本發(fā)明提供了一種信息安全監(jiān)控裝置和工業(yè)控制系統(tǒng)，涉及工業(yè)控制系統(tǒng)的技術(shù)領(lǐng)域，包括硬件防火墻，數(shù)據(jù)采集器，協(xié)議轉(zhuǎn)換器和存儲(chǔ)服務(wù)器；硬件防火墻設(shè)置在工業(yè)控制網(wǎng)絡(luò)中；數(shù)據(jù)采集器通過(guò)工業(yè)控制網(wǎng)絡(luò)與目標(biāo)設(shè)備相連接；協(xié)議轉(zhuǎn)換器分別與數(shù)據(jù)采集器和存儲(chǔ)服務(wù)器相連接；存儲(chǔ)服務(wù)器與協(xié)議轉(zhuǎn)換器相連接；硬件防火墻用于對(duì)進(jìn)入工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾，得到過(guò)濾之后的數(shù)據(jù)包；數(shù)據(jù)采集器用于在過(guò)濾之后的數(shù)據(jù)包中采集目標(biāo)設(shè)備的工作數(shù)據(jù)；協(xié)議轉(zhuǎn)換器用于將工作數(shù)據(jù)進(jìn)行格式轉(zhuǎn)換，轉(zhuǎn)換成相同協(xié)議格式的目標(biāo)工作數(shù)據(jù)；存儲(chǔ)服務(wù)器用于對(duì)目標(biāo)工作數(shù)據(jù)進(jìn)行存儲(chǔ)，緩解了現(xiàn)有的工業(yè)控制系統(tǒng)安全性較低的技術(shù)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)控制系統(tǒng)的技術(shù)領(lǐng)域，尤其是涉及一種信息安全監(jiān)控裝置和工業(yè)控制系統(tǒng)。

背景技術(shù)

工業(yè)控制系統(tǒng)的復(fù)雜化、IT化和通用化加劇了系統(tǒng)的安全隱患，潛在的更大威脅是我國(guó)工控產(chǎn)業(yè)綜合競(jìng)爭(zhēng)力不強(qiáng)，嵌入式軟件、總線協(xié)議、工控軟件等核心技術(shù)受制于國(guó)外，缺乏自主的通信安全、信息安全、安全可靠性測(cè)試等標(biāo)準(zhǔn)。并且制造系統(tǒng)連接到企業(yè)系統(tǒng)和互聯(lián)網(wǎng)的趨勢(shì)日益明顯。例如，遠(yuǎn)程維護(hù)和管理，工業(yè)云服務(wù)為攻擊創(chuàng)造更多的機(jī)會(huì)。并且傳統(tǒng)的硬件和軟件不是為互聯(lián)網(wǎng)設(shè)計(jì)的，特別容易受到攻擊。

工業(yè)控制系統(tǒng)是基于Windows的，那些專門(mén)破解Windows賬戶信息的方法和工具也可以應(yīng)用到工業(yè)控制系統(tǒng)上。尤其是運(yùn)行在WindowsOLE和DCOM上的OPC系統(tǒng)，只要通過(guò)主機(jī)認(rèn)證就可以全面控制OPC環(huán)境。如果無(wú)法獲得底層協(xié)議認(rèn)證，也可以通過(guò)枚舉方式破解控制系統(tǒng)內(nèi)其他用戶和角色。如HMI用戶、ICCP服務(wù)器憑據(jù)(雙向表)、主節(jié)點(diǎn)地址(任何主/從工業(yè)協(xié)議)、以往數(shù)據(jù)庫(kù)認(rèn)證信息等。進(jìn)入HMI，就可以直接控制HMI管理的進(jìn)程，并竊取信息；進(jìn)入ICCP服務(wù)器，就可以竊取或操縱控制中心之間的傳輸數(shù)據(jù)。所以說(shuō)，從功能上將物理設(shè)備和邏輯設(shè)備全部隔離到安全區(qū)域是非常重要的。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種信息安全監(jiān)控裝置和工業(yè)控制系統(tǒng)，以緩解了現(xiàn)有的工業(yè)控制系統(tǒng)安全性較低的技術(shù)問(wèn)題。

第一方面，本發(fā)明實(shí)施例提供了一種信息安全監(jiān)控裝置，包括：硬件防火墻，數(shù)據(jù)采集器，協(xié)議轉(zhuǎn)換器和存儲(chǔ)服務(wù)器；所述硬件防火墻設(shè)置在工業(yè)控制網(wǎng)絡(luò)中；所述數(shù)據(jù)采集器通過(guò)所述工業(yè)控制網(wǎng)絡(luò)與目標(biāo)設(shè)備相連接；所述協(xié)議轉(zhuǎn)換器分別與所述數(shù)據(jù)采集器和所述存儲(chǔ)服務(wù)器相連接；所述存儲(chǔ)服務(wù)器與所述協(xié)議轉(zhuǎn)換器相連接；所述硬件防火墻用于對(duì)進(jìn)入所述工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾，得到過(guò)濾之后的數(shù)據(jù)包；所述數(shù)據(jù)采集器用于在所述過(guò)濾之后的數(shù)據(jù)包中采集所述目標(biāo)設(shè)備的工作數(shù)據(jù)；所述協(xié)議轉(zhuǎn)換器用于將所述工作數(shù)據(jù)進(jìn)行格式轉(zhuǎn)換，轉(zhuǎn)換成相同協(xié)議格式的目標(biāo)工作數(shù)據(jù)；所述存儲(chǔ)服務(wù)器用于對(duì)所述目標(biāo)工作數(shù)據(jù)進(jìn)行存儲(chǔ)。

進(jìn)一步地，所述裝置還包括：定時(shí)器，所述定時(shí)器設(shè)置在所述存儲(chǔ)服務(wù)器的內(nèi)部。

進(jìn)一步地，所述硬件防火墻為支持以下協(xié)議的硬件防火墻：Profinet協(xié)議、MODBUS協(xié)議、OPC協(xié)議和FTP協(xié)議。

進(jìn)一步地，所述裝置還包括：工業(yè)交換機(jī)，其中，所述工業(yè)交換機(jī)用于實(shí)現(xiàn)將所述硬件防火墻與所述工業(yè)控制網(wǎng)絡(luò)進(jìn)行連接，以及實(shí)現(xiàn)將所述數(shù)據(jù)采集器與所述目標(biāo)設(shè)備進(jìn)行連接。

進(jìn)一步地，所述目標(biāo)設(shè)備包括以下至少之一：工業(yè)機(jī)器人，現(xiàn)場(chǎng)輸入輸出裝置，執(zhí)行器和傳感器。

進(jìn)一步地，所述硬件防火墻中包括：數(shù)據(jù)包過(guò)濾器，其中，所述數(shù)據(jù)包過(guò)濾器用于對(duì)進(jìn)入所述工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾，得到過(guò)濾之后的數(shù)據(jù)包。

進(jìn)一步地，所述數(shù)據(jù)包過(guò)濾器包括：控制器，過(guò)濾器和日志記錄模塊，其中，所述控制器用于進(jìn)行過(guò)濾規(guī)則的配置，所述過(guò)濾器用于對(duì)進(jìn)入所述工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾，得到過(guò)濾之后的數(shù)據(jù)包，所述日志記錄模塊用于進(jìn)行數(shù)據(jù)包內(nèi)容記錄。