技術領域

本發明涉及防火墻技術，尤其涉及一種安全防護方法、控制單元及工業控制系統。

背景技術

在當前的工業控制系統中，控制網除了要求具有快速實時的響應能力、高可靠性和強容錯能力之外，對工業控制系統安全的要求也越來越高，尤其是對工業控制系統中的控制單元的安全要求越來越緊迫。尤其是，控制單元肩負著現場信號的運算及控制的重任，其安全與否直接影響到運行效率，甚至生產以及人身安全。因此，控制單元的安全問題成為工業控制系統安全至關重要的環節，并且，其安全等級需求在整個工業控制系統中也是最高的。

在現有技術中，工業控制系統的安全防護一般采取逐層防護的方式部署，即在攻擊路徑上的任意位置如企業網入口、監控層網絡入口、現場層網絡入口設置防護措施，阻斷攻擊，實現對安全等級最高的現場層的保護。

參見圖1，控制單元處于工業控制系統的底層，即現場層104，通常做法是在監控層101和現場層104之間配置第三方防火墻103，實現工業控制系統內部控制單元之前的安全防護。

其中，第三方防火墻包括商用防火墻或者工業防火墻。雖然采用上述利用第三方防火墻的方法能夠實現對控制單元的安全防護，但是不管是商用防火墻還是工業防火墻，都不是針對特定的控制系統而設，所適用的功能有限，且在進行防護的過程中還需要操作人員根據應用的系統經過一系列配置才能如期工作，若配置不當反而可能導致通訊故障，使得控制單元安全性受到威脅，進而降低控制單元的實時性和工作效率；而在進行數據傳輸的過程中，控制層(控制單元)與監控層之間的交互數據都需要經過第三方防火墻進行轉發，若第三方防火墻的性能達不到指標或出現故障，將影響監控層和控制層的通信效率，進而影響到控制單元的實時性和工作效率。

發明內容

有鑒于此，本發明提供了一種安全防護方法、控制單元及工業控制系統，以克服現有技術在工業控制系統中，采用第三方防火墻進行安全防護，無法滿足控制單元所需的防護需求，從而影響控制單元的實時性和工作效率的問題。

為實現上述目的，本發明提供以下技術方案：

一種安全防護方法，該方法包括：

接收預設模式下傳輸的第一數據包；

按照預設校驗檢查規則對所述第一數據包進行校驗檢查，將過濾校驗出錯數據后的第一數據包作為第二數據包輸出；

按照預設的合理數據包長度對所述第二數據包的長度進行檢測，將符合預設的合理數據長度的第二數據包作為第三數據包輸出；

按照預設安全規則對所述第三數據包進行安全檢查，對符合所述安全規則的所述第三數據包做冗余取舍，獲取第四數據包并傳遞給控制中央處理器CPU。

優選地，當預設模式為廣播模式時，所述第一數據包包括廣播數據包；

當預設模式為直接模式時，所述第一數據包包括發送給控制單元的點播、組播數據包。

優選地，所述預設校驗規則包括循環冗余校驗碼CRC、因特網互聯協議IP、用戶數據包協議UDP和傳輸控制協議TCP中的一種或任意組合。

優選地，所述預設安全規則包括根據系統特性而確定的合法數據包協議、數據包源IP地址范圍、數據包頭部長度限制、傳輸層端口標致檢驗符校驗和應用層標致檢驗符校驗中的一種或任意組合。

優選地，本發明公開的方法還包括：

在接收預設模式下傳輸的第一數據包之后，包括：

按照預設的限流方式和限流閾值判斷所述第一數據包是否觸發系統預設的診斷報警條件；

當觸發時，則報警；

當未觸發時，返回執行按照預設校驗檢查規則對所述第一數據包進行校驗檢查這一步驟。

優選地，本發明公開的方法還包括：

在對所述第二數據包的長度進行檢測之后，包括：

丟棄超過預設的合理數據包長度的第二數據包；

和/或當超過預設的合理數據包長度的第二數據包觸發系統預設的診斷報警條件時，報警。

優選地，本發明公開的方法還包括：

在對所述第三數據包進行安全檢查之后，包括：

丟棄不符合安全規則的第三數據包；和/或當不符合安全規則的第三數據包觸發系統預設的診斷報警條件時，報警。

一種控制單元，包括工業防火墻和控制中央處理器CPU，其中：

工業防火墻包括：

端口硬件模塊，用于根據預設校驗檢查規則對接收到的預設模式下傳輸的第一數據包進行過濾，將過濾校驗出錯數據后的第一數據包作為第二數據包輸出；