一种工控网络安全防护设备与方法

文档序号:9202685阅读:672来源:国知局
一种工控网络安全防护设备与方法
【技术领域】
[0001]本发明属于计算机网络安全领域,涉及一种部署在工控网络边界、区域,对进出网络的访问进行控制的安全防护设备与方法。
【背景技术】
[0002]从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击越演越烈,工业控制系统迫切需要得到安全防护。那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决其信息安全问题呢?答案是否定的。实践证明传统信息安全产品不能解决工业控制系统的安全问题。
[0003]现场调研发现,一些工业控制系统的网络中,已经有部署传统的防火墙产品,在工作站上也有安装杀毒软件产品。但是,传统的防火墙在保护OPC服务器时,由于不支持OPC协议的动态端口开放,不得不允许OPC客户端和OPC服务器之间大范围内的任意端口号的TCP连接,因此防火墙提供的安全保障被降至最低,从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件,通常因得不到及时更新,导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现,是工业控制系统的系统漏洞,不能像IT系统一样,得到及时的漏洞修复,大量漏洞长期存在。
[0004]综上所述,防火墙、反病毒软件等传统信息安全产品及传统的信息安全管理方法(如漏洞及时修复)不能直接用于工业控制系统。要想解决工业控制系统的信息安全问题,工业控制系统必须有一套为自己量身打造的信息安全产品,用于有效抵御工业系统面临的各种安全威胁。

【发明内容】

[0005]针对传统信息安全产品不能用于工控系统网络的安全防护问题,本发明提供一种部署在工控网络边界、区域,对进出网络的访问进行控制的安全防护设备与方法。
[0006]为实现上述目的,本发明采用的技术方案是:
[0007]一种工控网络安全防护设备,部署在工控网络边界、区域,用作网关或防火墙,包括硬件主板,所述硬件主板包括:中央处理器,业务网口,管理网口,存储器,逻辑控制单元。所述中央处理器通过所述管理网口与上位机连接,通过业务网口与工控网络连接,通过内部总线与所述存储器、逻辑控制单元连接。
[0008]进一步地,所述业务网口为四口千兆物理层网口芯片。
[0009]进一步地,所述管理网口为单口千兆物理层网口芯片。
[0010]进一步地,所述防护设备采用低功耗、低时延电路芯片。
[0011]一种工控网络安全防护方法,包括:中央处理器将上位机通过管理网口下达的管理项目传递给业务网口,通过对工控环境的业务网进入的网络信息进行处理与协议解析,建立数据采集通信模型,采用黑白名单互补的安全策略,过滤非法访问,实现网口管理功會K。
[0012]进一步地,所述协议解析包括对二层、三层网络协议进行解析,还包括对工控网络应用层进行解析,防止应用层协议被篡改或破坏。
[0013]进一步地,所述网口管理功能包括网关管理、黑/白名单管理、防火墙管理、工控系统漏洞库管理、安全域管理、攻击防范设置和日志管理。
[0014]其中,所述网关管理包括:根据上位机通过管理网口下发的安全策略和规则,对同一业务的网关进行配置的统一下发和控制,设置网关的名称、状态、编号、工作模式和白名单模板。
[0015]所述黑名单管理包括:通过设置黑名单,防范有危害的设备接入,防范运行有破坏作用的软件,防范有问题的数据流通过客户的工控网络;所述白名单管理包括:通过设置白名单,只允许符合客户要求的设备接入客户的工控网络,只允许经过验证的软件运行,只允许安全无害的流量在客户的工控网络间传输。
[0016]所述防火墙管理包括:防火墙在网络层的检查引擎截获数据包,并从中抽取出与应用层状态有关的信息,然后以抽取信息为依据判断是接受还是拒绝网络层与应用层之间的连接。
[0017]所述工控系统漏洞库管理包括:定期对所掌握的工控系统漏洞进行查询与更新。
[0018]所述安全域管理包括:管理员将安全需求相同的接口或IP地址进行分类并划分到不同的域,实现策略的分层管理。
[0019]所述攻击防范设置包括:上位机编辑安全防范功能后,将攻击防范配置下发给安全域内所有的接口。下发配置完成后,进行攻击防范配置。
[0020]所述日志管理包括:将系统发生的事件存入缓冲区或定向发送到日志接收服务器上。管理员通过对日志内容的分析和归档,检查网关的安全漏洞;根据实时的日志记录检测正在进行的入侵。
[0021]与现有技术相比,本发明具有以下优点:
[0022](I)防火墙等传统信息安全产品,出现故障时断开内外网的网络连接。这种防护方式不适用于工业控制系统。本发明通过中央处理器与网口实时通信管理控制业务网口数据,实现了对工控系统的防护。对工控协议解析技术不仅对二层、三层网络协议进行解析,还对工控网络的应用层进行解析,防止应用层协议被篡改或破坏。建立安全可靠的数据采集通信模型,采用黑白名单互补的安全策略,过滤一切非法访问,保证只有可信任的设备才能够接入客户的工控网络,只有可信任的流量才能够在客户的网间传输。
[0023](2)本发明所述防护设备的硬件电路采用低功耗、低时延设计,满足了工控系统对功耗和时延的高要求。
[0024](3)本发明所述防护设备支持工业控制协议,例如,OPC、Modbus、DNP3、S7,解决了传统安全信息产品在保护OPC服务器时,由于不支持OPC协议的动态端口开放,不得不允许OPC客户端和OPC服务器之间大范围内的任意端口号的TCP连接,使安全保障效能被降至最低的问题。
[0025](4)本发明所述防护设备采用全密闭、无风扇设计,能够在-40°C?70°C的工控系统环境温度下正常工作。
【附图说明】
[0026]图1为本发明所述防护设备硬件主板的功能架构图;
[0027]图2为本发明所述方法的网口管理功能图。
【具体实施方式】
[0028]下面结合附图对本发明做进一步说明。
[0029]本发明所述防护设备部署在工控网络边界、区域,对进出网络的访问进行控制。所述防护设备可用作网关或防火墙,但其功能已不同于传统的网关或防火墙产品。
[0030]所述防护设备包括硬件主板,所述硬件主板的架构图如图1所示,主要包括中央处理器,业务网口,管理网口,存储器,逻辑控制单元。所述中央处理器通过所述管理网口与上位机连接,通过业务网口与工控网络连接,通过内部总线与所述存储器、逻辑控制单元连接。
[0031]所述业务网口为四口千兆物理层网口芯片。
[0032]所述管理网口为单口千兆物理层网口芯片。
[0033]所述防护设备支持工业控制协议,如:OPC、Modbus、DNP3、S7。IT信息系统或其它安全产品基于IT通信协议,例如,HTTP、FTP、SMTP、TELNET等。虽然现在主流工业控制系统已经广泛采用工业以太技术,基于IP/TCP/UDP通信,但是应用层协议是不同的,如果将它们直接用于工业控制系统,
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1