CN112073431B

CN112073431B - 工控网络的安全防御方法及

Info

Publication number: CN112073431B
Application number: CN202011016761.8A
Authority: CN
Inventors: 崔岗; 汪允敏; 孙辉; 李挥; 翟长春; 熊京川; 张�林; 张金华; 叶育林; 康立福; 马化军
Original assignee: Peking University Shenzhen Graduate School; China Nuclear Power Engineering Co Ltd
Current assignee: Peking University Shenzhen Graduate School; China Nuclear Power Engineering Co Ltd
Priority date: 2020-09-24
Filing date: 2020-09-24
Publication date: 2021-12-07
Anticipated expiration: 2040-09-24
Also published as: CN112073431A; EP4236231A1; WO2021227465A1

Abstract

本发明提供了一种工控***网络的安全防御方法，所述工控***网络包括共享网络模块及工控网络模块，所述安全防御方法包括如下步骤：在所述共享网络模块内建立管理中心模块；所述管理中心模块对所述共享网络模块内的多个定级***进行安全管理；在所述工控网络模块内建立与所述管理中心模块通讯的可信安全模块；所述可信安全模块对所述工控网络模块进行可信防御。本发明还提供一种工控***网络的安全防御***。本发明提供的工控***网络的安全防御方法及***，实现防御方法由被动“封堵查杀”到主动免疫的转变，在满足高实时、高可靠性要求的前提下，能够有效抵御有组织的、目标明确的攻击。

Description

工控***网络的安全防御方法及***

【技术领域】

本发明涉及工控***技术领域，尤其涉及一种工控***网络的安全防御方法及***。

【背景技术】

随着互联网技术、物联网技术的快速发展，OT(Operational Technology，运营技术)、IT(Information Technology，信息技术)以及CT(Communication Technology，通信技术)的融合日益密切，工业互联网时代已经到来。越来越多的以往“孤岛式”的核电站工业控制***(ICS，Industrial Control System)连接到企业内部网络或者互联网上，随之而来的ICS***(简称工控***)的安全风险隐患问题日益显现，其内部通讯协议、操作***、安管策略与管理流程、应用软件逐渐揭开了神秘面纱，也为攻击者打开了方便之门，工控***的安全关系到核电站安全、可靠、高效、经济运行。

核电站工控***的威胁主要来自漏洞攻击、数据操纵、病毒、蠕虫和特洛伊木马等，传统防御技术主要采用“封堵查杀”的方式，如防火墙、认证技术、访问控制、漏洞扫描和灾备恢复等。然而，传统的防御方式，其防御能力是被动的，而且是静态的，依赖于在接入***之前的***配置，只能检测和防御其预置的网络安全攻击。而核电站工控***的网络安全防护却是一个动态变化的过程，新的安全漏洞不断涌现，黑客的攻击手法不断翻新。传统防御技术只能被动的接受来自网络的每一次入侵攻击，同时难以检测、识别和处理新产生的网络攻击手段，这种被动的防御方式难以从根本上解决网络安全问题。

智能动态防御(AI Dynamic Defense，ADD)是由北京卫达提出的一项动态防御***。智能动态防御***通过对***数据进行采集，并运用人工智能技术进行大规模数据的深度学习，从而构建“攻击链”模型，基于对当前网络的“状态感知”，使***在恰当的时机进行最适合的防御战术的选择，破坏网络攻击的实施条件，并能够动态切换到***所设置的“防御阵”，从而提高网络攻击者的攻击难度。

现有的智能动态防御也存在着一些问题：首先是智能动态防御的防护效果还不确定；其次是智能动态防御需要进行采集大规模数据进行深度学***。

鉴于此，实有必要提供一种新型的工控***网络的安全防御方法及***以克服上述缺陷。

【发明内容】

本发明的目的是提供一种工控***网络的安全防御方法及***，实现防御方法由被动“封堵查杀”到主动免疫的转变，在满足高实时、高可靠性要求的前提下，能够有效抵御有组织的、目标明确的攻击。

为了实现上述目的，第一方面，本发明提供一种工控***网络的安全防御方法，所述工控***网络包括共享网络模块及工控网络模块，所述安全防御方法包括如下步骤：在所述共享网络模块内建立管理中心模块；所述管理中心模块对所述共享网络模块内的多个定级***进行安全管理；在所述工控网络模块内建立与所述管理中心模块通讯的可信安全模块；所述可信安全模块对所述工控网络模块进行可信防御。

