[发明专利]工控系统数据安全的拟态存储系统及方法

说明书

本发明提供一种工控系统数据安全的拟态存储系统，包括通讯连接的动态异构模块及对象存储模块；所述动态异构模块包括通讯连接的异构功能模块及动态管理模块，所述异构功能模块用于为工控系统的数据文件构建多种纠删码的编码方式，所述动态管理模块用于对所述编码方式进行伪随机轮换，所述对象存储模块用于将所述数据文件按照所述编码方式进行纠删码编码并存储。本发明还提供一种工控系统数据安全的拟态存储方法。本发明提供的工控系统数据安全的拟态存储系统及方法，实现了将拟态防御特性融入工控系统的存储系统，具有主动防御能力，提高了系统的安全性。

【技术领域】

本发明涉及工控系统技术领域，尤其涉及一种工控系统数据安全的拟态存储系统及方法。

【背景技术】

目前，随着工业互联网的发展，工业控制系统(简称工控系统)也在持续演化。核电站工业控制系统的存储系统节点，作为核电站工业控制系统的信息存储基础设备，其安全性和可靠性对于整个系统而言至关重要。存储系统目前面临着严峻的网络安全形势，针对不断出现的攻击手段，研究相应的网络安全防御技术显得越来越重要。

传统防御技术主要包括防火墙、认证技术、访问控制、病毒防范、入侵检测、漏洞扫描、信息加密技术和灾备恢复等。传统防御技术有一些固有的缺陷。其缺陷主要为：防御能力是被动且是静态的，其防御能力依赖于在接入系统之前的系统配置，只能防御系统配置中涉及的网络安全攻击。然而，网络安全防御应该是一个动态变化的过程，新的安全漏洞不断出现，黑客的攻击手法不断翻新，传统防御技术难以检测、识别和处理新产生的网络攻击手段，只能被动的接受来自网络的每一次入侵攻击，不能从根本上解决网络安全问题，因此，传统安全防御技术难以解决工控系统安全问题。

分布式文件系统(Distributed File System，DFS)是指文件系统管理的物理存储资源不一定直接连接在本地节点上，而是通过计算机网络与节点(可简单的理解为一台计算机)相连。分布式文件系统的设计基于客户机/服务器模式，一个典型的网络可能包括多个供多用户访问的服务器。分布式文件系统是建立在客户机/服务器技术基础之上的，一个或多个文件服务器与客户机文件系统协同操作，这样客户机就能够访问由服务器管理的文件了。由于控制功能分散于客户机和服务器之间，一些在集中式系统中的文件系统很容易处理的事情在分布式文件系统中变得相当复杂，比如共享、数据安全性、透明性等，相应需要发展一些重要技术，诸如远程过程调用、大容量缓存、进程存根(stub)、线程(thread)和虚拟文件系统(VFS)等等。在“已知风险”的前提下，这些技术要求一定数量的清晰可靠的先验知识的支持，例如来源，特征和攻击的行为，因此，DFS现有的安全机制由于它们的被动性和滞后性，几乎无法应对未知风险。

拟态分布式文件系统(MDFS)，以文件交互接口划定拟态界，对整个存储系统进行了异构和冗余化，通过比较多个系统对访问请求的数据文件响应，实现威胁感知和数据结果的修正。这种架构设计以标准协议接口作为拟态化对象，能够屏蔽各个异构系统的实现细节，构成拟态化的分布式文件系统，而对外呈现标准文件交互接口，MDFS实现了动态性，异构性和冗余。然而，MDFS没有解决数据可靠性带来的安全性问题，MDFS仅仅解决了存储系统的主动防御问题，但对于节点可能发生的数据丢失的情况，没有相应的机制保证系统能还原原始数据。系统的数据可靠性由组成MDFS的每个异构文件系统本身的机制来保证，由于不同文件系统的数据可靠性不同，不能保证所有节点的数据可靠性，因此，整个系统的数据可靠性无法得到保证。另外，由于MDFS在整个系统的层面上进行了异构化，组成MDFS的不同存储系统性能不同，扩大了系统的响应时间，相比单一结构的存储系统带来了性能损失，同时，多副本冗余机制导致系统的存储成本过高。

鉴于此，实有必要提供一种新型的工控系统数据安全的拟态存储系统及方法以克服上述缺陷。

【发明内容】

本发明的目的是提供一种工控系统数据安全的拟态存储系统及方法，实现了将拟态防御特性融入工控系统的存储系统，具有主动防御能力，提高了系统的安全性。