工業控制網絡安全防護方法及系統的制作方法

文檔序號：7887071閱讀：377來源：國知局

專利名稱：工業控制網絡安全防護方法及系統的制作方法
技術領域：
本發明涉及一種工業控制網絡安全防護方法及系統，屬于工業控制網絡領域。
背景技術：
工業控制系統負責對生產裝置的連續控制，具有不可間斷的高可靠性要求和不可延遲的高實時性要求。目前，工業控制系統中的計算機以及通訊設備多使用IT系統的反病毒技術和網絡安全技術來防護。但是，許多在線查殺、云查殺技術會影響系統的穩定性，殺毒程序升級和軟件補丁可能導致系統重啟，不適用于連續生產過程。工業領域的通訊包含了 IP網絡、公共有線或無線網絡、無線傳感網絡、電力載波網絡、現場總線等多種形式，外部入侵的途徑有多種可能性。網關位置的安全防護是信息安全的基礎，但傳統的防火墻僅能解決非授權訪問的問題，無法提供更深層的安全防護。作為對防火墻的補充，防毒墻、網絡入侵防御(NIPS)、VPN等安全設備紛紛出現在網關的位置。這種“糖葫蘆串”式安全部署所帶來的問題，除了投資成本、管理成本的迅速增加，能耗也呈指數性地上升。目前計算機病毒、各種網絡攻擊等新特點層出不窮，工業控制系統面臨著安全新挑戰，而國內大部分工業自動化系統的網絡層采取了一些傳統安全防護措施，但物理層安全防護還沒有成熟的產品和解決方案，無法應對越來越嚴重的內部攻擊。而且應用與信息領域相關的許多安全技術都需要改動現有的工業硬件系統和網絡，而這將會增加系統改造成本。在工業領域，安全隔離網閘應具有高度安全性，但是目前網閘都是采用基于硬件開關控制，受限于現有技術條件；大部分采用了基于工控機的硬件架構，安全性差，可靠性差，功耗高(均在200瓦以上)，噪音大，啟動速度極慢(2分鐘以上);并且一般都是針對特定應用的，不能方便同時支持多種應用，部分不支持工業通信標準，如Profibus、CAN等。國外已有工業自動化網絡防護方面的產品面市，比如加拿大Tofino公司的硬件安全網閘和美國Industrial Defender公司的安全防護網絡。國內暫無相關的產品面市。總體上，國外的產品發展較早，國內基本空白。對于該領域的學術文獻，也是國外的較多，國內的較少。加拿大Tofino公司的硬件安全網閘產品是基于串聯式硬件防護的主動防御技術，但是僅僅支持標準以太網接口的通信，對于其他通信網絡無法接入，而且還不能有效防御控制系統底層的內部攻擊；美國Industrial Defender公司的安全防護網絡產品是基于在線監控的被動防御技術，但各種監控設備比較復雜，對軟件病毒數據庫的要求較高。國內該領域的技術產品多是基于IT防護的技術，不能滿足工業控制網絡的要求。

發明內容
本發明的目的在于，提供一種工業控制網絡安全防護方法及系統，在不改變工業企業的軟硬件設備和網絡布局的情況下，能夠大大提高工業控制系統的網絡安全水平，降
4低投資、改造系統及管理的成本。為解決上述技術問題，本發明采用如下的技術方案一種工業控制網絡安全防護方法，采用3主機結構和三層防護策略，包括以下步驟
針對外部網絡攻擊，前方主機對外部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，后方主機對數據進行深層過濾和訪問控制，合法數據進入到內部網絡；
