[发明专利]一种工控网络安全防护设备与方法

权利要求书

1.一种工控网络安全防护设备，包括硬件主板，其特征在于，所述硬件主板包括：中央处理器，业务网口，管理网口，存储器，逻辑控制单元；所述中央处理器通过所述管理网口与上位机连接，通过业务网口与工控网络连接，通过内部总线与所述存储器、逻辑控制单元连接。

2.根据权利要求1所述的工控网络安全防护设备，其特征在于，所述管理网口为单口千兆物理层网口芯片。

3.根据权利要求1所述的工控网络安全防护设备，其特征在于，所述业务网口为四口千兆物理层网口芯片。

4.根据权利要求1～3任意一项所述的工控网络安全防护设备，其特征在于，所述防护设备采用低功耗、低时延电路芯片。

5.一种应用权利要求1所述的防护设备进行工控网络安全防护的方法，包括：所述中央处理器将上位机通过所述管理网口下达的管理项目传递给所述业务网口，通过对工控环境的业务网进入的网络信息进行处理与协议解析，建立数据采集通信模型，采用黑名单与白名单互补的安全策略，过滤非法访问，实现网口管理功能。

6.根据权利要求5所述的方法，其特征在于，所述协议解析包括对二层、三层网络协议进行解析，还包括对工控网络应用层进行解析，防止应用层协议被篡改或破坏。

7.根据权利要求5或6所述的方法，其特征在于，所述网口管理功能包括网关管理、黑/白名单管理、防火墙管理、工控系统漏洞库管理、安全域管理、攻击防范设置和日志管理。

8.根据权利要求7所述的方法，其特征在于，

所述网关管理包括：根据上位机通过管理网口下发的安全策略和规则，对同一业务的网关进行配置的统一下发和控制，设置网关的名称、状态、编号、工作模式和白名单模板；

所述黑名单管理包括：通过设置黑名单，防范有危害的设备接入，防范运行有破坏作用的软件，防范有问题的数据流通过客户的工控网络；所述白名单管理包括：通过设置白名单，只允许符合客户要求的设备接入客户的工控网络，只允许经过验证的软件运行，只允许安全无害的流量在客户的工控网络间传输；

所述防火墙管理包括：防火墙在网络层的检查引擎截获数据包，并从中抽取出与应用层状态有关的信息，然后以抽取信息为依据判断是接受还是拒绝网络层与应用层之间的连接；

所述工控系统漏洞库管理包括：定期对所掌握的工控系统漏洞进行查询与更新；

所述安全域管理包括：管理员将安全需求相同的接口或IP地址进行分类并划分到不同的域，实现策略的分层管理；

所述攻击防范设置包括：上位机编辑安全防范功能后，将攻击防范配置下发给安全域内所有的接口；下发配置完成后，进行攻击防范配置；

所述日志管理包括：将系统发生的事件存入缓冲区或定向发送到日志接收服务器上；管理员通过对日志内容的分析和归档，检查网关的安全漏洞；根据实时的日志记录检测正在进行的入侵。