CN107703901A - 一种旁路工控信息安全工业控制*** - Google Patents

一种旁路工控信息安全工业控制*** Download PDF

Info

Publication number
CN107703901A
CN107703901A CN201711165524.6A CN201711165524A CN107703901A CN 107703901 A CN107703901 A CN 107703901A CN 201711165524 A CN201711165524 A CN 201711165524A CN 107703901 A CN107703901 A CN 107703901A
Authority
CN
China
Prior art keywords
control system
security
data
information
bypass
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711165524.6A
Other languages
English (en)
Other versions
CN107703901B (zh
Inventor
刘永胜
刘海波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dandong Huatong Measurement & Control Co Ltd
Original Assignee
Dandong Huatong Measurement & Control Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dandong Huatong Measurement & Control Co Ltd filed Critical Dandong Huatong Measurement & Control Co Ltd
Priority to CN201711165524.6A priority Critical patent/CN107703901B/zh
Publication of CN107703901A publication Critical patent/CN107703901A/zh
Application granted granted Critical
Publication of CN107703901B publication Critical patent/CN107703901B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31088Network communication between supervisor and cell, machine group
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种旁路工控信息安全工业控制***,包括:操作层、控制层以及设备层,控制层和设备层之间通过现场总线实现IO信息采集和控制;操作层包括控制***和安全管控***;控制层包括用于指令分析和IO多维解析的安全网关设备和备用网关设备;安全网关设备通过标准的网络通讯协议与控制***进行信息交换,安全网关设备和备用网关设备通过工业以太网与安全管控***进行信息交换并采用国密可信算法对信息进行加解密处理,安全网关设备和备用网关设备通过所述以太网实现上行同步数据更新。本发明通过增加安全网关设备,对控制***进行数据、网络和***的三重异构,建立新的旁路安全管控***,实现数据、网络和***的三重安全管控。

