一种工控边界网络安全防护方法技术

本发明专利技术属于信息防护领域，具体涉及一种工控边界网络安全防护方法。现有技术工控边界防护过于单一，缺乏有效监测和审计，从管理大区到生产大区的安全威胁不可知不可控。本方法包括四个部分：在生产大区和管理大区之间接入安全区；建立四道安全防线；集中分析和监测；分级应急处置。本方法实现了对工控边界网络行为的监测，保障工控边界数据接入服务器(如PI服务器)的主机安全，同时在受到非法入侵时能够以逻辑链路和物理链路隔离方式阻断，全面提高工控系统的边界安全防护水平。控系统的边界安全防护水平。控系统的边界安全防护水平。

【技术实现步骤摘要】
一种工控边界网络安全防护方法


[0001]本专利技术属于信息防护领域，具体涉及一种工控边界网络安全防护方法。

技术介绍

[0002]近年来国内外连续发生了多起电力系统攻击事件，核电作为国家的关键基础设施，亟需建立整体安全防护体系，提高安全防护水平。在役核电厂目前普遍采用国外的工控系统，其内部的安全建设和整改，需要长期的测试和验证工作，在这种情况下，提升核电工业互联网边界的网络安全水平是目前提高整体安全防护水平的重要手段。
[0003]当前各核电厂工控网络边界普遍采用了单向隔离装置进行安全防护，数据由生产控制大区经单向网闸直接传入管理信息大区，如图1所示。
[0004]这种防护措施并不安全，工控边界防护过于单一，缺乏有效监测和审计，从管理大区到生产大区的安全威胁不可知不可控，具体体现如下：
[0005]1)缺乏对工控边界网络行为的监测能力
[0006]工控网络在设计之初未考虑到边界网络的集中监测，缺乏边界网络流量、边界安全设备、交互主机等整体安全状况，无法对边界网络安全状况进行有效监测和预警，给电厂一线运维人员带来工作上的不便；
[0007]2)边界防护单一且不能实现真正的物理隔离
[0008]当前核电厂工控网络边界严重依赖网闸的安全防护，且无法做到真正的物理隔离，一旦网闸被攻破入侵者可直接从办公网抵达工控系统内部造成严重的破坏；
[0009]3)数据接入服务器(如PI服务器)未进行安全防护，存在安全隐患
[0010]数据接入服务器位于管理大区，其所处的网络环境复杂面临的威胁最大，在面对APT(高级持续性威胁)此类潜伏长久、攻击方式隐蔽的入侵往往无法有效感知和防护。

