CN215912109U - 实时检测网络数据流量及攻击的工控网架构 - Google Patents
实时检测网络数据流量及攻击的工控网架构 Download PDFInfo
- Publication number
- CN215912109U CN215912109U CN202121783391.0U CN202121783391U CN215912109U CN 215912109 U CN215912109 U CN 215912109U CN 202121783391 U CN202121783391 U CN 202121783391U CN 215912109 U CN215912109 U CN 215912109U
- Authority
- CN
- China
- Prior art keywords
- real
- database server
- industrial control
- network
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型涉及一种实时检测网络数据流量及攻击的工控网架构。目前工控网系统仅采用普通物理防火墙及物理隔离器,对数据访问做物理层面隔绝,未从网络软件层面加以监控,难以满足目前对网络安全性能的更高要求。一种实时检测网络数据流量及攻击的工控网架构,其组成包括:磁盘阵列(1)、第一实时数据库服务器(2)和第二实时数据库服务器(3),磁盘阵列分别与第一实时数据库服务器和第二实时数据库服务器连接,第一实时数据库服务器和第二实时数据库服务器分别与汇聚交换机(4)连接,汇聚交换机分别与第一日志审计装置(5)、第一入侵监测装置(6)连接和镜像隔离器(7)连接。本实用新型应用于工控网系统领域。
Description
技术领域
本实用新型涉及一种实时检测网络数据流量及攻击的工控网架构。
背景技术
目前工控网系统仅采用普通物理防火墙及物理隔离器,对数据访问做物理层面隔绝,未从网络软件层面加以监控,难以满足目前对网络安全性能的更高要求。而旧工控系统仅配置了网络隔离装置和传统防火墙,网络安全防护方式较单一,对网络攻击行为、恶意代码、病毒等防护能力不足,同时也缺少集中的日志审计分析平台,不利于网络安全行为和事件的综合分析研判。
现有的工控网络系统主要缺点:
(1)仅安装物理隔离器及防火墙,防护功能单一。
(2)无法对网络内部的数据流量动态进行有效监控。
(3)对存在的可疑网络入侵行为无法检测,无法追溯及查询历史记录。
(4)网络系统在物理安全、网络安全、主机安全、应用安全、数据安全、安全管理等方面防护能力均有限,存在不足及漏洞之处。
(5)一旦遭受恶意攻击或者高频访问,将难以进行有效的安全防护,极易影响到电厂各电力生产系统的正常运行。
发明内容
本实用新型的目的是提供一种实时检测网络数据流量及攻击的工控网架构。
上述的目的通过以下的技术方案实现:
一种实时检测网络数据流量及攻击的工控网架构,其组成包括:磁盘阵列、第一实时数据库服务器和第二实时数据库服务器,所述的磁盘阵列分别与所述的第一实时数据库服务器和所述的第二实时数据库服务器连接,所述的第一实时数据库服务器和所述的第二实时数据库服务器分别与汇聚交换机连接,所述的汇聚交换机分别与第一日志审计装置、第一入侵监测装置连接和镜像隔离器连接,所述的镜像隔离器与二级交换机连接,所述的二级交换机分别与第二日志审计装置和第二入侵检测装置连接。
所述的实时检测网络数据流量及攻击的工控网架构,所述的二级交换机分别与镜像数据库服务器和工程师监控主机连接。
所述的实时检测网络数据流量及攻击的工控网架构,所述的第一日志审计装置和所述的第一入侵检测装置设置在SIS系统中的安全二区。
所述的实时检测网络数据流量及攻击的工控网架构,所述的第二日志审计装置和所述的第二入侵检测装置设置在SIS系统中的安全三区。
本实用新型的有益效果:
1.本实用新型新增加入侵检测、实时监控、恶意访问环节,构建一套新的安全网络拓扑结构图,实现对局域网内部所有数据流量的实时监控、入侵行为实时检测提醒等,弥补了目前工控网缺乏实时响应行为的短板,极大的提升工控网的安全防护性能。
本实用新型通过在旧工控系统架构基础上新增部署防病毒、日志审计、入侵检测、下一代防火墙等设备,组建一套新的工控网络架构,进一步增强热控工控系统总体安全防护能力,解决原工控系统仅配置了网络隔离装置和传统防火墙,网络安全防护方式较单一,对网络攻击行为、恶意代码、病毒等防护能力不足等问题,同时新工控系统也增加集中的日志审计分析平台,有利于对网络安全行为和事件的综合分析研判及响应,目前潮州发电公司已完成改造,并投入使用,效果较好。
本实用新型依据《电力行业信息系统安全等级保护基本要求》(电监信息[2012]62号)、《电力监控系统安全防护规定》(发改委第14号令)和《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)等文件要求,此次改造贯彻落实了工控系统安全等级保护要求,进一步增强了工控系统网络安全防护能力。
本实用新型通过对工控网络系统安全防护改造,完善电厂电力监控系统安全技术防护的不足,针对当前网络架构中的物理安全、网络安全、主机安全、应用安全、数据安全、安全管理各个方面进行有效提升,提高抵御黑客及恶意代码以及对发电厂监控系统发起的恶意破坏和攻击能力的有效抵抗能力,满足国家和行业关于网络信息安全的制度和标准要求。
本实用新型具有以下优点:
(1)建立网络和主机运行资产在线监控措施,实现对系统资源和运行状态进行实时监控。
(2)提升网络和主机入侵防范能力,发现网络攻击行为能及时监测和告警。