Description

一种旁路工控信息安全工业控制***
技术领域
本发明涉及工业控制***安全方案,尤其涉及一种旁路工控信息安全工业控制***。
背景技术
近年来,我国科技界付出了很多努力,提出了许多有效的和有益的工控信息安全的防御技术和解决方案,可分为主动式和被动式两类技术:一类是基于传统的信息安全技防御技术(被动式),以防火墙、入侵检测和病毒防护等为主的,可以从工控***的外部对企图获取信息资源的非法用户和越权访问进行封堵,但无法防止来自于工控***内部的安全威胁,如:***内部信息的篡改和破坏。另一类是主动防御技术,如:工控协议深度解析等,这类技术虽然起步较晚,但发展很迅速,但目前有如下不足:
1)目前仅限于在工业以太网网络中的应用,现场总线无应用。
2)这种技术用于主动防御工控网络自上而下的单向攻击,先攻击工业以太网,进而通过控制器攻击现场总线及设备。
无论是何种攻击,其最终的目的都是实现对物理设施的破坏,而现场总线位于工控***网络的底层,也是最基础的层面,因此在这个层面对攻击实施检测和主动防范最直接、也更有效。
目前国内尚无基于现场总线的工控网络信息安全成熟的解决方案,这是工控***信息安全不可回避和必须逾越的“瓶颈”,如果不尽快解决这个瓶颈,就会造成我国工业“设备互通,信息共享”成为无源之水、无本之木的空中楼阁。
发明内容
本发明实施例提供一种旁路工控信息安全工业控制***,通过增加安全网关设备,对控制***进行数据、网络和***的三重异构,建立新的旁路安全管控***,实现数据、网络和***的三重安全管控。
本发明提供一种旁路工控信息安全工业控制***,包括:操作层、控制层以及设备层,所述控制层和设备层之间通过现场总线实现IO信息采集和控制;
所述操作层包括控制***和安全管控***;所述安全管控***用于为上级MES***或云端大数据服务器提供安全可靠的信息交互通道;所述控制层包括用于指令分析和IO多维解析的安全网关设备和备用网关设备;
所述安全网关设备通过标准的网络通讯协议与控制***进行信息交换,所述安全网关设备和备用网关设备通过工业以太网与安全管控***进行信息交换并采用国密可信算法对信息进行加解密处理,所述安全网关设备和备用网关设备通过所述以太网实现上行同步数据更新。
在本发明的旁路工控信息安全工业控制***中,所述以太网采用具有物理安全受控技术的光纤交换机实现数据传输。
在本发明的旁路工控信息安全工业控制***中,所述安全网关设备包括:
数据管理模块,用于进行数据分类、数据分级和数据分区以实现IO多维度定义和解析;
数据审核模块,用于进行双向指令审核、地址审核和双向数据阈值审核;
加解密模块,用于对与安全管控***进行交换的信息进行加解密处理;
报警模块,用于根据安全审核结果生成和输出报警信号。
在本发明的旁路工控信息安全工业控制***中,所述报警模块为GPRS模块,以产生和输出短信报警信息。
在本发明的旁路工控信息安全工业控制***中,所述报警模块为LED指示灯,以产生和输出灯光报警。
在本发明的旁路工控信息安全工业控制***中,所述报警模块通过以太网口向所述安全管控***输出报警信号。
在本发明的旁路工控信息安全工业控制***中,安全网关设备和备用网关设备均采用具有双口RAM接口的智能现场总线模块以实现对设备层的IO信息采集和控制。
在本发明的旁路工控信息安全工业控制***中,所述安全网关设备采用工作模式,所述备用网关设备采用帧听模式,备用网关设备的现场总线模块通过帧听现场总线收发数据,实现了备用网关设备与安全网关设备的上行同步数据更新。
在本发明的旁路工控信息安全工业控制***中,所述控制层还设有控制器,所述控制器通过标准的网络通讯协议分别与所述控制***和所述安全网关设备实现数据传输。
本发明的一种旁路工控信息安全工业控制***,不改变原工控***所有的设备、网络和功能,对于新建或改造的大、中、小型工控***及工控网络均适用。仅需在主控室增设“网关”机柜或分布式安装,施工便利,成本低,易维护。安全管控***作为控制***的备用监控***,对控制***的重要数据、工艺和信息进行实施监管。实现了工控信息安全体系由“堵”到“疏”的转变,从以一个一个补漏洞为主,变为从数据源头解析和疏导。实现了工控网络安全防御自“上”而“下”的转变,从以往工控网络顶层以太网布防为主,变为底层现场总线双向防御。实现了工控信息安全技术由“点”到“面”的转变,从以往局部安全技术的应用,变为三重异构的整体安全体系的转变。
附图说明
图1是本发明的一种旁路工控信息安全工业控制***的结构框图。
具体实施方式
如图1所示为本发明的旁路工控信息安全工业控制***结构框图,本发明的控制***从网络结构上划分为三层,包括:操作层、控制层以及设备层,操作层和控制层之间通过工业以太网实现信息交换,控制层和设备层之间通过现场总线实现IO信息采集和控制。
如图1所示,操作层包括控制***1和安全管控***2。所述安全管控***2用于为上级MES***或云端大数据服务器提供安全可靠的信息交互通道,建立了数据顶层到底层的信息安全桥梁。控制层包括用于指令分析和IO多维解析的安全网关设备3和备用网关设备4以实现双向主动安全防御。所述安全网关设备3通过标准的网络通讯协议与控制***1进行信息交换,所述安全网关设备3和备用网关设备4通过工业以太网与安全管控***2进行信息交换,以太网采用具有物理安全受控技术的光纤交换机5实现数据传输,数据传输均采用国密可信算法进行加解密处理。所述安全网关设备3和备用网关设备4通过所述以太网实现上行同步数据更新。设备层包括多个设备7。
本发明***在保持***原有技术完整性和设备独立性的前提下,通过增加安全网关设备3和备用网关设备4对原***进行数据异构、网络异构,进而实现旁路***的异构,在异构过程中将多种可控自主的创新安全技术融入其中,建立数据、网络和***的三重信息安全管控体系。安全网关设备3包括:数据管理模块、数据审核模块、加解密模块和报警模块。
数据管理模块,用于进行数据分类、数据分级和数据分区以实现IO多维度定义和解析。
(1)数据分类具体为:
