本發明提供一種工控設備訪問控制方法、裝置及電子設備，其中，方法包括：當接收到上位機對目標工控設備的訪問請求，向所述上位機發送目標信息獲取指令；接收所述上位機的目標信息響應數據包，所述目標信息響應數據包包括所述上位機的硬件標識性信息或者身份證書信息；根據所述上位機的目標信息響應數據包，驗證所述上位機的身份信息；根據所述上位機的身份信息驗證結果，確定是否將訪問請求發送至所述目標工控設備。通過防火墻對上位機的硬件標識性信息或者身份證書信息進行身份驗證，防止非法上位機通過篡改IP/MAC地址，達到偽裝合法上位機的目的，實現對工控設備的非法控制，從而提高了工業控制設備的安全性。

技術領域

本發明涉及工控安全技術領域，具體涉及一種工控設備訪問控制方法、裝置及電子設備。

背景技術

隨著信息化和工業化融合的不斷深化，傳統IT網絡中的不安全因素大量涌入工業控制系統，使原本脆弱的工業控制系統雪上加霜，涉及國計民生的工業、能源、交通、水利等關鍵基礎設施面臨較大安全風險，一旦遭到破壞，可能造成整個城市的供電中斷、飲用水污染、交通癱瘓等，影響公眾生活甚至是國家安全。因此，加強工業控制系統的安全建設工作顯得尤為迫切。

相關技術中，通過在工業控制設備與上位機之間安裝部署工業防火墻，工業防火墻內置預先存儲的黑/白名單，黑/白名單中記錄的是基于IP/MAC地址的控制權限，比如，某一源IP地址對某一目標IP地址具有訪問權限。工業防火墻根據上位機發送的數據幀(包含源IP地址和目標IP地址)，判斷上位機是否具有該工業控制設備的訪問權限。但實際上，IP/MAC地址很容易被篡改，若要非法訪問工業控制設備，只需要將非法上位機的IP/MAC地址更改為記錄在白名單中上位機的IP/MAC地址，導致工業控制設備的安全性低。

發明內容

有鑒于此，本發明實施例提供了一種工控設備訪問控制方法、裝置及電子設備，以解決現有技術中工業控制設備的安全性低的缺陷。

根據第一方面，本發明實施例提供一種工控設備訪問控制方法，應用于防火墻，包括如下步驟：當接收到上位機對目標工控設備的訪問請求，向所述上位機發送目標信息獲取指令；接收所述上位機的目標信息響應數據包，所述目標信息響應數據包包括所述上位機的硬件標識性信息或者身份證書信息；根據所述上位機的目標信息響應數據包，驗證所述上位機的身份信息；根據所述上位機的身份信息驗證結果，確定是否將訪問請求發送至所述目標工控設備。

可選地，所述目標信息響應數據包還包括所述上位機的安全防護信息；根據所述上位機的身份信息驗證結果，確定是否將訪問請求發送至所述目標工控設備包括：根據所述上位機的身份信息驗證結果以及所述上位機的安全防護信息，判斷所述上位機是否滿足安全訪問條件；當上位機滿足安全訪問條件，則將訪問請求發送至所述目標工控設備。

可選地，當接收到上位機對目標工控設備的訪問請求，向所述上位機發送目標信息獲取指令，包括：當接收到上位機對目標工控設備的訪問請求，識別所述訪問請求中是否存在對目標工控設備的數據更改請求和/或狀態更改請求；當存在數據更改請求和/或狀態更改請求，向所述上位機發送目標信息獲取指令。

可選地，工控設備訪問控制方法還包括：接收所述目標工控設備的訪問請求執行結果；將所述訪問請求執行結果發送至上位機。

根據第二方面，本發明實施例提供一種工控設備訪問控制方法，應用于上位機，包括如下步驟：對目標信息獲取指令接收端口進行監聽；當接收到目標信息獲取指令，根據所述目標信息獲取指令構建目標信息響應數據包，所述目標信息響應數據包包括硬件標識性信息或者身份證書信息；發送所述目標信息響應數據包。

可選地，根據所述目標信息獲取指令構建目標信息響應數據包，包括：獲取身份信息以及安全防護信息；根據所述身份信息以及安全防護信息，構建目標信息響應數據包。