(3)建立电厂系统恶意代码防护措施,避免主机系统感染病毒、木马;对网络和主机系统进行安全加固配置,提升自身抗攻击能力。
(4)建立集中统一的日志存储和安全审计措施,出现安全事件能实时记录和事件追溯。
(5)建立安全管理中心实现系统管理和审计管理,通过系统管理员和审计管理员对系统操作进行身份鉴别和运行配置、控制和管理,并进行操作过程审计和分析。
通过以上五点防护改造,对当前工控网络整体防护、检测能力不足进行一个有效提升。
附图说明:
附图1是本实用新型的结构示意图。
附图2是附图1改造前的网络拓扑示意图。
图中:1、磁盘阵列,2、第一实施数据库服务器,3、第二实时数据库服务器,4、汇聚交换机,5、第一日志审计装置,6、第一入侵监测装置,7、镜像隔离器,8、二级交换机,9、第二日志审计装置,10、第二入侵检测装置,11、镜像数据库服务器。12、工程师监控主机,13、安全二区,14、安全三区,15、接口机,16、防火墙服务器。
具体实施方式:
实施例1:
一种实时检测网络数据流量及攻击的工控网架构,其组成包括:磁盘阵列1、第一实时数据库服务器2和第二实时数据库服务器3,所述的磁盘阵列分别与所述的第一实时数据库服务器和所述的第二实时数据库服务器连接,所述的第一实时数据库服务器和所述的第二实时数据库服务器分别与汇聚交换机4连接,所述的汇聚交换机分别与第一日志审计装置5、第一入侵监测装置6连接和镜像隔离器7连接,所述的镜像隔离器与二级交换机8连接,所述的二级交换机分别与第二日志审计装置9和第二入侵检测装置10连接。
实施例2:
根据实施例1所述的实时检测网络数据流量及攻击的工控网架构,所述的二级交换机分别与镜像数据库服务器11和工程师监控主机12连接。
实施例3:
根据实施例1或2所述的实时检测网络数据流量及攻击的工控网架构,所述的第一日志审计装置和所述的第一入侵检测装置设置在SIS系统中的安全二区13。
实施例4:
根据实施例1或2或3所述的实时检测网络数据流量及攻击的工控网架构所述的第二日志审计装置和所述的第二入侵检测装置设置在SIS系统中的安全三区14。
实施例5:
(1)部署防病毒系统
在热控工控系统的安全II区和安全III区、辅控网系统各部署一套防病毒系统,用于提高病毒防范能力,在系统中部署防病毒服务器,并在系统服务器和主机系统上安装防病毒客户端,实现系统内部恶意代码统一监测、统一查杀、统一管理的功能。
防病毒系统具有本地查杀能力、断网查杀能力、主动防御及沙箱、宏病毒专杀能力、漏洞防护能力、补丁分发、压缩包查杀能力、实时防护、病毒检测中心建设能力。
(2)部署日志审计系统
在SIS系统的安全II区和安全III区各部署一套日志审计系统,在系统各服务器和主机设备、网络设备、安全设备上配置相应安全策略,通过日志审计系统将SIS和辅网系统内网络设备、安全设备、主机系统以及数据库系统的日志审计信息进行安全审计,并进行综合性分析,以实现帮助安全管理人员定期进行系统运行安全分析、审计核查,确保安全设备起到应有的安全防护功能。
日志审计系统:内置不同分析场景;对选中的日志进行一键告警或者加入观察;自定义事件查询策略;对选中的日志提供多种分析工具;统计分析模式下支持统计信息可视化展示;根据统计结果钻取日志。
日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志(包括运行、告警、操作、消息、状态等)并进行存储、监控、审计、分析、报警、响应和报告的系统。
(3)部署入侵检测系统
在SIS系统的安全II区和安全III区各部署一套入侵检测系统,针对网络数据报文进行检测和分析,及时发现系统遭受的网络入侵行为并进行告警。
入侵检测装置具有以下功能:攻击检测基础能力;设备具有抗逃避检测机制,针对攻击进行有效防范,并具体说明;能够对攻击行为进行检测;系统首页提供最近24小时内网络发生的展示界面;系统提供对事件的二次检测能力;提供网关IP-MAC地址绑定的功能识别攻击;系统提供自定义弱口令规则的能力。
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
(4)部署下一代防火墙
在SIS系统与MIS系统的边界部署下一代防火墙,实现边界访问控制、入侵防御、病毒防护的功能。
下一代防火墙支持流量统计、会话统计、策略预编译技术和访问控制策略日志;支持基于线路和多层通道嵌套的带宽管理和流量控制功能;支持基于接口的上下行带宽管理;支持通道优先级设置;支持基于接口/安全域、地址、用户、服务、应用和时间的会话控制策略;支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能;支持过滤病毒库数量不少于1000万,且整机处理性能衰减不超过30%。
Claims (4)
1.一种实时检测网络数据流量及攻击的工控网架构,其组成包括:磁盘阵列、第一实时数据库服务器和第二实时数据库服务器,其特征是:所述的磁盘阵列分别与所述的第一实时数据库服务器和所述的第二实时数据库服务器连接,所述的第一实时数据库服务器和所述的第二实时数据库服务器分别与汇聚交换机连接,所述的汇聚交换机分别与第一日志审计装置、第一入侵监测装置连接和镜像隔离器连接,所述的镜像隔离器与二级交换机连接,所述的二级交换机分别与第二日志审计装置和第二入侵检测装置连接。
2.根据权利要求1所述的实时检测网络数据流量及攻击的工控网架构,其特征是:所述的二级交换机分别与镜像数据库服务器和工程师监控主机连接。
3.根据权利要求1所述的实时检测网络数据流量及攻击的工控网架构,其特征是:所述的第一日志审计装置和所述的第一入侵检测装置设置在SIS系统中的安全二区。