a.上行数据:模拟量输入(遥测)、状态量输入(遥信)、脉冲量输入(遥脉);
b.下行数据:模拟量输出(遥调)、状态量输出(遥控)。
(2)数据分级,具体将数据分为:
a.重要:立即报警,设置上、下限阈值;
b.次要:延迟预警,设置上、下限阈值;
c.常规:不报警,无阈值。
其中,下行数据均为重要数据;上行数据分级(提高实时性)。
(3)数据分区具体为:
将重要和次要的分类数据,按重要设施的地理位置划分区域属性,如果同一区域的多个分类数据如果同时异常(m选n策略),可以立即报警。
数据审核模块,用于进行双向指令审核、地址审核和双向数据阈值审核。
(1)双向指令审核:
a.上行端口:信息帧格式、完整性审核,异常控制帧;
b.下行端口:重复的控制帧、总线噪声攻击、数据异常帧。
(2)地址审核:子站地址范围、子站的在线/离线。
(3)双向数据阈值审核:
a.上行数据:遥测、遥脉、遥信值是否正常;
b.下行数据:遥调的、遥控操作值及点号是否正常。
通过安全审核可以实现对APT攻击、异常控制和非法数据的深度分析、过滤、告警、阻断和追踪。
加解密模块,用于对与安全管控***2进行交换的信息进行加解密处理,采用国密可信算法进行加解密处理。
报警模块,用于根据安全审核结果生成和输出报警信号。具体实施时,报警模块可采用GPRS模块,安全网关设备3的RS-232端口与GPRS模块相连接,以产生和输出短信报警信息。报警模块可采用LED指示灯,以产生和输出灯光报警。报警模块可通过以太网口向安全管控***2输出报警信号。
安全网关设备3对于安全异常,采用的防御技术如下:报警、阻断和联动保护的形式。其中,双向指令审核采用报警+阻断的形式;地址审核采用报警的形式;双向数据阈值审核采用报警+阻断+联动保护的形式。
安全网关设备3和备用网关设备4均采用具有双口RAM接口的智能现场总线模块以实现对设备层的IO信息采集和控制。其双口RAM的读写格式及现场总线数据区均是相同的,因此,对于不同的H2类现场总线(如:Profibus-DP、DeviceNet、LonWorks等),可选择对应的智能现场总线模块;软件驱动是完全相同的,仅需要修改装置的配置文件中现场总线类型既可。
本发明的安全网关设备3采用工作模式,所述备用网关设备4采用帧听模式,备用网关设备4的现场总线模块通过帧听现场总线收发数据,实现了备用网关设备4与安全网关设备3的上行同步数据更新。
具体实施时,控制层还可设有控制器6,所述控制器6通过标准的网络通讯协议分别与所述控制***1和所述安全网关设备3实现数据传输。
本发明通过增加安全网关设备3和备用网关设备4,异构信息旁路,可配置冗余双网,对于控制器6以及安全网关设备3同时出现异常的极端情况,备用网关设备4,仍然可以保障对工业控制***底层设备的安全管控。
以上所述仅为本发明的较佳实施例,并不用以限制本发明的思想,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种旁路工控信息安全工业控制***,其特征在于,包括:操作层、控制层以及设备层,所述控制层和设备层之间通过现场总线实现IO信息采集和控制;
所述操作层包括控制***和安全管控***;所述安全管控***用于为上级MES***或云端大数据服务器提供安全可靠的信息交互通道;所述控制层包括用于指令分析和IO多维解析的安全网关设备和备用网关设备;
所述安全网关设备通过标准的网络通讯协议与控制***进行信息交换,所述安全网关设备和备用网关设备通过工业以太网与安全管控***进行信息交换并采用国密可信算法对信息进行加解密处理,所述安全网关设备和备用网关设备通过所述以太网实现上行同步数据更新。
2.如权利要求1所述的旁路工控信息安全工业控制***,其特征在于,所述以太网采用具有物理安全受控技术的光纤交换机实现数据传输。
3.如权利要求1所述的旁路工控信息安全工业控制***,其特征在于,所述安全网关设备包括:
数据管理模块,用于进行数据分类、数据分级和数据分区以实现IO多维度定义和解析;
数据审核模块,用于进行双向指令审核、地址审核和双向数据阈值审核;
加解密模块,用于对与安全管控***进行交换的信息进行加解密处理;
报警模块,用于根据安全审核结果生成和输出报警信号。
4.如权利要求3所述的旁路工控信息安全工业控制***,其特征在于,所述报警模块为GPRS模块,以产生和输出短信报警信息。
5.如权利要求3所述的旁路工控信息安全工业控制***,其特征在于,所述报警模块为LED指示灯,以产生和输出灯光报警。
6.如权利要求3所述的旁路工控信息安全工业控制***,其特征在于,所述报警模块通过以太网口向所述安全管控***输出报警信号。
7.如权利要求1所述的旁路工控信息安全工业控制***,其特征在于,安全网关设备和备用网关设备均采用具有双口RAM接口的智能现场总线模块以实现对设备层的IO信息采集和控制。
8.如权利要求7所述的旁路工控信息安全工业控制***,其特征在于,所述安全网关设备采用工作模式,所述备用网关设备采用帧听模式,备用网关设备的现场总线模块通过帧听现场总线收发数据,实现了备用网关设备与安全网关设备的上行同步数据更新。
9.如权利要求1所述的旁路工控信息安全工业控制***,其特征在于,所述控制层还设有控制器,所述控制器通过标准的网络通讯协议分别与所述控制***和所述安全网关设备实现数据传输。
CN201711165524.6A 2017-11-21 2017-11-21 一种旁路工控信息安全工业控制*** Active CN107703901B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711165524.6A CN107703901B (zh) 2017-11-21 2017-11-21 一种旁路工控信息安全工业控制***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711165524.6A CN107703901B (zh) 2017-11-21 2017-11-21 一种旁路工控信息安全工业控制***

