基于单独组网及数据加密的工控系统数据处理系统及方法与流程

本发明涉及电力工控系统技术领域，具体涉及一种基于单独组网及数据加密的工控系统数据处理系统及方法。

背景技术：

工控系统是关系国际民生的信息系统，是关键信息的基础设施；安全分区是电力等工控系统安全防护体系的结构基础，电力企业原则上将工控系统划分为生产控制大区和管理信息大区，生产控制大区又分为控制区和非控制区；根据不同安全区域的安全防护要求，确定其安全等级和防护水平，生产控制大区的安全等级高于管理信息大区，不同强度的安全区域之间采用安全设备进行隔离。在工控系统的保护中，实现全方位态势感知是安全保护的重点。

在态势感知系统中，需要对生产环境的控制区、非控制区和信息管理大区的各类网络设备所产生的数据进行采集。不同安全区域产生的数据属于不同安全等级，数据之间的流动受到安全级别限制。而当前的安全监控手段往往需要对各区域的数据进行综合关联分析，来发现安全风险和威胁。因此，如何在遵守安全分区的重要安全原则且不影响正常生产的前提下，实现安全数据跨区域流动和综合关联分析成为研究的重点。

通过对国内外论文、学术会议、科技文献、专利等数据库的检索发现：现阶段工控生产环境的网络安全数据采集和分析还处在起步阶段：一是生产和管理数据的全面采集方法和应用较少；二是对采集的安全数据如何进行综合分析的研究较少；三是将加密手段应用于数据流动中，提供跨区域数据流动的研究较少；四是对安全数据的跨区域流动，如何实现安全大数据综合关联分析的同时，不影响生产环境的数据流转，还处于探索阶段。

技术实现要素：

针对现有技术存在的上述问题，本发明提供一种基于单独组网及数据加密的工控系统数据处理系统及方法。

本发明公开了一种基于单独组网及数据加密的工控系统数据处理系统，

在厂站侧原有系统外构建厂站侧平台，所述厂站侧平台包括生产控制大区和信息管理大区，所述生产控制大区包括控制区和非控制区，所述信息管理大区包括信息管理区和新建安全区；

所述厂站侧平台的控制区设有采集服务器，用于采集所述厂站侧原有系统的控制区数据，通过第一私钥对所述控制区数据进行加密后经正向安全隔离设备向外传输；

所述厂站侧平台的非控制区设有采集服务器，用于采集所述厂站侧原有系统的非控制区数据以及通过第一公钥解密得到控制区数据，通过第二私钥对所述控制区数据和非控制区数据进行加密后经正向安全隔离设备向外传输；

所述厂站侧平台的信息管理区设有采集服务器，用于采集所述厂站侧原有系统的信息管理大区数据以及通过第二公钥解密得到控制区数据和非控制区数据，通过第三私钥对所述控制区数据、非控制区数据和信息管理大区数据进行加密后经正向安全隔离设备向外传输；

所述厂站侧平台的新建安全区设有综合分析服务器，用于通过第三公钥解密得到所述控制区数据、非控制区数据和信息管理大区数据，并进行综合关联分析。

作为本发明的进一步改进，

所述第一私钥由所述综合分析服务器分发至控制区的采集服务器内；

所述第一公钥和第二私钥由所述综合分析服务器分发至非控制区的采集服务器内；

所述第二公钥和第三私钥由所述综合分析服务器分发至信息管理区的采集服务器内；

所述第三公钥留存在所述综合分析服务器内。

作为本发明的进一步改进，

所述厂站侧平台的数据采集及分析，独立于所述厂站侧原有系统；

所述正向安全隔离设备设置在所述厂站侧平台的控制区与非控制区、非控制区与信息管理区或信息管理区与新建安全区的边界处。

作为本发明的进一步改进，

所述综合关联分析包括：

将上级中心下发的检测规则与接收到的全流量数据进行匹配，生成威胁信息日志。

更进一步，

所述综合分析服务器，还用于：

将综合关联分析的结果通过纵向加密认证装置向上级中心进行上传和通信。

本发明还公开了一种基于单独组网及数据加密的工控系统数据处理方法，包括：

在厂站侧原有系统外构建厂站侧平台，所述厂站侧平台包括生产控制大区和信息管理大区，所述生产控制大区包括控制区和非控制区，所述信息管理大区包括信息管理区；

在所述厂站侧平台的信息管理大区新建安全区；

在所述厂站侧平台的控制区、非控制区、信息管理区部署采集服务器，在所述厂站侧平台的新建安全区部署综合分析服务器；所述综合分析服务器与各采集服务器通过正向安全隔离设备进行单独组网；

所述厂站侧平台的控制区的采集服务器采集所述厂站侧原有系统的控制区数据，通过第一私钥对所述控制区数据进行加密后经正向安全隔离设备向外传输；

所述厂站侧平台的非控制区的采集服务器采集所述厂站侧原有系统的非控制区数据以及通过第一公钥解密得到控制区数据，通过第二私钥对所述控制区数据和非控制区数据进行加密后经正向安全隔离设备向外传输；

