本發(fā)明涉及工業(yè)控制安全技術(shù)領(lǐng)域，具體涉及一種工業(yè)控制系統(tǒng)及安全防護(hù)方法。

背景技術(shù)：

隨著信息技術(shù)的發(fā)展，工業(yè)生產(chǎn)和信息技術(shù)的結(jié)合已成為現(xiàn)代工業(yè)的發(fā)展趨勢。智能工業(yè)概念的提出，兩化融合政策的落實(shí)，都將推動(dòng)工業(yè)生產(chǎn)與信息化的進(jìn)一步結(jié)合。德國提出的工業(yè)4.0高科技戰(zhàn)略計(jì)劃，是指利用物理信息系統(tǒng)將生產(chǎn)中的供應(yīng)，制造，銷售信息數(shù)據(jù)化、智慧化，最后達(dá)到快速，有效，個(gè)性化的產(chǎn)品供應(yīng)。物理信息系統(tǒng)就是將物理世界的設(shè)備與互聯(lián)網(wǎng)相結(jié)合，通過更智能的處理中心和大數(shù)據(jù)處理等技術(shù)，達(dá)到工業(yè)生產(chǎn)的進(jìn)一步優(yōu)化。無論兩化融合還是工業(yè)4.0計(jì)劃，都表明信息技術(shù)與工業(yè)生產(chǎn)的結(jié)合越來越深入。

信息技術(shù)在給工業(yè)生產(chǎn)帶來幫助的同時(shí)，也帶來新的安全隱患。如果黑客通過互聯(lián)網(wǎng)或其他途徑入侵一個(gè)工業(yè)控制系統(tǒng)，則可能對該工業(yè)控制系統(tǒng)造成嚴(yán)重的破壞。近幾年這樣的事件不斷發(fā)生。但安全隱患的存在不能成為信息化與智能工業(yè)生產(chǎn)相結(jié)合的理由，需要加強(qiáng)安全保護(hù)，以降低這些安全隱患所帶來的損失。在“中國制造2025”戰(zhàn)略背景下，兩化融合是產(chǎn)業(yè)結(jié)構(gòu)調(diào)整和升級轉(zhuǎn)型的重要支撐，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為兩化融合的重要組成部分。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全不僅關(guān)系到國家關(guān)鍵基礎(chǔ)設(shè)施的安全和重點(diǎn)行業(yè)的健康可持續(xù)發(fā)展，而且影響到社會(huì)穩(wěn)定和國家安全?！熬W(wǎng)絡(luò)安全就是生產(chǎn)力”已經(jīng)成為共識。

網(wǎng)絡(luò)安全問題已經(jīng)在攻與防的角色中博弈很多年了，網(wǎng)絡(luò)攻擊手段日新月異，網(wǎng)絡(luò)防護(hù)技術(shù)也不斷成熟，經(jīng)歷了從系統(tǒng)防護(hù)到縱深防御的發(fā)展過程。盡管如此，網(wǎng)絡(luò)攻擊現(xiàn)象還是層出不窮，其中一個(gè)重要因素是人的問題，例如使用容易記憶的弱口令，和對不信任軟件的隨意安裝，是造成病毒入侵的重要原因；系統(tǒng)和軟件的漏洞，甚至操作系統(tǒng)的后門，則可能被入侵者利用，使其能實(shí)施遠(yuǎn)程入侵控制。因?yàn)槿魏喂芾矶即嬖诓煌晟浦?，而且作為?zhí)行規(guī)則的人，有時(shí)還不按照規(guī)則執(zhí)行，因此即使與網(wǎng)絡(luò)物理隔離的工業(yè)控制系統(tǒng)，也不能完全避免蠕蟲病毒的入侵。伊朗核電站遭受震網(wǎng)病毒的入侵并造成嚴(yán)重?fù)p失，就是這樣的一個(gè)經(jīng)典例子。

