【技术实现步骤摘要】
本专利技术涉及工控系统,具体为一种可信工控系统的安全防御方法及系统。
技术介绍
1、火电厂的dcs(distributed control system,即分布式控制系统)系统属于工控系统,工控系统对于信息安全的要求是十分严格的,因此对于可信管理平台而言,工控系统安全性是第一位的。而火电厂的dcs系统的安全取决于工控系统运行的物理环境的安全性、服务器及网络的安全性、操作系统的安全性、应用系统的安全性及应用数据的安全性等。
2、现有工控系统缺乏必要的物理防护措施,如安全环境控制机制、授权设置以及安全变更测试机制等,这增加了工控系统被非法访问或破坏的风险。另外,工控系统网络未进行虚拟局域网划分,架构设计不合理,无法有效防止广播风暴等问题,增加了网络被攻击的风险。
技术实现思路
1、针对现有技术中存在的问题,本专利技术提供一种可信工控系统的安全防御方法及系统,为火电厂的dcs系统提供安全稳定的服务。
2、本专利技术是通过以下技术方案来实现:
3、第一方面,本申请提供了一种可信工控系统的安全防御方法,其特征在于,包括:
4、基于最小权限原则,根据用户的角色对其配置访问权限集合;
5、生成用于登录可信工控系统的身份认证信息,采用锁定机制对用户的认证过程进行限制;
6、采用粒度控制方法对用户各访问权限的访问数据进行控制,对用户的每个访问权限设置粗粒度控制和细粒度控制,粗粒度控制用于控制访问权限对应的可信工控系统的功能,细粒
7、所述可信工控系统的数据传输过程采用密钥加密机制;
8、所述可信工控系统中配置日志管理方法,用于对用户操作过程以及可信工控系统的运行数据进行实时记录;
9、采用负载均衡技术对可信工控系统的服务器负载进行分配。
10、优选的,所述身份认证信息包括户名、密码、生物信息或/和动态令牌。
11、优选的,所述采用锁定机制对用户的认证过程进行限制,包括:
12、在可信工控系统中设置认证失败的次数阈值,当用户连续认证失败次数达到次数阈值,自动锁定该用户的账户。
13、优选的,所述可信工控系统的服务器和客户端之间建立加密通道,传输的数据经过加密处理后进行传输,客户端和服务器分别持有相应的私钥和公钥,用于加密和解密数据。
14、优选的,所述密钥加密机制采用tls/ssl安全协议对数据进行加密传输。
15、优选的,还包括,所述可信工控系统的服务器和数据库采用主备配置。
16、优选的,所述可信工控系统中配置日志管理方法,包括:
17、根据可信工控系统的运行数据生成日志;
18、根据日志的重要性和类型对日志分类;
19、对分类的日志审计,获取可信工控系统安全问题并进行处理;
20、日志保护,对日志进行加密存储和定期备份,防止日志被篡改或丢失,限制对日志的访问权限。
21、第二方面,本申请提供了一种可信工控系统的安全防御系统,包括:
22、权限模块,用于基于最小权限原则,根据用户的角色对其配置访问权限集合;
23、认证模块,用于生成用于登录可信工控系统的身份认证信息,采用锁定机制对用户的认证过程进行限制;
24、访问模块,用于采用粒度控制方法对用户各访问权限的访问数据进行控制,对用户的每个访问权限设置粗粒度控制和细粒度控制,粗粒度控制用于控制访问权限对应的可信工控系统的功能,细粒度控制用于控制访问权限对应的可信工控系统的底层运行数据;
25、加密模块,用于所述可信工控系统的数据传输过程采用密钥加密机制;
26、日志模块,用于所述可信工控系统中配置日志管理方法,用于对用户操作过程以及可信工控系统的运行数据进行实时记录;
27、负载分配模块,用于采用负载均衡技术对可信工控系统的服务器负载进行分配。
28、第三方面,本申请提供了一种电子设备,包括:
29、存储器,用于存储计算机程序;
30、处理器,用于执行所述计算机程序时实现所述的一种可信工控系统的安全防御方法的步骤。
31、第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现所述的一种可信工控系统的安全防御方法的步骤。
32、与现有技术相比,本专利技术具有以下有益的技术效果:
33、本专利技术提供的一种可信工控系统的安全防御方法,基于最小权限原则为用户分配访问权限,并通过粒度控制方法(粗粒度控制用于控制可信工控系统的功能,细粒度控制用于控制可信工控系统的底层运行数据),极大地限制了非授权访问和误操作的风险,有效提升了可信工控系统的安全性。同时结合身份认证信息和锁定机制,有效防止了暴力破解等恶意登录尝试,进一步增强了可信工控系统的防护能力。另外,采用tls/ssl安全协议对数据进行加密传输,确保数据在传输过程中的机密性和完整性,防止了数据在传输过程中被截获或篡改。该方法通过综合运用多种安全防御策略和技术手段,实现了对可信工控系统的全面保护,显著提升了系统的安全性、可靠性、灵活性和可管理性。
本文档来自技高网...【技术保护点】
1.一种可信工控系统的安全防御方法,其特征在于,包括:
2.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述身份认证信息包括户名、密码、生物信息或/和动态令牌。
3.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述采用锁定机制对用户的认证过程进行限制,包括:
4.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述可信工控系统的数据传输过程采用密钥加密机制,包括:
5.根据权利要求4所述的一种可信工控系统的安全防御方法,其特征在于,所述密钥加密机制采用TLS/SSL安全协议对数据进行加密传输。
6.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,还包括,所述可信工控系统的服务器和数据库采用主备配置。
7.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述可信工控系统中配置日志管理方法,包括:
8.一种可信工控系统的安全防御系统,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
...
【技术特征摘要】
1.一种可信工控系统的安全防御方法,其特征在于,包括:
2.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述身份认证信息包括户名、密码、生物信息或/和动态令牌。
3.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述采用锁定机制对用户的认证过程进行限制,包括:
4.根据权利要求1所述的一种可信工控系统的安全防御方法,其特征在于,所述可信工控系统的数据传输过程采用密钥加密机制,包括:
5.根据权利要求4所述的一种可信工控系统的安全防御方法,其特征在于,所述密钥加密机制采用tls/ssl安全协议对数据...
【专利技术属性】
技术研发人员:宋美艳,李家港,孟洋,胡波,张津,张昇,孙浩沩,钟庆尧,曾亮,汤福,李心怡,张军,贾泽冰,杨柳,柳曦,杨渊,高少华,
申请(专利权)人:西安热工研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。