在一个优选实施方式中，所述工控网络模块包括生产控制大区及管理信息大区，所述在所述工控网络模块内建立与所述管理中心模块通讯的可信安全模块的步骤，还包括如下步骤：在所述生产控制大区及管理信息大区内构建可信计算环境模块；对进出所述可信计算环境的信息流进行可信度量和安全检查，形成可信区域边界模块；对所述可信计算环境模块内参与通信的实体对象进行可信验证，形成可信通讯网络模块。

在一个优选实施方式中，所述在所述生产控制大区及管理信息大区内构建可信计算环境模块的步骤，还包括如下步骤：对所述生产控制大区和管理信息大区中的计算节点进行可信改造，形成可信计算节点模块；在所述生产控制大区和管理信息大区内构建可信架构模块；将所述可信计算节点模块植入所述可信架构模块，形成所述可信计算环境模块。

在一个优选实施方式中，所述在所述生产控制大区和管理信息大区内构建可信架构模块的步骤，还包括如下步骤：在所述生产控制大区和管理信息大区内构建可信平台控制模块；将可信软件基模块部署于所述可信平台控制模块内，形成可信架构模块。

第二方面，本发明还提供一种工控***网络的安全防御***，所述工控***网络包括共享网络模块及工控网络模块；所述安全防御***包括管理中心模块及与所述管理中心模块通讯的可信安全模块，所述管理中心模块用于对所述共享网络模块内的多个定级***进行安全管理，所述可信安全模块用于对所述工控网络模块进行可信防御。

在一个优选实施方式中，所述工控网络模块包括生产控制大区及管理信息大区，所述可信安全模块包括可信计算环境模块、可信区域边界模块及可信通讯网络模块，所述可信区域边界模块用于对进出所述可信计算环境模块的信息流进行可信度量和安全检查，所述可信通讯网络模块用于对所述可信计算环境模块内参与通信的实体对象进行可信验证。

在一个优选实施方式中，所述可信计算环境模块包括装备有可信芯片的可信计算节点模块。

在一个优选实施方式中，所述可信计算环境模块还包括可信架构模块，所述可信架构模块包括可信平台控制模块及可信软件基模块。

在一个优选实施方式中，所述可信安全模块还包括可信管理中心模块，所述可信管理中心模块用于存放所述可信安全模块的服务器。

在一个优选实施方式中，所述生产控制大区包括相互通讯的控制区及非控制区。

相比于现有技术，本发明提供的工控***网络的安全防御方法及***，在集团总部部署一个管理中心模块，负责共享网络模块内共享***和隔离区域内定级***的安全管理，每个核电厂中设立一个可信安全模块，即二级管理中心，可信安全模块为二级跨区域的可信安全管理中心，负责工控网络模块内各区域的安全可信管理，将工控***网络进行分区分级，实现防御方法由被动“封堵查杀”到主动免疫的转变。并且，实现了可信计算技术在核电站工控***网络中的应用，可信计算技术的主动防御能够及时发现正在进行的网络攻击，预测和识别潜在的攻击，并采取相应措施使攻击者不能达到其目的，在满足高实时、高可靠性要求的前提下，有效抵御有组织的、目标明确的攻击，解决了工控***网络中的定级***存在的一系列安全问题，满足国家等级保护相关标准要求。

为使发明的上述目的、特征和优点能更明显易懂，下文特举本发明较佳实施例，并配合所附附图，作详细说明如下。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明提供的工控***网络的安全防御方法的流程图；

图2为本发明提供的工控***网络的安全防御***应用于工控***网络的原理框图；

图3为本发明提供的工控***网络的安全防御方法的步骤S3的子步骤流程图；

图4为本发明提供的工控***网络的安全防御***的原理框图；

图5为本发明提供的工控***网络的安全防御方法的步骤S31的子步骤流程图；

图6为本发明提供的工控***网络的安全防御***的可信安全模块的原理框图。

【具体实施方式】

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

请一并参阅图1及图2，本发明提供一种工控***网络的安全防御方法100，所述工控***网络101包括共享网络模块10及工控网络模块20，所述安全防御方法100包括如下步骤：

步骤S1：在所述共享网络模块10内建立管理中心模块11。具体的，在集团总部部署一个管理中心模块11，即一级管理中心，负责共享网络模块10内定级***的安全管理，具体负责***管理、安全控制和审计追踪。

