一种实现工业控制系统移动运维防护的方法、装置及系统制造方法及图纸

本发明专利技术公开了一种实现工业控制系统移动运维防护的方法、装置及系统，用于对工业控制系统现场运维的防护，该方法应用于安全网关，安全网关串行连接于移动运维终端与工业控制系统之间，包括：对用户通过移动运维终端发送的用户信息进行认证；当用户信息认证通过后，对移动运维终端进行准入核查；当通过准入核查后，接收移动运维终端发送的控制指令，根据控制指令利用组态软件将控制指令转换为运维指令；利用工业协议解析运维指令生成并保存解析结果；将运维指令发送给工业控制系统，以使工业控制系统执行运维操作；在执行运维操作过程中，接收移动运维终端发送的运维数据，对运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。

【技术实现步骤摘要】

本专利技术涉及工业控制
，具体涉及一种实现工业控制系统移动运维防护的方法、装置及系统。
技术介绍
工业控制系统包括众多设备，例如输入输出I/O设备、PLC(Programmable Logic Controller，可编程逻辑控制器)、工业交换机、HMI(Human Machine Interface，人机界面)、操作员站、工程师站、以及历史数据库、实时数据库等，工业控制系统中设备部署范围广，使工业控制系统的运维工作出现以下特点：(1)设备运维方式多：既可以通过工业控制网络进行远程维护，也可以进行本地维护；(2)运维监控管理难：工业控制设备部署地域广、厂商多，使运维监控管理工作可行性不强；(3)设备运维风险大：虽然工业控制系统智能性和自动化程度高，但安全性比较脆弱，在运维过程中易引入安全威胁。通过对一些安全事件的分析，发现运维人员在现场维护工控设备时，安全威胁往往通过接入工业控制设备的外接设备如移动运维终端引入，而现有技术中尚没有一种专门针对工业控制系统在现场移动运维时的安全保护方案，即无法保证在现场移动运维时工业控制系统的安全性。
技术实现思路
有鉴于此，本专利技术提供一种实现工业控制系统移动运维防护的方法、装置及系统，以解决现有技术中无法保证在现场移动运维时工业控制系统的安全性的技术问题。为解决上述问题，本专利技术提供的技术方案如下：一种实现工业控制系统移动运维防护的方法，应用于实现工业控制系统移动运维的安全网关，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述方法包括：接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；当所述用户信息认证通过后，对所述移动运维终端进行准入核查；当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。相应的，所述对所述移动运维终端进行准入核查，包括：预先保存安全移动运维终端的设备号列表；获取所述移动运维终端的设备号，查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表，如果是，则所述移动运维终端通过准入核查，如果否，禁止接收所述移动运维终端发送的控制指令。相应的，所述利用工业协议解析所述运维指令生成解析结果，包括：利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析，生成解析结果。相应的，所述方法还包括：接收集中管理平台发送的传递日志指令；将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台，以使所述集中管理平台生成运维情况列表。相应的，所述方法还包括：根据所述解析结果对不符合预设条件的运维指令进行拦截。一种实现工业控制系统移动运维防护的装置，集成在实现工业控制系统移动运维的安全网关中，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述装置包括：身份认证单元，用于接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；终端认证单元，用于当所述用户信息认证通过后，对所述移动运维终端进行准入核查；转换单元，用于当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；解析单元，用于利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；第一发送单元，用于将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；病毒查杀单元，用于在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。相应的，所述终端认证单元包括：第一保存子单元，用于预先保存安全移动运维终端的设备号列表；获取子单元，用于当所述用户信息认证通过后，获取所述移动运维终端的设备号；查找子单元，用于查找所述移动运维终端的设备号是否属于所述安全移动运维终端的设备号列表，如果是，则所述移动运维终端通过准入核查，如果否，禁止接收所述移动运维终端发送的控制指令。相应的，所述解析单元包括：解析子单元，用于利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议对所述运维指令中的设备地址、功能代码、运维数据进行解析，生成解析结果；第二保存子单元，用于保存所述解析结果。相应的，所述装置还包括：接收单元，用于接收集中管理平台发送的传递日志指令；第二发送单元，用于将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集中管理平台，以使所述集中管理平台生成运维情况列表。相应的，所述装置还包括：拦截单元，用于根据所述解析结果对不符合预设条件的运维指令进行拦截。一种实现工业控制系统移动运维防护的系统，所述系统包括：安全网关，所述安全网关带有电源，在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述安全网关是权利要求6-10所述的实现工业控制系统移动运维防护的装置；集中管理平台，用于向所述安全网关发送传递日志指令，接收用户信息、所述移动运维终端对应的解析结果，并生成运维情况列表。由此可见，本专利技术实施例具有如下有益效果：本专利技术实施例在工业控制系统现场运维时将安全网关连接于移动运维终端与工业控制系统之间，本专利技术实施例中提供的安全网关可以对移动运维人员身份、移动运维终端进行合法性核查，在核查通过后再将移动运维终端发送的控制指令转换为运维指令发送给工业控制系统，移动运维终端不直接发运维指令给工业控制系统，而是安全网关生成运维指令，可以起到隔离移动运维终端与工业控制系统的作用，充分保证工业控制系统的安全性；同时具有工业协议的解析能力，可以记录全部运维指令所对应的操作，实现对现场运维的审计；另外，还可以对运维过程中上传下载的数据进行病毒查杀；因此，本专利技术实施例可以适用于保证工业网络现场运维的安全需求，极大地减少在运维过程中的安全隐本文档来自技高网...

【技术保护点】
一种实现工业控制系统移动运维防护的方法，其特征在于，应用于实现工业控制系统移动运维的安全网关，所述安全网关在现场移动运维时串行连接于移动运维终端与所述工业控制系统之间，所述方法包括：接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行认证；当所述用户信息认证通过后，对所述移动运维终端进行准入核查；当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行运维操作；在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。

【技术特征摘要】
1.一种实现工业控制系统移动运维防护的方法，其特征在于，应用于实
现工业控制系统移动运维的安全网关，所述安全网关在现场移动运维时串行
连接于移动运维终端与所述工业控制系统之间，所述方法包括：
接收用户通过所述移动运维终端发送的用户信息，对所述用户信息进行
认证；
当所述用户信息认证通过后，对所述移动运维终端进行准入核查；
当所述移动运维终端通过准入核查后，接收所述移动运维终端发送的控
制指令，根据所述控制指令利用组态软件将所述控制指令转换为运维指令；
利用工业协议解析所述运维指令生成解析结果，保存所述解析结果；
将所述运维指令发送给所述工业控制系统，以使所述工业控制系统执行
运维操作；
在执行运维操作过程中，接收所述移动运维终端发送的运维数据，对所
述运维数据进行病毒查杀，将经过病毒查杀的运维数据发送给工业控制系统。
2.根据权利要求1所述的方法，其特征在于，所述对所述移动运维终端
进行准入核查，包括：
预先保存安全移动运维终端的设备号列表；
获取所述移动运维终端的设备号，查找所述移动运维终端的设备号是否
属于所述安全移动运维终端的设备号列表，如果是，则所述移动运维终端通
过准入核查，如果否，禁止接收所述移动运维终端发送的控制指令。
3.根据权利要求1所述的方法，其特征在于，所述利用工业协议解析所
述运维指令生成解析结果，包括：
利用基于链路层之上封装的工业协议或基于应用层之上封装的工业协议
对所述运维指令中的设备地址、功能代码、运维数据进行解析，生成解析结
果。
4.根据权利要求1或3所述的方法，其特征在于，所述方法还包括：
接收集中管理平台发送的传递日志指令；
将所述用户信息、所述移动运维终端对应的所述解析结果发送到所述集
中管理平台，以使所述集中管理平台生成运维情况列表。
5.根据权利要求1所述的方法，其特征在于，所述方法还包括：
根据所述解析结果对不符合预设条件的运维指令进行拦截。
6.一种实现工业控制系统移动运维防护的装置，其特征在于，集成在实
现工业控制系统移动运维的安全网关中，所述安全网关在现场移动运维时串
行连接于移动运维终端与所述工业控制系统之间，所述装置包括：
身份认证单元，用于接收用户通过所述移动运维终端发送的用户信息，
对所述用户信息进行认证；
终端认证单元，用于当所述用户信息认...

【专利技术属性】
技术研发人员：张晔，孟庆森，张帅，
申请(专利权)人：北京网御星云信息技术有限公司，
类型：发明
国别省市：北京;11