針對內部網絡攻擊，后方主機對內部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，前方主機對數據進行深層過濾和訪問控制，合法數據進入到外部網絡。所述內部網絡，是在企業內等特定的組中提供服務的網絡或按照不同標準分割的網絡空間，是必須確保安全的網絡；所述外部網絡，是與內部網絡相對應的網絡，即安全性較低的網絡，可以是企業局域網、不特定的多數所連接并利用的廣域網或公眾網，甚至互聯網。前述的工業控制網絡安全防護方法中，所述主機都采用基于安全芯片TPM的動態可信度量策略，建立基于TPM的可信根及可信鏈，將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。前述的工業控制網絡安全防護方法中，前方主機、后方主機與安全控制主機之間采用自定義協議進行數據傳輸，通過標準協議(一般指工業標準通信協議及總線，基于國際標準化機構(ISO)、IEEE、ANSI、ITU、IEC、JIS等或者行業標準化機構制定的標準通信協議，其標準格式公開而任何人都能獲得的通信協議)與自定義協議的轉換實現網絡協議阻斷和純數據交換，在應用層對傳遞的數據內容進行深度檢測。前方主機、后方主機通過標準協議與連接的網絡進行通信，在標準協議與非標準協議之間進行通信數據的協議轉換，即將標準協議數據轉換為自定義協議，標準協議與自定義協議僅在應用層進行通訊，兩側主機與安全控制主機采用非公開的自定義協議進行通信，避免了攻擊者由于熟悉協議規則進行的攻擊。其中，在數據轉換前，需要進行端口掃描及IP過濾等安全驗證，如果未通過驗證，分情況進行處理，或者生成報警信息發送給前方主機、后方主機，或者響應處理等；如果未通過動態可信度量驗證，則終止該次通信；如果有報警信息，需要首先對報警信息進行確認，再進行相應處理。前述的工業控制網絡安全防護方法中，安全控制主機采用基于場景(場景是用來表征系統當前狀態和功能的任何信息)的混合入侵檢測算法在應用層進行數據深層過濾，如果檢測到異常，就生成報警信息，上傳到配置管理中心，并通知前方主機、后方主機采取相應的策略進行處理。基于場景的混合入侵檢測算法能夠利用與工業控制系統物理模型及非法入侵檢測系統有關的現有各種技術來實現，如自適應專家系統等，同時將獲得的知識抽象成與各個工業控制系統一致的控制規則，存儲到本地規則庫。前述的工業控制網絡安全防護方法中，所述主機都采用安全訪問控制策略防御外部攻擊，安全訪問控制策略包括用戶權限控制、端口控制和源IP/目的IP過濾。實現前述方法的一種工業控制網絡安全防護系統，采用3主機結構，分別為前方主機、安全控制主機和后方主機；前方主機和后方主機的結構相同，都通過LAN硬件分別與外部網絡、內部網絡相連；安全控制主機通過一個共用存儲區緩存來自前方主機、后方主機的數據。三主機之間采用現有的高速數據傳輸技術來保證高速的數據吞吐率。前述的工業控制網絡安全防護系統中，前方主機和后方主機都包括動態可信度量模塊、響應處理模塊、數據轉換及通信模塊、數據更新模塊和報警信息處理模塊。數據轉換及通訊模塊包括標準協議通信模塊，用于通過標準協議與連接至該主機一側的網絡進行通信；自定義協議模塊，用于通過非公開的自定義協議與安全控制主機進行通信；協議轉換模塊，在標準協議與非標準協議之間進行通信數據的協議轉換，即將標準協議數據轉換為自定義協議或者自定義協議轉換為標準協議，標準協議與自定義協議僅在應用層進行通訊，有效屏蔽利用1至6層協議安全漏洞進行的攻擊。其中，在數據轉換前，需要進行端口掃描及IP過濾等安全驗證，如果未通過驗證，分情況進行處理，或者生成報警信息發送給報警信息處理模塊，或者交給響應處理模塊進行處理等；同時與響應處理模塊進行信息交換，如果未通過動態可信度量驗證，則終止該次通信；與報警信息處理模塊進行信息交互，如果有報警信息，需要首先對報警信息進行確認，再進行相應處理。前述的工業控制網絡安全防護系統中，安全控制主機包括動態可信度量模塊、響應處理模塊、通信處理模塊、入侵檢測模塊和數據更新模塊。入侵檢測模塊采用基于場景的混合入侵檢測算法對數據進行深層應用層數據過濾，如果檢測到異常，就生成報警信息，上傳到配置管理中心，并通知前方主機、后方主機采取相應的策略進行處理。數據更新模塊與前方主機、后方主機的數據更新模塊進行通信，將其更新信息下發到前方主機、后方主機的更新存儲器區域；該模塊可以進行在線更新配置和數據，保證工業控制過程的連續性和穩定性。