步骤S2：所述管理中心模块11对所述共享网络模块10内的多个定级***进行安全管理。具体的，共享网络模块10包括共享***12和隔离区域13，隔离区域13即Demilitarized Zone，简称DMZ。管理中心模块11负责共享网络模块10内共享***12和隔离区域13的定级***的安全管理。

步骤S3：在所述工控网络模块20内建立与所述管理中心模块10通讯的可信安全模块21。具体的，在每个核电厂中设立一个可信安全模块21，即二级管理中心，可信安全模块21为二级跨区域的可信安全管理中心，负责工控网络模块20内各区域的安全可信管理，可信安全模块21还负责各个区域之间的***访问策略，制定区域边界的安全规则等。

步骤S4：所述可信安全模块21对所述工控网络模块20进行可信防御。可以理解，可信是指一个实体在实现给定目标时其行为总是如同预期一样的结果，强调行为的结果的可预测性和可控制性。可信计算则是通过可信的组件，实现行为在任何条件下是可预测的，并能很好抵御不良代码和一定的物理干扰造成的破坏。可信防御即基于可信计算技术的防御方法，具体为基于可信计算3.0版本技术，可信计算3.0版本采用主动防御技术，使用自主设计的加密算法，并定义了可信计算密码模块和双层认证证书的结构，简化了证书的管理等方式，可以根据参与运算的各主体的历史行为记录和当前行为特征进行态势感知，来判断当前主体的行为是否违法、越权或者超出范围等。并且，可信计算3.0版本的可信架构仅需添加芯片和软件就可以实现主动免疫，很大程度上减少了对现有硬软件架构的影响。

本发明提供的工控***网络的安全防御方法100，在集团总部部署一个管理中心模块11，负责共享网络模块10内共享***12和隔离区域内定级***的安全管理，每个核电厂中设立一个可信安全模块21，即二级管理中心，可信安全模块21为二级跨区域的可信安全管理中心，负责工控网络模块20内各区域的安全可信管理，将工控***网络101进行分区分级，实现防御方法由被动“封堵查杀”到主动免疫的转变。并且，实现了可信计算技术在核电站工控***网络101中的应用，可信计算技术的主动防御能够及时发现正在进行的网络攻击，预测和识别潜在的攻击，并采取相应措施使攻击者不能达到其目的，在满足高实时、高可靠性要求的前提下，有效抵御有组织的、目标明确的攻击，解决了工控***网络101中的定级***存在的一系列安全问题，满足国家等级保护相关标准要求。

进一步地，请一并参阅图3及图4，所述工控网络模块20包括生产控制大区22及管理信息大区23，步骤S3还包括如下子步骤：

步骤S31：在所述生产控制大区22及管理信息大区23内构建可信计算环境模块211。具体的，可信计算环境模块211由装备有可信芯片的可信计算节点组成，应用***可以在可信计算技术的支持下安全运行，确保位于生产控制大区22的现场控制、生产监控调度和位于管理信息大区23的企业管理过程的安全可信。

步骤S32：对进出所述可信计算环境模块211的信息流进行可信度量和安全检查，形成可信区域边界模块212。具体的，制定生产控制大区22及管理信息大区23的区域边界的安全规则，对进出可信计算环境211的信息流进行可信度量和安全检查，确保不会有违背ICS***的安全规则的信息流流经边界。

步骤S33：对所述可信计算环境模块211内参与通信的实体对象进行可信验证，形成可信通讯网络模块213。具体的，可信通讯网络模块213能够保护通信数据包的机密性和完整性，使其在传输过程中不会被未经授权攻击者所窃听和篡改，确保通信的准确可信。并且，可信通讯网络模块213与可信区域边界模块212结合，能够实现网络的可信接入。

进一步地，请一并参阅图5及图6，步骤S31还包括如下子步骤：

步骤S311：对所述生产控制大区22和管理信息大区23中的计算节点进行可信改造，形成可信计算节点模块214。具体的，可信计算环境模块211主要通过可信计算节点模块214构成，对生产控制大区22和管理信息大区23中计算节点的可信改造是构成可信计算环境模块211的关键。具体的，分布式控制***(Distributed Control System，DCS)主要由以下两类节点构成，一类是PLC(Process Control System，过程控制***)工控专有设备计算节点，另一类是通用计算节点，例如服务器、工作站等。

步骤S312：在所述生产控制大区22和管理信息大区23内构建可信架构模块215。具体的，可信架构模块215是可信计算节点模块214的基础设施，其中的可信链是以物理可信根和密码固件作为平台，进行以可信基础软件为核心的可信的控制、度量和判定过程。

步骤S313：将所述可信计算节点模块214植入所述可信架构模块215，形成所述可信计算环境模块211。具体的，通过将步骤S311中的两类计算节点进行改造后植入可信架构模块215，可信架构模块215可以为改造后的可信计算节点模块214的监管和监控提供有力的可信支撑，使得计算资源不被干扰和破坏，同时提高可信计算节点模块214的自我免疫能力。可以理解，通过可信架模块215构形成由可信技术技术支撑下的安全防护体系，可信计算节点模块214上的每一个安全功能都得到可信架构模块215的支撑，从而达到了更好的安全效果。

进一步地，步骤S312还包括如下子步骤：

在所述生产控制大区22和管理信息大区23内构建可信平台控制模块216。

将可信软件基模块217部署于所述可信平台控制模块216内，形成可信架构模块215。

可以理解，可信架构模块215主要通过可信平台控制模块216(Trusted PlatformController Module，TPCM)和可信软件基模块217(Trusted Software Base，TSB)两个方面进行设计和构建。

具体的，对于TPCM的构建，如果构建自主可信的计算平台产品，针对不同类型的设备，可以采用不同的方式：对于新增类型的设备，可以采用将可信芯片直接嵌入到机器主板的方式来构建可信整机；对于存量类型的设备，可以采用在主板PCI-E(PeripheralComponent Interconnect，外设部件互连标准)卡槽中***可信控制卡的方式来实现主动免疫***；另外，还可以通过配接USB(Universal Serial Bus，通用串行总线)可信平台控制模块，实现不便于插卡设备的可信计算增强。以上三种方式均可以方便地把现有设备升级为可信计算***，进而构建可信平台控制模块216，无需对既有ICS***做过多改动，使得新老设备融为一体的同时，获得ICS***的安全可信。

因此，在核电ICS***中，可采用成熟的可信计算技术，通过插卡、板载和CPU(Central Processing Unit，中央处理器)内构建的方式构建TPCM。具体的，可采用基于PCI-E的TPCM卡对ICS***中现有各类服务器、工作站、前置机进行可信改造；也可采用基于主板板载的具有可信TPCM功能的服务器、工作站等整机设备构建工控***，或采购国产CPU中带有TPCM功能的整机平台构建工业控制和信息管理***；当国产PLC等设备成熟时，则可以考虑在工控专用设备上构建TPCM芯片或采用具有TPCM功能的CPU构建工业控制***和设备。

对于TSB的构建，TSB与TPCM共同构成核电ICS***中的可信架构模块215，发挥可信安全的支撑保障作用。对于有条件的可信计算节点模块214，可以将TSB部署于TPCM提供的硬件资源中，或者部署在现有主机的操作***中；对于不便于部署TPCM硬件的可信计算节点模块214，可以部署TSB软件增强节点的可信性和安全性。对于条件成熟的国产工业控制***需要考虑在PLC等嵌入式设备中部署可信软件基模块215。

本发明还提供一种工控***网络的安全防御***200，所述工控***网络101包括共享网络模块10及工控网络模块20；所述安全防御***200包括管理中心模块11及与所述管理中心模块11通讯的可信安全模块21，所述管理中心模块11用于对所述共享网络模块10内的多个定级***进行安全管理，所述可信安全模块21用于对所述工控网络模块20进行可信防御。

具体的，在集团总部部署一个管理中心模块11，即一级管理中心，负责共享网络模块10内定级***的安全管理。共享网络模块10包括共享***12和隔离区域13，隔离区域13即Demilitarized Zone，简称DMZ。管理中心模块11负责共享网络模块10内共享***12和隔离区域13的定级***的安全管理。在每个核电厂中设立一个可信安全模块21，即二级管理中心，可信安全模块21为二级跨区域的可信安全管理中心，负责工控网络模块20内各区域的安全可信管理，可信安全模块21还负责各个区域之间的***访问策略，制定区域边界的安全规则等。

可以理解，可信是指一个实体在实现给定目标时其行为总是如同预期一样的结果，强调行为的结果的可预测性和可控制性。可信计算则是通过可信的组件，实现行为在任何条件下是可预测的，并能很好抵御不良代码和一定的物理干扰造成的破坏。可信防御即基于可信计算技术的防御方法，具体为基于可信计算3.0版本技术，可信计算3.0版本采用主动防御技术，使用自主设计的加密算法，并定义了可信计算密码模块和双层认证证书的结构，简化了证书的管理等方式，可以根据参与运算的各主体的历史行为记录和当前行为特征进行态势感知，来判断当前主体的行为是否违法、越权或者超出范围等。并且，可信计算3.0版本的可信架构仅需添加芯片和软件就可以实现主动免疫，很大程度上减少了对现有硬软件架构的影响。

进一步地，所述工控网络模块20包括生产控制大区22及管理信息大区23，所述可信安全模块21包括可信计算环境模块211、可信区域边界模块212及可信通讯网络模块213，所述可信区域边界模块212用于对进出所述可信计算环境模块211的信息流进行可信度量和安全检查，所述可信通讯网络模块213用于对所述可信计算环境模块211内参与通信的实体对象进行可信验证。

具体的，所述可信计算环境模块211包括装备有可信芯片的可信计算节点模块214，对所述生产控制大区22和管理信息大区23中的计算节点进行可信改造，形成可信计算节点模块214。所述可信计算环境模块211还包括可信架构模块215，可信架构模块215是可信计算节点模块214的基础设施，其中的可信链是以物理可信根和密码固件作为平台，进行以可信基础软件为核心的可信的控制、度量和判定过程。所述可信架构模块215包括可信平台控制模块216及可信软件基模块217，可信架构模块215主要通过可信平台控制模块216和可信软件基模块217两个方面进行设计和构建。

进一步地，所述可信安全模块21还包括可信管理中心模块218，所述可信管理中心模块218用于存放所述可信安全模块21的服务器。具体的，可信计算环境模块211由多个工作站、多个服务器及工控PLC组成，服务器例如可以为SU服务器、PU服务器、XU服务器等，工作站例如可以为操作员工作站、工程师工作站、TXS工程师工作站、DS工作站等，可信计算环境模块211中的这些服务器和设备通过添加TPCM或者TSB模块，从而构成可信计算技术支撑的平台。可信区域边界模块212是DCS***与其他***的交互必经之地，例如XU通讯服务器。可信通讯网络模块213是与其他***进行数据交互的网络，由交换机、路由器等设备组成，因此，由计算机软硬件实现的通信网络设备必须可信，可信根、可信软件基和可信监管是不可缺少的。可信管理中心模块218是安全产品管理服务器的集中区域，主要进行可信安全模块21的服务器的存放。

本实施方式中，所述生产控制大区22包括相互通讯的控制区221及非控制区222。可以理解，核电站的工控网络模块20总体上分为生产控制大区22和管理信息大区23，生产控制大区22为每个核电站的网络控制***，并且，按照业务重要性以及对一次***的影响度，生产控制大区22分为控制区221和非控制区222，管理信息大区23为核电站中的***管理及与***总部的共享网络模块10进行通讯。

可以理解，生产控制大区22和管理信息大区23之间采用接近物理隔离的电力专用横向单向隔离的内网连接方式，而控制区221与非控制区222之间采用安全可靠的硬件防火墙或者具有访问控制功能的设备，实现两者之间的逻辑隔离等功能。核电站的厂级分散控制***(DCS)部署在控制区221，与运行在非控制区222的核电站厂级信息监控***(SIS)优化功能进行信息交换应当采用逻辑隔离的安全防护措施。同时，SIS***的监控功能模块位于控制区221，其管理功能模块则位于管理信息大区23。

本实施方式中，控制区221内还部署有火警探测***、辅机控制***、安全运行仪控***、正常运行仪控***、开关站监控***等。非控制区222还部署有电能量采集装置、故障录波装置等。管理信息大区23还部署有管理信息***、地震监测***等，管理信息大区23与常规电力二次***进行逻辑隔离，常规电力二次***包括生产管理***及检修管理***，常规电力二次***与非控制区222进行通讯。

需要说明的是，本发明提供的工控***网络的安全防御方法100的所有实施例均适用于本发明提供工控***网络的安全防御***200，且均能够达到相同或相似的有益效果。

