一种应用于工业控制系统中的安全防护方法和系统技术方案

本发明专利技术公开了应用于工业控制系统中的安全防护方法和系统，包括一种应用于工业控制系统中的安全防护系统，应用于工业控制系统中的安全防护系统包括：监督管理网络和现场控制网络，监督管理网络包括：人机界面、工程师工作站、监控台，人机界面、工程师工作站和监控台同时与交换机相连接；现场控制网络包括：下位机、安全防护设备和现场设备，下位机同时与交换机、安全防护设备、现场设备相连接，安全防护设备还与交换机相连接；本发明专利技术能够使安全防护设备接收到非法访问的信息流量时，限制和阻断该非法信息或该信息引发的恶意软件在工业控制系统上的蔓延，迅速有效隔离问题控制子网或相关设备。

Safety protection method and system applied in industrial control system

Safety protection method and system of the present invention discloses application in industrial control system, including the security protection system for use in industrial control systems, including safety protection system used in industrial control system: the supervision and management of network and control network, supervision and management of the network includes a man-machine interface, engineer workstation, monitoring station, man-machine interface, and monitor engineer workstation with switch; control networks include: lower machine, safety protection equipment and site equipment, machine and switches, safety protection equipment and site equipment is connected with safety protection equipment is also connected with the switch; the invention can make traffic safety protection equipment receiving to illegal access, limit and block the illegal information or the information caused by malicious software in industrial control The spread of the system, the rapid isolation of the problem, control subnet or related equipment.

【技术实现步骤摘要】
一种应用于工业控制系统中的安全防护方法和系统
本专利技术涉及工业控制安全领域
，特别涉及一种应用于工业控制系统中的安全防护方法和系统。
技术介绍
随着标准网络和互联网技术在工业控制系统的广泛应用，工业控制系统的安全威胁正日益加剧，已经证实了恶意软件在工业控制设备之间传播的可能性。目前现有的安全防护技术局限于对特定控制设备的防护，对于大型的工业控制网络来说对于每个控制子网的安全防护是独立进行，各自为政。鉴于防护手段缺乏联动机制的现状，本专利技术提出了一个基于个别非法入侵检测的信息实现全网智能联动阻断与被入侵现场控制子网之间通信的方法以期防范个别控制子网感染恶意软件在整个工业控制系统的蔓延的问题。
技术实现思路
为此，本专利技术提供了一种应用于工业控制系统中的安全防护方法和系统，用于解决在控制系统中的控制器在外界干扰或自身出现问题时发送不符合正常操作流程的操作指令，导致下位机或现场设备功能丧失所造成的危险问题等问题。为达到上述目的，本专利技术的技术方案是这样实现的：一种应用于工业控制系统中的安全防护系统，应用于工业控制系统中的安全防护系统包括：监督管理网络100和现场控制网络200，监督管理网络100包括：人机界面102、工程师工作站104、监控台106，人机界面102、工程师工作站104和监控台106同时与交换机110相连接；现场控制网络200包括：下位机302、安全防护设备304和现场设备402，下位机302同时与交换机110、安全防护设备304、现场设备402相连接，安全防护设备304还与交换机110相连接。安全防护设备304包括：处理器640、告警处理模块606、用户界面模块608和存储模块610，处理器604与告警处理模块606相连接，告警处理模块606与用户界面模块608和存储模块610相连接，进一步的用户界面模块608还与存储模块610相连接。监控台106包括：网络接口702、处理器704、访问控制模块706、状态检测模块708、数据包检测模块710、阻断模块712、存储模块714和监控台接口模块716，网络接口702与处理器704相连接，处理器704同时与访问控制模块706、状态检测模块708、数据包检测模块710、阻断模块712、存储模块714和监控台接口模块716相连接。一种应用于工业控制系统中的安全防护方法，包括三个步骤：a.安全防护设备接收到非法访问的信息时，首先阻断接收该非法信息的下位机与现场设备之间的通信，并同时将告警信息发送给监控台；b.监控台接收到来自安全防护设备的告警信息后进行分析，若确定告警信息不会造成对工业控制系统中其他控制子网造成影响，则记录该信息，并显示告警信息；否则，向工业控制系统所有安全防护设备发出指令，阻断与发生非法接入信息的控制子网的通信；c.控制子网中的安全防护设备在接收到监控台指令后，将接收非法信息的控制设备所在的控制子网列入黑名单，阻断接收非法信息的控制设备与接收非法信息的控制设备所在控制子网之间的通信。当安全防护设备检测到来自监控台的非法访问时，安全防护设备自动阻断下位机和现场设备的通信。安全防护设备在阻断了被防护的下位机和现场设备的通信之后，向监控总台告警。监控台对接收到的告警信息进行分析，若分析结果确定告警信息不影响其他现场控制子网的正常运行，则显示告警记录。监控台对接收到的告警信息进行分析，若分析结果确定告警信息影响其它的现场控制子网或不能确定告警信息的影响范围时，监控台将发出指令阻断所有与存在非法入侵的控制子网之间的通信，并显示告警。连接在现场控制子网的安全防护设备在接收到监控台发布的阻断通信指令时将阻断通信指令中的信息，包括：接收非法信息的控制设备ID，IP地址、MAC地址、子网掩码信息，写入接入控制规则，并进一步阻断与接收非法信息的控制设备的通信。本专利技术的有益效果：本专利技术能够使安全防护设备接收到非法访问的信息流量时，限制和阻断该非法信息或该信息引发的恶意软件在工业控制系统上的蔓延，迅速有效隔离问题控制子网或相关设备。附图说明图1是本专利技术工业控制系统网络结构的示意图，图2是本专利技术中监控台组成的示意图，图3是本专利技术中安全防护设备组成的示意图，图4是本专利技术中安全防护方法的流程示意图。附图标记：100-监督管理网络，102-人机界面，104-工程师工作站，106-监控台，110-交换机，200-现场控制网络302-下位机，304-安全防护设备，402-现场设备，604-处理器，606-告警分析模块，608-用户界面模块，610-存储模块，702-网络通信接口，704-处理器，706-访问控制模块，708-状态检测模块，710-数据包检测模块，712-访问控制，714-存储模块，716-监控台接口模块。具体实施方式下面结合附图对本专利技术的较佳实施例进行详细阐述，参考标号是指本专利技术中的组件、技术，以便本专利技术的优点和特征在适合的环境下实现能更易于被理解。在图1表示工业控制系统监督管理网络100和现场控制网络200，监督管理网络100中包括但不限于人机界面102，工程师工作站104，监控台106，用于网络连接的交换机110。人机界面102和工程师工作站104通过交换机110对现场控制网络的下位机302进行管理和监督。监控台106是与部署在每个现场控制子网的安全防护设备304共同协作，进行入侵检测并指挥每个现场控制子网的各个安全防护设备304(304-1，304-2……304-k，k＝1，2，……，n)，在必要时阻断与受感染的现场控制子网或接收非法消息的控制设备之间的通信。现场控制网络200包括n个现场控制子网，对于第k(k＝1，2，……，n)个现场控制子网包括但不限于下位机302(302-1，302-2……302-k，k＝1，2，……，n)，安全防护设备304，和若干现场设备402(402-1，402-2，……，402-m(k)，m(k))。下位机302通过网络设备，也就是交换机110-k，按照工业控制协议与监督管理层网络100中的人机界面102或工程师工作站104通信。并且下位机302输出指令到现场设备402或从现场设备402输入检测数据到下位机302。安全防护设备304从交换机110上读取所有发送给下位机302的网络流量，并进行分析判断是否为合法控制命令或数据。监控台106的具体结构如图2所示，监控台106包括但不限于网络通信接口、处理器604、告警处理模块606、用户界面模块608和存储模块610。监控台106在本专利技术中的功能是协调处理来自现场控制网络200中安全防护设备304发出的告警信息，在必要时向整个现场控制网络200发出通信阻断信息。安全防护设备304如图3所示，安全防护设备304包括但不限于网络通信接口702，处理器704，访问控制模块706，状态检测模块708，数据包检测模块710，通信阻断模块712，存储模块714和监控台接口模块716。在本专利技术中主要完成入侵检测的功能、告警通报功能和通信阻断的功能。其中入侵检测功能通过包括但不限于访问控制模块706，状态检测模块708，和数据包检测模块710等模块单独处理或共同处理完成，当检测到非法入侵信息存储在存储模块714中；告警通报功能是检测到非法入侵的信息时，监控台接口API模块生成监控台可本文档来自技高网...