前述的工業控制網絡安全防護系統中，動態可信度量模塊采用基于安全芯片TPM 的動態可信度量策略，建立基于TPM的可信根及可信鏈，將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。前述的工業控制網絡安全防護系統中，所述系統還包括與安全控制主機的數據更新模塊進行通信的配置管理中心，用于系統配置、數據更新與維護、界面顯示與數據查詢及日志管理。配置管理中心是一個配置管理平臺，可以布置在一個工作站上或者一臺本地計算機上，它主要將配置信息下載到相應的工業控制網絡安全系統，報警、操作日志的存儲、查詢，專家系統知識庫的維護等，采用基于XML的中間件技術以及組件化、模塊化的設計思想，將各種配置管理、安全策略/規則封裝成獨立的組件，提供二次開發接口，提供可視化的圖形化應用界面，方便用戶使用和定制個性化的安全策略/規則；同時人機界面接口提供了對專家系統知識規則庫的維護、對各種報警日志數據庫的維護及查詢、瀏覽功能。與現有技術相比，本發明采用三主機結構，對內、外部網絡攻擊進行防御，建立基于TPM的可信根及可信鏈，采用基于TPM的動態可信度量技術，增強裝置自身抗攻擊能力；采用用戶權限控制、端口控制、源IP /目的IP過濾等安全訪問控制策略，防御常規端口掃描等外部攻擊；由于位于開放型相互連接系統的低層的數據鏈路層，或網絡層上實施的數據包過濾無法進行復雜的條件的設定和控制，存在著安全性低的缺點，因此采用基于自定義協議的純數據檢測技術，即通過自定義協議轉換方法實現網絡協議阻斷和純數據交換，在應用層上對傳遞的數據內容進行深度檢查，防護IP欺騙、木馬后門等攻擊具有更高的
6安全性；根據工業控制網絡內部攻擊類型和特點，將控制系統場景數據、物理模型通過專家系統抽象映射到混合入侵檢測模型中，采用基于場景的混合入侵檢測模型，用場景作為數據源來檢測用戶的動機，對控制系統來說，可通過構建物理模型來映射網絡數據流量，抽象成網絡行為規則，進行檢測非法入侵行為，不但可以用來檢測入侵和異常行為，還能夠處理內部攻擊、系統故障、硬件退化、異常環境條件及意外誤用操作等，控制系統底層內部攻擊的防御。即使來自一方的網絡的非法數據入侵了兩側主機，也能夠采用3層安全結構阻止該非法數據向另一方網絡的入侵；即使非法數據通過了第一層一側主機的防護，在安全控制主機進行第二層的安全防護，通過對純數據深層檢測及入侵報警，也能及時阻止非法數據；即使由于非法數據篡改了第一主機的數據過濾規則，數據通過第二層安全防護，入侵檢測模塊能及時對數據異常進行報警；兩側主機與安全控制主機由于采用未公開的自定義協議的數據傳輸，那么到了另一側主機可以進行第三層的安全防護，即非法數據不能篡改另一側主機的數據過濾規則，通過檢測到兩側主機過濾規則的不一致也能檢測出異常，可以及時阻止非法數據。采用被動檢測與主動防御相結合的安全策略，對內、外部網絡數據進行三層過濾，具有傳統IT安全防護產品所不具有的優勢，即它能有效防御內部攻擊，通過檢測到內部攻擊，及時消除，或者將內部攻擊限定在局部的內部網絡，使之不能蔓延到其他局域網絡或者外網，對外部網絡造成破壞，進而對工業控制系統進行更好的三層安全防護，能夠大大提高工業控制系統的網絡安全水平。本發明公開的系統支持多種工業總線標準及協議，兼容現有的工業硬件系統和網絡，在提高系統安全性能的同時，大大降低了系統的投資、改造和管理成本。本系統具有在線更新功能，根據工業控制系統負責對生產裝置的連續控制功能，滿足其具有不可間斷的高可靠性要求和不可延遲的高實時性要求，保證了工業控制過程的連續性和穩定性。該功能實施可以采用現有的優選技術來實現。如設置兩段代碼區分別存儲升級前和升級后的代碼，通過更改用戶代碼跳轉指令，運行更新后的代碼，而不用中斷程序的執行或進行重啟操作。

