本发明专利技术提出一种工业网络边界防护系统,包括生产网系统、数采网系统、办公网系统和工业防火墙系统,生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输,对设备的控制及操作均可在生产网内完成,数采网系统包括工控安全审计平台,所述办公网系统还包括工控系统信息安全监管与分析平台、生产调度系统和客户端;本发明专利技术通过工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析,通过异常监测模块可完成实时监测网络中的通讯链路状态,提高工业网络边界防护系统的安全性,通过工业防火墙系统可以对基于应用层的数据包深度检查,提高了通信安全,对生产网络系统的核心资产防护具有显著效果。
A Border Protection System for Industrial Networks
【技术实现步骤摘要】
一种工业网络边界防护系统
本专利技术涉及数据应用领域,尤其涉及一种工业网络边界防护系统。
技术介绍
近年来,工业控制系统信息安全事件不断发生,“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,充分反映了工业控制系统信息安全面临着严峻的形势。工业控制系统信息安全风险和事件数量依然呈上升趋势,形势非常严峻。网络安全隔离防护的首要内容就是实现网络中一些重要的子系统之间网络流量的访问控制,这是网络安全防护的基础,目前工控网络所面临的安全威胁不仅仅是常规IT攻击手段或病毒感染,而针对工控通讯协议和控制设备自身安全缺陷和漏洞的攻击则会为工控系统带来更成严重的危害,所以访问控制粒度的把握成为工控网络安全建设成败的根本因素,现有的端口级访问控制策略无法做到工业协议恶意代码攻击的防护,这就需要在网络边界处设置具有工业协议深度包检查(DPI)功能的工业防火墙系统来提供更加有效的工业协议应用层防护。因此,本专利技术提出一种工业网络边界防护系统,以解决现有技术中的不足之处。
技术实现思路
针对上述问题,本专利技术通过工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析,通过异常监测模块可完成实时监测网络中的通讯链路状态,将系统内发生的异常通讯以告警的形式汇总展示,并可溯源网络中病毒木马的传播路径,检测工控系统是否存在安全漏洞和隐患,提高工业网络边界防护系统的安全性,通过工业防火墙系统不仅可以在端口进行防护,更可以对基于应用层的数据包深度检查,提高了通信安全,在保证自动化及相关网络通讯信息传输可靠、可用的基础上,完善了智能制造网络安全性,对生产网络系统的核心资产的防攻击、防病毒、防窃密效果显著。本专利技术提出一种工业网络边界防护系统,包括生产网系统、数采网系统、办公网系统和工业防火墙系统,所述生产网系统包括PLC、传感器、智能仪表和DCS系统,所述PLC、传感器、智能仪表和DCS系统均通过工业防火墙系统连接数采网系统,且所述PLC、传感器和智能仪表均单独连接有站控服务器,所述生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输,对设备的控制及操作均可在生产网内完成,所述数采网系统包括工控安全审计平台、采集服务器、实时数据库、Web数据库服务器和关系数据库,所述采集服务器、实时数据库、Web数据库服务器和关系数据库均连接工控安全审计平台,且所述采集服务器和实时数据库用于采集及更新PLC、传感器、智能仪表的实时数据,所述Web数据库服务器和关系数据库用于处理DCS系统的数据,所述数采网系统通过工业防火墙系统连接办公网系统,所述办公网系统也包括工控安全审计平台、实时数据库、Web数据库服务器和关系数据库,所述工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析,且所述办公网系统还包括工控系统信息安全监管与分析平台、生产调度系统和客户端,所述工控系统信息安全监管与分析平台包括异常监测模块、可信计算终端、移动存储介质管控系统和网络安全管理平台,所示异常监测模块连接可信计算终端,且所述异常监测模块、可信计算终端和移动存储介质管控系统均连接网络安全管理平台,所述网络安全管理平台用于接收来自工业防火墙系统和可信终端的报警及日志。进一步改进在于:所述工业防火墙系统使用工业通讯协议白名单的技术,内置PC/Modbus/DNP3/Profinet/等多种专有工业通信协议。进一步改进在于:所述工业防火墙系统内搭载有防火墙组态在线修改模块,所述防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改,而且不影响工厂实时通讯。进一步改进在于:所述防火墙组态在线修改模块的供电模式为双电源供电,且搭载有断电报警输出单元,所述防火墙组态在线修改模块可以配置Bypass功能。进一步改进在于:所述异常监测模块包括网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元,所述网络数据流量监测单元、网络异常数据报警及追溯单元、操作记录及协议深度分析单元、信息窃取报警单元和未知设备接入提醒单元协同可完成实时监测网络中的通讯链路状态,将系统内发生的异常通讯以告警的形式汇总展示,并可溯源网络中病毒木马的传播路径,并检测工控系统是否存在安全漏洞和隐患。进一步改进在于:所述可信计算终端为以密码硬件为核心的可信计算终端,且所述可实现计算环境、生产网系统、数采网系统和办公网系统之间的通信环境安全可信。进一步改进在于:所述可信计算终端包括由授权服务器和安全客户端,所述安全客户端用于全面度量系统所有的进程,并将度量信息提交至授权服务器,所述授权服务器可对接收到的度量信息进行进行编辑后生成白名单,然后提供给安全客户端进行下载,安全客户端依据所下载的白名单对系统和应用进行防护,并将系统及应用中的异常信息和拦截日志进行上传至工控安全审计平台。进一步改进在于:所述移动存储介质管控系统可实现主机对移动存储介质的身份认证、主机对移动存储介质的准入控制和主机对准入信息的下载更新。进一步改进在于:所述工控安全审计平台还包括实现对移动设备的接入和使用行为进行严格审计,审计内容包括接入时间、接入的操作站、访问主体、被访问客体、访问方式、访问结果、日期及时间和用户信息。本专利技术的有益效果为:通过工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析,通过异常监测模块可完成实时监测网络中的通讯链路状态,将系统内发生的异常通讯以告警的形式汇总展示,并可溯源网络中病毒木马的传播路径,检测工控系统是否存在安全漏洞和隐患,提高工业网络边界防护系统的安全性,通过工业防火墙系统不仅可以在端口进行防护,更可以对基于应用层的数据包深度检查,提高了通信安全,在保证自动化及相关网络通讯信息传输可靠、可用的基础上,完善了智能制造网络安全性,对生产网络系统的核心资产的防攻击、防病毒、防窃密效果显著,通过防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改,而且不影响工厂实时通讯,大大降低了项目实施风险,通过可信计算终端可以提高计算环境、生产网系统、数采网系统和办公网系统之间的通信环境安全可信,免疫未知恶意代码破坏,应对高级别的恶意攻击。附图说明图1是本专利技术系统结构示意图。具体实施方式为了加深对本专利技术的理解,下面将结合实施例对本专利技术做进一步详述,本实施例仅用于解释本专利技术,并不构成对本专利技术保护范围的限定。根据图1所示,本实施例提出了一种工业网络边界防护系统,包括生产网系统、数采网系统、办公网系统和工业防火墙系统,所述生产网系统包括PLC、传感器、智能仪表和DCS系统,所述PLC、传感器、智能仪表和DCS系统均通过工业防火墙系统连接数采网系统,且所述PLC、传感器和智能仪表均单独连接有站控服务器,所述生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输,对设备的控制及操作均可在生产网内完成,所述数采网系统包括工控安全审计平台、采集服务器、实时数据库、Web数据库服务器和关系数据库,所述采集服务器、实时数据库、Web数据库服务器和关系数据库均连接工控安全审计平台,且所述采集服务器和实时数据库用于采集及更新PLC、传感器、智能仪表的实时数据,所述Web本文档来自技高网...
【技术保护点】
1.一种工业网络边界防护系统,其特征在于:包括生产网系统、数采网系统、办公网系统和工业防火墙系统,所述生产网系统包括PLC、传感器、智能仪表和DCS系统,所述PLC、传感器、智能仪表和DCS系统均通过工业防火墙系统连接数采网系统,且所述PLC、传感器和智能仪表均单独连接有站控服务器,所述生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输,对设备的控制及操作均可在生产网内完成,所述数采网系统包括工控安全审计平台、采集服务器、实时数据库、Web数据库服务器和关系数据库,所述采集服务器、实时数据库、Web数据库服务器和关系数据库均连接工控安全审计平台,且所述采集服务器和实时数据库用于采集及更新PLC、传感器、智能仪表的实时数据,所述Web数据库服务器和关系数据库用于处理DCS系统的数据,所述数采网系统通过工业防火墙系统连接办公网系统,所述办公网系统也包括工控安全审计平台、实时数据库、Web数据库服务器和关系数据库,所述工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析,且所述办公网系统还包括工控系统信息安全监管与分析平台、生产调度系统和客户端,所述工控系统信息安全监管与分析平台包括异常监测模块、可信计算终端、移动存储介质管控系统和网络安全管理平台,所示异常监测模块连接可信计算终端,且所述异常监测模块、可信计算终端和移动存储介质管控系统均连接网络安全管理平台,所述网络安全管理平台用于接收来自工业防火墙系统和可信终端的报警及日志。...
【技术特征摘要】
1.一种工业网络边界防护系统,其特征在于:包括生产网系统、数采网系统、办公网系统和工业防火墙系统,所述生产网系统包括PLC、传感器、智能仪表和DCS系统,所述PLC、传感器、智能仪表和DCS系统均通过工业防火墙系统连接数采网系统,且所述PLC、传感器和智能仪表均单独连接有站控服务器,所述生产网系统通过工业防火墙系统连接数采网系统可以实现数据单向传输,对设备的控制及操作均可在生产网内完成,所述数采网系统包括工控安全审计平台、采集服务器、实时数据库、Web数据库服务器和关系数据库,所述采集服务器、实时数据库、Web数据库服务器和关系数据库均连接工控安全审计平台,且所述采集服务器和实时数据库用于采集及更新PLC、传感器、智能仪表的实时数据,所述Web数据库服务器和关系数据库用于处理DCS系统的数据,所述数采网系统通过工业防火墙系统连接办公网系统,所述办公网系统也包括工控安全审计平台、实时数据库、Web数据库服务器和关系数据库,所述工控安全审计平台可对数采网系统和生产网络系统和数采网系统的通讯做出行为分析,且所述办公网系统还包括工控系统信息安全监管与分析平台、生产调度系统和客户端,所述工控系统信息安全监管与分析平台包括异常监测模块、可信计算终端、移动存储介质管控系统和网络安全管理平台,所示异常监测模块连接可信计算终端,且所述异常监测模块、可信计算终端和移动存储介质管控系统均连接网络安全管理平台,所述网络安全管理平台用于接收来自工业防火墙系统和可信终端的报警及日志。2.根据权利要求1所述的一种工业网络边界防护系统,其特征在于:所述工业防火墙系统使用工业通讯协议白名单的技术,内置PC/Modbus/DNP3/Profinet/等多种专有工业通信协议。3.根据权利要求1所述的一种工业网络边界防护系统,其特征在于:所述工业防火墙系统内搭载有防火墙组态在线修改模块,所述防火墙组态在线修改模块可实时对组态的工业防火墙系统策略进行修改,而且不影响工厂实...
【专利技术属性】
技术研发人员:翟宝根,胡容茂,朱广宇,李劲宝,倪玉,
申请(专利权)人:南京世界村云数据产业集团有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。