本發(fā)明涉及工業(yè)控制安全領域技術領域，特別涉及一種應用于工業(yè)控制系統(tǒng)中的安全防護方法和系統(tǒng)。

背景技術：

隨著標準網絡和互聯(lián)網技術在工業(yè)控制系統(tǒng)的廣泛應用，工業(yè)控制系統(tǒng)的安全威脅正日益加劇，已經證實了惡意軟件在工業(yè)控制設備之間傳播的可能性。目前現(xiàn)有的安全防護技術局限于對特定控制設備的防護，對于大型的工業(yè)控制網絡來說對于每個控制子網的安全防護是獨立進行，各自為政。鑒于防護手段缺乏聯(lián)動機制的現(xiàn)狀，本發(fā)明提出了一個基于個別非法入侵檢測的信息實現(xiàn)全網智能聯(lián)動阻斷與被入侵現(xiàn)場控制子網之間通信的方法以期防范個別控制子網感染惡意軟件在整個工業(yè)控制系統(tǒng)的蔓延的問題。

技術實現(xiàn)要素：

為此，本發(fā)明提供了一種應用于工業(yè)控制系統(tǒng)中的安全防護方法和系統(tǒng)，用于解決在控制系統(tǒng)中的控制器在外界干擾或自身出現(xiàn)問題時發(fā)送不符合正常操作流程的操作指令，導致下位機或現(xiàn)場設備功能喪失所造成的危險問題等問題。

為達到上述目的，本發(fā)明的技術方案是這樣實現(xiàn)的：

一種應用于工業(yè)控制系統(tǒng)中的安全防護系統(tǒng)，應用于工業(yè)控制系統(tǒng)中的安全防護系統(tǒng)包括：監(jiān)督管理網絡100和現(xiàn)場控制網絡200，

監(jiān)督管理網絡100包括：人機界面102、工程師工作站104、監(jiān)控臺106，人機界面102、工程師工作站104和監(jiān)控臺106同時與交換機110相連接；

現(xiàn)場控制網絡200包括：下位機302、安全防護設備304和現(xiàn)場設備402，

下位機302同時與交換機110、安全防護設備304、現(xiàn)場設備402相連接，安全防護設備304還與交換機110相連接。

安全防護設備304包括：處理器640、告警處理模塊606、用戶界面模塊608和存儲模塊610，

處理器604與告警處理模塊606相連接，告警處理模塊606與用戶界面模塊608和存儲模塊610相連接，進一步的用戶界面模塊608還與存儲模塊610相連接。

監(jiān)控臺106包括：網絡接口702、處理器704、訪問控制模塊706、狀態(tài)檢測模塊708、數(shù)據(jù)包檢測模塊710、阻斷模塊712、存儲模塊714和監(jiān)控臺接口模塊716，

網絡接口702與處理器704相連接，處理器704同時與訪問控制模塊706、狀態(tài)檢測模塊708、數(shù)據(jù)包檢測模塊710、阻斷模塊712、存儲模塊714和監(jiān)控臺接口模塊716相連接。

一種應用于工業(yè)控制系統(tǒng)中的安全防護方法，包括三個步驟：

a.安全防護設備接收到非法訪問的信息時，首先阻斷接收該非法信息的下位機與現(xiàn)場設備之間的通信，并同時將告警信息發(fā)送給監(jiān)控臺；

b.監(jiān)控臺接收到來自安全防護設備的告警信息后進行分析，若確定告警信息不會造成對工業(yè)控制系統(tǒng)中其他控制子網造成影響，則記錄該信息，并顯示告警信息；否則，向工業(yè)控制系統(tǒng)所有安全防護設備發(fā)出指令，阻斷與發(fā)生非法接入信息的控制子網的通信；

c.控制子網中的安全防護設備在接收到監(jiān)控臺指令后，將接收非法信息的控制設備所在的控制子網列入黑名單，阻斷接收非法信息的控制設備與接收非法信息的控制設備所在控制子網之間的通信。

當安全防護設備檢測到來自監(jiān)控臺的非法訪問時，安全防護設備自動阻斷下位機和現(xiàn)場設備的通信。

安全防護設備在阻斷了被防護的下位機和現(xiàn)場設備的通信之后，向監(jiān)控總臺告警。

監(jiān)控臺對接收到的告警信息進行分析，若分析結果確定告警信息不影響其他現(xiàn)場控制子網的正常運行，則顯示告警記錄。

監(jiān)控臺對接收到的告警信息進行分析，若分析結果確定告警信息影響其它的現(xiàn)場控制子網或不能確定告警信息的影響范圍時，監(jiān)控臺將發(fā)出指令阻斷所有與存在非法入侵的控制子網之間的通信，并顯示告警。

連接在現(xiàn)場控制子網的安全防護設備在接收到監(jiān)控臺發(fā)布的阻斷通信指令時將阻斷通信指令中的信息，包括：接收非法信息的控制設備ID，IP地址、MAC地址、子網掩碼信息，寫入接入控制規(guī)則，并進一步阻斷與接收非法信息的控制設備的通信。

本發(fā)明的有益效果：本發(fā)明能夠使安全防護設備接收到非法訪問的信息流量時，限制和阻斷該非法信息或該信息引發(fā)的惡意軟件在工業(yè)控制系統(tǒng)上的蔓延，迅速有效隔離問題控制子網或相關設備。

附圖說明

圖1是本發(fā)明工業(yè)控制系統(tǒng)網絡結構的示意圖，

圖2是本發(fā)明中監(jiān)控臺組成的示意圖，

圖3是本發(fā)明中安全防護設備組成的示意圖，

圖4是本發(fā)明中安全防護方法的流程示意圖。

附圖標記：

100-監(jiān)督管理網絡， 102-人機界面，

104-工程師工作站， 106-監(jiān)控臺，

110-交換機， 200-現(xiàn)場控制網絡

302-下位機， 304-安全防護設備，

402-現(xiàn)場設備， 604-處理器，

606-告警分析模塊， 608-用戶界面模塊，

610-存儲模塊， 702-網絡通信接口，

704-處理器， 706-訪問控制模塊，

708-狀態(tài)檢測模塊， 710-數(shù)據(jù)包檢測模塊，

712-訪問控制， 714-存儲模塊，

716-監(jiān)控臺接口模塊。

具體實施方式

下面結合附圖對本發(fā)明的較佳實施例進行詳細闡述，參考標號是指本發(fā)明中的組件、技術，以便本發(fā)明的優(yōu)點和特征在適合的環(huán)境下實現(xiàn)能更易于被理解。

在圖1表示工業(yè)控制系統(tǒng)監(jiān)督管理網絡100和現(xiàn)場控制網絡200，監(jiān)督管理網絡100中包括但不限于人機界面102，工程師工作站104，監(jiān)控臺106，用于網絡連接的交換機110。人機界面102和工程師工作站104通過交換機110對現(xiàn)場控制網絡的下位機302進行管理和監(jiān)督。監(jiān)控臺106是與部署在每個現(xiàn)場控制子網的安全防護設備304共同協(xié)作，進行入侵檢測并指揮每個現(xiàn)場控制子網的各個安全防護設備304(304-1，304-2……304-k，k＝1，2，……，n)，在必要時阻斷與受感染的現(xiàn)場控制子網或接收非法消息的控制設備之間的通信。

現(xiàn)場控制網絡200包括n個現(xiàn)場控制子網，對于第k(k＝1，2，……，n)個現(xiàn)場控制子網包括但不限于下位機302(302-1，302-2……302-k，k＝1，2，……，n)，安全防護設備304，和若干現(xiàn)場設備402(402-1，402-2，……，402-m(k)，m(k))。下位機302通過網絡設備，也就是交換機110-k，按照工業(yè)控制協(xié)議與監(jiān)督管理層網絡100中的人機界面102或工程師工作站104通信。并且下位機302輸出指令到現(xiàn)場設備402或從現(xiàn)場設備402輸入檢測數(shù)據(jù)到下位機302。安全防護設備304從交換機110上讀取所有發(fā)送給下位機302的網絡流量，并進行分析判斷是否為合法控制命令或數(shù)據(jù)。

監(jiān)控臺106的具體結構如圖2所示，監(jiān)控臺106包括但不限于網絡通信接口、處理器604、告警處理模塊606、用戶界面模塊608和存儲模塊610。監(jiān)控臺106在本發(fā)明中的功能是協(xié)調處理來自現(xiàn)場控制網絡200中安全防護設備304發(fā)出的告警信息，在必要時向整個現(xiàn)場控制網絡200發(fā)出通信阻斷信息。

安全防護設備304如圖3所示，安全防護設備304包括但不限于網絡通信接口702，處理器704，訪問控制模塊706，狀態(tài)檢測模塊708，數(shù)據(jù)包檢測模塊710，通信阻斷模塊712，存儲模塊714和監(jiān)控臺接口模塊716。在本發(fā)明中主要完成入侵檢測的功能、告警通報功能和通信阻斷的功能。其中入侵檢測功能通過包括但不限于訪問控制模塊706，狀態(tài)檢測模塊708，和數(shù)據(jù)包檢測模塊710等模塊單獨處理或共同處理完成，當檢測到非法入侵信息存儲在存儲模塊714中；告警通報功能是檢測到非法入侵的信息時，監(jiān)控臺接口API模塊生成監(jiān)控臺可接受的告警數(shù)據(jù)通過網絡通信接口702發(fā)送到監(jiān)控臺106；通信阻斷功能是當非法入侵設備被發(fā)現(xiàn)異常非法的數(shù)據(jù)流量時，馬上阻斷所有與被非法入侵設備所在現(xiàn)場控制子網中執(zhí)行設備之間的通信；或監(jiān)控臺接口模塊716接收到來自監(jiān)控臺106的通信阻斷時，將阻斷命令中的數(shù)據(jù)包括但不限于被阻斷設備的IP地址、MAC地址、設備ID、子網掩碼等等信息寫入訪問控制模塊706中的防護規(guī)則，防護規(guī)則包括但不限于黑名單，切斷被阻斷設備與該安全防護設備所在控制子網之間的通信。

圖4是安全防護方法的流程圖，步驟S1當現(xiàn)場控制網絡200的任意一個安全防護設備304判斷是否檢測到下位機異常的非法數(shù)據(jù)流量，沒有檢測到非法數(shù)據(jù)流量，則繼續(xù)判斷下一個接收到的數(shù)據(jù)，若某一安全防護設備304檢測到非法數(shù)據(jù)流量，則執(zhí)行步驟S2，安全防護設備304向監(jiān)控臺106發(fā)送告警信息，步驟S3是監(jiān)控臺106對接收到的告警信息進行分析，步驟S4判斷是否需要阻斷與下位機的通信，若確定該告警不影響其它的控制子網，則等待下一個告警信息，否則執(zhí)行步驟S5向現(xiàn)場控制網絡200中的所有安全防護模塊發(fā)出阻斷指令阻斷所有與發(fā)出告警的現(xiàn)場控制子網之間的通信，智能聯(lián)動通信路徑阻斷方法的流程如圖4所示。

安全防護設備304與現(xiàn)場設備404之間通過網絡連接，當安全防護設備304檢測到來自監(jiān)控臺106的非法訪問時，安全防護設備304自動阻斷下位機302和現(xiàn)場設備404之間的通信。安全防護設備304在阻斷了被防護的下位機302和現(xiàn)場設備404的通信之后，向監(jiān)控總臺告警并進行記錄，進一步有效防止來自監(jiān)督管理網絡100的非法入侵，更好的提升安全防護效果。

以上所述僅為本發(fā)明的實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內容所作的等效結構或等效流程變換，或直接或間接運用在其他相關的技術領域，均同理包括在本發(fā)明的專利保護范圍內。

應該注意的是，上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制，并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中，不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包括”不排除存在未列在權利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。