工業控制系統及其安全裝置制造方法
【專利摘要】本發明公開了一種工業控制系統及其安全裝置。其中,工業控制系統的安全裝置包括:網絡接口,用于連接傳輸控制協議/網間協議TCP/IP網絡;設備接口,用于連接工業設備;第一安全模塊,與網絡接口相連接,用于對通過網絡接口傳輸的數據進行安全處理;以及第二安全模塊,與設備接口和第一安全模塊均相連接,用于對通過設備接口傳輸的數據進行安全處理。通過本發明,解決了現有技術中工業控制系統缺乏安全保障的問題,進而達到了提高工業控制系統的安全性、保證工控數據安全的效果。
【專利說明】工業控制系統及其安全裝置
【技術領域】
[0001]本發明涉及工業控制領域,具體而言,涉及一種工業控制系統及其安全裝置。
【背景技術】
[0002]隨著工業化與信息化進程的不斷交叉融合,越來越多的信息技術應用到了工業領域。目前,工業控制系統已廣泛應用于電力、水力、石化、醫藥、食品制造、交通運輸、航空航天等工業領域,其中,超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業。工業控制系統已經成為國家關鍵基礎設施的重要組成部分,工業控制系統的安全關系到國家的戰略安全,但是,目前階段,工業控制系統卻缺乏安全保障。
[0003]針對相關技術中工業控制系統缺乏安全保障的問題,目前尚未提出有效的解決方案。
【發明內容】
[0004]本發明的主要目的在于提供一種工業控制系統及其安全裝置,以解決現有技術中工業控制系統缺乏安全保障的問題。
[0005]為了實現上述目的,根據本發明的一個方面,提供了一種工業控制系統的安全裝置,包括:網絡接口,用于連接傳輸控制協議/網間協議TCP/IP網絡;設備接口,用于連接工業設備;第一安全模塊,與網絡接口相連接,用于對通過網絡接口傳輸的數據進行安全處理;以及第二安全模塊,與設備接口和第一安全模塊均相連接,用于對通過設備接口傳輸的數據進行安全處理。
[0006]進一步地,安全裝置還包括:協議轉換模塊,連接在第一安全模塊和第二安全模塊之間,用于對第一安全模塊和第二安全模塊之間的傳輸數據進行協議轉換。
[0007]進一步地,安全裝置還包括:管理模塊,與第一安全模塊、第二安全模塊和協議轉換模塊均相連接,用于配置第一安全模塊、第二安全模塊和協議轉換模塊的端口服務和/或協議類型。
[0008]進一步地,管理模塊包括:第一存儲器,其中,在第一存儲器中存儲有IP地址、端口號和協議以及IP地址、端口號和協議的對應關系;以及目標主機,與第一存儲器、第一安全模塊、第二安全模塊和協議轉換模塊均相連接,用于按照目標主機的IP地址配置第一安全模塊、第二安全模塊和協議轉換模塊的端口服務和/或協議類型。
[0009]進一步地,管理模塊還包括:多個第一主機;以及接收器,用于接收用戶指令,用戶指令用于從多個第一主機中確定出目標主機。
[0010]進一步地,第一安全模塊包括:多個第二主機,其中,多個第二主機分別通過不同的端口與目標主機相連接,目標第二主機用于按照網絡傳輸協議對通過網絡接口傳輸的數據進行安全處理,目標第二主機為與目標主機配置的端口相連接的多個第二主機中的一個主機;以及第一協議維護子模塊,用于維護網絡傳輸協議。
[0011]進一步地,第二安全模塊包括:多個第三主機,其中,多個第三主機分別通過不同的端口與目標主機相連接,目標第三主機用于按照工業控制協議對通過設備接口傳輸的數據進行安全處理,目標第三主機為與目標主機配置的端口相連接的多個第三主機中的一個主機;以及第二協議維護子模塊,用于維護工業控制協議。
[0012]為了實現上述目的,根據本發明的另一方面,提供了一種工業控制系統,包括本發明上述內容所提供的任一種工業控制系統的安全裝置。
[0013]本發明采用具有以下結構的工業控制系統的安全裝置:網絡接口,用于連接傳輸控制協議/網間協議TCP/IP網絡;設備接口,用于連接工業設備;第一安全模塊,與網絡接口相連接,用于對通過網絡接口傳輸的數據進行安全處理;以及第二安全模塊,與設備接口和第一安全模塊均相連接,用于對通過設備接口傳輸的數據進行安全處理。通過設置第一安全模塊對通過網絡接口傳輸的數據進行安全處理,實現了網絡層的安全監測,通過設置第二安全模塊對通過設備接口傳輸的數據進行安全處理,實現了對工業協議應用層的安全監測,進而實現了在工業控制系統和網絡之間建立防火墻,解決了現有技術中工業控制系統缺乏安全保障的問題,進而達到了提高工業控制系統的安全性、保證工控數據安全的效果O
【專利附圖】
【附圖說明】
[0014]構成本申請的一部分的附圖用來提供對本發明的進一步理解,本發明的示意性實施例及其說明用于解釋本發明,并不構成對本發明的不當限定。在附圖中:
[0015]圖1是根據本發明實施例的工業控制系統的安全裝置的示意圖;以及
[0016]圖2是根據本發明優選實施例的工業控制系統的安全裝置的示意圖。
【具體實施方式】
[0017]需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結合實施例來詳細說明本發明。
[0018]本發明實施例提供了一種工業控制系統的安全裝置,以下對本發明實施例所提供的工業控制系統的安全裝置進行具體介紹:
[0019]圖1是根據本發明實施例的工業控制系統的安全裝置的示意圖,如圖1所示,該實施例的工業控制系統的安全裝置主要包括網絡接口 10、設備接口 20、第一安全模塊30和第二安全模塊40,其中:
[0020]網絡接口 10用于連接傳輸控制協議/網間協議TCP/IP網絡,具體地,在本發明實施例中,網絡接口 10的數量可以為多個,圖1中示意性示出了 η個網絡接口,即網絡接口 11至網絡接口 In,其中,η為2以上的自然數,這η個網絡接口均與TCP/IP網絡相連接。
[0021]設備接口 20用于連接工業設備,具體地,在本發明實施例中,設備接口 20的數量同樣可以為多個,并且設備接口 20的數量不限定為與網絡接口 10的數量相等,圖1中同樣示意性示出了 η個設備接口,即設備接口 21至設備接口 2η,這η個設備接口均用于連接工業設備。
[0022]第一安全模塊30與網絡接口 10相連接,用于對通過網絡接口傳輸的數據進行安全處理,具體地,第一安全模塊30主要處理來往于TCP/IP網絡的數據,實現訪問控制、力口密、流程等安全功能。[0023]第二安全模塊40與設備接口 20和第一安全模塊30均相連接,用于對通過設備接口傳輸的數據進行安全處理,具體地,第二安全模塊40主要負責處理來往于工業設備環境的數據,實現工業協議應用層的安全監測。
[0024]本發明實施例所提供的工業控制系統的安全裝置,通過設置第一安全模塊對通過網絡接口傳輸的數據進行安全處理,實現了網絡層的安全監測,通過設置第二安全模塊對通過設備接口傳輸的數據進行安全處理,實現了對工業協議應用層的安全監測,進而實現了在工業控制系統和網絡之間建立防火墻,解決了現有技術中工業控制系統缺乏安全保障的問題,進而達到了提高工業控制系統的安全性、保證工控數據安全的效果。
[0025]優選地,圖2是根據本發明優選實施例的工業控制系統的安全裝置的示意圖,如圖2所示,該優選實施例的工業控制系統的安全裝置還包括協議轉換模塊50,該協議轉化模塊50連接在第一安全模塊30和第二安全模塊40之間,用于對第一安全模塊30和第二安全模塊40之間的傳輸數據進行協議轉換,即,協議轉換模塊50負責網絡協議與工業協議之間的轉換。
[0026]通過設置協議轉換模塊對第一安全模塊和第二安全模塊之間的傳輸數據進行協議轉換,達到了保證數據正常傳輸的效果。
[0027]進一步地,該優選實施例的工業控制系統的安全裝置還包括管理模塊60,管理模塊60與第一安全模塊30、第二安全模塊40和協議轉換模塊50均相連接,用于配置第一安全模塊30、第二安全模塊40和協議轉換模塊50的端口服務和/或協議類型。
[0028]具體地,管理模塊60主要包括第一存儲器和目標主機,其中,在第一存儲器中存儲有IP地址、端口號和協議以及IP地址、端口號和協議的對應關系。目標主機與第一存儲器、第一安全模塊30、第二安全模塊40和協議轉換模塊50均相連接,用于按照目標主機的IP地址配置第一安全模塊30、第二安全模塊40和協議轉換模塊50的端口服務和/或協議類型。即,第一存儲器內存儲有目標主機的IP地址及與目標主機的IP地址相對應的端口號和協議類型,在與第一安全模塊30、第二安全模塊40和協議轉換模塊50進行數據通信時,目標主機按照與自身的IP地址相對應的端口號開放指定的端口服務,并開關對應端口服務所使用的協議類型。
[0029]更具體地,管理模塊還包括多個第一主機和接收器,其中,接收器用于接收用戶指令,該用戶指令的作用是從多個第一主機中確定出目標主機,即,安全裝置具有授權用戶管理員對管理模塊中的目標主機進行限制的策略,用戶管理員可以從多個第一主機中選擇出一個第一主機作為目標主機,也可以重新選擇一個新的目標主機替換原理的目標主機,還向多個第一主機中添加第一主機,也即管理模塊可以通過接收器按照用戶指令進行目標主機限制策略的增加、刪除和修改。
[0030]通過上述描述可以看出,管理模塊60的主要功能是支持用戶配置更加細粒度地管理,通過設置存儲器實現維護數據表,對應開放IP地址,開放的端口服務以及協議類型。這樣能夠對目標主機更加有效的管理,并保障了對工業控制系統的安全裝置的配置更加可靠,更加安全。讓固定的管理員擁有對應的管理權限,確保訪問工業控制防火墻本身的服務能夠得到有效地控制。同時,通過授權用戶管理員進行主機限制策略的增加、刪除和修改操作,實現了根據用戶管理員確定的目標主機限制策略,配置開放與確定的目標主機IP的對應的端口服務和協議類型,實現了可以按照用戶需求配置安全裝置的服務策略。[0031]相應地,對應上述管理模塊,本發明實施例中的第一安全模塊30主要包括多個第二主機和第一協議維護子模塊,其中,多個第二主機分別通過不同的端口與目標主機相連接,目標第二主機用于按照網絡傳輸協議對通過網絡接口傳輸的數據進行安全處理,目標第二主機為與目標主機配置的端口相連接的多個第二主機中的一個主機,第一協議維護子模塊用于維護網絡傳輸協議。即,多個第二主機中的目標第二主機用于維護網絡傳輸協議允許配置的IP地址、端口號、接口名,并且安全裝置只允許目標第二主機管理上述配置,以實現對接收到的TCP/IP數據進行安全處理,具體處理方式為:根據安全訪問控制策略智能對數據包進行快速且準確分析,對數據包進行層層拆分,識別出這些數據包是否合法,一旦檢測到不合法,將立即丟棄改包,并斷掉該連接信息,并上報日志。且能夠精細化具體某個IP地址、協議和端口號控制,同時對訪問防火墻本身的數據進行加密處理,以及抗DDos,抗synFlood,抗pingofDeath等抗攻擊檢測,以防止外界攻擊防火墻和內部工業設備。采用獨立于傳統Linux操作系統TCP/IP協議棧的專有SecOS安全協議棧,從網絡接口底層驅動處直接接管數據報文,完全由SecOS控制數據報文的安全策略檢查,數據路由和轉發或丟棄等操作,實現完全自主、獨立完全可控的安全體系架構。第一協議維護子模塊則用于對相應的網絡傳輸協議進行維護。
[0032]通過目標第二主機和第一協議維護子模塊,實現了在網絡側,允許管理員配置可信的管理IP、端口、接口,用戶工業控制管理,不同的可信管理IP都能夠經過工業控制系統的安全裝置的合法認證,除此之外,工業控制系統的安全裝置會認為是非法,并進行及時阻斷。
[0033]本發明實施例中的第二安全模塊40主要包括多個第三主機和第二協議維護子模塊,多個第三主機分別通過不同的端口與目標主機相連接,目標第三主機用于按照工業控制協議對通過設備接口傳輸的數據進行安全處理,目標第三主機為與目標主機配置的端口相連接的多個第三主機中的一個主機,第二協議維護子模塊用于維護工業控制協議。即,多個第三主機中的目標第三主機用于維護工業控制協議允許配置工業設備的PC的IP地址、端口號、接口名,并且安全裝置只允許目標第三主機管理工業設備,以實現對流出工業設備的TCP/IP數據進行安全處理,具體處理方式為:通過下發的工業控制安全運行參數,對流出同業設備的數據包進行多方面、深層次檢測。工業控制防火墻上允許管理員配置可信主機IP、端口號、流入接口,不同的可信管理IP都能夠經過防火墻的合法認證,除此之外防火墻會認為是非法,并進行及時阻斷。。第二協議維護子模塊則用于對相應的工業控制協議進行維護,包括維護用于過程控制的對象連接與嵌入(Object Linking and Embedding forProcess Control,簡稱0PC)協議策略配置,支持用戶修改參數后能夠重啟OPC服務進程,及時獲取用戶配置的參數,以及維護除OPC協議外其他工控協議策略配置,支持用戶修改參數后能夠重啟NIOS進程,及時獲取用戶配置的參數。
[0034]通過目標第三主機和第二協議維護子模塊,實現了在設備側,允許管理員配置可信的管理IP、端口、接口,用戶工業控制管理,不同的可信管理IP都能夠經過工業控制系統的安全裝置的合法認證,除此之外,工業控制系統的安全裝置會認為是非法,并進行及時阻斷。