圖1是本發明的一種實施例的系統結構示意圖2是本發明的一種實施例的前方主機的數據轉換及通信模塊的結構示意圖；圖3是本發明的一種實施例的通信處理模塊的結構示意圖；圖4是本發明的一種實施例的前后方主機的工作流程圖；圖5是本發明的一種實施例的安全控制主機的工作流程圖。下面結合附圖和具體實施方式
對本發明作進一步的說明。
具體實施例方式
具體實施例方式一種工業控制網絡安全防護方法，采用3主機結構和三層防護策略，包括以下步驟
針對外部網絡攻擊，前方主機對外部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，后方主機對數據進行深層過濾和訪問控制，合法數據進入到內部網絡；
針對內部網絡攻擊，后方主機對內部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，前方主機對數據進行深層過濾和訪問控制，合法數據進入到外部網絡。所述內部網絡，是在企業內等特定的組中提供服務的網絡或按照不同標準分割的網絡空間，是必須確保安全的網絡；所述外部網絡，是與內部網絡相對應的網絡，即安全性較低的網絡，可以是企業局域網、不特定的多數所連接并利用的廣域網或公眾網，甚至互聯網。所述主機都采用基于安全芯片TPM的動態可信度量策略，建立基于TPM的可信根及可信鏈，將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。前方主機、后方主機與安全控制主機之間采用自定義協議進行數據傳輸，通過標準協議與自定義協議的轉換實現網絡協議阻斷和純數據交換，在應用層對傳遞的數據內容進行深度檢測。前方主機、后方主機通過標準協議與連接的網絡進行通信，在標準協議與非標準協議之間進行通信數據的協議轉換，即將標準協議數據轉換為自定義協議，標準協議與自定義僅在應用層進行通信。其中，在數據轉換前，需要進行端口掃描及IP過濾等安全驗證，如果未通過驗證，分情況進行處理，或者生成報警信息發送給前方主機、后方主機，或者響應處理等；如果未通過動態可信度量驗證，則終止該次通信；如果有報警信息，需要首先對報警信息進行確認，再進行相應處理。安全控制主機采用基于場景的混合入侵檢測算法對數據進行深層應用層數據過濾，如果檢測到異常，就生成報警信息，上傳到配置管理中心，并通知前方主機、后方主機采取相應的策略進行處理。基于場景的混合入侵檢測算法能夠利用與工業控制系統物理模型及非法入侵檢測系統有關的現有各種技術來實現，如自適應專家系統等，同時將獲得的知識抽象成與各個工業控制系統一致的控制規則，存儲到本地規則庫。所述主機都采用安全訪問控制策略防御外部攻擊，安全訪問控制策略包括用戶權限控制、端口控制和源IP/目的IP過濾。實現前述方法的一種工業控制網絡安全防護系統，如圖1所示，采用3主機結構，分別為前方主機、安全控制主機和后方主機；前方主機和后方主機的結構相同，都通過LAN 硬件分別與外部網絡、內部網絡相連；安全控制主機通過一個共用存儲區緩存來自前方主機、后方主機的數據。三主機之間采用現有的高速數據傳輸技術來保證高速的數據吞吐率。所述系統還包括與安全控制主機的數據更新模塊進行通信的配置管理中心，用于系統配置、數據更新及數據上傳。、前方主機和后方主機是由嵌入式主機的嵌入式硬件、嵌入的TPM安全芯片的獨立硬件以及位于嵌入式硬件上的嵌入式實時操作系統構成，這里采用的操作系統是經過裁剪定制的Iinux實時操作系統。其中，在嵌入式硬件中，附加了由網絡端口構成的LAN硬件。LAN硬件與外部網絡進行基于標準(工業)協議進行通信。LAN硬件構成標準協議通信的硬件層，嵌入式硬件的一部分構成自定義協議通信的硬件層。前方主機和后方主機都包括動態可信度量模塊、響應處理模塊、數據轉換及通信模塊、數據更新模塊和報警信息處理模塊。