所述厂站侧平台的信息管理区的采集服务器采集所述厂站侧原有系统的信息管理大区数据以及通过第二公钥解密得到控制区数据和非控制区数据，通过第三私钥对所述控制区数据、非控制区数据和信息管理大区数据进行加密后经正向安全隔离设备向外传输；

所述厂站侧平台的新建安全区的综合分析服务器通过第三公钥解密得到所述控制区数据、非控制区数据和信息管理大区数据，并进行综合关联分析。

作为本发明的进一步改进，

所述第一私钥由所述综合分析服务器分发至控制区的采集服务器内；

所述第一公钥和第二私钥由所述综合分析服务器分发至非控制区的采集服务器内；

所述第二公钥和第三私钥由所述综合分析服务器分发至信息管理区的采集服务器内；

所述第三公钥留存在所述综合分析服务器内。

作为本发明的进一步改进，

所述厂站侧平台的数据采集及分析，独立于所述厂站侧原有系统；

所述正向安全隔离设备设置在所述厂站侧平台的控制区与非控制区、非控制区与信息管理区或信息管理区与新建安全区的边界处。

作为本发明的进一步改进，

所述综合关联分析包括：

将上级中心下发的检测规则与接收到的全流量数据进行匹配，生成威胁信息日志。

更进一步，

还包括：

将综合关联分析的结果通过纵向加密认证装置向上级中心进行上传和通信。

与现有技术相比，本发明的有益效果为：

本发明通过构建厂站侧平台且新建安全区，并通过采集服务器实现对厂站侧原有系统内控制区、非控制区和信息管理大区的安全数据采集，将采集的数据通过正向安全隔离设备依次传输至新建安全区内的综合分析服务器进行综合分析处理；同时，采用公钥加密体系对不同安全区域采集的数据进行签名验证，将数据签名作为标签，连同采集数据一起，通过正向安全隔离设备向更高级别的安全区域进行传输，实现了对厂站侧原有系统的安全数据采集和跨区域流动，同时在进行综合分析的同时不影响厂站侧原有系统的安全生产。

附图说明

图1为本发明一种实施例公开的基于单独组网及数据加密的工控系统数据处理系统的框架图；

图2为本发明一种实施例公开的基于单独组网及数据加密的工控系统数据处理方法的流程图。

图中：

1、采集服务器；2、正向安全隔离设备；3、综合分析服务器。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图对本发明做进一步的详细描述：

针对现有技术中缺少工控环境下安全数据采集和合规跨区域流动的系统及方法以及缺少在实现安全数据综合关联分析的同时不影响安全生产的系统及方法，本发明提供一种基于单独组网及数据加密的工控系统数据处理系统及方法。

如图1所示，本发明提供一种基于单独组网及数据加密的工控系统数据处理系统，该工控系统数据处理系统在厂站侧原有系统的基础上增加了厂站侧平台、新建安全区、采集服务器1、正向安全隔离设备2和综合分析服务器3；其中：

本发明的厂站侧原有系统包括生产控制大区和管理信息大区，生产控制大区包括控制区和非控制区；控制区与非控制区之间设有逻辑隔离，生产控制大区与管理信息大区之间正向安全隔离设备和反向安全隔离设备；本发明的厂站侧原有系统根据已有的分区以及各分区内的网络设备，实现正常的安全生产。

由于厂站侧原有系统的不同安全区域产生的数据属于不同安全等级，数据之间的流动受到安全级别限制；为此，本发明在厂站侧原有系统外构建独立于厂站侧原有系统的厂站侧平台，基于厂站侧平台进行厂站侧原有系统内各设备数据采集的单独组网。具体为，本发明新建的厂站侧平台与厂站侧原有系统的分区对应设计，即包括生产控制大区和信息管理大区，生产控制大区包括控制区和非控制区，信息管理大区包括信息管理区；厂站侧平台的控制区、非控制区和信息管理区实现对厂站侧原有系统对应区内设备数据的采集；同时，为了实现对采集数据的综合分析，本发明还在厂站侧平台的信息管理大区内新建独立于控制区、非控制区和信息管理区的新建安全区。

为了实现不影响厂站侧原有系统正常生产的各设备数据的采集；本发明在厂站侧平台的控制区设有采集服务器1，该采集服务器用于采集厂站侧原有系统的控制区数据，并将数据通过正向安全隔离设备3向外传输；本发明在厂站侧平台的非控制区设有采集服务器1，该采集服务器用于采集厂站侧原有系统的非控制区数据以及接收控制区采集服务器发送的控制区数据，并将数据通过正向安全隔离设备3向外传输；本发明在厂站侧平台的信息管理区设有采集服务器1，该采集服务器用于采集厂站侧原有系统的信息管理大区数据以及接收非控制区采集服务器发送的控制区数据和非控制区数据，并将数据通过正向安全隔离设备3向外传输。其中，本发明厂站侧平台的数据采集及分析，独立于厂站侧原有系统；且，正向安全隔离设备设置在厂站侧平台的控制区与非控制区、非控制区与信息管理区或信息管理区与新建安全区的边界处。