技术实现思路

[0011]1、目的：
[0012]针对工业互联网边界网络安全防护存在的防护单一、缺乏监测、异常状况下无法物理隔离等问题，提供一种核电工控边界网络安全防护方法。
[0013]2、技术方案：
[0014]一种工控边界网络安全防护方法，包括四个部分：在生产大区和管理大区之间接入安全区；建立四道安全防线；集中分析和监测；分级应急处置。
[0015]所述的在生产大区和管理大区之间接入安全区，具体包括：管理大区数据接口主机单独分区，以管理大区数据接口主机为边界，在生产大区和管理大区之间划分出管理
‑
生产数据接入安全区。
[0016]所述的建立四道安全防线，具体包括：建立四道防线，第一道防线为管理大区数据接口主机，第二道防线为工控边界异构防护设备，第三道防线为单向隔离装置，第四道防线为生产大区数据接口主机。
[0017]所述的集中分析和监测，具体包括：对管理
‑
生成数据接入区的流量数据、设备运行状态、设备日志以及生产大区数据接口主机的状态、日志进行统一收集和处理；对采集的数据多角度进行联动分析；将网络安全分析结果，从多个维度进行集中展示。
[0018]所述的分级应急处置，具体包括：根据检测到的工控边界网络安全异常状态和威胁程度，以逻辑链路阻断或物理链路隔离的方式进行工控边界网络安全分级处置。
[0019]所述的第一道防线管理大区数据接口主机，第四道防线生产大区数据接口主机，对所述的两类主机进行加固和安全防护。
[0020]所述的第二道防线工控边界异构防护设备，对边界流量进行访问控制和安全审计。
[0021]所述的分级应急处置，包括：当安全威胁处于探测阶段，影响范围在生产大区以外，对其进行逻辑阻断，防止探测进一步执行。
[0022]所述的分级应急处置，包括：当安全威胁处于攻击阶段，安全威胁有可能影响到生产大区时，通过远程控制边界防护设备，一键物理隔离控制大区。
[0023]3、效果：
[0024]实现对工控边界网络行为的监测，保障工控边界数据接入服务器(如PI服务器)的主机安全，同时在受到非法入侵时能够以逻辑链路和物理链路隔离方式阻断，全面提高工控系统的边界安全防护水平。
附图说明
[0025]图1电力工控系统边界架构图
[0026]图2电力工控系统边界安全分区架构图
[0027]图3电力工控系统边界纵深防御架构图
[0028]图4电力工控系统边界集中监测架构图
具体实施方式
[0029]该方法提出了核电工控边界网络安全架构，该架构在生产控制大区和管理信息大区之间设立了管理—生产数据接入区。这一区域主要由管理大区数据接入服务器、工控边界防火墙、单向隔离装置、生产大区数据接入服务器及集中监测系统组成，并在两台数据服务器上安装了主机安全守护与行为检测软件。生产控制大区的数据经由生产控制大区接入服务器、单向隔离装置、工控边界防火墙、管理大区数据接入服务器传至管理信息大区，集中监测系统接入来自生产控制大区接入服务器、工控边界防火墙、管理大区数据接入服务器的数据流量、设备运行状态和设备日志信息。
[0030](1)一种工控边界安全分区的方法
[0031]在生产大区和管理大区之间划分管理—生产数据接入安全区。
[0032]管理大区的数据接口主机作为与控制大区直接通信的唯一节点，不应作为管理大区的普通运用主机进行防护，应将该主机单独分区，进行重点防护。区域划分以管理大区数据接口主机为边界，划分安全区如图2所示。
[0033](2)一种纵深防御的架构模型
[0034]如图3所示，在单向隔离装置单一防护的基础上增加三道防线，建立四道安全防
线。
[0035]第一道防线为管理大区的数据接口主机，针对该主机进行安全加固和安全防护；第二道防线为工控边界异构防护设备，对边界流量进行访问控制和安全审计；第三道防线为单向隔离装置；第四道防线为生产大区数据接口主机，针对该主机同样进行安全加固和安全防护。
[0036](3)一种集中分析和监测的方法
[0037]对工控边界的网络安全进行集中分析和集中监测，提升安全威胁的辨识能力和安全风险的监测预警能力，如图4所示。
[0038]对管理
‑
生成数据接入区的流量数据、设备运行状态、设备日志以及生产大区数据接口主机的状态、日志进行统一收集和处理；对采集的数据通过归并、关联等方式多角度进行联动分析；将网络安全分析结果，从攻击趋势、有效攻击、业务资产脆弱性等多个维度进行集中展示。
[0039](4)一种应急处置的方法
[0040]根据检测到的工控边界网络安全异常状态和威胁程度，以逻辑链路阻断或物理链路隔离的方式进行工控边界网络安全分级处置。
[0041]当安全威胁处于探测阶段，影响范围在生产大区以外，对其进行逻辑阻断，防止探测进一步执行；当安全威胁处于攻击阶段，安全威胁有可能影响到生产大区时，通过远程控制边界防护设备，一键物理隔离控制大区。
[0042]此架构具备如下能力：
[0043]一、工业互联网边界集中监测能力
[0044](1)工控边界的网络安全数据采集能力...

【技术保护点】

【技术特征摘要】
1.一种工控边界网络安全防护方法，其特征在于：包括四个部分：在生产大区和管理大区之间接入安全区；建立四道安全防线；集中分析和监测；分级应急处置。2.根据权利要求1所述的一种工控边界网络安全防护方法，其特征在于：所述的在生产大区和管理大区之间接入安全区，具体包括：管理大区数据接口主机单独分区，以管理大区数据接口主机为边界，在生产大区和管理大区之间划分出管理
‑
生产数据接入安全区。3.根据权利要求1所述的一种工控边界网络安全防护方法，其特征在于：所述的建立四道安全防线，具体包括：建立四道防线，第一道防线为管理大区数据接口主机，第二道防线为工控边界异构防护设备，第三道防线为单向隔离装置，第四道防线为生产大区数据接口主机。4.根据权利要求1所述的一种工控边界网络安全防护方法，其特征在于：所述的集中分析和监测，具体包括：对管理
‑
生成数据接入区的流量数据、设备运行状态、设备日志以及生产大区数据接口主机的状态、日志进行统一收集和处理；对采集的数据多角度进行联动分析；将网络安全分析结...

【专利技术属性】
技术研发人员：张登，马文博，赵磊，许克珂，高汉军，苏辉，朱旭东，
申请(专利权)人：中国核能电力股份有限公司江苏核电有限公司，
类型：发明
国别省市：