[实用新型]一种工业控制系统的网络管理装置

说明书

技术领域

本实用新型涉及工业控制安全领域技术领域，特别涉及一种工业控制系统的网络管理装置。

背景技术

随着标准网络和互联网技术在工业控制系统的广泛应用，工业控制系统的安全威胁正日益加剧，已经证实了恶意软件在工业控制设备之间传播的可能性。目前现有的安全防护技术局限于对特定控制设备的防护，对于大型的工业控制网络来说对于每个控制子网的安全防护是独立进行，各自为政。鉴于防护手段缺乏联动机制的现状。

实用新型内容

为此，本实用新型提供了一种工业控制系统的网络管理装置，能够简单地对控制系统中的控制器所发送的非合法指令以及数据进行检测，基于个别非法入侵检测的信息实现全网联动阻断与被入侵现场控制子网之间通信的方法以期防范个别控制子网感染恶意软件在整个工业控制系统的蔓延的问题。

为达到上述目的，本实用新型的技术方案是这样实现的：

一种工业控制系统的网络管理装置，其特征在于，所述工业控制系统包括监督管理网络(100)和现场控制网络(200)，

所述监督管理网络(100)包括：人机界面(102)、工程师工作站(104)、监控台(106)、与网络连接的交换机(110)；

现场控制网络(200)由多个子网组成，各个子网包括：下位机(302-n)、安全防护设备(304-n)、现场设备(402-n)、与网络连接的交换机(110-N)，

所述监督管理网络(100)分别与各个子网通过网络连接，

所述现场控制网络(200)中，所述下位机(302-n)、安全防护设备(304-n)通过所述网络与所述监督管理网络(100)连接，所述人机界面(102)、工程师工作站(104)通过所述网络对所述下位机(302-n)进行管理，

所述安全防护设备(304-n)分别与所述现场设备(402-n)、所述下位机(302-n)连接，所述安全防护设备(304-n)对发送到所述下位机(302-n)的网络流量进行检测，根据网络流量对所述下位机(302-n)发出或接收的控制指令以及数据的合法性进行判断。

第二技术方案基于第一技术方案，其特征在于，所述安全防护设备(304-n)对所述下位机(302-n)接收的控制指令以及数据进行检测，并判断控制指令以及数据的合法性。

第三技术方案基于第一或二的技术方案，其特征在于，

所述安全防护设备(304-n)在检测到非合法指令或数据时，所述监控台(106)根据所述安全防护设备(304-n)发出的告警信息，向现场控制网络(200)发出通讯阻断信息。

第四技术方案基于第三技术方案，其特征在于，

所述通讯阻断信息包括被阻断设备的IP地址、MAC地址、设备ID、子网掩码。

本实用新型的有益效果：由于各个子网中设置有安全防护设备(304-n)，安全防护设备(304-n)设置在现场设备(402-n)与交换机(110-N)、下位机(302-n)之间，能够独立地对发送到现场设备(402-n)、下位机(302-n)的控制指令以及数据的合法性进行判断，在需要通过限制或阻断监督管理网络(100)与现场控制网络(200)的通讯，能够防止恶意软件在工业控制系统上的蔓延，迅速有效隔离问题控制子网或相关设备。

附图说明

图1是本实用新型工业控制系统网络结构的示意图，

图2是本实用新型中监控台组成的示意图，

图3是本实用新型中安全防护设备组成的示意图，

图4是本实用新型中安全防护方法的流程示意图。

附图标记：

100-监督管理网络，102-人机界面，

104-工程师工作站，106-监控台，

110-交换机，200-现场控制网络

302-下位机，304-安全防护设备，

402-现场设备，604-处理器，

606-告警分析模块，608-用户界面模块，

610-存储模块，702-网络通信接口，

704-处理器，706-访问控制模块，

708-状态检测模块，710-数据包检测模块，

712-访问控制，714-存储模块，

716-监控台接口模块。

具体实施方式

下面结合附图对本实用新型的较佳实施例进行详细阐述，参考标号是指本实用新型中的组件、技术，以便本实用新型的优点和特征在适合的环境下实现能更易于被理解。