Publications (2)

Publication Number Publication Date
CN107703901A true CN107703901A (zh) 2018-02-16
CN107703901B CN107703901B (zh) 2023-12-19

Family

ID=61185797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711165524.6A Active CN107703901B (zh) 2017-11-21 2017-11-21 一种旁路工控信息安全工业控制***

Country Status (1)

Country Link
CN (1) CN107703901B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109118745A (zh) * 2018-07-12 2019-01-01 国网江西省电力有限公司电力科学研究院 一种工业控制信息发送***
CN111176223A (zh) * 2019-10-22 2020-05-19 青岛海尔工业智能研究院有限公司 一种生产线安全管理***及方法
CN112346423A (zh) * 2020-11-16 2021-02-09 中冶赛迪电气技术有限公司 一种基于光纤通讯技术的智能mcc分层控制***

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101695069A (zh) * 2009-10-22 2010-04-14 南京科远自动化集团股份有限公司 eNetGW通讯网关
CN103036886A (zh) * 2012-12-19 2013-04-10 珠海市鸿瑞软件技术有限公司 工业控制网络安全防护方法
CN103167543A (zh) * 2011-12-19 2013-06-19 中国科学院沈阳自动化研究所 一种基于wia网络的冗余网关
CN104908779A (zh) * 2015-05-05 2015-09-16 南车株洲电力机车研究所有限公司 一种编组重联数据流冗余方法及***
CN106302806A (zh) * 2016-09-13 2017-01-04 腾讯科技(深圳)有限公司 一种数据同步方法、***、同步获取方法及相关装置
CN106341396A (zh) * 2016-08-24 2017-01-18 北京匡恩网络科技有限责任公司 一种具有入侵容忍的工业控制***及安全防护方法
CN106452854A (zh) * 2016-09-27 2017-02-22 南京国电南自轨道交通工程有限公司 一种基于多连接主备冗余的地铁综合监控***同步通讯方法
CN106502234A (zh) * 2016-10-17 2017-03-15 重庆邮电大学 基于双轮廓模型的工业控制***异常检测方法
CN106921994A (zh) * 2017-03-21 2017-07-04 中国科学院信息工程研究所 一种面向移动终端的多维协同监控处理***及平台
CN207557748U (zh) * 2017-11-21 2018-06-29 丹东华通测控有限公司 一种旁路工控信息安全工业控制***