既然作為系統(tǒng)第一道防線的邊界防護(hù)不可能完美，也就是說非法入侵在所難免，自然期望第二道防線，即入侵檢測，這也是信息系統(tǒng)經(jīng)常使用的組合拳。但是，對于工業(yè)控制系統(tǒng)來說，一個(gè)系統(tǒng)在運(yùn)行過程中不能更新軟件，只能等系統(tǒng)維護(hù)時(shí)才可能更新軟件，包括系統(tǒng)防護(hù)軟件，而現(xiàn)實(shí)情況是一個(gè)工業(yè)控制系統(tǒng)可能數(shù)年時(shí)間不需要維護(hù)，因此系統(tǒng)的軟件就不能得到及時(shí)更新，入侵者發(fā)現(xiàn)的系統(tǒng)漏洞將無法及時(shí)彌補(bǔ)，這就為入侵提供了便利。目前采取的手段是使用工業(yè)防火墻，通過外掛方式，力圖阻斷惡意代碼的傳入。而對工業(yè)控制系統(tǒng)，這種防護(hù)比傳統(tǒng)信息系統(tǒng)更困難，特別是信息系統(tǒng)與控制系統(tǒng)相關(guān)聯(lián)的工業(yè)控制網(wǎng)絡(luò)，因?yàn)閬碜跃W(wǎng)絡(luò)的數(shù)據(jù)可能是重要的反饋數(shù)據(jù)，如果這類數(shù)據(jù)被誤判為惡意代碼從而被阻斷的話，會(huì)影響到生產(chǎn)過程的優(yōu)化調(diào)整。因此，寄希望于工業(yè)控制系統(tǒng)免受入侵是不可能的。

值得注意的是，工業(yè)控制系統(tǒng)是為了可靠性而設(shè)計(jì)的，一般都有備用主控機(jī)，當(dāng)一臺用于控制的主控機(jī)遭受病毒攻擊后，可以馬上啟動(dòng)備用主控機(jī)，以減少病毒入侵所造成的危害。一旦遇到這種情況，被感染的主控機(jī)馬上進(jìn)行更新，系統(tǒng)暫時(shí)由備用主控機(jī)管理。針對這一情況，病毒的設(shè)計(jì)者也在改變著策略，從最初的攻擊主控機(jī)，到潛伏在主控機(jī)中伺機(jī)惡意控制受控設(shè)備，造成受控設(shè)備損壞甚至通過連鎖性反應(yīng)造成更為嚴(yán)重的損壞，而被入侵的主控機(jī)表面上看不出問題。然而，現(xiàn)有的安全防護(hù)方法對于病毒通過潛伏在主控機(jī)中進(jìn)而伺機(jī)惡意控制受控設(shè)備的情形無法保證受控設(shè)備的安全。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種工業(yè)控制系統(tǒng)及安全防護(hù)方法，用于解決如何保證主控機(jī)被入侵后惡意控制指令無法發(fā)送至受控設(shè)備的問題。

本發(fā)明實(shí)施例提供了一種工業(yè)控制系統(tǒng)，包括：

主控機(jī)和至少一個(gè)受控設(shè)備，所述主控機(jī)的物理設(shè)備上還包括授權(quán)機(jī)；

所述授權(quán)機(jī)設(shè)置確認(rèn)按鍵；

所述主控機(jī)用于在所述確認(rèn)按鍵被觸發(fā)后，經(jīng)所述授權(quán)機(jī)向所述受控設(shè)備發(fā)送控制指令；

所述受控設(shè)備用于經(jīng)所述授權(quán)機(jī)向所述主控機(jī)發(fā)送狀態(tài)數(shù)據(jù)。

可選地，所述確認(rèn)按鍵為虛擬確認(rèn)按鍵或物理確認(rèn)按鍵。

本發(fā)明實(shí)施例提供了一種基于工業(yè)控制系統(tǒng)的安全防護(hù)方法，包括：

授權(quán)機(jī)接收主控機(jī)發(fā)送的控制指令，并對所述控制指令進(jìn)行驗(yàn)證；

若所述授權(quán)機(jī)對所述控制指令驗(yàn)證通過，并且接收到用戶觸發(fā)確認(rèn)按鍵的操作，則所述授權(quán)機(jī)將所述控制指令發(fā)送至受控設(shè)備。

本發(fā)明實(shí)施例提供另外一種工業(yè)控制系統(tǒng)，包括：

主控機(jī)、授權(quán)機(jī)和至少一個(gè)受控設(shè)備；

所述授權(quán)機(jī)設(shè)置確認(rèn)按鍵；

所述主控機(jī)用于在所述確認(rèn)按鍵被觸發(fā)后，經(jīng)所述授權(quán)機(jī)向所述受控設(shè)備發(fā)送控制指令；

所述受控設(shè)備用于經(jīng)所述授權(quán)機(jī)向所述主控機(jī)發(fā)送狀態(tài)數(shù)據(jù)。

可選地，所述確認(rèn)按鍵為虛擬確認(rèn)按鍵或物理確認(rèn)按鍵。

本發(fā)明實(shí)施例提出一種基于上述工業(yè)控制系統(tǒng)的安全防護(hù)方法，包括：

授權(quán)機(jī)接收主控機(jī)發(fā)送的控制指令，并對所述控制指令進(jìn)行驗(yàn)證；

若所述授權(quán)機(jī)對所述控制指令驗(yàn)證通過，并且接收到用戶觸發(fā)確認(rèn)按鍵的操作，則所述授權(quán)機(jī)將所述控制指令發(fā)送至受控設(shè)備。

可選地，所述授權(quán)機(jī)接收主控機(jī)發(fā)送的控制指令，并對所述控制指令進(jìn)行驗(yàn)證包括：

授權(quán)機(jī)接收主控機(jī)發(fā)送的密文指令，對所述密文指令進(jìn)行解密得到控制指令，對所述控制指令進(jìn)行驗(yàn)證；

其中，所述密文指令是所述主控機(jī)對所述控制指令加密后生成的。

可選地，所述授權(quán)機(jī)接收主控機(jī)發(fā)送的控制指令，并對所述控制指令進(jìn)行驗(yàn)證包括：

授權(quán)機(jī)接收主控機(jī)發(fā)送的密文指令，對所述密文指令進(jìn)行解密得到控制指令，對所述控制指令進(jìn)行驗(yàn)證；

其中，所述密文指令是所述主控機(jī)的外接加密設(shè)備對所述控制指令加密后生成的。

可選地，所述工業(yè)控制系統(tǒng)包括多個(gè)主控機(jī)；

對所述控制指令進(jìn)行驗(yàn)證包括：對所述控制指令進(jìn)行身份鑒別和消息完整性驗(yàn)證。

可選地，對所述控制指令進(jìn)行驗(yàn)證還包括：對所述控制指令進(jìn)行消息新鮮性驗(yàn)證，驗(yàn)證所述控制指令是否已過有效性的期限。

本發(fā)明實(shí)施例提供的工業(yè)控制系統(tǒng)及安全防護(hù)方法，通過在主控機(jī)和受控設(shè)備之間的通信鏈路上設(shè)置授權(quán)機(jī)，由授權(quán)機(jī)對主控制發(fā)送的控制指令進(jìn)行驗(yàn)證，在驗(yàn)證通過后，將控制指令顯示在顯示授權(quán)機(jī)的顯示屏上，操作人員在觸發(fā)確認(rèn)按鍵之前，需要檢查控制指令是否正確；只有在操作人員確認(rèn)控制指令正確觸發(fā)確認(rèn)按鍵后，授權(quán)機(jī)將控制指令發(fā)送至受控設(shè)備，實(shí)現(xiàn)了即使主控機(jī)被入侵后惡意控制指令也無法發(fā)送至受控設(shè)備的防護(hù)目標(biāo)，提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一個(gè)實(shí)施例的工業(yè)控制系統(tǒng)的結(jié)構(gòu)示意圖；

圖2是本發(fā)明一個(gè)實(shí)施例的安全防護(hù)方法的流程示意圖；

圖3是本發(fā)明另一個(gè)實(shí)施例的工業(yè)控制系統(tǒng)的結(jié)構(gòu)示意圖；

圖4是本發(fā)明另一個(gè)實(shí)施例的安全防護(hù)方法的流程示意圖；

圖5是本發(fā)明另一個(gè)實(shí)施例的工業(yè)控制系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整的描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明實(shí)施例中的主控機(jī)指的是人工操作的具有控制能力的主機(jī)電腦，受控設(shè)備指的是主控機(jī)通過控制指令進(jìn)行控制的設(shè)備。

本發(fā)明實(shí)施例的技術(shù)構(gòu)思是主控機(jī)被入侵后，表現(xiàn)上很正常，但入侵者會(huì)試圖發(fā)送惡意控制指令，只要讓這些惡意控制指令無法發(fā)送至受控設(shè)備，或即使發(fā)送至受控設(shè)備，受控設(shè)備也無法識別，就可達(dá)到安全防護(hù)的效果。

圖1是本發(fā)明一個(gè)實(shí)施例的工業(yè)控制系統(tǒng)的結(jié)構(gòu)示意圖。如圖1所示，本發(fā)明實(shí)施例的工業(yè)控制系統(tǒng)包括：

主控機(jī)11和至少一個(gè)受控設(shè)備12，主控機(jī)11的物理設(shè)備上還包括授權(quán)機(jī)111；

授權(quán)機(jī)111設(shè)置確認(rèn)按鍵；

主控機(jī)11用于在所述確認(rèn)按鍵被觸發(fā)后，經(jīng)授權(quán)機(jī)111向受控設(shè)備12發(fā)送控制指令；

受控設(shè)備12用于經(jīng)授權(quán)機(jī)111向主控機(jī)11發(fā)送狀態(tài)數(shù)據(jù)。

需要說明的是，本發(fā)明實(shí)施例的工業(yè)控制系統(tǒng)，由主控機(jī)發(fā)送至受控設(shè)備的下行控制指令需要驗(yàn)證，而受控設(shè)備發(fā)送至主控機(jī)的上行狀態(tài)數(shù)據(jù)無需驗(yàn)證。

在實(shí)際應(yīng)用中，主控機(jī)11與授權(quán)機(jī)111為一體機(jī)，集成在同一個(gè)物理設(shè)備上。

本發(fā)明實(shí)施例的工業(yè)控制系統(tǒng)，通過在主控機(jī)和受控設(shè)備之間的通信鏈路上設(shè)置授權(quán)機(jī)，由授權(quán)機(jī)對主控制發(fā)送的控制指令進(jìn)行驗(yàn)證，在驗(yàn)證通過后，將控制指令顯示在顯示授權(quán)機(jī)的顯示屏上，操作人員在觸發(fā)確認(rèn)按鍵之前，需要檢查控制指令是否正確；只有在操作人員確認(rèn)控制指令正確并觸發(fā)確認(rèn)按鍵后，授權(quán)機(jī)將控制指令發(fā)送至受控設(shè)備，實(shí)現(xiàn)了即使主控機(jī)被入侵后惡意控制指令也無法發(fā)送至受控設(shè)備的防護(hù)目標(biāo)，提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性。

在實(shí)際應(yīng)用中，授權(quán)機(jī)111上設(shè)置的確認(rèn)按鍵為虛擬確認(rèn)按鍵或物理確認(rèn)按鍵。物理確認(rèn)按鍵的安全性高于虛擬確認(rèn)按鍵，當(dāng)病毒入侵到授權(quán)機(jī)模擬虛擬確認(rèn)按鍵的觸發(fā)操作，則有可能使惡意指令發(fā)送至受控設(shè)備；而物理確認(rèn)按鍵只能由操作人員進(jìn)行觸發(fā)，病毒無法模擬確認(rèn)按鍵的觸發(fā)操作，從而更好地防止惡意指令發(fā)送至受控設(shè)備。

圖2是本發(fā)明一個(gè)實(shí)施例的安全防護(hù)方法的流程示意圖。如圖2所示，本發(fā)明實(shí)施例的安全防護(hù)方法基于圖1所示的工業(yè)控制系統(tǒng)，包括：

S21：授權(quán)機(jī)接收主控機(jī)發(fā)送的控制指令，并對所述控制指令進(jìn)行驗(yàn)證；

需要說明的是，本發(fā)明實(shí)施例的授權(quán)機(jī)驗(yàn)證控制指令是否符合規(guī)則，這些規(guī)則可以是預(yù)先定義好的，也可以是通過學(xué)習(xí)之后定義的。

S22：若所述授權(quán)機(jī)對所述控制指令驗(yàn)證通過，并且接收到用戶觸發(fā)確認(rèn)按鍵的操作，則所述授權(quán)機(jī)將所述控制指令發(fā)送至受控設(shè)備。

本發(fā)明實(shí)施例的安全防護(hù)方法，通過在主控機(jī)和受控設(shè)備之間的通信鏈路上設(shè)置授權(quán)機(jī)，由授權(quán)機(jī)對主控制發(fā)送的控制指令進(jìn)行驗(yàn)證，在驗(yàn)證通過后，將控制指令顯示在授權(quán)機(jī)的顯示屏上，操作人員在觸發(fā)確認(rèn)按鍵之前，需要檢查控制指令是否正確；只有在操作人員確認(rèn)控制指令正確并觸發(fā)確認(rèn)按鍵后，授權(quán)機(jī)將控制指令發(fā)送至受控設(shè)備，實(shí)現(xiàn)了即使主控機(jī)被入侵后惡意控制指令也無法發(fā)送至受控設(shè)備的保護(hù)目標(biāo)，提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性。

