專(zhuān)利名稱(chēng):工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法及系統(tǒng)��,屬于工業(yè)控制網(wǎng)絡(luò)領(lǐng)域�����。
背景技術(shù):
工業(yè)控制系統(tǒng)負(fù)責(zé)對(duì)生產(chǎn)裝置的連續(xù)控制�����,具有不可間斷的高可靠性要求和不可延遲的高實(shí)時(shí)性要求��。目前��,工業(yè)控制系統(tǒng)中的計(jì)算機(jī)以及通訊設(shè)備多使用IT系統(tǒng)的反病毒技術(shù)和網(wǎng)絡(luò)安全技術(shù)來(lái)防護(hù)����。但是�,許多在線查殺、云查殺技術(shù)會(huì)影響系統(tǒng)的穩(wěn)定性,殺毒程序升級(jí)和軟件補(bǔ)丁可能導(dǎo)致系統(tǒng)重啟����,不適用于連續(xù)生產(chǎn)過(guò)程。工業(yè)領(lǐng)域的通訊包含了 IP網(wǎng)絡(luò)���、公共有線或無(wú)線網(wǎng)絡(luò)���、無(wú)線傳感網(wǎng)絡(luò)、電力載波網(wǎng)絡(luò)�、現(xiàn)場(chǎng)總線等多種形式,外部入侵的途徑有多種可能性��。網(wǎng)關(guān)位置的安全防護(hù)是信息安全的基礎(chǔ)���,但傳統(tǒng)的防火墻僅能解決非授權(quán)訪問(wèn)的問(wèn)題��,無(wú)法提供更深層的安全防護(hù)���。作為對(duì)防火墻的補(bǔ)充,防毒墻����、網(wǎng)絡(luò)入侵防御(NIPS)���、VPN等安全設(shè)備紛紛出現(xiàn)在網(wǎng)關(guān)的位置。 這種“糖葫蘆串”式安全部署所帶來(lái)的問(wèn)題�����,除了投資成本����、管理成本的迅速增加����,能耗也呈指數(shù)性地上升。目前計(jì)算機(jī)病毒�����、各種網(wǎng)絡(luò)攻擊等新特點(diǎn)層出不窮���,工業(yè)控制系統(tǒng)面臨著安全新挑戰(zhàn)�����,而國(guó)內(nèi)大部分工業(yè)自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)層采取了一些傳統(tǒng)安全防護(hù)措施����,但物理層安全防護(hù)還沒(méi)有成熟的產(chǎn)品和解決方案,無(wú)法應(yīng)對(duì)越來(lái)越嚴(yán)重的內(nèi)部攻擊���。而且應(yīng)用與信息領(lǐng)域相關(guān)的許多安全技術(shù)都需要改動(dòng)現(xiàn)有的工業(yè)硬件系統(tǒng)和網(wǎng)絡(luò)�,而這將會(huì)增加系統(tǒng)改造成本��。在工業(yè)領(lǐng)域����,安全隔離網(wǎng)閘應(yīng)具有高度安全性,但是目前網(wǎng)閘都是采用基于硬件開(kāi)關(guān)控制����,受限于現(xiàn)有技術(shù)條件;大部分采用了基于工控機(jī)的硬件架構(gòu)�,安全性差,可靠性差�����,功耗高(均在200瓦以上)���,噪音大����,啟動(dòng)速度極慢(2分鐘以上);并且一般都是針對(duì)特定應(yīng)用的,不能方便同時(shí)支持多種應(yīng)用��,部分不支持工業(yè)通信標(biāo)準(zhǔn)����,如Profibus、CAN等�。國(guó)外已有工業(yè)自動(dòng)化網(wǎng)絡(luò)防護(hù)方面的產(chǎn)品面市,比如加拿大Tofino公司的硬件安全網(wǎng)閘和美國(guó)Industrial Defender公司的安全防護(hù)網(wǎng)絡(luò)��。國(guó)內(nèi)暫無(wú)相關(guān)的產(chǎn)品面市��。 總體上�,國(guó)外的產(chǎn)品發(fā)展較早����,國(guó)內(nèi)基本空白。對(duì)于該領(lǐng)域的學(xué)術(shù)文獻(xiàn)��,也是國(guó)外的較多��,國(guó)內(nèi)的較少��。加拿大Tofino公司的硬件安全網(wǎng)閘產(chǎn)品是基于串聯(lián)式硬件防護(hù)的主動(dòng)防御技術(shù),但是僅僅支持標(biāo)準(zhǔn)以太網(wǎng)接口的通信�����,對(duì)于其他通信網(wǎng)絡(luò)無(wú)法接入��,而且還不能有效防御控制系統(tǒng)底層的內(nèi)部攻擊���;美國(guó)Industrial Defender公司的安全防護(hù)網(wǎng)絡(luò)產(chǎn)品是基于在線監(jiān)控的被動(dòng)防御技術(shù)��,但各種監(jiān)控設(shè)備比較復(fù)雜���,對(duì)軟件病毒數(shù)據(jù)庫(kù)的要求較高。國(guó)內(nèi)該領(lǐng)域的技術(shù)產(chǎn)品多是基于IT防護(hù)的技術(shù)�����,不能滿(mǎn)足工業(yè)控制網(wǎng)絡(luò)的要求�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于�,提供一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法及系統(tǒng),在不改變工業(yè)企業(yè)的軟硬件設(shè)備和網(wǎng)絡(luò)布局的情況下����,能夠大大提高工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全水平���,降
4低投資、改造系統(tǒng)及管理的成本�。為解決上述技術(shù)問(wèn)題,本發(fā)明采用如下的技術(shù)方案一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法��,采用3主機(jī)結(jié)構(gòu)和三層防護(hù)策略����,包括以下步驟
針對(duì)外部網(wǎng)絡(luò)攻擊,前方主機(jī)對(duì)外部網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制���, 過(guò)濾非法身份的訪問(wèn),安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)��,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)����,對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī),后方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制��,合法數(shù)據(jù)進(jìn)入到內(nèi)部網(wǎng)絡(luò)��;
針對(duì)內(nèi)部網(wǎng)絡(luò)攻擊,后方主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制�����, 過(guò)濾非法身份的訪問(wèn)���,安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)��,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)�����,對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī)�����,前方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制�����,合法數(shù)據(jù)進(jìn)入到外部網(wǎng)絡(luò)���。所述內(nèi)部網(wǎng)絡(luò),是在企業(yè)內(nèi)等特定的組中提供服務(wù)的網(wǎng)絡(luò)或按照不同標(biāo)準(zhǔn)分割的網(wǎng)絡(luò)空間,是必須確保安全的網(wǎng)絡(luò)���;所述外部網(wǎng)絡(luò)�����,是與內(nèi)部網(wǎng)絡(luò)相對(duì)應(yīng)的網(wǎng)絡(luò)��,即安全性較低的網(wǎng)絡(luò)����,可以是企業(yè)局域網(wǎng)���、不特定的多數(shù)所連接并利用的廣域網(wǎng)或公眾網(wǎng)��,甚至互聯(lián)網(wǎng)�����。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法中�����,所述主機(jī)都采用基于安全芯片TPM的動(dòng)態(tài)可信度量策略,建立基于TPM的可信根及可信鏈,將敏感數(shù)據(jù)存放在TPM芯片內(nèi)部和其他組件隔離的存儲(chǔ)器內(nèi)���,在內(nèi)部完成密鑰生成�����、數(shù)據(jù)加密和身份認(rèn)證�。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法中��,前方主機(jī)��、后方主機(jī)與安全控制主機(jī)之間采用自定義協(xié)議進(jìn)行數(shù)據(jù)傳輸���,通過(guò)標(biāo)準(zhǔn)協(xié)議(一般指工業(yè)標(biāo)準(zhǔn)通信協(xié)議及總線�����,基于國(guó)際標(biāo)準(zhǔn)化機(jī)構(gòu)(ISO)����、IEEE��、ANSI����、ITU���、IEC、JIS等或者行業(yè)標(biāo)準(zhǔn)化機(jī)構(gòu)制定的標(biāo)準(zhǔn)通信協(xié)議�����, 其標(biāo)準(zhǔn)格式公開(kāi)而任何人都能獲得的通信協(xié)議)與自定義協(xié)議的轉(zhuǎn)換實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議阻斷和純數(shù)據(jù)交換�,在應(yīng)用層對(duì)傳遞的數(shù)據(jù)內(nèi)容進(jìn)行深度檢測(cè)�����。前方主機(jī)�����、后方主機(jī)通過(guò)標(biāo)準(zhǔn)協(xié)議與連接的網(wǎng)絡(luò)進(jìn)行通信���,在標(biāo)準(zhǔn)協(xié)議與非標(biāo)準(zhǔn)協(xié)議之間進(jìn)行通信數(shù)據(jù)的協(xié)議轉(zhuǎn)換���,即將標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)轉(zhuǎn)換為自定義協(xié)議,標(biāo)準(zhǔn)協(xié)議與自定義協(xié)議僅在應(yīng)用層進(jìn)行通訊���,兩側(cè)主機(jī)與安全控制主機(jī)采用非公開(kāi)的自定義協(xié)議進(jìn)行通信���,避免了攻擊者由于熟悉協(xié)議規(guī)則進(jìn)行的攻擊。其中���,在數(shù)據(jù)轉(zhuǎn)換前�����,需要進(jìn)行端口掃描及IP過(guò)濾等安全驗(yàn)證����,如果未通過(guò)驗(yàn)證��,分情況進(jìn)行處理��,或者生成報(bào)警信息發(fā)送給前方主機(jī)��、后方主機(jī)�,或者響應(yīng)處理等;如果未通過(guò)動(dòng)態(tài)可信度量驗(yàn)證�,則終止該次通信;如果有報(bào)警信息�,需要首先對(duì)報(bào)警信息進(jìn)行確認(rèn)���, 再進(jìn)行相應(yīng)處理。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法中�,安全控制主機(jī)采用基于場(chǎng)景(場(chǎng)景是用來(lái)表征系統(tǒng)當(dāng)前狀態(tài)和功能的任何信息)的混合入侵檢測(cè)算法在應(yīng)用層進(jìn)行數(shù)據(jù)深層過(guò)濾, 如果檢測(cè)到異常�����,就生成報(bào)警信息��,上傳到配置管理中心����,并通知前方主機(jī)、后方主機(jī)采取相應(yīng)的策略進(jìn)行處理�。基于場(chǎng)景的混合入侵檢測(cè)算法能夠利用與工業(yè)控制系統(tǒng)物理模型及非法入侵檢測(cè)系統(tǒng)有關(guān)的現(xiàn)有各種技術(shù)來(lái)實(shí)現(xiàn)���,如自適應(yīng)專(zhuān)家系統(tǒng)等�,同時(shí)將獲得的知識(shí)抽象成與各個(gè)工業(yè)控制系統(tǒng)一致的控制規(guī)則����,存儲(chǔ)到本地規(guī)則庫(kù)。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法中����,所述主機(jī)都采用安全訪問(wèn)控制策略防御外部攻擊��,安全訪問(wèn)控制策略包括用戶(hù)權(quán)限控制、端口控制和源IP/目的IP過(guò)濾��。實(shí)現(xiàn)前述方法的一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�����,采用3主機(jī)結(jié)構(gòu)���,分別為前方主機(jī)����、安全控制主機(jī)和后方主機(jī)����;前方主機(jī)和后方主機(jī)的結(jié)構(gòu)相同,都通過(guò)LAN硬件分別與外部網(wǎng)絡(luò)����、內(nèi)部網(wǎng)絡(luò)相連;安全控制主機(jī)通過(guò)一個(gè)共用存儲(chǔ)區(qū)緩存來(lái)自前方主機(jī)�����、后方主機(jī)的數(shù)據(jù)。三主機(jī)之間采用現(xiàn)有的高速數(shù)據(jù)傳輸技術(shù)來(lái)保證高速的數(shù)據(jù)吞吐率�。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中,前方主機(jī)和后方主機(jī)都包括動(dòng)態(tài)可信度量模塊�����、響應(yīng)處理模塊��、數(shù)據(jù)轉(zhuǎn)換及通信模塊�����、數(shù)據(jù)更新模塊和報(bào)警信息處理模塊����。數(shù)據(jù)轉(zhuǎn)換及通訊模塊包括標(biāo)準(zhǔn)協(xié)議通信模塊,用于通過(guò)標(biāo)準(zhǔn)協(xié)議與連接至該主機(jī)一側(cè)的網(wǎng)絡(luò)進(jìn)行通信�����;自定義協(xié)議模塊����,用于通過(guò)非公開(kāi)的自定義協(xié)議與安全控制主機(jī)進(jìn)行通信���;協(xié)議轉(zhuǎn)換模塊,在標(biāo)準(zhǔn)協(xié)議與非標(biāo)準(zhǔn)協(xié)議之間進(jìn)行通信數(shù)據(jù)的協(xié)議轉(zhuǎn)換����,即將標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)轉(zhuǎn)換為自定義協(xié)議或者自定義協(xié)議轉(zhuǎn)換為標(biāo)準(zhǔn)協(xié)議,標(biāo)準(zhǔn)協(xié)議與自定義協(xié)議僅在應(yīng)用層進(jìn)行通訊����,有效屏蔽利用1至6層協(xié)議安全漏洞進(jìn)行的攻擊��。其中���,在數(shù)據(jù)轉(zhuǎn)換前����,需要進(jìn)行端口掃描及IP過(guò)濾等安全驗(yàn)證����,如果未通過(guò)驗(yàn)證,分情況進(jìn)行處理�,或者生成報(bào)警信息發(fā)送給報(bào)警信息處理模塊,或者交給響應(yīng)處理模塊進(jìn)行處理等���;同時(shí)與響應(yīng)處理模塊進(jìn)行信息交換�����,如果未通過(guò)動(dòng)態(tài)可信度量驗(yàn)證�,則終止該次通信;與報(bào)警信息處理模塊進(jìn)行信息交互����,如果有報(bào)警信息,需要首先對(duì)報(bào)警信息進(jìn)行確認(rèn)�,再進(jìn)行相應(yīng)處理。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中��,安全控制主機(jī)包括動(dòng)態(tài)可信度量模塊���、響應(yīng)處理模塊����、通信處理模塊����、入侵檢測(cè)模塊和數(shù)據(jù)更新模塊。入侵檢測(cè)模塊采用基于場(chǎng)景的混合入侵檢測(cè)算法對(duì)數(shù)據(jù)進(jìn)行深層應(yīng)用層數(shù)據(jù)過(guò)濾,如果檢測(cè)到異常�,就生成報(bào)警信息,上傳到配置管理中心����,并通知前方主機(jī)、后方主機(jī)采取相應(yīng)的策略進(jìn)行處理��。數(shù)據(jù)更新模塊與前方主機(jī)�����、后方主機(jī)的數(shù)據(jù)更新模塊進(jìn)行通信����,將其更新信息下發(fā)到前方主機(jī)����、后方主機(jī)的更新存儲(chǔ)器區(qū)域;該模塊可以進(jìn)行在線更新配置和數(shù)據(jù)�����,保證工業(yè)控制過(guò)程的連續(xù)性和穩(wěn)定性���。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中�,動(dòng)態(tài)可信度量模塊采用基于安全芯片TPM 的動(dòng)態(tài)可信度量策略,建立基于TPM的可信根及可信鏈���,將敏感數(shù)據(jù)存放在TPM芯片內(nèi)部和其他組件隔離的存儲(chǔ)器內(nèi)����,在內(nèi)部完成密鑰生成���、數(shù)據(jù)加密和身份認(rèn)證����。前述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中����,所述系統(tǒng)還包括與安全控制主機(jī)的數(shù)據(jù)更新模塊進(jìn)行通信的配置管理中心,用于系統(tǒng)配置���、數(shù)據(jù)更新與維護(hù)��、界面顯示與數(shù)據(jù)查詢(xún)及日志管理����。配置管理中心是一個(gè)配置管理平臺(tái),可以布置在一個(gè)工作站上或者一臺(tái)本地計(jì)算機(jī)上�,它主要將配置信息下載到相應(yīng)的工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng),報(bào)警��、操作日志的存儲(chǔ)���、 查詢(xún)����,專(zhuān)家系統(tǒng)知識(shí)庫(kù)的維護(hù)等�,采用基于XML的中間件技術(shù)以及組件化、模塊化的設(shè)計(jì)思想��,將各種配置管理����、安全策略/規(guī)則封裝成獨(dú)立的組件���,提供二次開(kāi)發(fā)接口�,提供可視化的圖形化應(yīng)用界面����,方便用戶(hù)使用和定制個(gè)性化的安全策略/規(guī)則�;同時(shí)人機(jī)界面接口提供了對(duì)專(zhuān)家系統(tǒng)知識(shí)規(guī)則庫(kù)的維護(hù)��、對(duì)各種報(bào)警日志數(shù)據(jù)庫(kù)的維護(hù)及查詢(xún)����、瀏覽功能。與現(xiàn)有技術(shù)相比��,本發(fā)明采用三主機(jī)結(jié)構(gòu)�,對(duì)內(nèi)、外部網(wǎng)絡(luò)攻擊進(jìn)行防御���,建立基于TPM的可信根及可信鏈���,采用基于TPM的動(dòng)態(tài)可信度量技術(shù),增強(qiáng)裝置自身抗攻擊能力����; 采用用戶(hù)權(quán)限控制、端口控制��、源IP /目的IP過(guò)濾等安全訪問(wèn)控制策略�����,防御常規(guī)端口掃描等外部攻擊;由于位于開(kāi)放型相互連接系統(tǒng)的低層的數(shù)據(jù)鏈路層��,或網(wǎng)絡(luò)層上實(shí)施的數(shù)據(jù)包過(guò)濾無(wú)法進(jìn)行復(fù)雜的條件的設(shè)定和控制��,存在著安全性低的缺點(diǎn)��,因此采用基于自定義協(xié)議的純數(shù)據(jù)檢測(cè)技術(shù)����,即通過(guò)自定義協(xié)議轉(zhuǎn)換方法實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議阻斷和純數(shù)據(jù)交換, 在應(yīng)用層上對(duì)傳遞的數(shù)據(jù)內(nèi)容進(jìn)行深度檢查�����,防護(hù)IP欺騙��、木馬后門(mén)等攻擊具有更高的
6安全性����;根據(jù)工業(yè)控制網(wǎng)絡(luò)內(nèi)部攻擊類(lèi)型和特點(diǎn),將控制系統(tǒng)場(chǎng)景數(shù)據(jù)���、物理模型通過(guò)專(zhuān)家系統(tǒng)抽象映射到混合入侵檢測(cè)模型中,采用基于場(chǎng)景的混合入侵檢測(cè)模型��,用場(chǎng)景作為數(shù)據(jù)源來(lái)檢測(cè)用戶(hù)的動(dòng)機(jī),對(duì)控制系統(tǒng)來(lái)說(shuō)���,可通過(guò)構(gòu)建物理模型來(lái)映射網(wǎng)絡(luò)數(shù)據(jù)流量��,抽象成網(wǎng)絡(luò)行為規(guī)則����,進(jìn)行檢測(cè)非法入侵行為��,不但可以用來(lái)檢測(cè)入侵和異常行為��,還能夠處理內(nèi)部攻擊�、系統(tǒng)故障、硬件退化��、異常環(huán)境條件及意外誤用操作等�����,控制系統(tǒng)底層內(nèi)部攻擊的防御�����。