技術領域

本發明涉及工業控制技術領域，具體涉及一種實現工業控制系統移動運維防護的方法、裝置及系統。

背景技術

工業控制系統包括眾多設備，例如輸入輸出I/O設備、PLC(Programmable?Logic?Controller，可編程邏輯控制器)、工業交換機、HMI(Human?Machine?Interface，人機界面)、操作員站、工程師站、以及歷史數據庫、實時數據庫等，工業控制系統中設備部署范圍廣，使工業控制系統的運維工作出現以下特點：(1)設備運維方式多：既可以通過工業控制網絡進行遠程維護，也可以進行本地維護；(2)運維監控管理難：工業控制設備部署地域廣、廠商多，使運維監控管理工作可行性不強；(3)設備運維風險大：雖然工業控制系統智能性和自動化程度高，但安全性比較脆弱，在運維過程中易引入安全威脅。

通過對一些安全事件的分析，發現運維人員在現場維護工控設備時，安全威脅往往通過接入工業控制設備的外接設備如移動運維終端引入，而現有技術中尚沒有一種專門針對工業控制系統在現場移動運維時的安全保護方案，即無法保證在現場移動運維時工業控制系統的安全性。

發明內容

有鑒于此，本發明提供一種實現工業控制系統移動運維防護的方法、裝置及系統，以解決現有技術中無法保證在現場移動運維時工業控制系統的安全性的技術問題。

為解決上述問題，本發明提供的技術方案如下：

一種實現工業控制系統移動運維防護的方法，應用于實現工業控制系統移動運維的安全網關，所述安全網關在現場移動運維時串行連接于移動運維終端與所述工業控制系統之間，所述方法包括：

接收用戶通過所述移動運維終端發送的用戶信息，對所述用戶信息進行認證；

當所述用戶信息認證通過后，對所述移動運維終端進行準入核查；

當所述移動運維終端通過準入核查后，接收所述移動運維終端發送的控制指令，根據所述控制指令利用組態軟件將所述控制指令轉換為運維指令；

利用工業協議解析所述運維指令生成解析結果，保存所述解析結果；

將所述運維指令發送給所述工業控制系統，以使所述工業控制系統執行運維操作；

在執行運維操作過程中，接收所述移動運維終端發送的運維數據，對所述運維數據進行病毒查殺，將經過病毒查殺的運維數據發送給工業控制系統。

相應的，所述對所述移動運維終端進行準入核查，包括：

預先保存安全移動運維終端的設備號列表；

獲取所述移動運維終端的設備號，查找所述移動運維終端的設備號是否屬于所述安全移動運維終端的設備號列表，如果是，則所述移動運維終端通過準入核查，如果否，禁止接收所述移動運維終端發送的控制指令。

相應的，所述利用工業協議解析所述運維指令生成解析結果，包括：

利用基于鏈路層之上封裝的工業協議或基于應用層之上封裝的工業協議對所述運維指令中的設備地址、功能代碼、運維數據進行解析，生成解析結果。

相應的，所述方法還包括：

接收集中管理平臺發送的傳遞日志指令；

將所述用戶信息、所述移動運維終端對應的所述解析結果發送到所述集中管理平臺，以使所述集中管理平臺生成運維情況列表。

相應的，所述方法還包括：

根據所述解析結果對不符合預設條件的運維指令進行攔截。

一種實現工業控制系統移動運維防護的裝置，集成在實現工業控制系統移動運維的安全網關中，所述安全網關在現場移動運維時串行連接于移動運維終端與所述工業控制系統之間，所述裝置包括：

身份認證單元，用于接收用戶通過所述移動運維終端發送的用戶信息，對所述用戶信息進行認證；

終端認證單元，用于當所述用戶信息認證通過后，對所述移動運維終端進行準入核查；

轉換單元，用于當所述移動運維終端通過準入核查后，接收所述移動運維終端發送的控制指令，根據所述控制指令利用組態軟件將所述控制指令轉換為運維指令；

解析單元，用于利用工業協議解析所述運維指令生成解析結果，保存所述解析結果；

第一發送單元，用于將所述運維指令發送給所述工業控制系統，以使所述工業控制系統執行運維操作；

病毒查殺單元，用于在執行運維操作過程中，接收所述移動運維終端發送的運維數據，對所述運維數據進行病毒查殺，將經過病毒查殺的運維數據發送給工業控制系統。

相應的，所述終端認證單元包括：

第一保存子單元，用于預先保存安全移動運維終端的設備號列表；