動態可信度量模塊采用基于安全芯片TPM的動態可信度量策略，通過TPM安全芯片與傳統硬件重新設計可信BIOS，通過ARM的APB總線集成到主板上，使得安全芯片在系統啟動過程中進行信任度量；將可信度量從靜態度量擴展到進程及模塊的度量，將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證，利用TPM進行硬件級別的保護。該安全策略實現了數據物理隔離及網絡安全認證，可以完成一些實時攻擊方法的檢測，可以防止內部攻擊，保證了操作系統內核級別的安全訪問和操作。如圖2所示，前方主機的數據轉換與通信模塊由標準協議通信、協議轉換、自定義協議、端口控制、IP過濾等模塊組成，標準協議通信模塊與外部網絡進行通信，用于接收數據；協議轉換模塊，用于將標準協議轉換為自定義協議或將自定義協議轉換為標準協議，標準協議與自定義協議的收發僅在第7層應用層進行，有效屏蔽利用1至6層協議安全漏洞進行的攻擊，但是必須在端口控制、IP過濾模塊的數據過濾滿足要求的條件下才能進行協議轉換，否則該數據包進行相應的處理，如丟棄或拒絕等；自定義協議通信模塊，用于與安全控制主機進行通信，將數據轉發到安全控制主機進行深層過濾及處理。后方主機的數據轉換與通信模塊與前方的數據轉換與通信模塊的工作原理是相同的，不再贅述。、安全控制主機包括動態可信度量模塊、響應處理模塊、通信處理模塊、入侵檢測模塊和數據更新模塊。動態可信度量模塊與前后方主機的動態可信度量模塊的結構和功能是相同的。如圖3所示，安全控制主機上的通信處理模塊由兩端的自定義協議通信模塊分別與前方主機和后方主機進行通信，將接收的數據分別緩存在共用存儲區，數據處理模塊負責對數據進行可信驗證及調度，如果通過驗證，則通知兩端自定義協議通信模塊其中之一可以進行下一步通信傳輸，若未通過驗證，則將數據丟棄或進行相應處理。其中，上述驗證方法是基于響應處理模塊得到的動態可信度量結果及入侵檢測結果進行的。數據處理模塊還與數據更新模塊通信，將報警信息等結果通過數據更新模塊上傳到配置管理中心或前后方主機。入侵檢測模塊采用基于場景的混合入侵檢測算法對數據進行深層應用層數據過濾，如果檢測到異常，就生成報警信息，上傳到配置管理中心，并通知前方主機、后方主機采取相應的策略進行處理。數據更新模塊與前方主機、后方主機的數據更新模塊進行通信，將其更新信息下發到前方主機、后方主機的更新存儲器區域；該模塊可以進行在線更新配置和數據，保證工業控制過程的連續性和穩定性。報警信息處理模塊，主要收集所有的報警信息，及時通知數據轉換與通信模塊，使其根據報警級別和分類進行相應的處理，同時與數據更新模塊通信，通過安全控制主機將報警信息上傳到管理配置中心。響應處理模塊，用于處理動態可信度量模塊及數據轉換與通信模塊檢測出的異常，同時將動態可信度量模塊的異常信息及時通報給數據轉換與通信模塊。、配置管理中心是一個配置管理平臺，可以布置在一個工作站上或者一臺本地計算機上，它主要將配置信息下載到相應的工業控制網絡安全系統，報警、操作日志的存儲、查詢，專家系統知識庫的維護等，采用基于XML的中間件技術以及組件化、模塊化的設計思想，將各種配置管理、安全策略/規則封裝成獨立的組件，提供二次開發接口，提供可視化的圖形化應用界面，方便用戶使用和定制個性化的安全策略/規則；同時人機界面接口提供了對專家系統知識規則庫的維護、對各種報警日志數據庫的維護及查詢、瀏覽功能。、要實現工業控制網絡安全防護系統的真正的安全可信，首先要保證系統硬件和操作系統的可信，增強系統自身的抗攻擊能力；而要保證操作系統可信，就必須解決操作系統引導過程的可信及運行過程中可信鏈的傳遞。基于軟硬件相結合的技術，通過在嵌入式平臺內部引入可信硬件設備TPM安全芯片作為系統安全性的支撐模塊，對系統引導及運行過程所需要的主要密碼運算和安全存儲提供支持。嵌入式平臺上Boot Loader嚴重依賴于硬件平臺，必須在考慮嵌入式平臺的基礎上對Boot Loader進行重新設計。對于采用ARM+ Linux開發平臺來說，Boot Loader通常分為兩個階段第一個階段通常是一段代碼，包括基本硬件初始化，為第二階段準備RAM空間，復制Boot Loader的第二階段代碼到RAM，設置堆棧，之后跳轉到第二階段的程序入口點；第二階段通常是C程序，包括初始化本階段要用到的硬件設備，檢查系統內存映射，將內核影像和根文件映像從Flash讀到RAM，為內核設置啟動參數，最后調用操作系統內核。前方主機的工作流程圖如圖4所示，系統首先進行硬件BIOS可信引導過程，進行以下處理硬件平臺和TPM同時加電，TPM初始化，首先度量第一階段關鍵代碼的完整性；對硬件平臺上各種硬件進行初始化，并度量其組成與配置；對第二階段程序代碼進行度量，為第二階段準備RAM空間，復制第二段代碼到RAM，設置堆棧，掉轉到程序入口；檢查系統內存映射，進行完整性度量，操作系統度量應用程序完整性，生成全部完整性度量值，存入MM ；設置內核啟動參數，調用內核，TPM將完整性值報告給操作系統；操作系統將完整性序列值和已存儲在TPM內部的驗證碼進行比較；如兩者不同，則中斷系統運行，進行系統恢復，重啟；若兩者相同，系統能夠正常啟動，然后進入系統正常運行狀態。系統進入正常的運行狀態，系統程序的調度和響應是采用線程及中斷方式進行的，操作系統基于線程及中斷的調度方式可以實現快速切換、多處理器的并行運行，滿足系統實時性的要求。系統按照以下流程工作的首先，進行系統、線程及中斷初始化，為系統工作做準備；然后通過設置狀態字及優先級的方式，進行線程及中斷服務程序的調用，直到接收到結束命令。對于前方主機，處理流程主要由動態可信度量線程、數據通信及處理中斷服務程序和數據更新服務程序組成。其中，數據通信及處理中斷服務程序，采用優先級最高的硬件中斷方式，對ARM處理器來說，采用FIQ (快速中斷請求)中斷模式；而數據更新中斷服務程序，采用優先級比較低的硬件中斷方式；對于ARM處理器來說，采用IRQ (外部中斷模式)。這樣，FIQ中斷可以打斷IRQ模式，實現中斷嵌套，保證數據傳輸的實時性。數據通信及處理中斷服務程序主要功能是完整數據接收、標準協議與自定義協議的轉換、數據訪問控制(端口控制、IP過濾等)及數據發送。數據更新中斷服務程序響應中斷請求，進行數據更新服務。動態可信度量線程，采用設置狀態字的方式進行控制，當有一個度量請求到來的時候，將狀態字置1，通過查詢狀態字來進行動態可信度量線程的調用；程序執行的過程中，如果檢測到中斷信號，就響應中斷，轉而執行中斷服務程序；中斷服務程序執行完畢，再重新返回到程序原來的地方繼續執行。
10
后方主機的工作流程基本與前方主機相同，如圖4所示，不再贅述。如圖5所示，實施例所涉及的系統中安全控制主機的工作流程與前方主機類似，不同在于系統正常啟動以后，在進行線程及中斷調度的過程中，多了一個入侵檢測線程，該線程與動態可信度量線程也是通過設置狀態字的方式來進行線程的同步，其它流程與調度方法與前方主機相同。以上對本發明實施方式提供的技術方案進行了詳細的介紹，本文中應用了具體實施例對本發明所實施的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明實施的原理；同時，對于本領域的一般技術人員，本發明實施例，在具體實施方式
以及應用范圍上均有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
權利要求
