1 (en) Pre-processing of data packets with network switch application-specific integrated circuit
Maloney et al. Cyber-physical system security automation through blockchain remediation and execution (SABRE)
CN114397854A (zh) 一种适用于地下综合管廊的总线式主控系统
Garcia et al. An approach of load balancers for low-cost cppss in software-defined networking architecture
Li et al. Research on dos attack detection method of modbus tcp in openplc
CN113645241A (zh) 一种工控专有协议的入侵检测方法、装置及设备
Lan et al. Future network architectures and core technologies

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant