本发明专利技术涉及一种基于分布式数控的工业控制信息安全系统,包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块以及工控安全统一管理系统;鉴于工业控制系统对可用性、实时性的要求,对车间DNC工业控制网络采用边界控制、主机加固、内部审计的设计思路进行信息安全防护建设,对系统边界各操作站、工程师站、DCS系统、工业控制系统等进行边界防护、准入控制;对工程师站、操作员站、OPC服务器等自身系统进行信息安全防护;对工业控制系统内部操作人员的操作行为进行事前监控、事中记录、事后审计。本发明专利技术为工控网络信息安全管理人员对事后追踪溯源提供有利依据,大幅提高数据的安全性。
【技术实现步骤摘要】
基于分布式数控的工业控制信息安全系统
本专利技术涉及一种可见光范围的弱光探测技术,特别涉及一种基于分布式数控(DNC,DistributedNumericalControl)的工业控制信息安全系统。
技术介绍
行业发展需求越来越高,设备之间的互联互通使得DNC工业控制系统的安全和防护建设更加捉襟见肘,快速发展加强工业信息安全的重要性、紧迫性。当前大多数工控系统安全很脆弱,而针对工业控制系统的攻击事件又屡屡发生,层出不穷,使得工业控制信息安全系统的建设更加迫在眉睫。
技术实现思路
本专利技术是针对工业控制信息安全的问题,提出了一种基于分布式数控的工业控制信息安全系统,大幅提高DNC数据的安全性。本专利技术的技术方案为:一种基于分布式数控的工业控制信息安全系统,包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块以及工控安全统一管理系统;所述车间区域边界防护模块包括交换机和工业防火墙;内网区域的加工车间通过接入层交换机接入到工控内网中,并且在生产车间接入交换机前端和车间区域前端部署工业防火墙;所述主机防护模块包括可信卫士,在生产车间重要的工程师站、操作员站、服务器系统,以及需要插入U盘拷贝数据或者软件的主机,采用可信卫士对主机进行可信卫士安全加固;所述工控安全统一管理系统对工业防火墙和可信卫士的统一管理配置、日志的分析处理;所述工控内网安全检测与审计模块包括探针、工控网络安全检测与审计管理系统,探针旁路部署于内网汇聚层的交换机上,工控网络安全检测与审计管理系统部署于工控网络可达位置,工控内网安全检测与审计模块对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后审计;所述工控系统漏洞挖掘模块,在工控网络中大量工业控制系统和应用系统上线之前进行漏洞挖掘。所述工业防火墙中采用启用白名单功能,将工控网络中可信的软件或程序放入白名单,只有白名单的软件或程序才能被安装和运行,有效阻止恶意病毒和木马的入侵或非法程序的运行;所述工业防火墙中开启异常报文检测和异常流量检测功能,防止land攻击、Teardrop攻击、Pingofdeath以及各种Flood攻击导致的网络或工控系统的不可用或瘫痪。所述可信卫士启用白名单功能,确保只有在白名单列表中的程序或软件才能运行,其他一律拒绝,白名单来源于用户工控网络工作站、操作员站的自学习生成、厂商白名单库的导入、行业白名单库匹配。所述主机防护模块还包括终端审计管理,为确保每个命令的有效性,每个操作的零误差,对各个操作人员的各种操作行为进行记录和审计。本专利技术的有益效果在于:本专利技术基于分布式数控的工业控制信息安全系统,鉴于工业控制系统对可用性、实时性的要求,对车间DNC工业控制网络采用边界控制、主机加固、内部审计的设计思路进行信息安全防护建设,对系统边界各操作站、工程师站、DCS系统、工业控制系统等进行边界防护、准入控制;对工程师站、操作员站、OPC服务器等自身系统进行信息安全防护;对工业控制系统内部操作人员的操作行为进行事前监控、事中记录、事后审计,为工控网络信息安全管理人员对事后追踪溯源提供有利依据,大幅提高数据的安全性。附图说明图1为本专利技术基于分布式数控的工业控制信息安全系统图。具体实施方式如图1所示基于分布式数控的工业控制信息安全系统图,包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块和工控安全统一管理系统。所述车间区域边界防护模块包括内网区域防护、访问控制、恶意代码防护和入侵防范,用以对系统边界操作员站、工程师站、DCS系统、工业控制系统连接处等进行边界防护和准入控制。内网区域防护的加工车间通过接入层交换机接入到工控内网中。访问控制是通过在生产车间接入交换机前端和车间区域前端部署工业防火墙,对进出的访问行为进行有效的控制,防止非授权行为的任意接入,避免发生网络恶意行为对工程师站、操作员站和PLC等关键系统和设备的破坏和非法操作。