1.一種工業控制網絡安全防護方法，其特征在于，采用3主機結構和三層防護策略，包括以下步驟針對外部網絡攻擊，前方主機對外部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，后方主機對數據進行深層過濾和訪問控制，合法數據進入到內部網絡；針對內部網絡攻擊，后方主機對內部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，前方主機對數據進行深層過濾和訪問控制，合法數據進入到外部網絡。
2.根據權利要求1所述的工業控制網絡安全防護方法，其特征在于所述主機都采用基于安全芯片TPM的動態可信度量策略，建立基于TPM的可信根及可信鏈，將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。
3.根據權利要求1所述的工業控制網絡安全防護方法，其特征在于前方主機、后方主機與安全控制主機之間采用自定義協議進行數據傳輸，通過標準協議與自定義協議的轉換實現網絡協議阻斷和純數據交換，在應用層對傳遞的數據內容進行深度檢測。
4.根據權利要求1所述的工業控制網絡安全防護方法，其特征在于安全控制主機采用基于場景的混合入侵檢測算法對數據在應用層進行數據深層過濾，如果檢測到異常，就生成報警信息，上傳到配置管理中心，并通知前方主機、后方主機采取相應的策略進行處理。
5.根據權利要求1所述的工業控制網絡安全防護方法，其特征在于所述主機都采用安全訪問控制策略防御外部攻擊，安全訪問控制策略包括用戶權限控制、端口控制和源IP/ 目的IP過濾。
6.實現權利要求1 5所述方法的一種工業控制網絡安全防護系統，其特征在于采用3主機結構，分別為前方主機、安全控制主機和后方主機；前方主機和后方主機的結構相同，都通過LAN硬件分別與外部網絡、內部網絡相連；安全控制主機通過一個共用存儲區緩存來自前方主機、后方主機的數據。
7.根據權利要求6所述的工業控制網絡安全防護系統，其特征在于，前方主機和后方主機都包括動態可信度量模塊、響應處理模塊、數據轉換及通信模塊、數據更新模塊和報警信息處理模塊。
8.根據權利要求6所述的工業控制網絡安全防護系統，其特征在于安全控制主機包括動態可信度量模塊、響應處理模塊、通信處理模塊、入侵檢測模塊和數據更新模塊。
9.根據權利要求7或8所述的工業控制網絡安全防護系統，其特征在于動態可信度量模塊采用基于安全芯片TPM，建立基于TPM的可信根及可信鏈，通過TPM安全芯片與傳統硬件重新設計可信BIOS，將可信度量從靜態度量擴展到進程及模塊的動態度量，利用TPM 進行硬件級別的保護，即將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。
10.根據權利要求8所述的工業控制網絡安全防護系統，其特征在于所述系統還包括與安全控制主機的數據更新模塊進行通信的配置管理中心，用于系統配置、數據更新與維護、界面顯示與數據查詢及日志管理。
全文摘要
本發明公開了一種工業控制網絡安全防護方法及系統，所述方法包括以下步驟針對外部網絡攻擊，前方主機對外部網絡數據進行第一層數據過濾和訪問控制，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，后方主機對數據進行深層過濾和訪問控制，合法數據進入到內部網絡；針對內部網絡攻擊，后方主機對內部網絡數據進行第一層數據過濾和訪問控制，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，前方主機對數據進行深層過濾和訪問控制，合法數據進入到外部網絡。本發明能提高工業控制系統的網絡安全水平，降低投資、改造系統及管理的成本。
文檔編號H04L29/06GK102438026SQ20121000850
公開日2012年5月2日申請日期2012年1月12日優先權日2012年1月12日
發明者于立業, 張云貴, 王麗娜, 薛向榮, 趙永麗, 車飛申請人:冶金自動化研究設計院

完整全部詳細技術資料下載