[发明专利]基于分布式数控的工业控制信息安全系统

说明书

本发明涉及一种基于分布式数控的工业控制信息安全系统，包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块以及工控安全统一管理系统；鉴于工业控制系统对可用性、实时性的要求，对车间DNC工业控制网络采用边界控制、主机加固、内部审计的设计思路进行信息安全防护建设，对系统边界各操作站、工程师站、DCS系统、工业控制系统等进行边界防护、准入控制；对工程师站、操作员站、OPC服务器等自身系统进行信息安全防护；对工业控制系统内部操作人员的操作行为进行事前监控、事中记录、事后审计。本发明为工控网络信息安全管理人员对事后追踪溯源提供有利依据，大幅提高数据的安全性。

技术领域

本发明涉及一种可见光范围的弱光探测技术，特别涉及一种基于分布式数控(DNC，Distributed Numerical Control)的工业控制信息安全系统。

背景技术

行业发展需求越来越高，设备之间的互联互通使得DNC工业控制系统的安全和防护建设更加捉襟见肘，快速发展加强工业信息安全的重要性、紧迫性。当前大多数工控系统安全很脆弱，而针对工业控制系统的攻击事件又屡屡发生，层出不穷，使得工业控制信息安全系统的建设更加迫在眉睫。

发明内容

本发明是针对工业控制信息安全的问题，提出了一种基于分布式数控的工业控制信息安全系统，大幅提高DNC数据的安全性。

本发明的技术方案为：一种基于分布式数控的工业控制信息安全系统，包括车间区域边界防护模块、主机防护模块、工控内网安全检测与审计模块、工控系统漏洞挖掘模块以及工控安全统一管理系统；

所述车间区域边界防护模块包括交换机和工业防火墙；内网区域的加工车间通过接入层交换机接入到工控内网中，并且在生产车间接入交换机前端和车间区域前端部署工业防火墙；

所述主机防护模块包括可信卫士，在生产车间重要的工程师站、操作员站、服务器系统，以及需要插入U盘拷贝数据或者软件的主机，采用可信卫士对主机进行可信卫士安全加固；

所述工控安全统一管理系统对工业防火墙和可信卫士的统一管理配置、日志的分析处理；

所述工控内网安全检测与审计模块包括探针、工控网络安全检测与审计管理系统，探针旁路部署于内网汇聚层的交换机上，工控网络安全检测与审计管理系统部署于工控网络可达位置，工控内网安全检测与审计模块对工业控制系统内操作人员的操作行为进行事前监控、事中记录、事后审计；

所述工控系统漏洞挖掘模块，在工控网络中大量工业控制系统和应用系统上线之前进行漏洞挖掘。

所述工业防火墙中采用启用白名单功能，将工控网络中可信的软件或程序放入白名单，只有白名单的软件或程序才能被安装和运行，有效阻止恶意病毒和木马的入侵或非法程序的运行；

所述工业防火墙中开启异常报文检测和异常流量检测功能，防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击导致的网络或工控系统的不可用或瘫痪。

所述可信卫士启用白名单功能，确保只有在白名单列表中的程序或软件才能运行，其他一律拒绝，白名单来源于用户工控网络工作站、操作员站的自学习生成、厂商白名单库的导入、行业白名单库匹配。

所述主机防护模块还包括终端审计管理，为确保每个命令的有效性，每个操作的零误差，对各个操作人员的各种操作行为进行记录和审计。