恶意代码防护,采用在工控防火墙上启用白名单,将工控网络中可信的软件或程序放入白名单,只有白名单的软件或程序才能被安装和运行,可以有效阻止恶意病毒和木马的入侵或非法程序的运行。入侵防范,为保证工控系统的可用性和高效性,在防火墙上开启异常报文检测和异常流量检测功能,防止land攻击、Teardrop攻击、Pingofdeath以及各种Flood攻击导致的网络或工控系统的不可用或瘫痪。所述主机防护模块包括终端安全管理、终端审计管理和恶意代码防护,用于对工程师站、操作员站、OPC服务器等自身系统进行安全防护。对于终端安全管理,在生产车间等重要的工程师站、操作员站、服务器系统,以及需要插入U盘拷贝数据或者软件的主机,采用可信卫士对操作员站和工程师站进行安全加固,可有效保护各主机免受病毒侵害,同时也可有效管控现场运维人员任意安装软件和使用U盘的情况。对于终端审计管理,为确保每个命令的有效性,每个操作的零误差,对各个操作人员的各种操作行为进行记录和审计。对于恶意代码防护,采用可信卫士的白名单功能,确保只有在白名单列表中的程序或软件才能运行,其他一律拒绝。白名单主要来源于用户工控网络工作站、操作员站的自学习生成、厂商白名单库的导入、行业白名单库匹配等。所述工控内网安全检测与审计模块,对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后审计,为工控网络信息安全管理人员对事后追踪溯源提供有利依据。进一步的,工控网络安全检测与审计模块由两部分组成,即探针、工控网络安全检测与审计管理系统,探针旁路部署于内网汇聚层的交换机上,工控网络安全检测与审计管理系统部署于工控网络可达位置即可。所述工控系统漏洞挖掘模块,用以对工业控制系统和应用系统在开发过程中因缺乏安全考虑或者长时间未更新补丁而存在的潜在漏洞进行上线前的漏洞挖掘。对于工控系统漏洞挖掘,需要在工控网络中大量工业控制系统和应用系统上线之前进行漏洞挖掘。所述工控安全统一管理系统,因工控防火墙、可信卫士都有各自独立的部署方式和管理控制台,每台设备都需要独立配置管理,造成全网分散,导致安全策略和配置难于统一协调,因此需要建立工控安全统一管理系统,来负责工控防火墙、可信卫士的统一管理配置、日志的分析处理等。本文档来自技高网...
【技术保护点】
1.一种基于分布式数控的工业控制信息安全系统,其特征在于,包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块以及工控安全统一管理系统;/n所述车间区域边界防护模块包括交换机和工业防火墙;内网区域的加工车间通过接入层交换机接入到工控内网中,并且在生产车间接入交换机前端和车间区域前端部署工业防火墙;/n所述主机防护模块包括可信卫士,在生产车间重要的工程师站、操作员站、服务器系统,以及需要插入U盘拷贝数据或者软件的主机,采用可信卫士对主机进行可信卫士安全加固;/n所述工控安全统一管理系统对工业防火墙和可信卫士的统一管理配置、日志的分析处理;/n所述工控内网安全检测与审计模块包括探针、工控网络安全检测与审计管理系统,探针旁路部署于内网汇聚层的交换机上,工控网络安全检测与审计管理系统部署于工控网络可达位置,工控内网安全检测与审计模块对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后审计;/n所述工控系统漏洞挖掘模块,在工控网络中大量工业控制系统和应用系统上线之前进行漏洞挖掘。/n
【技术特征摘要】
1.一种基于分布式数控的工业控制信息安全系统,其特征在于,包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块以及工控安全统一管理系统;
所述车间区域边界防护模块包括交换机和工业防火墙;内网区域的加工车间通过接入层交换机接入到工控内网中,并且在生产车间接入交换机前端和车间区域前端部署工业防火墙;
所述主机防护模块包括可信卫士,在生产车间重要的工程师站、操作员站、服务器系统,以及需要插入U盘拷贝数据或者软件的主机,采用可信卫士对主机进行可信卫士安全加固;
所述工控安全统一管理系统对工业防火墙和可信卫士的统一管理配置、日志的分析处理;
所述工控内网安全检测与审计模块包括探针、工控网络安全检测与审计管理系统,探针旁路部署于内网汇聚层的交换机上,工控网络安全检测与审计管理系统部署于工控网络可达位置,工控内网安全检测与审计模块对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后审计;
所述工控系统漏洞挖掘模块,在工控网络中大量工业控制系统和应用系统上线之前进行...
【专利技术属性】
技术研发人员:朱州,孙硕添,殷杰,顾兵远,
申请(专利权)人:上海工业自动化仪表研究院有限公司,江苏隆达超合金航材有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。