[发明专利]基于虚拟运行和状态转换的工控系统网络攻击应对方法

说明书

本发明提供了基于虚拟运行和状态转换的工控系统网络攻击应对方法，该方法在工控系统异常状态下，提出了一种基于状态转换的恢复机制，用于工控系统遭受攻击后及时恢复现场设备的正常运转；同时提出了一种基于虚拟运行的隔离机制，用于工控系统遭受攻击后隔离现场设备，避免遭受进一步恶意控制，这两种机制通过工控系统的内部数据交换中心和外部数据交换中心完成配合与触发。所述恢复机制保证了工控系统不会在发生异常后失去运行能力或是造成严重后果；所述隔离机制保证了工控系统的外部控制中心遭到网络入侵并被控制后，现场设备不会受到持续下达的错误指令的进一步影响，提高了工控系统的网络攻击应对能力。

技术领域

本发明涉及工控系统遭受网络攻击后控制损失的网络安全问题，具体涉及一种基于虚拟运行和状态转换的工控系统网络攻击应对方法。

背景技术

工业控制系统(简称工控系统)是一种应用于能源、供水、工业自动化等工业领域中的自动化控制系统。工业控制系统基于从远程站点获取的数据，分析现场设备的运转情况，并依据预先设计好的应对策略，把相应的控制指令送到现场设备，以监测和保障现场设备的正常运行。如今，工业控制系统与以太网结合，并引入了通用的操作系统，工作效率和开放性得到了显著的提升。与此同时，由于早先的工控系统往往运行在封闭、专门的环境中，现在广泛应用的工业控制系统在设计上大都不会考虑刻意的攻击行为，既缺乏对攻击的防范意识，也没有考虑遭受攻击后控制损失的手段，现有的各种工控协议和机制也存在诸多漏洞。再加上工业控制系统对于实时性和性能的高要求以及对于错误的低容忍使得传统的安全方案难以实施。这就导致了近十年间类似“震网”病毒等针对工业控制系统的网络攻击事件频频发生，而由于工业控制系统的特殊性，这些攻击得手后往往造成昂贵设备、数据、材料的损坏甚至人员伤亡等严重后果，引起了广泛关注。这些入侵事件进一步暴露出了工业控制系统在信息安全方面的缺口和需求。

针对工业控制系统在网络环境下的安全策略，现有方法大多集中在分析和降低工控系统遭受网络攻击的风险上，常见的方法包括对参数加密的各种方法、针对网络攻击的入侵检测方法、改进的通信协议、白名单、内部管理监测和物理隔离手段等等。这些方法对于防御网络攻击是具有一定效果的，但是由于只考虑了对网络攻击的监测和防御，对于一旦防御被攻破，入侵者已经开始干扰现场设备的正常运转的情况下，如何有效地保护现场设备尽可能少受损失以及免受连续的攻击危害则没有涉及。事实上，防御策略的作用往往是有限的，一个工业控制系统在防御被攻破后如果没有有效的策略及时恢复和隔离系统，那么很有可能会被入侵者掌握主动权或是通过连续的攻击进一步扩大损失。

发明内容

为了克服当前工控系统网络安全方面的上述不足，本发明提出了一种基于虚拟运行和状态转换的工控系统网络攻击应对方法，该应对方法用于在工控系统已经受到入侵且入侵者已经对工控系统的运转产生一定影响后，进行合理的应对。

本发明提出的基于虚拟运行和状态转换的工控系统网络攻击应对方法，不仅可以及时控制和消除入侵带来的影响，还可以避免连续的网络攻击对工控系统造成持续性的破坏。

为了达成上述两个目的，本发明主要通过两种机制来对所述工控系统进行复原和保护，即恢复机制和隔离机制。

实现该应对方法的所述工控系统主要包括：现场设备、外部控制中心、外部数据交换中心、内部数据交换中心、虚拟化设备、隔离监测器、恢复控制器和异常监测器。其中，外部数据交换中心直接与虚拟化设备、隔离监测器以及内部数据交换中心连接；内部数据交换中心与外部数据交换中心、恢复控制器、异常监测器以及现场设备连接。上述组件都位于现场，其中，内部数据交换中心直接采集现场设备运转产生的数字信号或模拟信号，并传递给与之相连接的其他组件；而外部控制中心是远程系统控制中心，使用网络总线(如RJ45,RS232等)与外部数据交换中心连接，获取现场设备运转产生的数据并下达控制指令给现场设备。所述工控系统共有两种运行状态：现场设备正常运行的正常状态和现场设备发生异常的异常状态；