本發明涉及一種基于工控終端設備接口HOOK的安全防護方法,包括將工控設備以HOOK的方式與工控終端設備相連；對需要連接的外接設備進行注冊、登記和認證，驗證其身份的合法性和證書的有效性，對接入認證通過的外接設備允許外接設備與所述工控終端進行數據傳輸和控制指令交互，對接入認證失敗的外接設備則斷開連接；依次對接入認證通過的外接設備的流量進行審計、對漏洞攻擊流量、病毒木馬流量、工控協議接入以及固件更新請求合法性進行檢測，對檢測合格的外接設備的所有操作請求和操作行為進行記錄，對檢測不合格的外接設備的所有操作請求和操作行為進行攔截和阻斷。本發明有效保證了工控終端設備在有外設接入時的安全性。

技術領域

本發明涉及工控安全的技術領域，尤其是指一種基于工控終端設備接口HOOK的安全防護方法。

背景技術

電力工控系統是國家關鍵基礎設施的重要組成部分，其安全性關系到國計民生和國家的戰略安全。電力工控系統中包含了大量的電力工控終端設備，包括PLC、RTU、HMI、工程師站、操作員站等，這些設備的安全性極大程度上決定了電力工控系統的安全性。在《電力二次系統安全防護總體方案》中規定，電力二次系統安全防護的總體原則是“安全分區、網絡專用、橫向隔離、縱向認證”，其目的是從系統層面確保電力監控系統及電力調度數據網絡的安全，抵御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，特別是抵御APT攻擊，防止電力二次系統被攻擊而造成的崩潰或癱瘓，以及由此引發的電力系統事故或大面積停電事故。

長期以來，針對電力工控系統的安全防護主要集中在由外向內的攻擊、邊界網關等?！鞍踩謪^、網絡專用、橫向隔離、縱向認證”這四大原則能夠有效的抵御針對電力工控系統的外部攻擊。針對電力系統內部的安全防護主要以網絡隔離、以及安全管制規章制度等方法，然而從系統內部來看，電力工控系統終端的接入、通信等方面的安全性缺乏認證和校驗，一旦被植入rootkit木馬或已被病毒、蠕蟲感染的終端設備（USB、移動硬盤、工程師站等）被接入到電力工控系統中，其從電力工控系統內部進行攻擊、滲透，其不但攻擊成本更低，而且對電力系統造成的破壞也更大，因此如何保證電力工控系統終端設備在有外設接入時的安全性就顯得尤為重要。

發明內容

為此，本發明所要解決的技術問題在于克服現有技術中有新設備接入時安全性能差的問題從而提供一種即使在有外設接入時也能保證安全性的基于工控終端設備接口HOOK的安全防護方法。

為解決上述技術問題，本發明的一種基于工控終端設備接口HOOK的安全防護方法，包括如下步驟：步驟S1：將工控設備以HOOK的方式與工控終端設備相連；步驟S2：對需要連接的外接設備進行注冊、登記和認證，驗證其身份的合法性和證書的有效性，對接入認證通過的外接設備允許外接設備與所述工控終端進行數據傳輸和控制指令交互，對接入認證失敗的外接設備則斷開連接；步驟S3：依次對接入認證通過的外接設備的流量進行審計、對漏洞攻擊流量、病毒木馬流量、工控協議接入以及固件更新請求合法性進行檢測，對檢測合格的外接設備的所有操作請求和操作行為進行記錄，對檢測不合格的外接設備的所有操作請求和操作行為進行攔截和阻斷。

在本發明的一個實施例中，對接入認證通過的外接設備發放數字證書，并根據安全級別給予其對應的針對所述工控終端設備的操作權限。

在本發明的一個實施例中，對接入認證通過的外接設備的流量進行審計時，過濾可能存在較大安全威脅的協議端口。

在本發明的一個實施例中，對接入認證通過的外接設備的漏洞攻擊流量進行檢測時，通過流量黑白名單、特征值等手段二次檢測接入認證通過的外接設備是否存在可疑的攻擊行為，同時對漏洞攻擊行為進行及時阻斷。

在本發明的一個實施例中，對接入認證通過的外接設備的病毒木馬流量進行檢測時，通過檢測接入設備的流量中是否存在常見病毒木馬的流量特征，來再次確認接入外設中是否存在rootkit等隱藏極深、無法通過手工檢測檢測出的病毒木馬。