[发明专利]工控系统终端安全防护方法

摘要

本发明属于工业控制系统终端安全防护技术领域，具体涉及一种工控系统终端安全防护方法。所述方法基于工控系统终端安全防护系统来实施，所述系统包括：终端安全防护设备、终端安全集中管理系统；该方案综合运用强身份鉴别、双重访问控制、接口防护策略、文件深度解析、安全审计和设备集中管理一系列技术手段，有效阻断工控系统设备运行中的网络攻击和非法接入等恶意行为，并同时实现对多台相同类型或不同类型工控系统设备终端安全防护策略进行集中的配置与管理。本方案具有工控设备终端安全防护等级高，支持多台设备集中统一管理，且集中管理平台适用多种应用环境、多种工业协议、兼容性好、防护策略配置灵活、告警上报与设备管理高效等优点。

主权项

1.一种工控系统终端安全防护方法，其特征在于，所述工控系统终端安全防护方法基于工控系统终端安全防护系统来实施，所述系统包括：终端安全防护设备、终端安全集中管理系统；所述工控系统终端安全防护系统运行于工控设备终端安全防护系统安全域中，所述工控设备终端安全防护系统安全域中除了所述防护系统之外，还包括：多个工业防火墙、交换机、数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，与数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组分别对应的CNC‑MES信息化管理系统、PLC‑MES信息化管理系统、DCS‑MES信息化管理系统、SCADA‑MES信息化管理系统，四个OPC服务器/数据库以及四个监视终端；其中，四个OPC服务器/数据库以及四个监视终端一一对应数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组设置；其中，所述工控系统终端安全防护系统组成终端安全防护层；CNC‑MES信息化管理系统、PLC‑MES信息化管理系统、DCS‑MES信息化管理系统、SCADA‑MES信息化管理系统、工业防火墙、交换机组成工业控制系统层；数控机床组、可编程逻辑控制器组、分散型控制系统组、监控和数据采集系统组，四个OPC服务器/数据库和四个监视终端组成制造生产执行层；所述终端安全集中管理系统包括：强身份鉴别模块、双重访问控制模块、接口防护策略模块、文件深度解析模块；所述工控系统终端安全防护方法具体包括如下步骤：步骤1：强身份鉴别模块对用户的登录操作进行强身份鉴别，生成身份鉴别结果成功消息或身份鉴别结果失败消息，并发送给双重访问控制模块；步骤2：双重访问控制模块在接收到身份鉴别结果成功消息的情况下，根据管理员的指令对工控设备进行集中配置，生成工控设备配置结束信息发送至接口防护策略模块；并且，双重访问控制模块比对普通用户的访问权限，生成用户访问控制成功信息或用户访问控制失败信息，并发送至接口防护策略模块；步骤3：接口防护策略模块在接收到工控设备配置结束信息后，对工控设备进行接口防护策略配置，生成以该工控设备唯一标识和当前时间为名称的xml配置文件，并将该xml配置文件发送至文件深度解析模块；步骤4：文件深度解析模块将xml配置文件发送至工控设备，进行防护策略配置，工控设备根据当前配置的防护策略进行后续制造生产执行操作。