圖3是本發(fā)明另一個(gè)實(shí)施例的工業(yè)控制系統(tǒng)的結(jié)構(gòu)示意圖。如圖3所示，本發(fā)明實(shí)施例的工業(yè)控制系統(tǒng)包括：

主控機(jī)31、授權(quán)機(jī)32和至少一個(gè)受控設(shè)備33；

授權(quán)機(jī)32設(shè)置確認(rèn)按鍵；

主控機(jī)31用于在所述確認(rèn)按鍵被觸發(fā)后，經(jīng)授權(quán)機(jī)32向受控設(shè)備33發(fā)送控制指令；

受控設(shè)備33用于經(jīng)授權(quán)機(jī)32向主控機(jī)31發(fā)送狀態(tài)數(shù)據(jù)。

需要說明的是，本發(fā)明實(shí)施例的工業(yè)控制系統(tǒng)，由主控機(jī)發(fā)送至受控設(shè)備的下行控制指令需要驗(yàn)證，而受控設(shè)備發(fā)送至主控機(jī)的上行狀態(tài)數(shù)據(jù)無需驗(yàn)證。

在實(shí)際應(yīng)用中，主控機(jī)31與授權(quán)機(jī)32為兩個(gè)獨(dú)立的物理設(shè)備。

本發(fā)明實(shí)施例的工業(yè)控制系統(tǒng)，通過在主控機(jī)和受控設(shè)備之間的通信鏈路上設(shè)置授權(quán)機(jī)，由授權(quán)機(jī)對主控制發(fā)送的控制指令進(jìn)行驗(yàn)證，在驗(yàn)證通過后，將控制指令顯示在授權(quán)機(jī)的顯示屏上，操作人員在觸發(fā)確認(rèn)按鍵之前，需要檢查控制指令是否正確；只有在操作人員確認(rèn)控制指令正確并觸發(fā)確認(rèn)按鍵后，授權(quán)機(jī)將控制指令發(fā)送至受控設(shè)備，實(shí)現(xiàn)了即使主控機(jī)被入侵后惡意控制指令也無法發(fā)送至受控設(shè)備的保護(hù)目標(biāo)，提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性。

在實(shí)際應(yīng)用中，授權(quán)機(jī)32上設(shè)置的確認(rèn)按鍵為虛擬確認(rèn)按鍵或物理確認(rèn)按鍵。物理確認(rèn)按鍵的安全性高于虛擬確認(rèn)按鍵，當(dāng)病毒入侵到授權(quán)機(jī)模擬虛擬確認(rèn)按鍵的觸發(fā)操作，則有可能使惡意指令發(fā)送至受控設(shè)備；而物理確認(rèn)按鍵只能由操作人員進(jìn)行觸發(fā)，病毒無法模擬確認(rèn)按鍵的觸發(fā)操作，從而更好地防止惡意指令發(fā)送至受控設(shè)備。

圖4是本發(fā)明另一個(gè)實(shí)施例的安全防護(hù)方法的流程示意圖。如圖4所示，本發(fā)明實(shí)施例的安全防護(hù)方法基于圖3所示的工業(yè)控制系統(tǒng)，包括：

S41：授權(quán)機(jī)接收主控機(jī)發(fā)送的控制指令，并對所述控制指令進(jìn)行驗(yàn)證；

需要說明的是，本發(fā)明實(shí)施例的授權(quán)機(jī)驗(yàn)證控制指令是否符合規(guī)則，這些規(guī)則可以是預(yù)先定義好的，也可以是通過學(xué)習(xí)之后定義的。

S42：若所述授權(quán)機(jī)對所述控制指令驗(yàn)證通過，并且接收到用戶觸發(fā)確認(rèn)按鍵的操作，則所述授權(quán)機(jī)將所述控制指令發(fā)送至受控設(shè)備。

需要說明的是，入侵者可以向授權(quán)機(jī)發(fā)送惡意指令，如果該指令能通過授權(quán)機(jī)的規(guī)則驗(yàn)證，則會(huì)在授權(quán)機(jī)處存留一段時(shí)間后才被拋棄，因?yàn)闆]有人按確認(rèn)鍵。在此之前，入侵者再次向授權(quán)機(jī)發(fā)送偽造的控制指令，使得在授權(quán)機(jī)那里一直有一個(gè)偽造的控制指令待確認(rèn)。一旦有正常的控制指令發(fā)送，按照操作步驟，操作人員從主控機(jī)發(fā)送控制指令后就會(huì)去按動(dòng)授權(quán)機(jī)的確認(rèn)按鈕，這時(shí)被確認(rèn)的實(shí)際是入侵者偽造的控制指令。而驗(yàn)證規(guī)則只能過濾掉一些極端的控制指令，符合驗(yàn)證規(guī)則的指令不一定就安全，例如當(dāng)設(shè)備需要提速時(shí)主控機(jī)反而發(fā)送減速指令，從形式上看減速指令也是合法的，但實(shí)際情況可能會(huì)造成生產(chǎn)過程出問題，因此入侵者仍然有機(jī)會(huì)制造攻擊。為避免此類情形對工業(yè)控制系統(tǒng)的安全造成的影響，本發(fā)明實(shí)施例的授權(quán)機(jī)會(huì)將驗(yàn)證通過的控制指令顯示在屏幕上，由操作人員對控制指令的正確與否進(jìn)行確認(rèn)。

本發(fā)明實(shí)施例的安全防護(hù)方法，通過在主控機(jī)和受控設(shè)備之間的通信鏈路上設(shè)置授權(quán)機(jī)，由授權(quán)機(jī)對主控制發(fā)送的控制指令進(jìn)行驗(yàn)證，在驗(yàn)證通過后，將控制指令顯示在顯示授權(quán)機(jī)的顯示屏上，操作人員在觸發(fā)確認(rèn)按鍵之前，需要檢查控制指令是否正確；只有在操作人員確認(rèn)控制指令正確觸發(fā)確認(rèn)按鍵后，授權(quán)機(jī)將控制指令發(fā)送至受控設(shè)備，實(shí)現(xiàn)了即使主控機(jī)被入侵后惡意控制指令也無法發(fā)送至受控設(shè)備的保護(hù)目標(biāo)，提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性。

然而，對于控制指令的內(nèi)容比較復(fù)雜不容易解讀時(shí)，或者操作人員粗心等情形會(huì)導(dǎo)致操作人員通過授權(quán)機(jī)的顯示屏看到的控制指令后進(jìn)行不合適的確認(rèn)按鍵觸發(fā)，導(dǎo)致惡意指令發(fā)送至受控設(shè)備。

為了彌補(bǔ)上述實(shí)施例的不足，在本發(fā)明實(shí)施例的一種優(yōu)選的實(shí)施方式中，與圖4中的方法類似，步驟S41包括：

授權(quán)機(jī)接收主控機(jī)發(fā)送的密文指令，對所述密文指令進(jìn)行解密得到控制指令，對所述控制指令進(jìn)行驗(yàn)證；

其中，所述密文指令是所述主控機(jī)對所述控制指令加密后生成的。

可理解的是，本發(fā)明實(shí)施例的安全防護(hù)方法，進(jìn)一步提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性，主控機(jī)根據(jù)預(yù)設(shè)的加密算法對控制指令進(jìn)行加密，生成密文指令，授權(quán)機(jī)利用與預(yù)設(shè)的加密算法對應(yīng)的解密算法對密文指令進(jìn)行解密得到控制指令。而入侵者的惡意指令經(jīng)過授權(quán)機(jī)的解密后變成了隨機(jī)數(shù)，成為不能被受控設(shè)備識別的指令，受控設(shè)備一般對無法識別的指令進(jìn)行丟棄，從而防止惡意指令對工業(yè)控制系統(tǒng)的破壞。

需要說明的是，受控設(shè)備上傳的狀態(tài)數(shù)據(jù)經(jīng)授權(quán)機(jī)加密后，發(fā)送至主控機(jī)，主控機(jī)對狀態(tài)數(shù)據(jù)進(jìn)行解密后進(jìn)行處理。

然而，如果入侵者非常熟悉工業(yè)控制系統(tǒng)，能夠調(diào)用加密數(shù)據(jù)的組態(tài)軟件(加密組件)，則能偽造出格式上合法的惡意指令。即使不能調(diào)用加密組件，也可以通過不斷發(fā)送數(shù)據(jù)，有機(jī)會(huì)讓受控設(shè)備錯(cuò)誤地接受某個(gè)指令。因而，在實(shí)際應(yīng)用中，可以在受控設(shè)備上設(shè)置確認(rèn)按鍵，避免入侵者的惡意指令隨意發(fā)送。

在本發(fā)明實(shí)施例的另一種優(yōu)選的實(shí)施方式中，與圖4中的方法類似，步驟S41包括：

授權(quán)機(jī)接收主控機(jī)發(fā)送的密文指令，對所述密文指令進(jìn)行解密得到控制指令，對所述控制指令進(jìn)行驗(yàn)證；

其中，所述密文指令是所述主控機(jī)的外接加密設(shè)備對所述控制指令加密后生成的。

可理解的是，本發(fā)明實(shí)施例的安全防護(hù)方法，更進(jìn)一步提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性，使用外接加密設(shè)備進(jìn)行數(shù)據(jù)的加密處理，操作人員在施行操作時(shí)，需要外接加密設(shè)備，平時(shí)將這種外置設(shè)備拔掉，這種情況下，入侵者無法將自己制造的惡意指令通過外接加密設(shè)備進(jìn)行加密，也無法獲得加密密鑰進(jìn)行正確加密，從而無法實(shí)施攻擊。但這種插拔方式不適合工業(yè)控制系統(tǒng)，因?yàn)橐坏┩饨蛹用茉O(shè)備丟失，則會(huì)影響到正常的操作。但實(shí)際應(yīng)用時(shí)可以改造，在外接加解密設(shè)備上設(shè)置確認(rèn)按鍵(不同于授權(quán)機(jī)上的確認(rèn)，這里僅確認(rèn)要加密的指令內(nèi)容)，這樣就不用擔(dān)心外接加密設(shè)備的丟失問題了，除非惡意偷竊。

進(jìn)一步地，所述工業(yè)控制系統(tǒng)包括多個(gè)主控機(jī)(如圖5所示)；

對所述控制指令進(jìn)行驗(yàn)證包括：對所述控制指令進(jìn)行身份鑒別和消息完整性驗(yàn)證。

需要說明的是，對于工業(yè)控制系統(tǒng)包括多個(gè)主控機(jī)和一個(gè)授權(quán)機(jī)的情況，一個(gè)遭受入侵的主控機(jī)可能假冒另一個(gè)主控機(jī)發(fā)送控制指令，通過身份鑒別和數(shù)據(jù)完整性驗(yàn)證可以避免這種攻擊。

然而，入侵者可以竊聽正?？刂浦噶睿缓笤谝院笕我鈺r(shí)刻，不合時(shí)宜地將這種指令發(fā)送給授權(quán)機(jī)。由于該指令是由主控機(jī)正常制造的，因此可以通過授權(quán)機(jī)的驗(yàn)證，使攻擊得以成功，這就是重放攻擊。

為了防止重放攻擊，本發(fā)明實(shí)施例對所述控制指令進(jìn)行的驗(yàn)證還包括：對所述控制指令進(jìn)行消息新鮮性驗(yàn)證，驗(yàn)證所述控制指令是否已過有效性的期限。

增加的消息新鮮性驗(yàn)證，檢查所接受的消息是否為之前發(fā)送過的，也就是檢查消息的有效性是否已過期，以防止入侵者施行消息重放攻擊。在這種情況下，如果入侵者不能控制授權(quán)機(jī)，僅僅控制主控機(jī)將無法發(fā)送惡意控制指令。

本發(fā)明實(shí)施例提供的工業(yè)控制系統(tǒng)及安全防護(hù)方法，通過在主控機(jī)和受控設(shè)備之間的通信鏈路上設(shè)置授權(quán)機(jī)，由授權(quán)機(jī)對主控制發(fā)送的控制指令進(jìn)行驗(yàn)證，在驗(yàn)證通過后，將控制指令顯示在授權(quán)機(jī)的顯示屏上，操作人員在觸發(fā)確認(rèn)按鍵之前，需要檢查控制指令是否正確；只有在操作人員確認(rèn)控制指令正確并觸發(fā)確認(rèn)按鍵后，授權(quán)機(jī)將控制指令發(fā)送至受控設(shè)備，實(shí)現(xiàn)了即使主控機(jī)被入侵后惡意控制指令也無法發(fā)送至受控設(shè)備的保護(hù)目標(biāo)，提高了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

需要說明的是術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設(shè)備中還存在另外的相同要素。

本發(fā)明的說明書中，說明了大量具體細(xì)節(jié)。然而能夠理解的是，本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。類似地，應(yīng)當(dāng)理解，為了精簡本發(fā)明公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋呈反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

以上實(shí)施例僅用于說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。