即使來(lái)自一方的網(wǎng)絡(luò)的非法數(shù)據(jù)入侵了兩側(cè)主機(jī)�����,也能夠采用3層安全結(jié)構(gòu)阻止該非法數(shù)據(jù)向另一方網(wǎng)絡(luò)的入侵;即使非法數(shù)據(jù)通過(guò)了第一層一側(cè)主機(jī)的防護(hù)�����,在安全控制主機(jī)進(jìn)行第二層的安全防護(hù)���,通過(guò)對(duì)純數(shù)據(jù)深層檢測(cè)及入侵報(bào)警�,也能及時(shí)阻止非法數(shù)據(jù)����;即使由于非法數(shù)據(jù)篡改了第一主機(jī)的數(shù)據(jù)過(guò)濾規(guī)則,數(shù)據(jù)通過(guò)第二層安全防護(hù)�����,入侵檢測(cè)模塊能及時(shí)對(duì)數(shù)據(jù)異常進(jìn)行報(bào)警����;兩側(cè)主機(jī)與安全控制主機(jī)由于采用未公開(kāi)的自定義協(xié)議的數(shù)據(jù)傳輸,那么到了另一側(cè)主機(jī)可以進(jìn)行第三層的安全防護(hù)��,即非法數(shù)據(jù)不能篡改另一側(cè)主機(jī)的數(shù)據(jù)過(guò)濾規(guī)則,通過(guò)檢測(cè)到兩側(cè)主機(jī)過(guò)濾規(guī)則的不一致也能檢測(cè)出異常����,可以及時(shí)阻止非法數(shù)據(jù)�。采用被動(dòng)檢測(cè)與主動(dòng)防御相結(jié)合的安全策略,對(duì)內(nèi)�、外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行三層過(guò)濾,具有傳統(tǒng)IT安全防護(hù)產(chǎn)品所不具有的優(yōu)勢(shì)���,即它能有效防御內(nèi)部攻擊�,通過(guò)檢測(cè)到內(nèi)部攻擊��,及時(shí)消除�,或者將內(nèi)部攻擊限定在局部的內(nèi)部網(wǎng)絡(luò),使之不能蔓延到其他局域網(wǎng)絡(luò)或者外網(wǎng)�����,對(duì)外部網(wǎng)絡(luò)造成破壞����,進(jìn)而對(duì)工業(yè)控制系統(tǒng)進(jìn)行更好的三層安全防護(hù),能夠大大提高工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全水平�。本發(fā)明公開(kāi)的系統(tǒng)支持多種工業(yè)總線標(biāo)準(zhǔn)及協(xié)議,兼容現(xiàn)有的工業(yè)硬件系統(tǒng)和網(wǎng)絡(luò),在提高系統(tǒng)安全性能的同時(shí)�,大大降低了系統(tǒng)的投資、改造和管理成本��。本系統(tǒng)具有在線更新功能���,根據(jù)工業(yè)控制系統(tǒng)負(fù)責(zé)對(duì)生產(chǎn)裝置的連續(xù)控制功能���, 滿(mǎn)足其具有不可間斷的高可靠性要求和不可延遲的高實(shí)時(shí)性要求,保證了工業(yè)控制過(guò)程的連續(xù)性和穩(wěn)定性�。該功能實(shí)施可以采用現(xiàn)有的優(yōu)選技術(shù)來(lái)實(shí)現(xiàn)。如設(shè)置兩段代碼區(qū)分別存儲(chǔ)升級(jí)前和升級(jí)后的代碼�����,通過(guò)更改用戶(hù)代碼跳轉(zhuǎn)指令�����,運(yùn)行更新后的代碼�,而不用中斷程序的執(zhí)行或進(jìn)行重啟操作。
圖1是本發(fā)明的一種實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖2是本發(fā)明的一種實(shí)施例的前方主機(jī)的數(shù)據(jù)轉(zhuǎn)換及通信模塊的結(jié)構(gòu)示意圖��; 圖3是本發(fā)明的一種實(shí)施例的通信處理模塊的結(jié)構(gòu)示意圖�����; 圖4是本發(fā)明的一種實(shí)施例的前后方主機(jī)的工作流程圖; 圖5是本發(fā)明的一種實(shí)施例的安全控制主機(jī)的工作流程圖����。下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步的說(shuō)明���。
具體實(shí)施例方式
具體實(shí)施例方式一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法����,采用3主機(jī)結(jié)構(gòu)和三層防護(hù)策略��,包括以下步驟
針對(duì)外部網(wǎng)絡(luò)攻擊�,前方主機(jī)對(duì)外部網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制, 過(guò)濾非法身份的訪問(wèn)���,安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)��,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)���,對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī),后方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制���,合法數(shù)據(jù)進(jìn)入到內(nèi)部網(wǎng)絡(luò)�;
針對(duì)內(nèi)部網(wǎng)絡(luò)攻擊,后方主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制����, 過(guò)濾非法身份的訪問(wèn),安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)��,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)�����,對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī)���,前方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制�,合法數(shù)據(jù)進(jìn)入到外部網(wǎng)絡(luò)����。所述內(nèi)部網(wǎng)絡(luò),是在企業(yè)內(nèi)等特定的組中提供服務(wù)的網(wǎng)絡(luò)或按照不同標(biāo)準(zhǔn)分割的網(wǎng)絡(luò)空間��,是必須確保安全的網(wǎng)絡(luò)���;所述外部網(wǎng)絡(luò)��,是與內(nèi)部網(wǎng)絡(luò)相對(duì)應(yīng)的網(wǎng)絡(luò)�����,即安全性較低的網(wǎng)絡(luò)�����,可以是企業(yè)局域網(wǎng)���、不特定的多數(shù)所連接并利用的廣域網(wǎng)或公眾網(wǎng),甚至互聯(lián)網(wǎng)��。所述主機(jī)都采用基于安全芯片TPM的動(dòng)態(tài)可信度量策略����,建立基于TPM的可信根及可信鏈,將敏感數(shù)據(jù)存放在TPM芯片內(nèi)部和其他組件隔離的存儲(chǔ)器內(nèi)�����,在內(nèi)部完成密鑰生成��、數(shù)據(jù)加密和身份認(rèn)證�。前方主機(jī)���、后方主機(jī)與安全控制主機(jī)之間采用自定義協(xié)議進(jìn)行數(shù)據(jù)傳輸,通過(guò)標(biāo)準(zhǔn)協(xié)議與自定義協(xié)議的轉(zhuǎn)換實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議阻斷和純數(shù)據(jù)交換�,在應(yīng)用層對(duì)傳遞的數(shù)據(jù)內(nèi)容進(jìn)行深度檢測(cè)。前方主機(jī)�����、后方主機(jī)通過(guò)標(biāo)準(zhǔn)協(xié)議與連接的網(wǎng)絡(luò)進(jìn)行通信��,在標(biāo)準(zhǔn)協(xié)議與非標(biāo)準(zhǔn)協(xié)議之間進(jìn)行通信數(shù)據(jù)的協(xié)議轉(zhuǎn)換�,即將標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)轉(zhuǎn)換為自定義協(xié)議,標(biāo)準(zhǔn)協(xié)議與自定義僅在應(yīng)用層進(jìn)行通信����。其中,在數(shù)據(jù)轉(zhuǎn)換前�,需要進(jìn)行端口掃描及IP過(guò)濾等安全驗(yàn)證,如果未通過(guò)驗(yàn)證�����,分情況進(jìn)行處理�����,或者生成報(bào)警信息發(fā)送給前方主機(jī)、后方主機(jī)���,或者響應(yīng)處理等��;如果未通過(guò)動(dòng)態(tài)可信度量驗(yàn)證��,則終止該次通信����;如果有報(bào)警信息����,需要首先對(duì)報(bào)警信息進(jìn)行確認(rèn),再進(jìn)行相應(yīng)處理�����。安全控制主機(jī)采用基于場(chǎng)景的混合入侵檢測(cè)算法對(duì)數(shù)據(jù)進(jìn)行深層應(yīng)用層數(shù)據(jù)過(guò)濾��,如果檢測(cè)到異常��,就生成報(bào)警信息��,上傳到配置管理中心��,并通知前方主機(jī)���、后方主機(jī)采取相應(yīng)的策略進(jìn)行處理��?�;趫?chǎng)景的混合入侵檢測(cè)算法能夠利用與工業(yè)控制系統(tǒng)物理模型及非法入侵檢測(cè)系統(tǒng)有關(guān)的現(xiàn)有各種技術(shù)來(lái)實(shí)現(xiàn)��,如自適應(yīng)專(zhuān)家系統(tǒng)等����,同時(shí)將獲得的知識(shí)抽象成與各個(gè)工業(yè)控制系統(tǒng)一致的控制規(guī)則���,存儲(chǔ)到本地規(guī)則庫(kù)�。所述主機(jī)都采用安全訪問(wèn)控制策略防御外部攻擊�����,安全訪問(wèn)控制策略包括用戶(hù)權(quán)限控制����、端口控制和源IP/目的IP過(guò)濾。實(shí)現(xiàn)前述方法的一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�,如圖1所示���,采用3主機(jī)結(jié)構(gòu), 分別為前方主機(jī)�、安全控制主機(jī)和后方主機(jī);前方主機(jī)和后方主機(jī)的結(jié)構(gòu)相同��,都通過(guò)LAN 硬件分別與外部網(wǎng)絡(luò)�、內(nèi)部網(wǎng)絡(luò)相連;安全控制主機(jī)通過(guò)一個(gè)共用存儲(chǔ)區(qū)緩存來(lái)自前方主機(jī)���、后方主機(jī)的數(shù)據(jù)�。三主機(jī)之間采用現(xiàn)有的高速數(shù)據(jù)傳輸技術(shù)來(lái)保證高速的數(shù)據(jù)吞吐率��。 所述系統(tǒng)還包括與安全控制主機(jī)的數(shù)據(jù)更新模塊進(jìn)行通信的配置管理中心�����,用于系統(tǒng)配置�����、數(shù)據(jù)更新及數(shù)據(jù)上傳���。����、前方主機(jī)和后方主機(jī)是由嵌入式主機(jī)的嵌入式硬件�����、嵌入的TPM安全芯片的獨(dú)立硬件以及位于嵌入式硬件上的嵌入式實(shí)時(shí)操作系統(tǒng)構(gòu)成�����,這里采用的操作系統(tǒng)是經(jīng)過(guò)裁剪定制的Iinux實(shí)時(shí)操作系統(tǒng)��。其中�,在嵌入式硬件中,附加了由網(wǎng)絡(luò)端口構(gòu)成的LAN硬件�����。LAN硬件與外部網(wǎng)絡(luò)進(jìn)行基于標(biāo)準(zhǔn)(工業(yè))協(xié)議進(jìn)行通信���。LAN硬件構(gòu)成標(biāo)準(zhǔn)協(xié)議通信的硬件層���,嵌入式硬件的一部分構(gòu)成自定義協(xié)議通信的硬件層。前方主機(jī)和后方主機(jī)都包括動(dòng)態(tài)可信度量模塊、響應(yīng)處理模塊���、數(shù)據(jù)轉(zhuǎn)換及通信模塊���、數(shù)據(jù)更新模塊和報(bào)警信息處理模塊。動(dòng)態(tài)可信度量模塊采用基于安全芯片TPM的動(dòng)態(tài)可信度量策略�����,通過(guò)TPM安全芯片與傳統(tǒng)硬件重新設(shè)計(jì)可信BIOS��,通過(guò)ARM的APB總線集成到主板上����,使得安全芯片在系統(tǒng)啟動(dòng)過(guò)程中進(jìn)行信任度量;將可信度量從靜態(tài)度量擴(kuò)展到進(jìn)程及模塊的度量��,將敏感數(shù)據(jù)存放在TPM芯片內(nèi)部和其他組件隔離的存儲(chǔ)器內(nèi)�����,在內(nèi)部完成密鑰生成�����、數(shù)據(jù)加密和身份認(rèn)證����,利用TPM進(jìn)行硬件級(jí)別的保護(hù)。該安全策略實(shí)現(xiàn)了數(shù)據(jù)物理隔離及網(wǎng)絡(luò)安全認(rèn)證�����,可以完成一些實(shí)時(shí)攻擊方法的檢測(cè)���,可以防止內(nèi)部攻擊�,保證了操作系統(tǒng)內(nèi)核級(jí)別的安全訪問(wèn)和操作�����。如圖2所示�,前方主機(jī)的數(shù)據(jù)轉(zhuǎn)換與通信模塊由標(biāo)準(zhǔn)協(xié)議通信、協(xié)議轉(zhuǎn)換���、自定義協(xié)議�、端口控制����、IP過(guò)濾等模塊組成,標(biāo)準(zhǔn)協(xié)議通信模塊與外部網(wǎng)絡(luò)進(jìn)行通信,用于接收數(shù)據(jù)���;協(xié)議轉(zhuǎn)換模塊����,用于將標(biāo)準(zhǔn)協(xié)議轉(zhuǎn)換為自定義協(xié)議或?qū)⒆远x協(xié)議轉(zhuǎn)換為標(biāo)準(zhǔn)協(xié)議���,標(biāo)準(zhǔn)協(xié)議與自定義協(xié)議的收發(fā)僅在第7層應(yīng)用層進(jìn)行����,有效屏蔽利用1至6層協(xié)議安全漏洞進(jìn)行的攻擊�����,但是必須在端口控制���、IP過(guò)濾模塊的數(shù)據(jù)過(guò)濾滿(mǎn)足要求的條件下才能進(jìn)行協(xié)議轉(zhuǎn)換�����,否則該數(shù)據(jù)包進(jìn)行相應(yīng)的處理���,如丟棄或拒絕等�;自定義協(xié)議通信模塊�,用于與安全控制主機(jī)進(jìn)行通信,將數(shù)據(jù)轉(zhuǎn)發(fā)到安全控制主機(jī)進(jìn)行深層過(guò)濾及處理�。后方主機(jī)的數(shù)據(jù)轉(zhuǎn)換與通信模塊與前方的數(shù)據(jù)轉(zhuǎn)換與通信模塊的工作原理是相同的��,不再贅述��。�、安全控制主機(jī)包括動(dòng)態(tài)可信度量模塊、響應(yīng)處理模塊����、通信處理模塊、入侵檢測(cè)模塊和數(shù)據(jù)更新模塊���。動(dòng)態(tài)可信度量模塊與前后方主機(jī)的動(dòng)態(tài)可信度量模塊的結(jié)構(gòu)和功能是相同的��。如圖3所示�,安全控制主機(jī)上的通信處理模塊由兩端的自定義協(xié)議通信模塊分別與前方主機(jī)和后方主機(jī)進(jìn)行通信��,將接收的數(shù)據(jù)分別緩存在共用存儲(chǔ)區(qū)�����,數(shù)據(jù)處理模塊負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行可信驗(yàn)證及調(diào)度,如果通過(guò)驗(yàn)證�,則通知兩端自定義協(xié)議通信模塊其中之一可以進(jìn)行下一步通信傳輸,若未通過(guò)驗(yàn)證����,則將數(shù)據(jù)丟棄或進(jìn)行相應(yīng)處理。其中��,上述驗(yàn)證方法是基于響應(yīng)處理模塊得到的動(dòng)態(tài)可信度量結(jié)果及入侵檢測(cè)結(jié)果進(jìn)行的��。數(shù)據(jù)處理模塊還與數(shù)據(jù)更新模塊通信����,將報(bào)警信息等結(jié)果通過(guò)數(shù)據(jù)更新模塊上傳到配置管理中心或前后方主機(jī)。入侵檢測(cè)模塊采用基于場(chǎng)景的混合入侵檢測(cè)算法對(duì)數(shù)據(jù)進(jìn)行深層應(yīng)用層數(shù)據(jù)過(guò)濾����,如果檢測(cè)到異常,就生成報(bào)警信息�����,上傳到配置管理中心��,并通知前方主機(jī)�����、后方主機(jī)采取相應(yīng)的策略進(jìn)行處理。數(shù)據(jù)更新模塊與前方主機(jī)���、后方主機(jī)的數(shù)據(jù)更新模塊進(jìn)行通信����,將其更新信息下發(fā)到前方主機(jī)�、后方主機(jī)的更新存儲(chǔ)器區(qū)域�����;該模塊可以進(jìn)行在線更新配置和數(shù)據(jù)����,保證工業(yè)控制過(guò)程的連續(xù)性和穩(wěn)定性。報(bào)警信息處理模塊���,主要收集所有的報(bào)警信息���,及時(shí)通知數(shù)據(jù)轉(zhuǎn)換與通信模塊,使其根據(jù)報(bào)警級(jí)別和分類(lèi)進(jìn)行相應(yīng)的處理�����,同時(shí)與數(shù)據(jù)更新模塊通信,通過(guò)安全控制主機(jī)將報(bào)警信息上傳到管理配置中心���。響應(yīng)處理模塊�,用于處理動(dòng)態(tài)可信度量模塊及數(shù)據(jù)轉(zhuǎn)換與通信模塊檢測(cè)出的異常����,同時(shí)將動(dòng)態(tài)可信度量模塊的異常信息及時(shí)通報(bào)給數(shù)據(jù)轉(zhuǎn)換與通信模塊。�、配置管理中心是一個(gè)配置管理平臺(tái),可以布置在一個(gè)工作站上或者一臺(tái)本地計(jì)算機(jī)上��,它主要將配置信息下載到相應(yīng)的工業(yè)控制網(wǎng)絡(luò)安全系統(tǒng)��,報(bào)警����、操作日志的存儲(chǔ)、查詢(xún)���,專(zhuān)家系統(tǒng)知識(shí)庫(kù)的維護(hù)等��,采用基于XML的中間件技術(shù)以及組件化�����、模塊化的設(shè)計(jì)思想�,將各種配置管理、安全策略/規(guī)則封裝成獨(dú)立的組件���,提供二次開(kāi)發(fā)接口�����,提供可視化的圖形化應(yīng)用界面,方便用戶(hù)使用和定制個(gè)性化的安全策略/規(guī)則�;同時(shí)人機(jī)界面接口提供了對(duì)專(zhuān)家系統(tǒng)知識(shí)規(guī)則庫(kù)的維護(hù)、對(duì)各種報(bào)警日志數(shù)據(jù)庫(kù)的維護(hù)及查詢(xún)��、瀏覽功能�����。�����、要實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的真正的安全可信�����,首先要保證系統(tǒng)硬件和操作系統(tǒng)的可信,增強(qiáng)系統(tǒng)自身的抗攻擊能力��;而要保證操作系統(tǒng)可信���,就必須解決操作系統(tǒng)引導(dǎo)過(guò)程的可信及運(yùn)行過(guò)程中可信鏈的傳遞����?;谲浻布嘟Y(jié)合的技術(shù),通過(guò)在嵌入式平臺(tái)內(nèi)部引入可信硬件設(shè)備TPM安全芯片作為系統(tǒng)安全性的支撐模塊����,對(duì)系統(tǒng)引導(dǎo)及運(yùn)行過(guò)程所需要的主要密碼運(yùn)算和安全存儲(chǔ)提供支持。嵌入式平臺(tái)上Boot Loader嚴(yán)重依賴(lài)于硬件平臺(tái)����,必須在考慮嵌入式平臺(tái)的基礎(chǔ)上對(duì)Boot Loader進(jìn)行重新設(shè)計(jì)。對(duì)于采用ARM+ Linux開(kāi)發(fā)平臺(tái)來(lái)說(shuō)�,Boot Loader通常分為兩個(gè)階段第一個(gè)階段通常是一段代碼,包括基本硬件初始化�����,為第二階段準(zhǔn)備RAM空間,復(fù)制Boot Loader的第二階段代碼到RAM���,設(shè)置堆棧����,之后跳轉(zhuǎn)到第二階段的程序入口點(diǎn)��;第二階段通常是C程序�����,包括初始化本階段要用到的硬件設(shè)備��,檢查系統(tǒng)內(nèi)存映射�����,將內(nèi)核影像和根文件映像從Flash讀到RAM���,為內(nèi)核設(shè)置啟動(dòng)參數(shù),最后調(diào)用操作系統(tǒng)內(nèi)核�����。前方主機(jī)的工作流程圖如圖4所示,系統(tǒng)首先進(jìn)行硬件BIOS可信引導(dǎo)過(guò)程�����,進(jìn)行以下處理硬件平臺(tái)和TPM同時(shí)加電��,TPM初始化���,首先度量第一階段關(guān)鍵代碼的完整性���;對(duì)硬件平臺(tái)上各種硬件進(jìn)行初始化,并度量其組成與配置�;對(duì)第二階段程序代碼進(jìn)行度量,為第二階段準(zhǔn)備RAM空間�,復(fù)制第二段代碼到RAM,設(shè)置堆棧���,掉轉(zhuǎn)到程序入口 ����;檢查系統(tǒng)內(nèi)存映射���,進(jìn)行完整性度量���,操作系統(tǒng)度量應(yīng)用程序完整性�,生成全部完整性度量值���,存入MM ���; 設(shè)置內(nèi)核啟動(dòng)參數(shù),調(diào)用內(nèi)核�����,TPM將完整性值報(bào)告給操作系統(tǒng)�����;操作系統(tǒng)將完整性序列值和已存儲(chǔ)在TPM內(nèi)部的驗(yàn)證碼進(jìn)行比較����;如兩者不同�����,則中斷系統(tǒng)運(yùn)行,進(jìn)行系統(tǒng)恢復(fù)��,重啟��;若兩者相同�,系統(tǒng)能夠正常啟動(dòng),然后進(jìn)入系統(tǒng)正常運(yùn)行狀態(tài)�。系統(tǒng)進(jìn)入正常的運(yùn)行狀態(tài),系統(tǒng)程序的調(diào)度和響應(yīng)是采用線程及中斷方式進(jìn)行的����,操作系統(tǒng)基于線程及中斷的調(diào)度方式可以實(shí)現(xiàn)快速切換、多處理器的并行運(yùn)行���,滿(mǎn)足系統(tǒng)實(shí)時(shí)性的要求���。系統(tǒng)按照以下流程工作的首先,進(jìn)行系統(tǒng)���、線程及中斷初始化���,為系統(tǒng)工作做準(zhǔn)備;然后通過(guò)設(shè)置狀態(tài)字及優(yōu)先級(jí)的方式�����,進(jìn)行線程及中斷服務(wù)程序的調(diào)用,直到接收到結(jié)束命令���。對(duì)于前方主機(jī)�,處理流程主要由動(dòng)態(tài)可信度量線程�、數(shù)據(jù)通信及處理中斷服務(wù)程序和數(shù)據(jù)更新服務(wù)程序組成。其中���,數(shù)據(jù)通信及處理中斷服務(wù)程序�,采用優(yōu)先級(jí)最高的硬件中斷方式�����,對(duì)ARM處理器來(lái)說(shuō)�,采用FIQ (快速中斷請(qǐng)求)中斷模式;而數(shù)據(jù)更新中斷服務(wù)程序���,采用優(yōu)先級(jí)比較低的硬件中斷方式����;對(duì)于ARM處理器來(lái)說(shuō)����,采用IRQ (外部中斷模式)。這樣�����,F(xiàn)IQ中斷可以打斷IRQ模式���,實(shí)現(xiàn)中斷嵌套����,保證數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性���。數(shù)據(jù)通信及處理中斷服務(wù)程序主要功能是完整數(shù)據(jù)接收��、標(biāo)準(zhǔn)協(xié)議與自定義協(xié)議的轉(zhuǎn)換�����、數(shù)據(jù)訪問(wèn)控制(端口控制�、IP過(guò)濾等)及數(shù)據(jù)發(fā)送���。數(shù)據(jù)更新中斷服務(wù)程序響應(yīng)中斷請(qǐng)求�����,進(jìn)行數(shù)據(jù)更新服務(wù)�����。動(dòng)態(tài)可信度量線程����,采用設(shè)置狀態(tài)字的方式進(jìn)行控制,當(dāng)有一個(gè)度量請(qǐng)求到來(lái)的時(shí)候����,將狀態(tài)字置1,通過(guò)查詢(xún)狀態(tài)字來(lái)進(jìn)行動(dòng)態(tài)可信度量線程的調(diào)用����; 程序執(zhí)行的過(guò)程中,如果檢測(cè)到中斷信號(hào)���,就響應(yīng)中斷��,轉(zhuǎn)而執(zhí)行中斷服務(wù)程序�;中斷服務(wù)程序執(zhí)行完畢,再重新返回到程序原來(lái)的地方繼續(xù)執(zhí)行�����。
10
后方主機(jī)的工作流程基本與前方主機(jī)相同���,如圖4所示,不再贅述���。如圖5所示�����,實(shí)施例所涉及的系統(tǒng)中安全控制主機(jī)的工作流程與前方主機(jī)類(lèi)似��, 不同在于系統(tǒng)正常啟動(dòng)以后��,在進(jìn)行線程及中斷調(diào)度的過(guò)程中�,多了一個(gè)入侵檢測(cè)線程�, 該線程與動(dòng)態(tài)可信度量線程也是通過(guò)設(shè)置狀態(tài)字的方式來(lái)進(jìn)行線程的同步,其它流程與調(diào)度方法與前方主機(jī)相同�����。以上對(duì)本發(fā)明實(shí)施方式提供的技術(shù)方案進(jìn)行了詳細(xì)的介紹���,本文中應(yīng)用了具體實(shí)施例對(duì)本發(fā)明所實(shí)施的原理及實(shí)施方式進(jìn)行了闡述���,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明實(shí)施的原理����;同時(shí)���,對(duì)于本領(lǐng)域的一般技術(shù)人員����,本發(fā)明實(shí)施例��,在具體實(shí)施方式
以及應(yīng)用范圍上均有改變之處���,綜上所述�����,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制���。
權(quán)利要求
1.一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法,其特征在于,采用3主機(jī)結(jié)構(gòu)和三層防護(hù)策略�,包括以下步驟針對(duì)外部網(wǎng)絡(luò)攻擊,前方主機(jī)對(duì)外部網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制�, 過(guò)濾非法身份的訪問(wèn),安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)��,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)��,對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī)����,后方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制�����,合法數(shù)據(jù)進(jìn)入到內(nèi)部網(wǎng)絡(luò)���;針對(duì)內(nèi)部網(wǎng)絡(luò)攻擊��,后方主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)通訊數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制�����, 過(guò)濾非法身份的訪問(wèn)����,安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù),對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè)�����,對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī)�����,前方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制�,合法數(shù)據(jù)進(jìn)入到外部網(wǎng)絡(luò)。
2.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法��,其特征在于所述主機(jī)都采用基于安全芯片TPM的動(dòng)態(tài)可信度量策略����,建立基于TPM的可信根及可信鏈,將敏感數(shù)據(jù)存放在TPM芯片內(nèi)部和其他組件隔離的存儲(chǔ)器內(nèi)�����,在內(nèi)部完成密鑰生成��、數(shù)據(jù)加密和身份認(rèn)證���。
3.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法����,其特征在于前方主機(jī)、后方主機(jī)與安全控制主機(jī)之間采用自定義協(xié)議進(jìn)行數(shù)據(jù)傳輸����,通過(guò)標(biāo)準(zhǔn)協(xié)議與自定義協(xié)議的轉(zhuǎn)換實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議阻斷和純數(shù)據(jù)交換,在應(yīng)用層對(duì)傳遞的數(shù)據(jù)內(nèi)容進(jìn)行深度檢測(cè)��。
4.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法�,其特征在于安全控制主機(jī)采用基于場(chǎng)景的混合入侵檢測(cè)算法對(duì)數(shù)據(jù)在應(yīng)用層進(jìn)行數(shù)據(jù)深層過(guò)濾,如果檢測(cè)到異常����,就生成報(bào)警信息��,上傳到配置管理中心�����,并通知前方主機(jī)�、后方主機(jī)采取相應(yīng)的策略進(jìn)行處理。
5.根據(jù)權(quán)利要求1所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法��,其特征在于所述主機(jī)都采用安全訪問(wèn)控制策略防御外部攻擊,安全訪問(wèn)控制策略包括用戶(hù)權(quán)限控制���、端口控制和源IP/ 目的IP過(guò)濾��。
6.實(shí)現(xiàn)權(quán)利要求1 5所述方法的一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�����,其特征在于采用3主機(jī)結(jié)構(gòu)�����,分別為前方主機(jī)����、安全控制主機(jī)和后方主機(jī)�;前方主機(jī)和后方主機(jī)的結(jié)構(gòu)相同,都通過(guò)LAN硬件分別與外部網(wǎng)絡(luò)��、內(nèi)部網(wǎng)絡(luò)相連��;安全控制主機(jī)通過(guò)一個(gè)共用存儲(chǔ)區(qū)緩存來(lái)自前方主機(jī)�����、后方主機(jī)的數(shù)據(jù)。
7.根據(jù)權(quán)利要求6所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�����,其特征在于���,前方主機(jī)和后方主機(jī)都包括動(dòng)態(tài)可信度量模塊����、響應(yīng)處理模塊���、數(shù)據(jù)轉(zhuǎn)換及通信模塊��、數(shù)據(jù)更新模塊和報(bào)警信息處理模塊�。
8.根據(jù)權(quán)利要求6所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)���,其特征在于安全控制主機(jī)包括動(dòng)態(tài)可信度量模塊、響應(yīng)處理模塊�、通信處理模塊、入侵檢測(cè)模塊和數(shù)據(jù)更新模塊��。
9.根據(jù)權(quán)利要求7或8所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�����,其特征在于動(dòng)態(tài)可信度量模塊采用基于安全芯片TPM,建立基于TPM的可信根及可信鏈��,通過(guò)TPM安全芯片與傳統(tǒng)硬件重新設(shè)計(jì)可信BIOS����,將可信度量從靜態(tài)度量擴(kuò)展到進(jìn)程及模塊的動(dòng)態(tài)度量,利用TPM 進(jìn)行硬件級(jí)別的保護(hù)�,即將敏感數(shù)據(jù)存放在TPM芯片內(nèi)部和其他組件隔離的存儲(chǔ)器內(nèi),在內(nèi)部完成密鑰生成����、數(shù)據(jù)加密和身份認(rèn)證。
10.根據(jù)權(quán)利要求8所述的工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)�,其特征在于所述系統(tǒng)還包括與安全控制主機(jī)的數(shù)據(jù)更新模塊進(jìn)行通信的配置管理中心,用于系統(tǒng)配置�、數(shù)據(jù)更新與維護(hù)、界面顯示與數(shù)據(jù)查詢(xún)及日志管理���。
全文摘要
本發(fā)明公開(kāi)了一種工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方法及系統(tǒng)��,所述方法包括以下步驟針對(duì)外部網(wǎng)絡(luò)攻擊��,前方主機(jī)對(duì)外部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制�����,安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)�,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè),對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī)�����,后方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制��,合法數(shù)據(jù)進(jìn)入到內(nèi)部網(wǎng)絡(luò)���;針對(duì)內(nèi)部網(wǎng)絡(luò)攻擊���,后方主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行第一層數(shù)據(jù)過(guò)濾和訪問(wèn)控制,安全控制主機(jī)通過(guò)共用存儲(chǔ)區(qū)來(lái)緩存數(shù)據(jù)�,對(duì)數(shù)據(jù)進(jìn)行入侵檢測(cè),對(duì)非法數(shù)據(jù)進(jìn)行及時(shí)報(bào)警并通知兩側(cè)主機(jī)�,前方主機(jī)對(duì)數(shù)據(jù)進(jìn)行深層過(guò)濾和訪問(wèn)控制,合法數(shù)據(jù)進(jìn)入到外部網(wǎng)絡(luò)��。本發(fā)明能提高工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全水平�����,降低投資���、改造系統(tǒng)及管理的成本��。
文檔編號(hào)H04L29/06GK102438026SQ20121000850
公開(kāi)日2012年5月2日 申請(qǐng)日期2012年1月12日 優(yōu)先權(quán)日2012年1月12日
發(fā)明者于立業(yè), 張?jiān)瀑F, 王麗娜, 薛向榮, 趙永麗, 車(chē)飛 申請(qǐng)人:冶金自動(dòng)化研究設(shè)計(jì)院