本发明专利技术公开了一种用于分布式控制系统的安全防护装置,所述分布式控制系统包括设备层、控制层和网络层,所述安全防护装置包括安全检测模块和管理终端。所述安全检测模块可针对设备层数据进行安全检测,所述管理终端用于接收和显示检测结果;所述安全防护装置还包括漏洞扫描模块,用于对网络层设备进行漏洞扫描,并将扫描结果发送给所述管理终端处理;所述安全防护装置还包括独立的系统时钟模块,为系统提供安全可靠的授时服务。本发明专利技术提供的安全防护装置具有集成度高、功能全面的优点,可以大大提高分布式控制系统的信息安全防护等级,具有重要的工程应用意义。具有重要的工程应用意义。具有重要的工程应用意义。
【技术实现步骤摘要】
一种用于分布式控制系统的安全防护装置
[0001]本专利技术涉及工业控制
,特别涉及一种分布式控制系统的信息安全防护领域。
技术介绍
[0002]分布式控制系统广泛应用于火电、核电、煤炭、石油、化工、交通、水利等领域,用于控制生产设备的运行。由于分布式控制系统大多采用通用的硬件、软件和通用协议与公共网络连接,木马、病毒扩散等将对系统运行带来巨大风险。而现有的信息安全防护主要是通过单向网关的数据传输方式进行防护,无法满足双向网络数据交互的信息安全问题。特别是目前的分布式控制系统设备层与控制层数据传输采用Modbus Tcp通讯协议完成,而Modbus Tcp通讯协议存在缺乏身份认证机制、协议完整性机制和功能码恶意修改等缺陷,易被攻击者利用造成很大的安全隐患。另外,分布式控制系统普遍存在系统漏洞不能被及时检测与修复的问题。一旦相关分布式控制系统的信息安全出现漏洞,将对工业生产运行和民生经济造成重大危害。
技术实现思路
[0003]本专利技术要解决的技术问题是为了克服现有技术中分布式控制系统信息安全防护存在的缺陷,提供一种用于分布式控制系统的安全防护装置,解决双向数据交互带来的信息安全风险,以保证分布式控制系统的正常运行。
[0004]本专利技术是通过下述技术方案来解决上述技术问题:
[0005]本专利技术一方面提供一种用于分布式控制系统的安全防护装置,分布式控制系统包括设备层、控制层和网络层,安全防护装置包括安全检测模块和管理终端;
[0006]安全检测模块用于获取设备层的设备数据,并将设备数据转发至控制层;
[0007]控制层用于接收设备层数据,并基于设备层数据与网络层进行数据交互;
[0008]安全检测模块还用于对设备层数据进行安全检测,并将检测结果发送至管理终端;
[0009]管理终端用于接收并显示检测结果。
[0010]较佳地,安全检测模块包括第一交换机和安全检测单元;
[0011]第一交换机用于接收设备层发送的设备数据,并将设备数据转发至控制层和安全检测单元;
[0012]安全检测单元用于对设备数据进行安全检测。
[0013]进一步地,第一交换机设有第一端口、第二端口、第三端口、第四端口和第五端口,第一端口与设备层相连,第二端口与控制层相连,第三端口与安全检测单元连接,第四端口与安全检测单元连接,第五端口与管理终端相连;
[0014]第一交换机具体用于将第一端口的数据转发至第二端口,将第一端口的数据镜像至第三端口,以及将第四端口的数据转发至第五端口。
[0015]较佳地,安全防护装置还包括漏洞扫描模块,漏洞扫描模块用于对网络层的网络数据进行漏洞扫描,并将扫描结果发送至管理终端;
[0016]管理终端还用于接收并显示漏洞扫描结果。
[0017]较佳地,漏洞扫描模块包括第二交换机和漏洞扫描单元;
[0018]第二交换机用于接收网络层发送的网络数据,并将网络数据转发至漏洞扫描单元;
[0019]漏洞扫描单元用于对网络数据进行漏洞扫描。
[0020]进一步地,第二交换机设有第六端口、第七端口、第八端口和第九端口,第六端口与网络层相连,第七端口与漏洞扫描单元连接,第八端口与漏洞扫描单元连接,用于接收漏洞扫描单元的扫描结果,第九端口与管理终端相连;
[0021]第二交换机具体用于将第六端口的数据转发至第七端口,以及将第八端口数据转发至第九端口。
[0022]较佳地,安全防护装置还包括独立的系统时钟模块,系统时钟模块通过ETH0网口与第二交换机相连,为网络层的设备进行授时。
[0023]较佳地,系统时钟模块可以通过SAT端口与GPS或者北斗卫星天线进行对时。
[0024]较佳地,系统时钟模块还可以通过外部的单向IRIG
‑
B码源进行对时。
[0025]本专利技术第二方面还提供一种安全防护系统,包括分布式控制系统以及第一方面所述的安全防护装置。
[0026]本专利技术的积极进步效果在于,提供一种针对分布式控制系统的安全防护装置,通过对设备层和控制层之间数据的安全检测和对网络层设备的漏洞扫描,在保证控制系统正常数据交换的同时,大大增加整个控制系统的信息安全防护能力。通过设置独立的GPS或者北斗卫星天线对时或单向IRIG
‑
B码源对时,避免系统通过NTP协议获取外部不安全时钟源,进一步提高了整个分布式控制系统的信息安全等级。本专利技术通过集成的方式减少了信息安全解决方案的配置过程,整合了信息安全解决方案的外部接口,具有重要的工程应用意义。
附图说明
[0027]图1为本专利技术实施例1提供的一种安全防护装置与分布式控制系统的连接示意图。
[0028]图2为本专利技术实施例1提供的一种用于分布式控制系统的安全防护装置的内部结构示意图。
具体实施方式
[0029]下面通过实施例的方式进一步说明本专利技术,但并不因此将本专利技术限制在所述的实施例范围之中。
[0030]分布式控制系统包括设备层、控制层和网络层,系统的数据交互在设备层与控制层之间以及控制层与网络层之间进行,其数据运行方式如图1所示。
[0031]具体地,设备层对应工业现场的过程数据采集设备,例如仪器仪表、传感器等。控制层的功能是将接收到的设备层数据通过控制器转换为网络数据,并传输至网络层,网络层将数据提交给管理层,实现集中监控、操作和管理,管理层可通过人机接口对过程对象进行分析记录和操作控制。
[0032]实施例1
[0033]本实施例提供一种分布式控制系统的安全防护装置,该安全防护装置包括安全检测模块和管理终端,如图1所示。
[0034]安全检测模块用于获取设备层的设备数据,并将设备数据转发至控制层。控制层接收设备数据并基于设备数据与网络层进行数据交互;
[0035]控制层用于接收设备数据,并基于设备数据与网络层进行数据交互;
[0036]安全检测模块用于对设备数据进行安全检测,并将检测结果发送至管理终端;
[0037]管理终端用于接收并显示检测结果。
[0038]作为一种可选的实施例,安全检测模块包括第一交换机和安全检测单元;第一交换机用于接收设备层发送的设备数据,并将设备数据转发至控制层和安全检测单元;安全检测单元用于对设备数据进行安全检测。
[0039]作为一种可选的实施例,第一交换机设有第一端口、第二端口、第三端口、第四端口和第五端口,第一端口与设备层相连,第二端口与控制层相连,第三端口与安全检测单元连接,第四端口与安全检测单元连接,第五端口与管理终端相连。第一交换机具体用于将第一端口的数据转发至第二端口,将第一端口的数据镜像至第三端口,以及将第四端口的数据转发至第五端口。
[0040]在如图2所示的例子中,该第一端口包括端口1
‑
1~1
‑
3和端口2
‑
1~2
‑
3,第二端口包括1
‑
...
【技术保护点】
【技术特征摘要】
1.一种用于分布式控制系统的安全防护装置,其特征在于,所述分布式控制系统包括设备层、控制层和网络层,所述安全防护装置包括安全检测模块和管理终端;所述安全检测模块用于获取所述设备层的设备数据,并将所述设备数据转发至所述控制层;所述控制层用于接收所述设备数据,并基于所述设备数据与所述网络层进行数据交互;所述安全检测模块还用于对所述设备数据进行安全检测,并将检测结果发送至所述管理终端;所述管理终端用于接收并显示所述检测结果。2.如权利要求1所述的安全防护装置,其特征在于,所述安全检测模块包括第一交换机和安全检测单元;所述第一交换机用于接收所述设备层发送的设备数据,并将所述设备数据转发至所述控制层和所述安全检测单元;所述安全检测单元用于对所述设备数据进行安全检测。3.如权利要求2所述的安全防护装置,其特征在于,所述第一交换机设有第一端口、第二端口、第三端口、第四端口和第五端口,所述第一端口与所述设备层相连,所述第二端口与所述控制层相连,所述第三端口与所述安全检测单元连接,所述第四端口与所述安全检测单元连接,所述第五端口与所述管理终端相连;所述第一交换机具体用于将所述第一端口的数据转发至所述第二端口,将所述第一端口的数据镜像至所述第三端口,以及将所述第四端口的数据转发至第五端口。4.如权利要求1所述的安全防护装置,其特征在于,所述安全防护装置还包括漏洞扫描模块,所述漏洞扫描模块用于对所述网络层的网络数据进行漏洞扫描,并将扫描结果发送...
【专利技术属性】
技术研发人员:王帆,陈体伟,代博,李建伟,张聪,王翔宇,杨苏玥,薛立宗,徐国彬,杜玉刚,
申请(专利权)人:山东核电有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。