一种基于协议深度分析的工控安全审计系统及其应用技术方案

本发明专利技术涉及一种基于协议深度分析的工控安全审计系统及其应用，所述系统包括：用于对工控系统进行直接控制操作的前端展现层和用于对运维操作指令审计与控制的后端处理层，前端展现模块与后端处理层之间通过中端通信连接；运行时，前端展现层发起报文同步数据，并通过中端通信与后端处理层进行连接并通过后端处理层接收并解析报文信息，根据结果进行日志记录，并关闭同服务的连接，通知前端展现层协议通信结果。本发明专利技术具备灵活的适应性和良好的扩展性，通过电力专用协议深度解析、业务行为管控、特定攻击防御等功能，实时发现并阻断电力工控系统中存在的安全风险，保障企业生产业务应用在工控网络环境下的可控、能控、在控，对工控系统形成有效的安全。

An Industrial Control Security Audit System Based on Protocol Deep Analysis and Its Application

The invention relates to an industrial control security audit system based on protocol in-depth analysis and its application. The system includes a front-end display layer for direct control operation of industrial control system and a back-end processing layer for audit and control of operation and maintenance operation instructions. The front-end display module is connected with the back-end processing layer through mid-end communication; while running, the front-end display layer initiates message identical. Step data is connected with the back-end processing layer through mid-end communication, and message information is received and parsed through the back-end processing layer. Logging is performed according to the results, and the connection with the service is closed to notify the front-end displaying layer protocol communication results. The invention has flexible adaptability and good expansibility. Through the functions of power special protocol in-depth analysis, business behavior control and specific attack defense, the security risks in power industrial control system can be detected and blocked in real time, and the controllability, controllability and control of enterprise production business in industrial control network environment can be guaranteed, so as to form effective security for industrial control system.

【技术实现步骤摘要】
一种基于协议深度分析的工控安全审计系统及其应用
本专利技术涉及工业控制系统安全防御
，具体涉及一种基于协议深度分析的工控安全审计系统及其应用。
技术介绍
近年来，随着工业以太网的逐步推广与应用，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络间接连接，传统IT信息网中的安全威胁已逐步渗透到生产控制网络中。为了提升电力行业的安全防护能力，加强电力监控系统安全防护，2014年国家发改委发布了14号令《电力监控系统安全防护规定》，2015年国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)，简称36号文，进一步明确了安全管理责任，完善了电力监控系统安全防护方案，切实落实安全防护措施，积极开展电力监控系统和信息系统安全评估和安全等级保护测评，并按照文件要求及时完成现场评估和测评。现代信息技术与现代控制技术的深度结合，在为控制技术带来新的创新机会、为企业带来新的商业模式的同时，也将信息网络中的信息安全问题一起带入了现代工业控制系统中。从2010年众所周知的“震网病毒”事件，2011年“Duqu病毒”，2012年的“火焰病毒”和2015年的乌克兰电网遭遇攻击停电事件，再到今天互联网上随处可见的黑客攻击工具，处处展现的是工控系统遭受攻击的“战况”，充分显示了工业控制系统信息安全问题的现实迫切性。因此，以美国为代表的“工业互联网”、以德国为代表的“工业4.0”，都将信息安全作为重中之重。在工业控制智能化推进过程中，信息安全保障工作却进展缓慢，体现在如下几个方面：信息安全空白：借助信息化手段提高生产效率的同时，并没有考虑信息安全防护措施，有些工业控制系统甚至与互联网保持“亲密接触”。信息安全浅表化：部分企业为了满足生产联动，将原来相互独立的工业控制系统互联，或者将生产控制网接入到企业管理网；为了满足信息安全需求，虽然增加了信息安全防护设备，但使用的却是信息系统常用的防火墙。信息安全僵化：个别企业认识到工业控制系统信息安全的重要性，在工业控制系统改造过程中，主动增加了安全防护措施，例如工业防火墙、工控网络监控系统，但由于工业控制系统对高可靠运行生产的要求，作为使用方，在信息安全运维过程中，相应的信息安全策略并没有随着外界攻击技术的发展而调整，导致在实际运行过程中，信息安全问题依然时有发生。攻击工具层出不穷：两化融合中，信息安全保障不到位，但是针对工业控制系统的攻击技术却呈现出日新月异的发展趋势，针对工业控制系统的攻击工具，被黑客制作并散布在互联网上，使得攻击成本越来越低。攻击范围迅速扩大：早期针对部署在关键基础设施的工业控制系统进行攻击，需要较强的攻击能力；但随着工业控制系统信息安全问题公众化后，许多黑客开始利用互联网上轻易得到的攻击工具，瞄准很多基本不具备信息安全防护能力的行业或企业进行攻击，虽然没有严重的恶性事件，却造成严重经济损失。
技术实现思路
为此，本专利技术提供了一种基于协议深度分析的工控安全审计系统，通过采用私有工控控制协议的逆向分析技术，可信运维管理技术，以满足电力工控网络环境下的业务处理、安全审计、入侵检测的需要。为达到上述目的，本专利技术采用如下技术方案：一种基于协议深度分析的工控安全审计系统，包括：用于对工控系统进行直接控制操作的前端展现层和用于对运维操作指令审计与控制的后端处理层，所述前端展现模块与后端处理层之间通过中端通信连接；运行时，所述前端展现层发起报文同步数据，并通过中端通信与所述后端处理层进行连接并通过所述后端处理层接收并解析报文信息，根据结果进行日志记录，并关闭同服务的连接，通知前端展现层协议通信结果。所述前端展现层是基于JAVA语言开发的B/S系统，用户可通过WEB访问的方式访问。所述前端展现层包括：显示层：基于JSP/HTML配合jQuery实现页面效果展示；控制层：使用SpringMVC框架，同时配合使用SHIRO作为权限控制组件；服务层：为系统在前端展现层中提供业务操作逻辑的主要服务，在技术选型上使用Spring作为容器管理框架，使用Log4j进行日志管理和输出，并且提供报表、安全、权限等基础服务和操作接口；缓存层：缓存框架选择使用EhCache，是一种广泛使用的开源Java分布式缓存。数据层：数据持久化引擎，在技术选择上使用MyBatis。所述后端处理层包括：常规协议：为用户提供了基于Telnet、SSH、RDP及RemoteApp协议的运维功能；工控协议：Modbus、OPC、SiemensS7、IEC104、Profinet以及DNP3等协议的规则维护及下发，并针对各类协议进行白名单、控制规则的维护以及下发操作。所述常规协议为具有审计功能的协议。。所述工控协议还包括告警处理模块，用于处理规则下发后的执行结果反馈以及触发规则后的告警信息。以上所述基于协议深度分析的工控安全审计系统在工控网络环境下的应用。本专利技术技术方案，具有如下有益效果：A、本专利技术基于协议深度分析的工控安全审计系统，具备灵活的适应性和良好的扩展性，是为加强工业网络环境下工控系统安全审计管控的力度，通过电力专用协议深度解析、电力专用业务行为管控、特定攻击防御等功能，实时发现并阻断电力工控系统中存在的恶意指令攻击、关键非授权操作、木马病毒传播、厂商运维人员违规运维等安全风险，满足当前企业对网络内容分析与监测类设备的迫切需求，保障企业生产业务应用在工控网络环境下的可控、能控、在控，对电力工控系统形成有效的安全。B、本专利技术基于协议深度分析的工控安全审计系统，可以直接应用到石油、水利、烟草等高度工业化行业中，同时可以衍生出工业防火墙、工业可信网关等产品。在工控系统的PLC、DCS、工业交换机、HMI、操作员站、工程师站、以及历史数据库、实时数据库等设备的现场维护中，将能够帮助用户防止恶意代码通过运维扩散到工控系统、防止泄露生产工艺配方数据、防止违规操作不当造成生产事故，提高监测和审计的粒度，加强风险识别和预警的能力，促进工控安全管理制度的有效落实，提升安全管理绩效。附图说明为了更清楚地说明本专利技术具体实施方式，下面将对具体实施方式中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术工控安全审计系统原理图；图2为本专利技术中端通信流程图；图3为本专利技术中工控协议控制规则的下发过程图；图4为本专利技术中告警处理模块处理流程图。附图标记说明：1-前端展现层，11-显示层，12-控制层，13-服务层，14-缓存层，15-数据层；2-中端通信；3-后端处理层，31-常规协议，32-工控协议。具体实施方式下面将结合附图对本专利技术的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。如图1所示，本专利技术提供了一种基于协议深度分析的工控安全审计系统，包括：用于对工控系统进行直接控制操作的前端展现层1和用于对运维操作指令审计与控制的后端处理层3，前端展现模块1与后本文档来自技高网...