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101695069A (zh) * 2009-10-22 2010-04-14 南京科远自动化集团股份有限公司 eNetGW通讯网关
CN103167543A (zh) * 2011-12-19 2013-06-19 中国科学院沈阳自动化研究所 一种基于wia网络的冗余网关
CN103036886A (zh) * 2012-12-19 2013-04-10 珠海市鸿瑞软件技术有限公司 工业控制网络安全防护方法
CN104908779A (zh) * 2015-05-05 2015-09-16 南车株洲电力机车研究所有限公司 一种编组重联数据流冗余方法及***
CN106341396A (zh) * 2016-08-24 2017-01-18 北京匡恩网络科技有限责任公司 一种具有入侵容忍的工业控制***及安全防护方法
CN106302806A (zh) * 2016-09-13 2017-01-04 腾讯科技(深圳)有限公司 一种数据同步方法、***、同步获取方法及相关装置
CN106452854A (zh) * 2016-09-27 2017-02-22 南京国电南自轨道交通工程有限公司 一种基于多连接主备冗余的地铁综合监控***同步通讯方法
CN106502234A (zh) * 2016-10-17 2017-03-15 重庆邮电大学 基于双轮廓模型的工业控制***异常检测方法
CN106921994A (zh) * 2017-03-21 2017-07-04 中国科学院信息工程研究所 一种面向移动终端的多维协同监控处理***及平台
CN207557748U (zh) * 2017-11-21 2018-06-29 丹东华通测控有限公司 一种旁路工控信息安全工业控制***

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109118745A (zh) * 2018-07-12 2019-01-01 国网江西省电力有限公司电力科学研究院 一种工业控制信息发送***
CN111176223A (zh) * 2019-10-22 2020-05-19 青岛海尔工业智能研究院有限公司 一种生产线安全管理***及方法
CN112346423A (zh) * 2020-11-16 2021-02-09 中冶赛迪电气技术有限公司 一种基于光纤通讯技术的智能mcc分层控制***

Also Published As

Publication number Publication date
CN107703901B (zh) 2023-12-19

Similar Documents

Publication Publication Date Title
CN207557748U (zh) 一种旁路工控信息安全工业控制***
CN103578240B (zh) 一种基于物联网的安防服务网
CN107703901A (zh) 一种旁路工控信息安全工业控制***
CN107846409A (zh) 一种智慧城市网络融合与安全管理***
CN201440210U (zh) 机房监控***
CN108833397A (zh) 一种基于网络安全的大数据安全分析平台***
CN104506507A (zh) 一种sdn网络的蜜网安全防护***及方法
CN104580222A (zh) 基于信息熵的DDoS攻击分布式检测与响应***及方法
CN105245555B (zh) 一种用于电力串口服务器通信协议安全防护***
CN102984170A (zh) 一种工业控制网络安全过滤***及方法
EP3270572A1 (en) A system for secure communication
CN205953229U (zh) 一种基于大数据共建共享的智慧电梯***
CN204719948U (zh) 基于物联网的智能安防装置
CN107193244A (zh) 一种通信综合监测***
CN109889604A (zh) 一种物联网终端参数管理方法、装置及服务器
WO2022047607A1 (zh) 一种社区服务***
CN104504790A (zh) 一种无线门禁控制***
CN203338436U (zh) 一种基于wifi的智能门禁***
CN203271342U (zh) 一种物联网密码锁
CN107479518A (zh) 一种自动生成告警关联规则的方法及***
CN109818919A (zh) 一种物联网网格化安全管理体系的构建方法
CN107610362A (zh) 一种自助存取尾箱装置及***
CN104735043A (zh) 一种阻止可疑数据包通过工业以太网攻击plc的方法
CN115371199A (zh) 一种空气传播病毒消杀控制***及其控制方法
CN206472237U (zh) 一种大型实验室的数据可视化控制装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant