[发明专利]基于工控终端设备接口HOOK的安全防护方法

说明书

本发明涉及一种基于工控终端设备接口HOOK的安全防护方法,包括将工控设备以HOOK的方式与工控终端设备相连；对需要连接的外接设备进行注册、登记和认证，验证其身份的合法性和证书的有效性，对接入认证通过的外接设备允许外接设备与所述工控终端进行数据传输和控制指令交互，对接入认证失败的外接设备则断开连接；依次对接入认证通过的外接设备的流量进行审计、对漏洞攻击流量、病毒木马流量、工控协议接入以及固件更新请求合法性进行检测，对检测合格的外接设备的所有操作请求和操作行为进行记录，对检测不合格的外接设备的所有操作请求和操作行为进行拦截和阻断。本发明有效保证了工控终端设备在有外设接入时的安全性。

技术领域

本发明涉及工控安全的技术领域，尤其是指一种基于工控终端设备接口HOOK的安全防护方法。

背景技术

电力工控系统是国家关键基础设施的重要组成部分，其安全性关系到国计民生和国家的战略安全。电力工控系统中包含了大量的电力工控终端设备，包括PLC、RTU、HMI、工程师站、操作员站等，这些设备的安全性极大程度上决定了电力工控系统的安全性。在《电力二次系统安全防护总体方案》中规定，电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”，其目的是从系统层面确保电力监控系统及电力调度数据网络的安全，抵御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击，特别是抵御APT攻击，防止电力二次系统被攻击而造成的崩溃或瘫痪，以及由此引发的电力系统事故或大面积停电事故。

长期以来，针对电力工控系统的安全防护主要集中在由外向内的攻击、边界网关等。“安全分区、网络专用、横向隔离、纵向认证”这四大原则能够有效的抵御针对电力工控系统的外部攻击。针对电力系统内部的安全防护主要以网络隔离、以及安全管制规章制度等方法，然而从系统内部来看，电力工控系统终端的接入、通信等方面的安全性缺乏认证和校验，一旦被植入rootkit木马或已被病毒、蠕虫感染的终端设备（USB、移动硬盘、工程师站等）被接入到电力工控系统中，其从电力工控系统内部进行攻击、渗透，其不但攻击成本更低，而且对电力系统造成的破坏也更大，因此如何保证电力工控系统终端设备在有外设接入时的安全性就显得尤为重要。

发明内容

为此，本发明所要解决的技术问题在于克服现有技术中有新设备接入时安全性能差的问题从而提供一种即使在有外设接入时也能保证安全性的基于工控终端设备接口HOOK的安全防护方法。

为解决上述技术问题，本发明的一种基于工控终端设备接口HOOK的安全防护方法，包括如下步骤：步骤S1：将工控设备以HOOK的方式与工控终端设备相连；步骤S2：对需要连接的外接设备进行注册、登记和认证，验证其身份的合法性和证书的有效性，对接入认证通过的外接设备允许外接设备与所述工控终端进行数据传输和控制指令交互，对接入认证失败的外接设备则断开连接；步骤S3：依次对接入认证通过的外接设备的流量进行审计、对漏洞攻击流量、病毒木马流量、工控协议接入以及固件更新请求合法性进行检测，对检测合格的外接设备的所有操作请求和操作行为进行记录，对检测不合格的外接设备的所有操作请求和操作行为进行拦截和阻断。

在本发明的一个实施例中，对接入认证通过的外接设备发放数字证书，并根据安全级别给予其对应的针对所述工控终端设备的操作权限。

在本发明的一个实施例中，对接入认证通过的外接设备的流量进行审计时，过滤可能存在较大安全威胁的协议端口。

在本发明的一个实施例中，对接入认证通过的外接设备的漏洞攻击流量进行检测时，通过流量黑白名单、特征值等手段二次检测接入认证通过的外接设备是否存在可疑的攻击行为，同时对漏洞攻击行为进行及时阻断。

在本发明的一个实施例中，对接入认证通过的外接设备的病毒木马流量进行检测时，通过检测接入设备的流量中是否存在常见病毒木马的流量特征，来再次确认接入外设中是否存在rootkit等隐藏极深、无法通过手工检测检测出的病毒木马。