综上，本发明提供的工控***网络的安全防御方法100及***200，在集团总部部署一个管理中心模块11，负责共享网络模块10内共享***12和隔离区域内定级***的安全管理，每个核电厂中设立一个可信安全模块21，即二级管理中心，可信安全模块21为二级跨区域的可信安全管理中心，负责工控网络模块20内各区域的安全可信管理，将工控***网络101进行分区分级，实现防御方法由被动“封堵查杀”到主动免疫的转变。并且，实现了可信计算技术在核电站工控***网络101中的应用，可信计算技术的主动防御能够及时发现正在进行的网络攻击，预测和识别潜在的攻击，并采取相应措施使攻击者不能达到其目的，在满足高实时、高可靠性要求的前提下，有效抵御有组织的、目标明确的攻击，解决了工控***网络101中的定级***存在的一系列安全问题，满足国家等级保护相关标准要求。同时，在依据核电站工控***网络101分区分域的特点，在一个物理安全的可信环境模块211基础上，从可信计算节点模块214安全出发，搭建一个管理中心模块11支撑下的可信计算环境模块211、可信区域边界模块212、可信通讯网络213所组成的“三级防护”立体防护体系框架，构建安全机制和策略，形成主动防御中集成纵深防御的核电ICS***网络的安全防御***。

以上所述仅为本发明的实施方式，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种工控***网络的安全防御方法，其特征在于，所述工控***网络包括共享网络模块及工控网络模块，所述工控网络模块包括生产控制大区及管理信息大区，所述安全防御方法包括如下步骤：

在所述共享网络模块内建立管理中心模块，管理中心模块部署在集团总部；

所述管理中心模块对所述共享网络模块内的多个定级***进行安全管理；

在所述工控网络模块内建立与所述管理中心模块通讯的可信安全模块；在所述生产控制大区及管理信息大区内构建可信计算环境模块；对进出所述可信计算环境的信息流进行可信度量和安全检查，形成可信区域边界模块；对所述可信计算环境模块内参与通信的实体对象进行可信验证，形成可信通讯网络模块；可信安全模块设立在每个核电厂中，为二级跨区域的可信安全管理中心，负责工控网络模块内各区域的安全可信管理，还负责各个区域之间的***访问策略，制定区域边界的安全规则；

所述可信安全模块对所述工控网络模块进行可信防御。

2.如权利要求1所述的工控***网络的安全防御方法，其特征在于，所述在所述生产控制大区及管理信息大区内构建可信计算环境模块的步骤，还包括如下步骤：

对所述生产控制大区和管理信息大区中的计算节点进行可信改造，形成可信计算节点模块；

在所述生产控制大区和管理信息大区内构建可信架构模块；

将所述可信计算节点模块植入所述可信架构模块，形成所述可信计算环境模块。

3.如权利要求2所述的工控***网络的安全防御方法，其特征在于，所述在所述生产控制大区和管理信息大区内构建可信架构模块的步骤，还包括如下步骤：

在所述生产控制大区和管理信息大区内构建可信平台控制模块；

将可信软件基模块部署于所述可信平台控制模块内，形成可信架构模块。

4.一种工控***网络的安全防御***，其特征在于，所述工控***网络包括共享网络模块及工控网络模块；所述安全防御***包括管理中心模块及与所述管理中心模块通讯的可信安全模块，管理中心模块部署在集团总部，可信安全模块设立在每个核电厂中，为二级跨区域的可信安全管理中心，负责工控网络模块内各区域的安全可信管理，还负责各个区域之间的***访问策略，制定区域边界的安全规则，所述管理中心模块用于对所述共享网络模块内的多个定级***进行安全管理，所述可信安全模块用于对所述工控网络模块进行可信防御；

所述工控网络模块包括生产控制大区及管理信息大区，所述可信安全模块包括可信计算环境模块、可信区域边界模块及可信通讯网络模块，所述可信区域边界模块用于对进出所述可信计算环境模块的信息流进行可信度量和安全检查，所述可信通讯网络模块用于对所述可信计算环境模块内参与通信的实体对象进行可信验证。

5.如权利要求4所述的工控***网络的安全防御***，其特征在于，所述可信计算环境模块包括装备有可信芯片的可信计算节点模块。

6.如权利要求5所述的工控***网络的安全防御***，其特征在于，所述可信计算环境模块还包括可信架构模块，所述可信架构模块包括可信平台控制模块及可信软件基模块。

7.如权利要求6所述的工控***网络的安全防御***，其特征在于，所述可信安全模块还包括可信管理中心模块，所述可信管理中心模块用于存放所述可信安全模块的服务器。

8.如权利要求7所述的工控***网络的安全防御***，其特征在于，所述生产控制大区包括相互通讯的控制区及非控制区。