【技术保护点】
1.一种基于协议深度分析的工控安全审计系统，其特征在于，包括：用于对工控系统进行直接控制操作的前端展现层(1)和用于对运维操作指令审计与控制的后端处理层(3)，所述前端展现模块(1)与后端处理层(3)之间通过中端通信(2)连接；运行时，所述前端展现层(1)发起报文同步数据，并通过中端通信(2)与所述后端处理层(3)进行连接并通过所述后端处理层(3)接收并解析报文信息，根据结果进行日志记录，并关闭同服务的连接，通知前端展现层(1)协议通信结果。

【技术特征摘要】
1.一种基于协议深度分析的工控安全审计系统，其特征在于，包括：用于对工控系统进行直接控制操作的前端展现层(1)和用于对运维操作指令审计与控制的后端处理层(3)，所述前端展现模块(1)与后端处理层(3)之间通过中端通信(2)连接；运行时，所述前端展现层(1)发起报文同步数据，并通过中端通信(2)与所述后端处理层(3)进行连接并通过所述后端处理层(3)接收并解析报文信息，根据结果进行日志记录，并关闭同服务的连接，通知前端展现层(1)协议通信结果。2.根据权利要求1所述的基于协议深度分析的工控安全审计系统，其特征在于，所述前端展现层(1)是基于JAVA语言开发的B/S系统，用户可通过WEB访问的方式访问。3.根据权利要求2所述的基于协议深度分析的工控安全审计系统，其特征在于，所述前端展现层(1)包括：显示层(11)：基于JSP/HTML配合jQuery实现页面效果展示；控制层(12)：使用SpringMVC框架，同时配合使用SHIRO作为权限控制组件；服务层(13)：为系统在前端展现层(1)中提供业务操作逻辑的主要服务，在技术选型上使用Spring作为容器管理框架，使...

【专利技术属性】
技术研发人员：林亮成，杨宗跃，
申请(专利权)人：国网信通产业集团有限公司，国网思极网安科技北京有限公司，
类型：发明
国别省市：北京,11