[发明专利]一种工控网络安全防护设备与方法

说明书

技术领域

本发明属于计算机网络安全领域，涉及一种部署在工控网络边界、区域，对进出网络的访问进行控制的安全防护设备与方法。

背景技术

从2010年针对伊朗核工厂的Stuxnet病毒，到2014年席卷欧洲的Havex病毒，针对工业控制系统的网络攻击越演越烈，工业控制系统迫切需要得到安全防护。那么，把传统信息安全产品如防火墙、反病毒软件、IDS/IPS，部署到工业控制系统中是不是就能解决其信息安全问题呢？答案是否定的。实践证明传统信息安全产品不能解决工业控制系统的安全问题。

现场调研发现，一些工业控制系统的网络中，已经有部署传统的防火墙产品，在工作站上也有安装杀毒软件产品。但是，传统的防火墙在保护OPC服务器时，由于不支持OPC协议的动态端口开放，不得不允许OPC客户端和OPC服务器之间大范围内的任意端口号的TCP连接，因此防火墙提供的安全保障被降至最低，从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件，通常因得不到及时更新，导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现，是工业控制系统的系统漏洞，不能像IT系统一样，得到及时的漏洞修复，大量漏洞长期存在。

综上所述，防火墙、反病毒软件等传统信息安全产品及传统的信息安全管理方法(如漏洞及时修复)不能直接用于工业控制系统。要想解决工业控制系统的信息安全问题，工业控制系统必须有一套为自己量身打造的信息安全产品，用于有效抵御工业系统面临的各种安全威胁。

发明内容

针对传统信息安全产品不能用于工控系统网络的安全防护问题，本发明提供一种部署在工控网络边界、区域，对进出网络的访问进行控制的安全防护设备与方法。

为实现上述目的，本发明采用的技术方案是：

一种工控网络安全防护设备，部署在工控网络边界、区域，用作网关或防火墙，包括硬件主板，所述硬件主板包括：中央处理器，业务网口，管理网口，存储器，逻辑控制单元。所述中央处理器通过所述管理网口与上位机连接，通过业务网口与工控网络连接，通过内部总线与所述存储器、逻辑控制单元连接。

进一步地，所述业务网口为四口千兆物理层网口芯片。

进一步地，所述管理网口为单口千兆物理层网口芯片。

进一步地，所述防护设备采用低功耗、低时延电路芯片。

一种工控网络安全防护方法，包括：中央处理器将上位机通过管理网口下达的管理项目传递给业务网口，通过对工控环境的业务网进入的网络信息进行处理与协议解析，建立数据采集通信模型，采用黑白名单互补的安全策略，过滤非法访问，实现网口管理功能。

进一步地，所述协议解析包括对二层、三层网络协议进行解析，还包括对工控网络应用层进行解析，防止应用层协议被篡改或破坏。

进一步地，所述网口管理功能包括网关管理、黑/白名单管理、防火墙管理、工控系统漏洞库管理、安全域管理、攻击防范设置和日志管理。

其中，所述网关管理包括：根据上位机通过管理网口下发的安全策略和规则，对同一业务的网关进行配置的统一下发和控制，设置网关的名称、状态、编号、工作模式和白名单模板。

所述黑名单管理包括：通过设置黑名单，防范有危害的设备接入，防范运行有破坏作用的软件，防范有问题的数据流通过客户的工控网络；所述白名单管理包括：通过设置白名单，只允许符合客户要求的设备接入客户的工控网络，只允许经过验证的软件运行，只允许安全无害的流量在客户的工控网络间传输。

所述防火墙管理包括：防火墙在网络层的检查引擎截获数据包，并从中抽取出与应用层状态有关的信息，然后以抽取信息为依据判断是接受还是拒绝网络层与应用层之间的连接。

所述工控系统漏洞库管理包括：定期对所掌握的工控系统漏洞进行查询与更新。

所述安全域管理包括：管理员将安全需求相同的接口或IP地址进行分类并划分到不同的域，实现策略的分层管理。

所述攻击防范设置包括：上位机编辑安全防范功能后，将攻击防范配置下发给安全域内所有的接口。下发配置完成后，进行攻击防范配置。

所述日志管理包括：将系统发生的事件存入缓冲区或定向发送到日志接收服务器上。管理员通过对日志内容的分析和归档，检查网关的安全漏洞；根据实时的日志记录检测正在进行的入侵。

与现有技术相比，本发明具有以下优点：