本發(fā)明涉及一種基于協(xié)議深度分析的工控安全審計系統(tǒng)及其應(yīng)用，所述系統(tǒng)包括：用于對工控系統(tǒng)進行直接控制操作的前端展現(xiàn)層和用于對運維操作指令審計與控制的后端處理層，前端展現(xiàn)模塊與后端處理層之間通過中端通信連接；運行時，前端展現(xiàn)層發(fā)起報文同步數(shù)據(jù)，并通過中端通信與后端處理層進行連接并通過后端處理層接收并解析報文信息，根據(jù)結(jié)果進行日志記錄，并關(guān)閉同服務(wù)的連接，通知前端展現(xiàn)層協(xié)議通信結(jié)果。本發(fā)明具備靈活的適應(yīng)性和良好的擴展性，通過電力專用協(xié)議深度解析、業(yè)務(wù)行為管控、特定攻擊防御等功能，實時發(fā)現(xiàn)并阻斷電力工控系統(tǒng)中存在的安全風(fēng)險，保障企業(yè)生產(chǎn)業(yè)務(wù)應(yīng)用在工控網(wǎng)絡(luò)環(huán)境下的可控、能控、在控，對工控系統(tǒng)形成有效的安全。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)控制系統(tǒng)安全防御技術(shù)領(lǐng)域，具體涉及一種基于協(xié)議深度分析的工控安全審計系統(tǒng)及其應(yīng)用。

背景技術(shù)

近年來，隨著工業(yè)以太網(wǎng)的逐步推廣與應(yīng)用，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)間接連接，傳統(tǒng)IT信息網(wǎng)中的安全威脅已逐步滲透到生產(chǎn)控制網(wǎng)絡(luò)中。為了提升電力行業(yè)的安全防護能力，加強電力監(jiān)控系統(tǒng)安全防護，2014年國家發(fā)改委發(fā)布了14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，2015年國家能源局發(fā)布《關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知》(國能安全〔2015〕36號)，簡稱36號文，進一步明確了安全管理責(zé)任，完善了電力監(jiān)控系統(tǒng)安全防護方案，切實落實安全防護措施，積極開展電力監(jiān)控系統(tǒng)和信息系統(tǒng)安全評估和安全等級保護測評，并按照文件要求及時完成現(xiàn)場評估和測評。

現(xiàn)代信息技術(shù)與現(xiàn)代控制技術(shù)的深度結(jié)合，在為控制技術(shù)帶來新的創(chuàng)新機會、為企業(yè)帶來新的商業(yè)模式的同時，也將信息網(wǎng)絡(luò)中的信息安全問題一起帶入了現(xiàn)代工業(yè)控制系統(tǒng)中。從2010年眾所周知的“震網(wǎng)病毒”事件，2011年“Duqu病毒”，2012年的“火焰病毒”和2015年的烏克蘭電網(wǎng)遭遇攻擊停電事件，再到今天互聯(lián)網(wǎng)上隨處可見的黑客攻擊工具，處處展現(xiàn)的是工控系統(tǒng)遭受攻擊的“戰(zhàn)況”，充分顯示了工業(yè)控制系統(tǒng)信息安全問題的現(xiàn)實迫切性。因此，以美國為代表的“工業(yè)互聯(lián)網(wǎng)”、以德國為代表的“工業(yè)4.0”，都將信息安全作為重中之重。在工業(yè)控制智能化推進過程中，信息安全保障工作卻進展緩慢，體現(xiàn)在如下幾個方面：

信息安全空白：借助信息化手段提高生產(chǎn)效率的同時，并沒有考慮信息安全防護措施，有些工業(yè)控制系統(tǒng)甚至與互聯(lián)網(wǎng)保持“親密接觸”。

信息安全淺表化：部分企業(yè)為了滿足生產(chǎn)聯(lián)動，將原來相互獨立的工業(yè)控制系統(tǒng)互聯(lián)，或者將生產(chǎn)控制網(wǎng)接入到企業(yè)管理網(wǎng)；為了滿足信息安全需求，雖然增加了信息安全防護設(shè)備，但使用的卻是信息系統(tǒng)常用的防火墻。

信息安全僵化：個別企業(yè)認識到工業(yè)控制系統(tǒng)信息安全的重要性，在工業(yè)控制系統(tǒng)改造過程中，主動增加了安全防護措施，例如工業(yè)防火墻、工控網(wǎng)絡(luò)監(jiān)控系統(tǒng)，但由于工業(yè)控制系統(tǒng)對高可靠運行生產(chǎn)的要求，作為使用方，在信息安全運維過程中，相應(yīng)的信息安全策略并沒有隨著外界攻擊技術(shù)的發(fā)展而調(diào)整，導(dǎo)致在實際運行過程中，信息安全問題依然時有發(fā)生。

攻擊工具層出不窮：兩化融合中，信息安全保障不到位，但是針對工業(yè)控制系統(tǒng)的攻擊技術(shù)卻呈現(xiàn)出日新月異的發(fā)展趨勢，針對工業(yè)控制系統(tǒng)的攻擊工具，被黑客制作并散布在互聯(lián)網(wǎng)上，使得攻擊成本越來越低。

攻擊范圍迅速擴大：早期針對部署在關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)進行攻擊，需要較強的攻擊能力；但隨著工業(yè)控制系統(tǒng)信息安全問題公眾化后，許多黑客開始利用互聯(lián)網(wǎng)上輕易得到的攻擊工具，瞄準很多基本不具備信息安全防護能力的行業(yè)或企業(yè)進行攻擊，雖然沒有嚴重的惡性事件，卻造成嚴重經(jīng)濟損失。

發(fā)明內(nèi)容

為此，本發(fā)明提供了一種基于協(xié)議深度分析的工控安全審計系統(tǒng)，通過采用私有工控控制協(xié)議的逆向分析技術(shù)，可信運維管理技術(shù)，以滿足電力工控網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)處理、安全審計、入侵檢測的需要。

為達到上述目的，本發(fā)明采用如下技術(shù)方案：