技術領域

????本發明涉及工業控制網絡安全防護方法。

背景技術

工業控制系統是由各種自控組件以及對實時數據進行采集、監測的過程控制組件組成的系統，我國超過百分之八十的關鍵基礎設施依靠工業控制系統來實現自動化作業，工業控制網絡已是國家安全戰略的重要組成部分，一旦工業控制網絡信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患，因此，我國各級政府部門高度重視，強調工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，必須切實加強工業控制網絡信息安全管理。

目前在通用工業控制系統網絡安全防護中，采用的技術防護措施比較少，且沒有形成系統體系的方式進行總體防護，隨著工業控制系統的管控一體化，使得工業控制系統與傳統IT管理系統以及互聯網相連通，內部也越來越多地采用了通用軟件、通用硬件和通用協議，直接面對來自外界的種種威脅，增加了工業控制網絡信息的安全隱患。同時工業控制行業用戶的安全意識不足，在系統設計之中未考慮系統整體安全設計，存在只重視功能實現，不重視安全的現象，而且在運行維護中對安全管理也不夠重視，增加了工業控制系統遭受病毒、木馬攻擊的可能性。

公開號為102438026A的一項中國專利公開了一種工業控制網絡安全防護方法及系統，所述方法包括以下步驟：針對外部網絡攻擊，前方主機對外部網絡數據進行第一層數據過濾和訪問控制，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，后方主機對數據進行深層過濾和訪問控制，合法數據進入到內部網絡；針對內部網絡攻擊，后方主機對內部網絡數據進行第一層數據過濾和訪問控制，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，前方主機對數據進行深層過濾和訪問控制，合法數據進入到外部網絡。該專利采用3主機結構和三層防護策略，投資成本和管理成本高，而且采用的各種監控設備比較復雜，不能滿足工業控制網絡的大量需求。

目前，生產管理系統與控制系統共同處于生產控制網絡中，彼此支持信息互通，沒有邏輯隔離和信息檢測措施，如圖1所示，所述生產控制網絡與經營管理網絡通過防火墻進行邏輯隔離措施，并監測彼此之間的通信數據，但是，這種結構存在來自互聯網或其它媒介的病毒或木馬以所述經營管理網絡為基地通過所述防火墻對所述生產控制網絡發動攻擊的信息安全隱患。

發明內容

本發明所要解決的技術問題是克服現有技術的不足,?提供一種能提高工業控制網絡安全，而且通信方便，還能預防外部攻擊和入侵，有效保護工業控制系統及工業設備安全的工業控制網絡安全防護方法。

本發明所采用的技術方案是：該方法包括以下步驟：

????（1）根據工業控制系統信息安全的技術要求，對工業企業信息系統進行分層處理，所述工業企業信息系統分為三個安全工作層次，即工業控制層、生產執行層和經營管理層，對所述工業控制層的數據交換采取安全防護策略措施；

????（2）根據所述工業控制系統的功能特點和控制范圍，將所述工業控制層分為多個不同的自動化單元區域并采用防火墻進行區域隔離，實現報文過濾以及訪問控制，對工業通信協議進行檢查分析，實現對非法通信的實時報警、來源確認、歷史記錄，保證控制網絡的實時診斷；

????（3）采用網絡隔離模塊實現所述工業控制層與所述生產執行層之間的非網絡方式的安全的數據交換，并且保證安全隔離模塊內外兩個處理系統不同時連通，結合防穿透性TCP聯接與訪問控制技術，阻斷所述生產執行層對所述工業控制層的潛在通信途徑，從而實現所述工業控制層與所述生產執行層之間的單向隔離；

????（4）采用工業安全管理平臺模塊建立所述工業控制層網絡的配置、管理、分析、告警及審計中心，對防火墻及網絡隔離裝置進行配置和管理，采集網絡事件報警信息并存儲、檢索及劃分等級進行報警，對定義在白名單范圍內的終端應用允許通信，對工業控制協議的深度分析并捕獲網絡異常行為，分析潛在風險，準確捕獲現場所的病毒、蠕蟲及非法入侵，為工業控制系統網絡故障的排查、分析及安全審計提供可靠依據。

????在所述步驟（1）中，所述工業控制層與所述生產執行層之間的兩端通信網絡系統通過有線或無線網絡方式連接。

????在所述步驟（2）中，所述檢查分析的方式為綜合使用狀態檢測和應用層協議檢測，對報文進行多級過濾，形成全面的訪問控制機制和自動化單元區域的保護屏障，杜絕非授權者使用。