[发明专利]一种工业控制系统的安全防护方法及装置

说明书

本公开实施例提供了一种工业控制系统的安全防护方法，通过当确认所述目标数据包接入认证成功时，判断所述目标数据包是否需要加密；当确认所述目标数据包需要加密时，对所述目标数据包进行加密，得到加密后的目标数据包；发送所述加密后的目标数据包，本公开实施例中，在目标数据包接入认证成功和加密后，才发送加密的目标数据包，提高工业控制过程中数据传输的安全性。

技术领域

本公开涉及工业控制安全领域，特别涉及一种工业控制系统的安全防护方法及装置。

背景技术

随着工业控制技术的迅速发展，工业控制系统被广泛的应用到工业领域，通过工业控制系统实现工业现场和远程的数据控制中心之间的数据传输。

现有技术中，工业现场和远程的数据控制中心之间数据传输时一般采用Modbus协议进行数据传输，该Modbus协议采用简单的主从应答的明文传输方式。

发明人发现相关技术中至少存在以下问题：

在数据传输时采用主从应答的明文传输方式，容易造成数据传输的泄露。

发明内容

本公开实施例提供了一种工业控制系统的安全防护方法及装置，可以提高工业控制过程中数据传输的安全性。所述技术方案如下：

本申请提供了一种工业控制系统的安全防护方法，所述方法包括：

获取目标数据包；

对所述目标数据包进行接入认证；

当接入认证的结果为成功时，判断所述目标数据包是否需要加密；

当确认所述目标数据包需要加密时，对所述目标数据包进行加密，得到加密后的目标数据包；

发送所述加密后的目标数据包。

可选地，所述对所述目标数据包进行接入认证之前，所述方法还包括：

判断所述终端所防护的网络中的设备是否被攻击；

当所述终端所防护的网络中的设备未被攻击时，执行所述对所述目标数据包进行接入认证的步骤；

当所述终端所防护的网络中的设备被攻击时，丢弃所述目标数据包。

可选地，所述判断所述终端所防护的网络中的设备是否被攻击，包括：

在预设时间内，判断接收的同一类型的数据包的数量是否在预设的范围内，所述预设范围是根据数据包的类型所确定的；

若是，则所述终端所防护的网络中的设备未被攻击；

若否，则所述终端所防护的网络中的设备被攻击。

可选地，所述对所述目标数据包进行接入认证包括：

对所述目标数据包解析，得到所述目标数据包对应的源IP地址、目的IP地址、源MAC地址和目的MAC地址；

在认证池中查找与所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象，所述认证池中存储有源IP地址、目的IP地址、源MAC地址和目的MAC地址与第一匹配对象的对应关系；

当所述第一匹配对象表示通过认证时，确认所述目标数据包接入认证成功；

当所述第一匹配对象表示未通过认证或未查找到所述源IP地址、所述目的IP地址、所述源MAC地址和所述目的MAC地址匹配的第一匹配对象时，确认所述目标数据包接入认证失败。

可选地，所述判断所述目标数据包是否需要加密，包括：

获取所述目标数据包的所述源IP地址、所述目的IP地址和应用层协议信息；