本发明在厂站侧平台的新建安全区设有综合分析服务器3，该综合分析服务器3接收信息管理区采集服务器发送的控制区数据、非控制区数据和信息管理大区数据，并进行综合关联分析，并可将综合关联分析的结果通过纵向加密认证装置向上级中心进行上传和通信，实现全方位工控安全态势感知；其中，综合关联分析为：将上级中心下发的检测规则与接收到的全流量数据进行匹配，生成威胁信息日志，实现网络攻击威胁的第一时间发现；进一步，应当具备安全检测方式：可疑域名检测、可疑ip检测、特征值检测和行为模型检测。

进一步，为保证数据的逐级安全传输，本发明采用公钥加密体系(如rsa、国密sm3)对不同安全区域采集的数据进行签名验证，将数据签名作为标签，连同采集数据一起，通过正向安全隔离设备向更高级别的安全区域进行传输；其中，

公钥加密体系：公钥、私钥、加密算法；

密钥协商阶段：采用通用公钥加密体系，综合分析服务器向不同安全区域的设备生成并分发私钥和公钥，预置到设备中；即，第一私钥由综合分析服务器分发至控制区的采集服务器内；第一公钥和第二私钥由综合分析服务器分发至非控制区的采集服务器内；第二公钥和第三私钥由综合分析服务器分发至信息管理区的采集服务器内；第三公钥留存在综合分析服务器内。

数字签名：不同安全区域的设备产生安全数据，并对安全数据进行私钥加密打标签，将标签数据连同安全数据一起通过隔离设备传送到更高安全级别区域的设备上。

签名验证：高一安全级别区域的设备接收到数据，并对数据用公钥进行验证，验证数据来自于低安全级别区域设备，完成验证过程；并用自己的私钥对产生的数据，以及接收的数据进行签名，发送到下一级更高安全级别区域的设备上。

具体数据流程为：

厂站侧平台的控制区设有采集服务器，用于采集厂站侧原有系统的控制区数据，通过第一私钥对控制区数据进行加密后经正向安全隔离设备向外传输；

厂站侧平台的非控制区设有采集服务器，用于采集厂站侧原有系统的非控制区数据以及通过第一公钥解密得到控制区数据，通过第二私钥对控制区数据和非控制区数据进行加密后经正向安全隔离设备向外传输；

厂站侧平台的信息管理区设有采集服务器，用于采集厂站侧原有系统的信息管理大区数据以及通过第二公钥解密得到控制区数据和非控制区数据，通过第三私钥对控制区数据、非控制区数据和信息管理大区数据进行加密后经正向安全隔离设备向外传输；

厂站侧平台的新建安全区设有综合分析服务器，用于通过第三公钥解密得到控制区数据、非控制区数据和信息管理大区数据，并进行综合关联分析。

在图1所示的基于单独组网的工控系统数据处理系统的基础上，如图2所示，本发明还提供一种基于单独组网及数据加密的工控系统数据处理方法，包括：

s1、在厂站侧原有系统外构建厂站侧平台，厂站侧平台包括生产控制大区和信息管理大区，生产控制大区包括控制区和非控制区，信息管理大区包括信息管理区；

s2、在厂站侧平台的信息管理大区新建安全区；

s3、在厂站侧平台的控制区、非控制区、信息管理区部署采集服务器，在厂站侧平台的新建安全区部署综合分析服务器；综合分析服务器与各采集服务器通过正向安全隔离设备进行单独组网；

s4、厂站侧平台的控制区的采集服务器采集厂站侧原有系统的控制区数据，通过第一私钥对控制区数据进行加密后经正向安全隔离设备向外传输；

s5、厂站侧平台的非控制区的采集服务器采集厂站侧原有系统的非控制区数据以及通过第一公钥解密得到控制区数据，通过第二私钥对控制区数据和非控制区数据进行加密后经正向安全隔离设备向外传输；

s6、厂站侧平台的信息管理区的采集服务器采集厂站侧原有系统的信息管理大区数据以及通过第二公钥解密得到控制区数据和非控制区数据，通过第三私钥对控制区数据、非控制区数据和信息管理大区数据进行加密后经正向安全隔离设备向外传输；

s7、厂站侧平台的新建安全区的综合分析服务器通过第三公钥解密得到控制区数据、非控制区数据和信息管理大区数据，并进行综合关联分析；其中，综合关联分析是将上级中心下发的检测规则与接收到的全流量数据进行匹配，生成威胁信息日志；并将综合关联分析的结果通过纵向加密认证装置向上级中心进行上传和通信。

本发明的优点为：

本发明通过构建厂站侧平台且新建安全区，并通过采集服务器实现对厂站侧原有系统内控制区、非控制区和信息管理大区的安全数据采集，将采集的数据通过正向安全隔离设备依次传输至新建安全区内的综合分析服务器进行综合分析处理；同时，采用公钥加密体系(公钥、私钥、加密算法)对不同安全区域采集的数据进行签名验证，将数据签名作为标签，连同采集数据一起，通过正向安全隔离设备向更高级别的安全区域进行传输，实现了对厂站侧原有系统的安全数据采集和跨区域流动，同时在进行综合分析的同时不影响厂站侧原有系统的安全生产。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。