[0035]需要說明的是,本發明實施例上述內容所提供的工業控制系統的安全裝置可以作為工業控制系統防火墻。[0036]此外,本發明實施例還提供了一種工業控制系統,該工業控制系統包括本發明實施例上述內容所提供的任一種工業控制系統的安全裝置。
[0037]從以上的描述中,可以看出,本發明實現了對工業協議應用層的安全監測,進而實現了在工業控制系統和網絡之間建立防火墻,達到了提高工業控制系統的安全性、保證工控數據安全的效果。
[0038]顯然,本領域的技術人員應該明白,上述的本發明的各模塊或各步驟可以用通用的計算裝置來實現,它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成的網絡上,可選地,它們可以用計算裝置可執行的程序代碼來實現,從而,可以將它們存儲在存儲裝置中由計算裝置來執行,或者將它們分別制作成各個集成電路模塊,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現。這樣,本發明不限制于任何特定的硬件和軟件結合。
[0039]以上所述僅為本發明的優選實施例而已,并不用于限制本發明,對于本領域的技術人員來說,本發明可以有各種更改和變化。凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
【權利要求】
1.一種工業控制系統的安全裝置,其特征在于,包括: 網絡接口,用于連接傳輸控制協議/網間協議TCP/IP網絡; 設備接口,用于連接工業設備; 第一安全模塊,與所述網絡接口相連接,用于對通過所述網絡接口傳輸的數據進行安全處理;以及 第二安全模塊,與所述設備接口和所述第一安全模塊均相連接,用于對通過所述設備接口傳輸的數據進行安全處理。
2.根據權利要求1所述的安全裝置,其特征在于,所述安全裝置還包括: 協議轉換模塊,連接在所述第一安全模塊和所述第二安全模塊之間,用于對所述第一安全模塊和所述第二安全模塊之間的傳輸數據進行協議轉換。
3.根據權利要求2所述的安全裝置,其特征在于,所述安全裝置還包括: 管理模塊,與所述第一安全模塊、所述第二安全模塊和所述協議轉換模塊均相連接,用于配置所述第一安全模塊、所述第二安全模塊和所述協議轉換模塊的端口服務和/或協議類型。
4.根據權利要求3所述的安全裝置,其特征在于,所述管理模塊包括: 第一存儲器,其中,在所述第一存儲器中存儲有IP地址、端口號和協議以及所述IP地址、所述端口號和所述協議的對應關系;以及 目標主機,與所述第一存儲器、所述第一安全模塊、所述第二安全模塊和所述協議轉換模塊均相連接,用于按照所述目標主機的IP地址配置所述第一安全模塊、所述第二安全模塊和所述協議轉換模塊的端口服務和/或協議類型。
5.根據權利要求4所述的安全裝置,其特征在于,所述管理模塊還包括: 多個第一主機;以及 接收器,用于接收用戶指令,所述用戶指令用于從所述多個第一主機中確定出所述目標主機。
6.根據權利要求4中所述的安全裝置,其特征在于,所述第一安全模塊包括: 多個第二主機,其中,所述多個第二主機分別通過不同的端口與所述目標主機相連接,目標第二主機用于按照網絡傳輸協議對通過所述網絡接口傳輸的數據進行安全處理,所述目標第二主機為與所述目標主機配置的端口相連接的所述多個第二主機中的一個主機;以及 第一協議維護子模塊,用于維護所述網絡傳輸協議。
7.根據權利要求4所述的安全裝置,其特征在于,所述第二安全模塊包括: 多個第三主機,其中,所述多個第三主機分別通過不同的端口與所述目標主機相連接,目標第三主機用于按照工業控制協議對通過所述設備接口傳輸的數據進行安全處理,所述目標第三主機為與所述目標主機配置的端口相連接的所述多個第三主機中的一個主機;以及 第二協議維護子模塊,用于維護所述工業控制協議。
8.一種工業控制系統,其特征在于,包括權利要求1至7中任一項所述的工業控制系統的安全裝置。
【文檔編號】H04L29/06GK103457948SQ201310384431
【公開日】2013年12月18日 申請日期:2013年8月29日 優先權日:2013年8月29日
【發明者】姚翼雄, 任獻永, 胡志偉 申請人:網神信息技術(北京)股份有限公司, 網神科技(北京)有限公司