【技术保护点】
一种应用于工业控制系统中的安全防护系统，其特征在于，所述应用于工业控制系统中的安全防护系统包括：监督管理网络和现场控制网络，所述监督管理网络包括：人机界面、工程师工作站、监控台，所述人机界面、所述工程师工作站和所述监控台同时与交换机相连接；现场控制网络包括：下位机、安全防护设备和现场设备，所述下位机同时与所述交换机、所述安全防护设备、所述现场设备相连接，所述安全防护设备还与所述交换机相连接。

【技术特征摘要】
1.一种应用于工业控制系统中的安全防护系统，其特征在于，所述应用于工业控制系统中的安全防护系统包括：监督管理网络和现场控制网络，所述监督管理网络包括：人机界面、工程师工作站、监控台，所述人机界面、所述工程师工作站和所述监控台同时与交换机相连接；现场控制网络包括：下位机、安全防护设备和现场设备，所述下位机同时与所述交换机、所述安全防护设备、所述现场设备相连接，所述安全防护设备还与所述交换机相连接。2.根据权利要求1所述的应用于工业控制系统中的安全防护系统，其特征在于，所述安全防护设备包括：处理器、告警处理模块、用户界面模块和存储模块，所述处理器与所述告警处理模块相连接，所述告警处理模块与所述用户界面模块和所述存储模块相连接，进一步的所述用户界面模块还与所述存储模块相连接。3.根据权利要求1或2所述的应用于工业控制系统中的安全防护系统，其特征在于，所述监控台包括：网络接口、处理器、访问控制模块、状态检测模块、数据包检测模块、阻断模块、存储模块和监控台接口模块，所述网络接口与所述处理器相连接，所述处理器同时与所述访问控制模块、所述状态检测模块、所述数据包检测模块、所述阻断模块、所述存储模块和所述监控台接口模块相连接。4.一种应用于工业控制系统中的安全防护方法，其特征在于，包括三个步骤：a.安全防护设备接收到非法访问的信息时，首先阻断接收该非法信息的下位机与现场设备之间的通信，并同时将告警信息发送给监控台；b.所述监控台接收到来自所述安全防护设备的告警信息后进行分析，若确定所述告警信息不会造成对工业控制系统中其他控制子网造成影响，则记录该信息，并显示告警信息；否...

【专利技术属性】
技术研发人员：胡浩，何小梅，王晶，王明华，傅刚，陶靖隆，刘青，李志，李远，杨文勃，侯海波，
申请(专利权)人：北京立思辰新技术有限公司，杭州谷逸网络科技有限公司，
类型：发明
国别省市：北京,11