4.根据权利要求1所述的实时检测网络数据流量及攻击的工控网架构,其特征是:所述的第二日志审计装置和所述的第二入侵检测装置设置在SIS系统中的安全三区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202121783391.0U CN215912109U (zh) | 2021-08-02 | 2021-08-02 | 实时检测网络数据流量及攻击的工控网架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202121783391.0U CN215912109U (zh) | 2021-08-02 | 2021-08-02 | 实时检测网络数据流量及攻击的工控网架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN215912109U true CN215912109U (zh) | 2022-02-25 |
Family
ID=80290448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202121783391.0U Active CN215912109U (zh) | 2021-08-02 | 2021-08-02 | 实时检测网络数据流量及攻击的工控网架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN215912109U (zh) |
-
2021
- 2021-08-02 CN CN202121783391.0U patent/CN215912109U/zh active Active
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7281270B2 (en) | Attack impact prediction system | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| CN110636086B (zh) | 网络防护测试方法及装置 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| White et al. | Cooperating security managers: Distributed intrusion detection systems | |
| CN116319061A (zh) | 一种智能控制网络系统 | |
| Rekik et al. | A cyber-physical threat analysis for microgrids | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| CN112738077A (zh) | 一种工控网络安全检测系统 | |
| CN215912109U (zh) | 实时检测网络数据流量及攻击的工控网架构 | |
| CN111885020A (zh) | 一种分布式架构的网络攻击行为实时捕获与监控系统 | |
| Kato et al. | A real-time intrusion detection system (IDS) for large scale networks and its evaluations | |
| Hwang et al. | NetShield: Protocol anomaly detection with datamining against DDoS attacks | |
| KR102444922B1 (ko) | 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치 | |
| Ye et al. | Research on network security protection strategy | |
| Mudgal et al. | Spark-Based Network Security Honeypot System: Detailed Performance Analysis | |
| Byres et al. | Worlds in collision-ethernet and the factory floor | |
| Rizvi et al. | A review on intrusion detection system | |
| Maulana et al. | Analysis of the Demilitarized Zone Implementation in Java Madura Bali Electrical Systems to Increase the Level of IT/OT Cyber Security With the Dual DMZ Firewall Architecture Method | |
| CN115021953B (zh) | 一种网络安全监控装置 | |
| CN115174218B (zh) | 一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法 | |
| Marković-Petrović | Methodology for Cyber Security Risk Mitigation in Next Generation SCADA Systems | |
| TWI835113B (zh) | 依記錄分析結果執行任務以實現設備聯防之系統及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |