本发明专利技术公开了一种面向工控系统信息安全防护的半实物演示验证平台及方法;该平台包括依次相连的物理层、控制层和监控层;物理层用于构造并显示虚拟的物理对象模型,并在控制层的控制指令的控制下模拟运行物理对象模型,生成实时现场数据;控制层用于根据物理层上传的生产实时数据与监控层下发的统一调度指令,根据内嵌的信息安全防护算法生成控制指令;监控层用于根据控制层上传的系统实时运行数据和控制指令生成统一调度指令,实现对实际生产过程进行实时的监测与控制;本发明专利技术提供的这种半实物演示验证平台,为实现研究与验证不同工业控制领域的信息安全防护理论提供平台;具有攻击传播透明化,防护智能化、可视化的特点,解决了传统验证平台可扩展性不高问题。
【技术实现步骤摘要】
本专利技术涉及工业控制系统信息安全防御
,更具体地,涉及一种面向工控系统信息安全防护的半实物演示验证平台及方法。
技术介绍
近年来,随着信息通信技术的迅速发展,现代工控系统已成为深度融合计算进程、通信网络与物理设备的信息化系统;工控系统的安全问题日益凸显。工业控制系统的层次结构包括企业层、监控层、控制层与物理层。由于各层的分工不同;各层面临的信息安全威胁也有所差异,单一的防护技术难以有效应对信息安全威胁;另一方面,工业控制系统是持续运行的生产系统,运行过程中不允许中断;一旦工业控制系统出现问题,将导致严重的事故,轻则造成经济财产损失,重则危及人身安全或造成大范围的环境破坏;因此,针对工业控制系统的信息安全的防护研究无法在实际的系统中开展。融合工业控制系统结构和功能的特点,搭建用于工业控制系统信息安全智能防护的演示验证平台就显得至关重要。现有的半实物演示验证平台,使用的仿真物理过程对象、网络协议多是单一固化的,可扩展性不强;攻击造成的系统损失与防护作用的效果仅通过量化的数值显示在屏幕上,演示效果不够立体直观;仿真平台得到的结果需要依靠专家进行分析,自动化、智能化的程度不高,不能方便直观地显示防护策略作用的效果。
技术实现思路
针对现有技术的以上缺陷或改进需求,本专利技术提供了一种面向工控系统信息安全防护的半实物演示验证平台及方法,其目的在于解决现有半实物演示验证平台不可重构、不可扩展地问题。为实现上述目的,按照本专利技术的一个方面,提供了一种面向工控系统信息安全防护的半实物演示验证平台,包括依次相连的物理层、控制层和监控层;其中,物理层用于构造并显示虚拟的物理对象模型,并在控制层的控制指令的控制下模拟运行物理对象模型,生成实时现场数据;通过工业现场总线与控制层进行数据交互;控制层用于根据物理层上传的生产实时数据与监控层下发的统一调度指令,根据内嵌的信息安全防护算法生成控制指令;监控层用于根据控制层上传的系统实时运行数据和控制指令生成统一调度指令,实现对实际生产过程进行实时的监测与控制。优选的,上述面向工控系统信息安全防护的半实物演示验证平台,其物理层包括仿真主机、模型演示装置;仿真主机通过串口与模型演示装置进行数据交互,通过工业现场总线与控制层进行数据交互;其中,仿真主机用于构造虚拟的物理对象模型并根据控制指令模拟运行,生成实时现场数据;模型演示装置用于动态显示物理对象模型的状态;通过将软件模块设计成函数形式封装在函数库中或将软件模块编译成目标文件,在仿真主机中形成固定的函数调用;通过选择函数来改变或扩展系统功能,实现物理对象的可重构性;由此实现通过物理层任意重构配置各种工控场景。优选的,上述面向工控系统信息安全防护的半实物演示验证平台,其控制层包括控制节点、代理节点和网关节点;控制节点用于控制物理对象模型;代理节点用于实现仿真主机与控制层控制节点间的数据交互;仿真主机通过以太网与代理节点连接;代理节点通过工业控制总线与控制节点连接;网关节点用于实现控制节点与监控层之间数据交互;控制节点通过工业控制总线与网关节点连接;网关节点通过工业以太网与监控层连接;控制节点包括可重构配置的嵌入式控制器;使用时,根据待测试的工控系统为嵌入式控制器配置驱动程序。优选的,上述面向工控系统信息安全防护的半实物演示验证平台,其监控层包括HMI(HumanMachineInterface,人机交互界面)监控系统、数据服务器、网络数据分析站;其中,HMI监控系统用于监控实时生产过程;数据服务器用于数据的归档记录;网络数据分析站用于对数据库中的历史数据进行分析处理。为实现本专利技术目的,按照本专利技术的另一个方面,基于上述面向工控系统信息安全防护的半实物演示验证平台,提供了一种面向工控系统信息安全防护的半实物演示验证方法,包括如下步骤:(1)根据待测试的工控系统的物理对象模型、控制设备与网络协议栈,在物理层配置工控系统参数,包括系统运行时间、稳定状态值;(2)根据拟验证的安全防护方案,在控制层配置攻击手段、攻击强度、攻击目标、攻击路线;(3)获取系统的运行状态信息,将系统的运行状态信息与已建立的系统网络模型、节点模型、应用模型进行比较得出系统的异常状态,通过异常状态的因果关系算法分析得出攻击传播的路径,生成拓扑图;并根据待验证工控系统的资产模型计算获取系统的风险值;并根据生产数据与风险值构建实时图以显示攻击对工控系统的影响与系统风险值的变化;(4)根据拟验证的安全防护方案开启防护策略;通过系统风险值的变化评估出系统所能恢复到的最优状态;根据该最优状态控制待测试的工控系统降级运行,并生成安全响应任务集,生成任务调度表;(5)在物理层根据任务调度表调控工控系统的运行状态,以减少系统的损失值。优选地,上述面向工控系统信息安全防护的半实物演示验证方法,其步骤(5)之后,还包括如下步骤:通过监控层的网络数据分析站对异常数据与开启防御后的数据变化进行分析,生成工控系统防御效果报告;并通过监控层的人机交互监控系统显示工控系统当前执行的防护方案、任务调度表以及系统风险值动态的变化。总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有益效果:(1)本专利技术提供的半实物演示验证平台,涉及工业控制系统的监控层、控制层和物理层,各层次之间连接与信息交互符合现行的网络化控制系统的通用需求,为工业控制系统信息安全的纵深防御架构的研究提供了可靠的、符合实际的研究环境;基于本平台可研究不同层次结构的防护策略及方法,以及同一防护目标的不同的实现方法;(2)本专利技术提供的半实物演示验证平台,具有多重可重构特性,提供了标准的硬件、软件、网络协议接口,实现了物理对象可重构、控制设备及工业通信协议可重构、信息安全防护结构及方法动态可重构,为实现研究与验证不同工业控制领域的信息安全防护理论提供了应用场景,有助于解决传统实验中存在的硬件设备投入资金较高、灵活性较差、可扩展性不高的现实问题,缩短了平台的开发周期;(3)本专利技术提供的半实物演示验证平台,可以使工业控制系统信息安全研究者从安全防护的视角对工业控制系统信息安全防护理论及方法进行验证;通过模拟演示装备、系统拓扑图与生产数据实时图等方法显示出攻击的传播路径、攻击对系统造成的危害、防护策略的选择实施、安全任务的调度执行以及系统风险值动态变化等过程,具有攻击传播透明化和防护智能化、可视化的特点。附图说明图1是实施例提供的半实物演示验证平台的结构示意图;图2是实施例提供的半实物演示验证平台的功能结构示意图;图3是实施例提供的半实物演示验证平台具体实现的数据流图;图4是基于实施例提供半实物演示验证平台的攻防演练实现方法的流程示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。此外,下面所描述的本专利技术各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。实施例提供的面向工控系统的半实物演示验证平台,其系统结构如图1所示,包括依次相连的物理层、控制层和监控层;物理层的用于实现实际的生产过程:田纳西-伊斯曼化工反应过程,并将生产实时数据上传至控制层;控制层用于接收物理层上传本文档来自技高网...
【技术保护点】
一种面向工控系统信息安全防护的半实物演示验证平台,其特征在于,包括依次相连的物理层、控制层和监控层;所述物理层用于构造并显示虚拟的物理对象模型,并在控制指令的控制下模拟运行物理对象模型,生成实时现场数据;所述物理层通过工业现场总线与控制层进行数据交互;所述控制层用于根据物理层上传的实时现场数据与监控层下发的统一调度指令,以及内嵌的信息安全防护算法生成控制指令;所述监控层用于根据控制层上传的工控系统实时运行数据和控制指令生成统一调度指令,实现对实际生产过程的实时监控。
【技术特征摘要】
1.一种面向工控系统信息安全防护的半实物演示验证平台,其特征在于,包括依次相连的物理层、控制层和监控层;所述物理层用于构造并显示虚拟的物理对象模型,并在控制指令的控制下模拟运行物理对象模型,生成实时现场数据;所述物理层通过工业现场总线与控制层进行数据交互;所述控制层用于根据物理层上传的实时现场数据与监控层下发的统一调度指令,以及内嵌的信息安全防护算法生成控制指令;所述监控层用于根据控制层上传的工控系统实时运行数据和控制指令生成统一调度指令,实现对实际生产过程的实时监控。2.如权利要求1所述的半实物演示验证平台,其特征在于,所述物理层包括仿真主机和模型演示装置;所述仿真主机通过串口与模型演示装置进行数据交互,通过工业现场总线与控制层进行数据交互;仿真主机用于构造虚拟的物理对象模型并根据控制指令模拟运行,生成实时现场数据;所述模型演示装置用于动态显示物理对象模型的状态。3.如权利要求2所述的半实物演示验证平台,其特征在于,所述仿真主机中内嵌固定的功能函数;所述功能函数通过将软件模块设计成函数形式封装在函数库中或将软件模块编译成目标文件内嵌在仿真主机中获得;通过选择功能函数实现物理对象的可重构。4.如权利要求1或2所述的实物演示验证平台,其特征在于,所述控制层包括控制节点、代理节点和网关节点;所述控制节点用于控制物理对象模型;所述代理节点用于实现仿真主机与控制层控制节点间的数据交互,代理节点与仿真主机通过以太网连接;所述代理节点通过工业控制总线与控制节点连接;所述网关节点用于实现控制节点与监控层之间数据交互;控制节点通过工业控制总线与网关节点连接;网关节点通过工业以太网与监控层连接;所述控制节点包括可重构配置的嵌入式控制器;使用时,根据...
【专利技术属性】
技术研发人员:周纯杰,胡博文,张婷,杨军,秦元庆,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。